231 85 9MB
German Pages 1103
T E I L
I
Planung
Die Planung ist der Maßstab Ihres Erfolges beim Einsatz von Microsoft® Windows® 2000. Teil I liefert Planungsinformationen, die Ihnen helfen werden, zu entscheiden, welche Features von Windows 2000 für Ihre Organisation geeignet sind, einen Einsatzplan zu erstellen, Ihr Testlabor vorzubereiten und Pilotprojekte durchzuführen. Kapitel in Teil I Einführung in die Einsatzplanung von Windows 2000 3 Erstellen eines Einsatzwegweisers 31 Planen des Einsatzes 61 Erstellen eines Testlabors für Windows 2000 85 Ausführen des Pilotprojekts für Windows 2000 129
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
3
K A P I T E L
1
Einführung in die Einsatzplanung von Windows 2000
Mit Hilfe von Microsoft Windows 2000 Server – Die technische Referenz: Einsatzplanung können Sie die Einrichtung von Microsoft® Windows® 2000 entwerfen, planen und entwickeln. Die Lektüre dieses Buches vermittelt Ihnen die Kenntnisse für die Planung der Bereitstellung auf Projektverwaltungs- und Funktionsebene. Dieses Buch enthält Planungsinformationen für die ersten Schritte, beispielsweise für die Ausführung eines Testlabors und eines Pilotprojekts. Außerdem bietet dieses Buch wichtige technische Erläuterungen, die Sie beim Bereitstellen von Windows 2000-Technologien unterstützen. Sie beginnen den Planungsprozess in diesem Kapitel. Das Kapitel enthält eine Einführung zu diesem Buch und eine kurze Übersicht von Windows 2000 und seinen Funktionen. Anschließend wird anhand von Fallstudien erläutert, wie der Prozess der Einsatzplanung bei vier Firmen eingeleitet wurde. Am Schluss des Kapitels finden Sie eine Funktionsübersicht aus der IT-Geschäftsperspektive. Mit Hilfe dieser Übersicht können Sie den Prozess der Einsatzplanung einleiten. Inhalt dieses Kapitels Erste Schritte bei der Erstellung des Plans 4 Die Produktfamilie von Windows 2000 im Überblick 6 Windows 2000 optimal einsetzen 10 Beispiele für den optimalen Einsatz von Windows 2000 in einer Geschäftsumgebung 12 Zuordnen der Funktionen von Windows 2000 in Ihrem Unternehmen 20 Planungstaskliste für die Zuordnung von Windows 2000-Funktionen 29 Zielsetzungen Mit den Informationen in diesem Kapitel können Sie folgende Planungsunterlagen zusammenstellen: ? Eine Produktliste von Windows 2000 für Ihre Organisation ? Einen Plan für die Zuordnung von Windows 2000-Funktionen zu
geschäftlichen Funktionen WeiterführendeInformationen in der technischen Referenz ? Weitere Informationen zum Prozess der Einsatzplanung finden Sie unter „Erstellen eines Einsatzwegweisers“ in diesem Buch. ? Weitere Informationen zur Einsatzplanung finden Sie unter „Planen des Einsatzes“ in diesem Buch.
4
Teil I Planung
Erste Schritte bei der Erstellung des Plans Die Einrichtung eines neuen Betriebssystems wie Windows 2000 in einer Unternehmensumgebung erfordert die Genehmigung und Bereitstellung von Entscheidungsgremien sowie eine grundlegende Planung. Zu Beginn der Planung benötigen Sie ein allgemeines Verständnis der Produktfamilie von Windows 2000. Anschließend müssen Sie die Funktionen verstehen und sich darüber im Klaren sein, wie Sie die Produktivität erhöhen und gleichzeitig die Gesamtbetriebskosten für Ihr Unternehmen senken. Die folgenden beiden Abschnitte bieten eine Übersicht des Planungsprozesses in diesem Kapitel und eine Einführung in dieses Buch.
Optimale Nutzung dieses Buchs Dieses Buch soll Ihnen beim Entwurf, der Planung und der Implementierung der Installation von Microsoft® Windows® 2000 Professional und Microsoft ® Windows® 2000 Server als Leitfaden dienen. Sie erfahren Richtlinien und Vorsichtsmaßnahmen für die Lösung wichtiger Unternehmensbedürfnisse bei der Installation der Hauptfunktionen von Windows 2000. Außerdem erhalten Sie Schrittanleitungen für die Automatisierung der Installation von Windows 2000 Server und Windows 2000 Professional durch Dienstprogramme, beispielsweise Tools für die unbeaufsichtigte Installation, Skripting und Microsoft® Systems Management Server. Die Informationen werden in logischer Abfolge präsentiert und können somit als direkte Referenz ab Beginn der Bereitstellung verwendet werden. Um diese Zielsetzung zu erreichen, enthält dieses Buch drei verschiedene Kapiteltypen: ? Kapitel für die Planung: Diese Kapitel enthalten Informationen, die Sie beider
Planung der Verbreitung unterstützen. Die Kapitel befassen sich mit dem Testen und der Planung. ? Kapitel für den technischen Entwurf: Hier erhalten Sie Informationen, die Sie bei der Implementierung bestimmter Funktionen von Windows 2000, beispielsweise Active Directory™ , und beim Entwurf des Windows 2000-Netzwerks für Ihre Organisation unterstützen. ? Kapitel für die automatisierte Installation: Hier finden Sie Schrittanleitungen für die Installation von Windows 2000 Server und Windows 2000 Professional mit Hilfe von Tools, beispielsweise Systems Management Server. Tabelle 1.1 listet die sechs Teile dieses Buchs mit den entsprechenden Kapiteln auf. Tabelle 1.1 Kapitel für die Einsatzplanung Nr.
Teil/Kapitel
Typ
Teil I: Planungsübersicht Enthält Informationen für die Planungsaspekte Ihrer Einrichtung sowie für den Testlauf und das Pilotprojekt. 1 2
Einführung in die Einsatzplanung von Windows 2000 Erstellen eines Einsatzwegweisers
Planung Planung
3 4
Planen des Einsatzes Erstellen eines Testlabors für Windows 2000
Planung Planung
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000 (Fortsetzung) Nr.
Teil/Kapitel
Typ
5
Planung
6
Ausführen des Pilotprojekts für Windows 2000 Teil II: Voraussetzungen für die Netzwerkinfrastruktur Enthält Informationen für die Bewertung des aktuellen Netzwerks und die Planung der Netzwerkaktualisierung. Vorbereiten der Netzwerkinfrastruktur für Windows 2000
7
Festlegen von Strategien für Netzwerkverbindungen
Technischer Entwurf
8
Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur
Technischer Entwurf
9
Teil III: Active Directory-Infrastruktur Informationen für die Planung der Bereitstellung bestimmter technischer Funktionen. Entwerfen der Active Directory-Struktur
10
Bestimmen der Strategien für die Domänenmigration
11
Planen der verteilten Sicherheit
12
Planen der Infrastruktur für öffentliche Schlüssel
Technischer Entwurf
Technischer Entwurf Technischer Entwurf Technischer Entwurf Technischer Entwurf
Teil IV: Windows 2000 – Aktualisierung und Installation Enthält Informationen zum Aktualisieren und Installieren von Servern, Mitgliedsservern und Terminaldiensten. 13
Automatisieren der Serverinstallation und der Aktualisierung
Automatisierte Installation
14 15
Verwenden von Systems Management Server zum Einrichten von Windows 2000 Aktualisieren und Installieren von Mitgliedsservern
16
Einrichten von Terminaldiensten
Automatisierte Installation Automatisierte Installation Technischer Entwurf
Teil V: Erweiterte Verwaltung Enthält Informationen zum Planen mehrerer erweiterter Funktionen. 17
Bestimmen der Strategien für die Netzwerksicherheit von Windows 2000
Technischer Entwurf
18
Sicherstellen der Verfügbarkeit von Anwendungen und Diensten
Technischer Entwurf
19
Bestimmen der Strategien für die Speicherverwaltung von Windows 2000 Synchronisieren von Active Directory mit Exchange Server Directory Service Teil VI: Windows Professional/Clienteinrichtung
Technischer Entwurf Technischer Entwurf
20
5
6
Teil I Planung Informationen zur Planung und Einrichtung von Windows 2000 Professional-Clients. (Fortsetzung) Nr.
Teil/Kapitel
Typ
21
Testen der Anwendungskompatibilität mit Windows 2000
22
Festlegen einer Strategie zur Clientkonnektivität
23
Definieren von Standards für die Verwaltung und Konfiguration von Clients Anwenden der Änderungs- und Konfigurationsverwaltung Automatisieren der Clientinstallation und der Aktualisierung
Technischer Entwurf Technischer Entwurf Technischer Entwurf Technischer Entwurf Automatisierte Installation
24 25
Der Planungsbeginn Die Planung für die Installation oder Aktualisierung eines Betriebssystems erfolgt in zahlreichen Schritten und muss gut durchdacht werden. Dieses Kapitel enthält die Informationen, die Sie zu Beginn des Planungsprozesses benötigen. Abbildung 1.1 erläutert die Planungsschritte in diesem Kapitel.
Abbildung 1.1 Planungsbeginn
Die Produktfamilie von Windows 2000 im Überblick Um im neuen digitalen Zeitalter wettbewerbsfähig zu bleiben, benötigen Unternehmen eine erweiterte computerbasierte, Client/Serverinfrastruktur, die Kosten senkt und eine flexible Umgebung gewährleistet. Die Microsoft Windows 2000Plattform – die Kombination aus Windows 2000 Professional und Windows 2000 Server – bietet allen Unternehmen folgende Vorteile:
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
7
? Geringe Gesamtbetriebskosten (TCO). ? Eine rund um die Uhr einsatzfähige Plattform. ? Eine digitale Infrastruktur, die schnellen Änderungen jederzeit gewachsen ist.
Die gesamte Produktfamilie bietet Dienste für Netzwerke, Anwendungen, Kommunikation und das Web, die bestens verwaltbar, sehr zuverlässig und hochverfügbar sind sowie eine optimale Interoperabilität, Skalierbarkeit und Sicherheit gewährleisten. Um den Bedürfnissen von Organisationen jeder Größenordnung gerecht zu werden, stehen verschiedene Windows 2000-Produkte zur Verfügung. In den folgenden Abschnitten werden die Produkte der Windows 2000-Familie erläutert.
Windows 2000 Professional Windows 2000 Professional erhöht die Produktivität in verschiedenen Situationen (beispielsweise bei mobilen Benutzern und Remotebenutzern), stellt die höchste Sicherheit für Benutzerdaten sicher und bietet die Leistungsstärke, die für die neue Generation persönlicher Produktivitätsanwendungen erforderlich ist. Mit Windows 2000 Professional senken Sie die Gesamtbetriebskosten durch: VerbesserteClientverwaltungsfunktionen Mit Windows 2000 haben Administratoren ideale Steuerungsmöglichkeiten über Clientdaten sowie über Anwendungsund Systemeinstellungen. Sie können dadurch die Anzahl der Supportanfragen erheblich reduzieren. Benutzer können nicht mehr versehentlich das System beschädigen und haben auch dann rund um die Uhr Zugriff auf alle benötigten Tools, wenn sie nicht am eigenen Computer arbeiten. UmfassendeUnterstützung für Verwaltungstools Windows 2000 Professional, das unter anderem konzipiert wurde, um die Verwaltbarkeit der Informationstechnologie zu optimieren, enthält „Clientagenten“, die das reibungslose Funktionieren führender Verwaltungslösungen, beispielsweise Systems Management Server, gewährleisten. Benutzerfreundlichkeit Die Benutzeroberfläche bietet dank benutzerdefinierter Menüs und Listen der zuletzt benutzten Dateien und Befehle schnellen Zugriff auf die gewünschten Informationen. (Das Betriebssystem erkennt häufig verwendete Tasks und zeigt diese Tasks im Menü an.) HöhereStabilität Windows 2000 Professional ist ein äußerst zuverlässiges Betriebssystem für Clients und mobile Computer. Clients haben längere Laufzeiten. Dies führt zu einer höheren Produktivität. BessereGeräteunterstützung Windows 2000 Professional unterstützt über 7.000 Geräte. Hierzu gehört die erweiterte Unterstützung für zahlreiche Geräte, die von Microsoft ® Windows NT® Workstation 4.0 bislang nicht unterstützt wurden, beispielsweise viele ältere Drucker, Scanner und digitale Kameras. Insgesamt werden 60 Prozent mehr Geräte unterstützt als unter Windows®NT 4.0. Windows 2000 Professional unterstützt außerdem Microsoft® DirectX 7.0, eine Gruppe von Schnittstellen für die Anwendungsprogrammierung (API), die Zugriff auf leistungsstarke Medienerweiterungen für Windows-basierte Computer ermöglichen. Hinweis Weitere Informationen zu unterstützten Geräte finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/web-
8
Teil I Planung
resources), wenn Sie auf den Hyperlink „Microsoft Windows Hardware Compatibility List (HCL)“ klicken.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
9
EinfachereKonfiguration Mit Hilfe neuer Assistenten können Sie Windows 2000 Professional im Handumdrehen konfigurieren und einrichten. MehrSprachoptionen DieMultiLanguage-Technologie bietet umfassende mehrsprachige Optionen für Endbenutzer und Administratoren. Weitere Informationen zu Windows 2000 Professional finden Sie in den Kapiteln imTeil VI dieser Dokumentation.
Windows 2000 Server-Familie Die Windows 2000 Server-Familie besteht aus zwei Mitgliedern: „Standard“ und „Advanced“. Die Version „Standard“ bietet die Kernfunktionalität der wichtigsten Dienste (beispielsweise Datei-, Drucker-, Kommunikations-, Infrastruktur- und Webserver) für kleinere und mittlere Unternehmen mit mehreren Arbeitsgruppen und Zweigstellen. Die Version „Advanced“ wurde für den unternehmenskritischen Bedarf konzipiert: Hierzu gehören Dienste für Datawarehousing, E-Commerce oder Webhosting für mittlere und große Unternehmen sowie Internetdienstanbieter (ISPs).
Windows 2000 Server Standard Edition Im Kern von Windows 2000 Server befindet sich eine umfassende Reihe von Infrastrukturdiensten, die auf dem Verzeichnisdienst Active Directory basieren. Active Directory vereinfacht die Verwaltung, erhöht die Sicherheit und erweitert die Interoperabilität. Der Dienst bietet eine zentralisierte Methode zum Verwalten von Benutzern, Gruppen, Sicherheitsdiensten und Netzwerkressourcen. Außerdem enthält Active Directory Standardschnittstellen für die Interoperabilität mit mehreren Anwendungen und Geräten. Windows 2000 Server enthält eine umfassende Reihe von Internetdiensten, mit deren Hilfe Organisationen die aktuellsten Webtechnologien nutzen können. Diese integrierte, flexible Webplattform verfügt über eine umfangreiche Palette von Diensten für den Einsatz von Intranets und webbasierten Unternehmenslösungen. Hierzu gehören Sitehosting, erweiterte Webanwendungen und Mediastreaming. Windows 2000 Server erweitert die Anwendungsdienste von Microsoft® Windows NT® Server 4.0. Durch Integration von Anwendungsdiensten, beispielsweise Component Services, Transaction und Message Queuing und Unterstützung der Extensible Markup Language (XML) bietet Windows 2000 Server die ideale Plattform für ISV-Lösungen und angepasste Geschäftsanwendungen. In den letzten Jahren haben viele Firmen von der rasanten Entwicklung bei den Mikroprozessoren profitieren können. Um die Systemleistung durch schnellere Prozessoren verbessern zu können, unterstützt Windows 2000 Server Uniprozessorsysteme oder Systeme mit bis zu vier Prozessoren über Symmetric Multiprocessing (SMP) mit einem realen Speicher von bis zu 4 GB. Ein unter Windows 2000 ausgeführter Server verfügt über die verschiedenen Funktionalitäten, die von Clients und Servern beieinem konventionellen Client/Servermodell sowie bei Arbeitsgruppen benötigt werden. Außerdem können Sie für Ihr Unternehmen zusätzlichen abteilungsspezifischen Bedarf abdecken, beispielsweiseDatei- und Druckserver, Anwendungsserver, Webserver und
10
Teil I Planung
Kommunikationsserver. Zu den Schlüsselfunktionen des Betriebssystems, die Sie beim Installieren und Konfigurieren von Servern unterstützen, gehören: ? Active Directory ? IntelliMirror und Gruppenrichtlinie ? Kerberos-Authentifizierung und PKI-Sicherheit ? Terminaldienste ? Komponentendienste ? Erweiterte Internet- und Webdienste ? SMP-Unterstützung (maximal vier Prozessoren)
Windows 2000 Advanced Server Windows 2000 Advanced Server ist die neue Version von Windows NT Server 4.0, Enterprise Edition. Dieses System enthält eine umfassende Clusteringinfrastruktur für hohe Verfügbarkeit und Skalierbarkeit von Anwendungen und Diensten, beispielsweise Hauptspeicherunterstützung von bis zu 8 GB bei PAESystemen. Um anspruchsvollen Unternehmensanwendungen gerecht zu werden, unterstützt Advanced Server neue Systeme durch Symmetric Multiprocessing (SMP) mit maximal acht Prozessoren. SMP ermöglicht einem der Computerprozessoren, ein Betriebssystem oder einen Anwendungsthread gleichzeitig mit anderen Prozessoren im System auszuführen. Windows 2000 Advanced Server ist für die datenbankintensive Arbeit bestens geeignet und bietet hochverfügbares Serverclustering und Lastenausgleich für eine hohe System- und Anwendungsverfügbarkeit. Windows 2000 Advanced Server enthält alle Funktionalitäten von Windows 2000 Server und besitzt zusätzlich die hohe Verfügbarkeit und Skalierbarkeit, die von Lösungen für Unternehmen und große Abteilungen benötigt werden. Zu den Schlüsselfunktionen von Advanced Server gehören: ? Alle Windows 2000 Server-Funktionen ? Netzwerklastenausgleich (TCP/IP) ??Erweiterte 2-Knoten-Servercluster auf Grundlage von Microsoft Windows
Cluster Server (MSCS) in der Windows NT Server 4.0 EnterpriseEdition ??Bis zu 8 GB Hauptspeicher bei PAE-Systemen ??SMP mit bis zu acht Prozessoren
Terminaldienste Dank der Terminaldienste von Microsoft Windows 2000 Server erhalten Computer, auf denen normalerweise kein Windows ausgeführt werden kann, Windows 2000 Professional und die aktuellsten Windows-basierten Anwendungen. Die Terminaldienste bieten außerdem einen Remoteverwaltungsmodus, damit Administratoren auf Clients zugreifen können, um diese zu verwalten und gegebenenfalls eine Problembehandlung durchzuführen. Über Terminalemulation, können dank der Terminaldienste die gleichen Anwendungen auf unterschiedlichen Computertypen ausgeführt werden. Für Unternehmen, die eine höhere Flexibilität beim Anwendungseinsatz benötigen und den Verwaltungsaufwand für Computer besser steuern möchten, bietet die Architektur der Terminaldienste eine wichtige Erweiterung der konventionellen aus zwei oder drei Schichten bestehenden Client/Server-Architektur, die auf Servern und PCs mit vollständiger Funktionalität
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
11
basiert. Weitere Informationen zu Terminaldiensten finden Sie unter „Einrichten von Terminaldiensten“ in diesem Buch.
Windows 2000 optimal einsetzen Bei der Einsatzplanung von Windows 2000 stellt sich zuerst die Frage, welchen Vorteil das Unternehmen durch die Aufrüstung erzielt. Die Vorteile von Windows 2000 werden sowohl von Administratoren als auch von Benutzern geschätzt werden. Ihre Administratoren profitieren von einer umfangreicheren mobilen Unterstützung, einer leichter durchführbaren Clientinstallation und einem geringeren Verwaltungsaufwand. Die Mitarbeiter Ihres Unternehmens verfügen über eine einfachere Benutzeroberfläche und genießen die Vorzüge der erhöhten Zuverlässigkeit und Verfügbarkeit. Außerdem erkennen die Benutzer die spezifischen Optimierungen während der Durchführung ihrer Aufgaben. Die Optimierung durch eine Windows 2000-Plattform wird anhand der Analyse dreier Berufskategorien, der des IT-Administrators, des Abteilungsleiters und des Verkaufsrepräsentanten, veranschaulicht. Die folgenden Abschnitte enthalten keine umfassende Auflistung der von der jeweiligen Kategorie beanspruchten Funktionen. Sie enthalten ein Beispiel, das Sie für den Planungsbeginn verwenden können.
IT-Administrator IT-Administratoren erhalten durch Windows 2000 eine zentrale Steuerungsmöglichkeit für alle Clients des Unternehmens. Ein Administrator kann außerdem Anwendungen einsetzen, die speziell für die Nutzung neuer Technologien von Windows 2000 geschrieben wurden. Diese Anwendungen können leichter eingerichtet werden und sind besser verwaltbar sowie zuverlässiger. Daraus ergibt sich ein besserer Service. Bei den folgenden Windows 2000-Funktionen handelt es sich um Beispiele der neuen Windows 2000 Server-Technologien, die ein leistungsstärkeres Arbeiten ermöglichen. IntelliMirror und Active Directory Mit diesen Funktionen können Sie die Gruppenrichtliniezum Konfigurieren von Clients verwenden, um den unterschiedlichen Anforderungen der einzelnen Benutzergruppen gerecht zu werden. Sie können beispielsweise sicherstellen, dass allen Mitarbeitern des Finanzwesens die erforderlichen Programme für die Tabellenkalkulation, Textverarbeitung und Präsentation zur Verfügung stehen. Analog hierzu können Sie für die Mitarbeiter des Vertriebs eine Software zur Umsatzberechnung einrichten. Außerdem können Sie über Richtlinien festlegen, dass Mitarbeitern an jedem Netzwerkcomputer die persönlichen Einstellungen angezeigt werden. Um den Aufwand für den Help Desk zu minimieren, können Sie verhindern, dass die Computerkonfigurationen von Benutzern geändert werden. Remoteinstallationstechnologien Dank dieser Technologien können Sie mittels einer Gruppenrichtlinie eine automatisierte reine Installation von Windows 2000 Professional bei einem Client gewährleisten. Sie können Windows 2000 Professional über das auf der CD für Windows 2000 Server erhältliche Tool RIPrep von einem zentralen Speicherort aus installieren. Sie haben die Möglichkeit, RI mit Microsoft ® IntelliMirror-Technologien zu verbinden, um ein vollständiges System abzubilden. Wenn Sie servergespeicherte Profile verwenden, können Sie dank
12
Teil I Planung
dieser Kombination den Wiederherstellungsprozess nach einem Systemausfall wesentlich besser durchführen.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
13
AnwendungszertifizierungsprogrammfürdasWindows 2000-Logo Diese MicrosoftSpezifikation unterstützt Entwickler beim Aufbau von Anwendungen, die Active Directory, Windows Installer-Software und andere Funktionen von Windows 2000 nutzen, die eine bessere unternehmensweite Verwaltung von Anwendungen gewährleisten. Sie können mit Hilfe der Informationen in dieser Spezifikation Anwendungen entwickeln, die Windows 2000-Funktionen für die Verringerung der Gesamtbetriebskosten nutzen und mit anderen Anwendungen in Ihrem Unternehmen parallel ausgeführt werden können. Weitere Informationen zur Anwendungsspezifikation für das Windows 2000-Logo finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/Windows 2000/reskit/webresources), wenn Sie auf den Hyperlink „MSDN Online“ klicken. Terminaldiensteund mobileGeräte Sie können Dienste von einer beliebigen Position im Netzwerk verwalten. Wenn Sie beispielsweise während des Aufenthalts in einer Zweigstelle einen Anruf zu einem Problem mit der Netzwerkbandbreite erhalten, können Sie über einen drahtlosen Handheldcomputer auf die zentralen Verwaltungstools im Netzwerk zugreifen sowie das Problem diagnostizieren und beheben.
Abteilungsleiter Abteilungsleiter sind für die Koordination von Projekten und Mitarbeitern zuständig. Dank des verbesserten Informationszugriffs können Daten jetzt besser zusammengeführt und analysiert werden. Es folgen Beispiele, wie bestimmte Windows 2000-Funktionen die Arbeit von Abteilungsleitern erleichtern können. Technologien für Terminaldiensteoder das Änderungs- undKonfigurationsmanagement Mit Hilfe der Änderungs- und Konfigurationsmanagementtechnologien stellt Ihr Administrator sicher, dass die von Ihnen benötigte Softwareprodukte, Daten und Desktopeinstellungen an jedem Netzwerkstandort zur Verfügung stehen. Wenn Sie die Buchhaltungsgruppe aufsuchen und einen Bericht einsehen müssen, können Sie sich über die Terminaldienste bei einem Thin-Client-Gerät anmelden und die gleichen Einstellungen Ihres Bürocomputers nutzen. Support für NetMeeting, Quality of Service und USB Plug & Play Mit Hilfe von Microsoft ® NetMeeting® können mehrere Benutzer eines Netzwerks über Video kommunizieren und Dokumente in Echtzeit bearbeiten. Um zu verhindern, dass die Videoverbindung schlechter wird, kann der Administrator über die in Active Directory integrierte Unterstützung für Quality of Service (QoS) den Benutzern und Anwendungen mehr Bandbreite zuweisen. Mit Hilfe der USB-Unterstützung können Benutzer Plugingeräte, beispielsweise Videokameras, schnell installieren. Um beispielsweise eine Videokonferenz einzurichten, brauchen Sie lediglich die Kamera anzustecken und auf die entsprechenden Namen im Adressbuch zu klicken.
14
Teil I Planung
Verkaufsrepräsentant Mit Hilfe der Änderungs- und Konfigurationsmanagementtechnologien kann Ihr Administrator sicherstellen, dass Sie immer über die benötigte Software verfügen. Sie haben somit schnellen Zugriff auf alle erforderlichen Tools und Daten. Es gibt außerdem zusätzliche Funktionen für Benutzer, die sich in der Regel außerhalb des Büros aufhalten. Mehrere Windows 2000-Funktionen sorgen im Innen- wie im Außendienst für einen leistungsstärkeren Arbeitsablauf. Synchronisationsverwaltung Mit der Synchronisationsverwaltung können Sie Daten im Offlinebetrieb genauso wie im Netzwerk bearbeiten. Sie können beispielsweise Ihre Kundendateien mitnehmen, während des Außendiensts bearbeiten und anschließend synchronisieren, nachdem Sie sich im Firmennetz angemeldet haben. Sie können auch Webseiten über die Intranetsite der Firma downloaden und diese im Offlinebetrieb bearbeiten. Nachdem Sie sich wieder angemeldet haben, können Sie die Intranetdaten Ihres Laptops und die Kundendaten im Netzwerk aktualisieren. ServergespeicherteBenutzerprofile Mit diesen Profilen können Sie benutzerdefinierte Desktopeinstellungen verwenden und auf Ihre Dokumente von einem beliebigen Netzwerkstandort zugreifen. Wenn Sie sich auf Reisen befinden, können Sie sich auch beim Firmennetzwerk anmelden, so dass Sie immer Zugriff auf Ihre Daten haben. Der Einsatz von Disketten oder E-Mail-Nachrichten für den Zugriff auf wichtige Daten gehört jetzt der Vergangenheit an.
Beispiele für den optimalen Einsatz von Windows 2000 in einer Geschäftsumgebung Organisationen erwägen den Einsatz aus unterschiedlichen Blickwinkeln, je nachdem, wie die Implementierung eines neuen Betriebssystems in der jeweiligen Umgebung geplant wird. Die meisten Organisationen richten ein Betriebssystem in verschiedenen Phasen ein. Dadurch werden Ausfallzeiten verhindert und die erfolgreiche Durchführung kritischer Schritte gewährleistet. Die folgenden Abschnitte enthalten einige Fallstudien und Beispiele für Ansätze von Firmen, die die Einrichtung aus der Perspektive der Produktfunktion eingeleitet haben. Diese Beispiele enthalten Informationen darüber, wie dringliche Geschäftsaspekte von großen Unternehmen gelöst wurden. Diese Informationen dienen als Anregung für den leistungsstarken Einsatz von Windows 2000 in Ihrem Unternehmen.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
15
Fallstudie 1: Amerikanische Herstellerfirma Bei diesem Unternehmen handelt es sich um einen Produktionsbetrieb. Die Fertigung findet in verschiedenen Niederlassungen der USA statt, ihre Zweigstellen sind jedoch auf die ganze Welt verteilt. Dieses Unternehmen hat somit eine weitreichend verteilte globale Computerumgebung. Es gibt verschiedene primäre Fertigungsabteilungen mit mehreren Produktgruppen. Die zahlreichen internen Teams in aller Welt benötigen verschiedene Zugriffsebenen auf Kundendokumente und auf interne Dokumente. Die Benutzer in den jeweiligen Sparten benötigen eine hochwertige clientbasierte Anpassung. Außerdem gibt es verschiedeneLieferanten und Subunternehmen, die Netzwerkzugriff innerhalb der Firewall oder lediglich externen Zugriff benötigen. Netzwerkadministratoren müssen unterschiedliche Sicherheitsebenen entsprechend des Bedarfs der jeweiligen internen und externen Teams zur Verfügung stellen.
Vorhandene IT-Umgebung Das Unternehmen verwendet derzeit eine gemischte Netzwerkumgebung bestehend aus Windows NT Server 4.0 Service Pack (SP 4) und UNIX sowie eine gemischte Clientumgebung aus Microsoft® Windows® 95 (85 Prozent), Windows NT Workstation 4.0 (10 Prozent) und UNIX (5 Prozent). Die Informationstechnologie wird zentral verwaltet, wobei die Steuerung der Anwendungen und Ressourcen auf IT-Manager hierarchisch verteilt ist. Das Unternehmen benötigt eine hohe Bandbreite und eine robuste Clientverwaltung. Microsoft® Exchange Server ist derzeit eine globale unternehmenskritische Anwendung für Kommunikation und Planung.
Zielsetzung für die Einrichtung von Windows 2000 Dieses Unternehmen möchte nur noch ein Netzwerkbetriebssystem und ein Clientsystem einsetzen, um die Kosten zu reduzieren. Außerdem soll Exchange Server mit Active Directory integriert werden, um ein allgemeines Verzeichnis zu erstellen und die Teamarbeit zu fördern. Ferner soll ein Multimedianetzwerk für den Informationsaustausch eingerichtet werden. Tabelle 1.2 fasst die IT-Ziele dieser Organisation zusammen. Außerdem werden in dieser Tabelle die Gründe erläutert, warum das Unternehmen Windows 2000 gewählt hat. Tabelle 1.2 IT-Ziele für die amerikanische Herstellerfirma Ziele
Das Angebot von Windows 2000
Unterstützung eines Standardbetriebssystems für Clients mit Schnellinstallation und -konfiguration bei kostengünstiger Einrichtung.
Clientverwaltungsfunktionen, beispielsweise IntelliMirror, und automatisierte Installations- und Aktualisierungstechnologien, beispielsweise Remoteinstallationsdienste und Systems Management Server.
Installation eines sicheren Netzwerkbetriebssystems, das flexibel und robust genug ist, um auf zahlreichen Hardwaretypen ausgeführt werden zu können.
Sicherheitsfunktionen der KerberosAuthentifizierung und Internet Protocol Security (IPSec). Enthält eine größere Hardwareauswahl in der HCL. Enthält Plug & Play-Funktionalität.
16
Teil I Planung (Fortsetzung) Ziele
Das Angebot von Windows 2000
Verringern der Kosten für die Bereitstellung und Verwaltung durch Einrichten von lediglich einem Serverbild. Unterstützung einer allgemeinen Serverplattform und Zusammenführen von kleineren Server in größere.
Eine erweiterte Serverfunktionalität deckt den Bedarf der gesamten Organisation ab, weil Clustering, Lastenausgleich und zusätzliche Unterstützung für Prozessoren gewährleistet werden.
Gewährleisten einer hohen Serververfügbarkeit für Exchange Server, weil dieser für das Unternehmen kritisch ist. Erstellen eines zentralisierten administrativen Modells, das die Möglichkeit zur verteilten Steuerung bei Domänen unterer Ebenen bietet.
Windows 2000 enthält eine stabile Betriebssystemplattform für Exchange Server. Active Directory bietet übergeordneten Administratoren die Möglichkeit, die Steuerung bestimmter Elemente innerhalb von Active Directory an Einzelpersonen oder Gruppen zu delegieren. Dadurch ist es nicht mehr erforderlich, dass mehreren Administratoren Befugnisse für eine gesamte Domäne erteilt werden müssen. Mit Active Directory kann die Firma die Netzwerkumgebung nach dem Geschäftsmodell gestalten.
Interoperabilität mit aktuellen UNIXServern und Einsatz eines allgemeinen Sicherheitsprotokolls.
Das dynamische Aktualisierungsprotokoll Domain Name System (DNS) bietet die gewünschte Interoperabilität. Kerberos kann auf beiden Plattformen ausgeführt werden. Verteilte Sicherheit, einschließlich IPSec, Kerberos-Authentifizierung und PKI.
Unterstützen weiterer plattformübergreifender Sicherheit für das Unternehmen. Ein Netzwerkbetriebssystem und eine Domänenstruktur, die den Unternehmensbedarf darstellt.
Windows 2000 ist so flexibel, dass die Domänen- und Sicherheitsumgrenzungen die Struktur Ihres Unternehmens darstellen können. Ihre Organisation ist nicht mehr von den Einschränkungen des Serverbetriebssystems abhängig.
Erstellen eines großen Computerverzeichnisses für das Unternehmen.
Sie können Active Directory-Daten mit Exchange Server-Daten für ein gemeinsames Verzeichnis zusammenführen. Dank NetMeeting können Gruppen in aller Welt miteinander kommunizieren. Mit QoS können Sie die Bandbreite während eines Multimedianetzwerkereignisses zuteilen. Mit Hilfe von Plug & Play können Kameras für Multimediaereignisse im Handumdrehen eingerichtet werden.
Multimedianetzwerk für den Informationsaustausch.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
17
Fallstudie 2: Große multinationale Herstellerfirma Diese Organisation hat zahlreiche Zentralen in Europa und verwaltet Niederlassungen in über 190 Ländern. Das Wachstum erfolgt über expandierte Märkte, steigende Umsätze für die Produkte sowie über Unternehmenszusammenführungen und Übernahmen. Die Firma hat ein breitgefächertes Produktangebot, es werden beispielsweise Elektrogeräte, Computer und Instrumente für Verbraucher und die Industrie hergestellt. Jede einzelne Fertigungseinheit wird als unabhängige Firma unter der Leitung der Muttergesellschaft geführt. Es gibt über 130 Betriebe mit einer eigenen Berichtsstruktur sowie leitenden Angestellten für das Finanz- und Informationswesen. Dadurch wird die inner- und zwischenbetriebliche Dynamik beeinflusst, weil jede IT-Organisation unterschiedliche Ziele, Budgets, Richtlinien und Einschränkungen hat. Die Muttergesellschaft muss den Support und die Richtlinien für die zwischenbetriebliche IT-Kooperation zur Verfügung stellen.
Vorhandene IT-Umgebung Es gibt keine zentralisierte IT-Betriebsgruppe und nur einige allgemeine ITStandards für alle Betriebsgesellschaften, die für Netzwerk- oderClientbetriebssysteme oder für die Clientproduktivitätsanwendungen gelten. Die zentrale ITAbteilung ist für unternehmensübergreifende Richtlinien und Standards verantwortlich.
Zielsetzung für die Einrichtung von Windows 2000 1998 hat die IT-Abteilung ein Projekt für den Entwurf einer globalen Windows 2000 Active Directory-Architektur in die Wege geleitet. Das Konzept gilt für alle dezentralisierten Betriebsgesellschaften. Repräsentative Gruppen aus verschiedenen Betriebsgesellschaften richteten ihr Hauptaugenmerk auf die Architektur und Einrichtung von Windows 2000 Server und Windows 2000 Professional. Die Integration erfolgte nach Bedarf. Die Muttergesellschaft betreute die Entwicklung eines gemeinsamen Rahmens, der von den jeweiligen Betriebsgesellschaften bei Bedarf übernommen wird. Tabelle 1.3 fasst die IT-Ziele dieser Organisation zusammen. Außerdem werden in dieser Tabelle die Gründe erläutert, warum das Unternehmen Windows 2000 gewählt hat. Tabelle 1.3 IT Ziele der großen multinationalen Herstellerfirma Ziele
Das Angebotvon Windows 2000
Einrichtung einer allgemein IT-Referenz, die von allen IT-Gruppen der Betriebsgesellschaften für ein globales Multioperatormodell verwendet werden kann.
Die Gesamtstrukturarchitektur von Active Directory enthält einen Anmeldepunkt und Funktionen für den globalen Katalog.
Einrichtung eines gemeinsamen Verzeichnisdienstes, der von allen Betriebsgesellschaften verwendet werden kann.
Active Directory ist flexibel, erweiterbar und kann auf den jeweiligen IT- und Unternehmensbedarf der einzelnen Betriebsgesellschaften zugeschnitten werden.
Ein gemeinsames Modell für die Migration von Windows NT zu Windows 2000.
Remoteinstallationstechnologien sowie weitere Tools für die ferngesteuerte oder automatische Installation, beispielsweise Systems Management Server.
18
Teil I Planung (Fortsetzung) Ziele
Das Angebot von Windows 2000
Ausführung eines Pilotprojekts zur Produktverbreitung, die als Implementierungsstandar d für alle IT-Gruppen in den anderen Betriebsgesellschaften verwendet werden kann.
Die Fähigkeit, einen Sicherheitsprincipal von einer anderen Windows NT-Domäne zu klonen, und die SID-Protokollfunktion, die das sichere Verschieben zu einer Pilotumgebung mit Rollbackoptionen ermöglicht.
Einrichten eines gemeinsamen Clientbetriebssystems, das für alle Betriebsgesellschaften verwendet werden kann.
Ein allgemeines Sicherheitsmodell für Desktops und tragbare Computer. Plug & Play-Funktion. Allgemeine Hardwareunterstützung. Gruppenrichtlinie, IntelliMirror und andere Clientverwaltungstools können über Active Directory verwaltet werden.
Fallstudie 3: Multinationales Finanzdienstleistungsunternehmen Das multinationale Finanzdienstleistungsunternehmen besteht aus sieben separaten Betriebsgesellschaften. Das Unternehmen hat Hauptniederlassungen in Nordamerika, Europa, Kleinasien und Südostasien. Über 50 Bezirksfilialen bietet einen vollständigePalettevonFinanzdienstleistungen (Investment und Bankwesen, Vermögensverwaltung und Versicherungen). Jede Betriebsgesellschaft ist eine autonome Unternehmenseinheit. Auf lokaler Ebene hat jedoch jede Firma gemeinsame Niederlassungen mit anderen Betriebsgesellschaften. Diese Firma unterliegt in Bezug auf Finanzwesen, Handel sowie IT-Funktionalität und -Sicherheit den Kartellbestimmungen und Gesetzgebungen mehrerer Länder. Aus diesem Grund ist die Verwaltung sicherer und stabiler Systeme auf den Ebenen der Netzwerk- und Desktopbetriebssysteme erforderlich.
Vorhandene IT-Umgebung Es gibt keine zentrale IT-Gruppe für alle Betriebsgesellschaften, deshalb gibt es keine umfassenden IT-Standards für die gesamte Organisation. Jede Betriebsgesellschaft hat eigene Standards erstellt und unterliegt somit einer eigenen ITInfrastruktur. Bei einigen Standorten nutzen verschiedene Betriebsgesellschaften ein gemeinsames Netzwerk. Bei anderen Standorten entspricht die Anzahl der Netzwerke der Anzahl der Betriebsgesellschaften, die eine gemeinsame örtliche Niederlassung haben. Lokale Niederlassungen, insbesondere die Standorte für den Einzelhandel, verwalten eigene Dateiund Druckserver, obwohl Filialen in der Regel mit Domänencontrollern ausgestattet sind. Die Filialen sind in allen anderen Fällen auf ihre IT-Funktionen begrenzt. Einige Finanzanwendungen benötigen das Betriebssystem UNIX. Derzeit werden alle Infrastrukturdienste, beispielsweise Dynamic Host Configuration Protocol (DHCP) und DNS, in einer UNIX-Umgebung verwaltet. Das dynamische Aktualisierungsprotokoll Windows 2000 DNS wird verwendet, während die Firma die Möglichkeit der Migration von angepassten Anwendungen von UNIX-Servern zu Windows 2000 ermittelt.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
19
Die aktuelle Umgebung für das Netzwerkbetriebssystem wird zu 95 Prozent von Windows NT Server 4.0 und zu fünf Prozent von Novell NetWare Bindery betrieben. Die aktuellen Clientbetriebssysteme der jeweiligen Betriebsgesellschaften werden zu 80 Prozent von Windows NT Workstation 4.0, zu ungefähr 15 Prozent von Windows NT Workstation 3.51 und zu etwa 5 Prozent von Windows 95 ausgelastet. Einige Finanzexperten verwenden sowohl UNIX- als auch Windows NT 4.0-Clients.
Zielsetzung für die Einrichtung von Windows 2000 Eine Betriebsgesellschaft entwickelt eine Active Directory-Struktur mit dem Ziel eines gemeinsamen, globalen Verzeichnisentwurfs für die gesamte Organisation. Eine von der Muttergesellschaft eingeleitete, von einer Gruppe aus IT-Experten geführte IT-Initiative,die jede Betriebsgesellschaft darstellt, arbeitet außerdem an einer unternehmensweiten Active Directory-Struktur. Die Organisation plant, NetWare Bindery nach der Inbetriebnahme von Windows 2000 abzuschaffen. Das Netzwerk verwendet in nächster Zukunft sowohl Windows 2000 als auch UNIX. Tabelle 1.4 fasst die IT-Ziele dieser Organisation zusammen. Außerdem werden in dieser Tabelle die Gründe erläutert, warum das Unternehmen Windows 2000 gewählt hat. Tabelle 1.4 IT-Ziele für ein multinationales Finanzdienstleistungsunternehmen Ziele
Das Angebot von Windows 2000
Ein gemeinsames Clientbetriebssystem für die gesamte Umgebung als Standard, um die Verwaltbarkeit und administrative Funktion zu erhöhen und die Gesamtbetriebskosten zu verringern.
Dank erweiterter Hardwareunterstützung wird eine umfangreicherer Auswahl an Firmenstandardcomputern (Desktops und tragbare Laptops) ermöglicht. Dank einer verbesserten Energieverwaltung sind Netzwerkdaten auf tragbaren Computern und Desktops gleichermaßen verfügbar. Sie können Gruppenrichtlinien und andere Verwaltungstools in der gesamten IT-Umgebung aktivieren. Windows 2000 bietet Clustering, Lastenausgleich und die Möglichkeit, große Datenspeicher und komplexe Objekte zu verwalten. Ein einzelner Administrationsstandort benötigt nur eine Administratorgruppe. Die Gruppenrichtlinie ermöglicht eine ausgefeilte Verwaltung für alle Clients. Windows 2000 kann Sicherheit für tragbare Computer und Desktop gleichermaßen gewährleisten. Eine CPU unterstützt mehrere Bildschirme.
Gemeinsame Netzwerkbetriebssysteme, die allen Betriebsgesellschaften Skalierbarkeit und Verfügbarkeit für ITUmgebungen mit unterschiedlichem Bedarf bieten.
Clientsicherheit auf allen Desktops und tragbaren Computern. Mehrere Bildschirme bei jedem Desktop, damit der Handel überwacht und gleichzeitig Kundendaten abgerufen werden können. Senkung der Gesamtbetriebskosten durch verringerte Clientverwaltung und
Verbesserte Gruppenrichtlinie und Integration mit Systems Management Server.
20
Teil I Planung gleichzeitige Erhöhung des Service. (Fortsetzung) Ziele
Das Angebot von Windows 2000
Verringerung des Aufwands für die Softwareentwicklung und Senkung der zugehörigen Kosten.
Komponentendienste und andere Tools, beispielsweise Windows Installer, die im Lieferumfang von Windows 2000 Server enthalten sind, vereinfachen das Erstellen von Tools und verringern den Zeitaufwand für die Entwicklung von angepassten Anwendungen.
Ein allgemeines Verzeichnis für alle Betriebsgesellschaften. Jede Firma soll über eigene untergeordnete Domänen verfügen.
Active Directory kann für alle Betriebsgesellschaften eingesetzt werden. Active Directory verwendet einen übergeordneten Domänennamen als Platzhalterdomäne. Deshalb kann jede Firma eigene untergeordnete Domänen besitzen. Sie können das Verzeichnis für Microsoft® Exchange Server 5.5 mit Active Directory über Active Directory Connector synchronisieren. Die Terminaldienste werden nicht im Anwendungsservermodus, sondern im „abgespeckten“ Administrationsmodus konfiguriert. Dadurch steht Administratoren eine weitere Option für die Remoteverwaltung zur Verfügung, ohne dabei die Serverleistung zu beeinträchtigen.
Ein allgemeines Verzeichnis, das von Exchange Server und Windows 2000 Server gemeinsam genutzt wird. Remoteverwaltung der Dienste.
Fallstudie 4: Internationales Softwareentwicklungsunternehmen Ein führendes Entwicklungsunternehmen für computerbasierte Betriebssysteme und Anwendungen für Verbraucher und Industrie hat seine Hauptniederlassungen im Westen der USA. Die Abteilungen für den Verkauf, Support und die Softwareentwicklung sind auf 180 Standorte in aller Welt verteilt. Die IT-Abteilung hat zwei primäreZuständigkeitsbereiche: ? Anbieten und Verwalten von IT-Systemen und -Lösungen, die den Mitarbeitern
ein effizientes und effektives Arbeiten ermöglichen. ? Zusammenarbeit mit Produktentwicklungsgruppen, um Betaversionen in einer Unternehmensumgebung zu testen und einzurichten.
Vorhandene IT-Umgebung Die aktuelle IT-Umgebung des Unternehmens ist eine homogene Windows NT Server 4.0-Umgebung mit einer breitgefächerten Mischung aus den Clientsystemen Windows NT 4.0, Windows 95 und Microsoft® Windows® 98, einschließlich mehrerer Computer in Benutzerabteilungen, die häufig Betasoftware ausführen. Die IT-Gruppezentralisiert die folgenden Funktionen: ? Verzeichnisdienste.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000 ? E-Mail-Dienste und Dienste für die Zusammenarbeit.
21
22
Teil I Planung ? Verwaltung der Sicherheitsdienste, Netzwerkkonten, Webdienste und des
Netzwerks von Windows NT Server 4.0. Die Benutzer sind über den ganzen Globus verstreut. 80 bis 90 Prozent der Mitarbeiter führen die Problembehandlung bei ihren Clientdesktops selbst aus. Viele Benutzer greifen auf das Netzwerk von einem entfernten Standort aus zu und benötigen deshalb stabile RAS-Dienste. IT unterstützt auch Außendienstmitarbeiter sowie Mitarbeiter, die internationalen Zugriff auf das Unternehmensnetzwerk benötigen.
Zielsetzung für die Einrichtung von Windows 2000 Das Hauptziel dieser Firma ist die Aktualisierung aller Server und Benutzer auf Windows 2000 innerhalb der nächsten 12 Monate. Während der Migration muss die IT-Gruppe alle Dienste der kritischen Anwendungen verwalten und gleichzeitig Ressourcendomänen in geographische Hauptdomänen für Benutzer unterteilen. Durch Beseitigung zahlreicher Ressourcendomänen sollen die Anzahl der Server im Netzwerk, der Verwaltungsaufwand sowie der Hardware- und Softwaresupport verringert werden. Die IT-Abteilung muss auch die Attributinformationen zwischen Active Directory und Exchange Server 5.5 sowie weiteren unternehmensweit eingesetzten Systemen synchronisieren. Es müssen alle Onlinekomponenten kooperieren, die Active Directory verwenden. Abschließend sollen eine gemeinsame Konsolenstruktur und ein gemeinsames Verzeichnis erstellt werden. Tabelle 1.5 fasst die IT-Ziele dieser Organisation zusammen. Außerdem werden in dieser Tabelle die Gründe erläutert, warum das Unternehmen Windows 2000 gewählt hat. Tabelle 1.5 IT-Ziele für das internationale Softwareentwicklungsunternehmen Ziele
Das Angebot von Windows 2000
Zusammenführen von globalen Servern, um die Verwaltbarkeit zu verbessern und den Supportaufwand zu verringern.
Die Serverzusammenführung wird über die leistungsstarke Speicherverwaltung und Multiprozessorfunktionalität von Advanced Server gewährleistet. Diese Funktionen verbessern die Skalierbarkeit der Plattform, die als geeignete Basis für die Serverkonsolidierung dient.
Erwerb der aktuellsten Hardware, um ein neues Hochgeschwindigkeitsnetzwerk für das Unternehmen zu erstellen.
Neue Technologien in Windows 2000Server wurden für die Integration erweiterter Computerarchitekturen und Mikrochipentwürfe entwickelt. Hierzu gehören Advanced Power Management, USB-Geräte, FireWire,SmartcardLeser und Infrarotunterstützung.
Verwendung eines Standardclients um eine bessere administrative Steuerung und Berechtigungsdelegierung zu gewährleisten, sowie weitere Optionen für die Remoteinstallation und verwaltung.
Sie erzielen eine verbesserte Desktopverwaltung über die Gruppenrichtlinie und organisatorische Einheiten, die von Active Directory, IntelliMirror und anderen Änderungs- und Konfigurationsmanagementtechnologien aktiviert werden.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
23
(Fortsetzung) Ziele
Das Angebotvon Windows 2000
Erzielen einer Steigerung der Leistungsstärke und Zuverlässigkeit gegenüber Windows NT 4.0 Server um50% auf allen Computern mit Advanced Server.
Grundlegende Verbesserungen auf Kernelebene beim Kernbetriebssystem gewährleisten Optimierungen bei der Speicherverwaltung, beim Zwischenspeichern und beim präemptiven Multitasking.
Wechsel einer verhältnismäßig komplexen Windows NT Server 4.0-Umgebung zu einer stark vereinfachten Windows 2000-Umgebung.
Active Directory enthält einen erhöhten Objektspeicher, eine erweiterte granulare Verwaltung von Servern und Clients sowie Verbesserungen beim vereinfachten Domänenentwurf durch DNS (Domain Name System) und das dynamische DNS-Aktualisierungsprotokoll.
Ersetzen der Windows NT Server 4.0-Domänenstruktur durch das Active Directory-Modell mit Domänen und Gesamtstrukturen.
Active Directory enthält eine flexiblere Domänenstruktur für den aktuellen und zukünftigen Unternehmensbedarf.
Verbesserung der Sicherheit, des Informationsaustausch und der Transaktionsfunktionalität innerhalb der Firma und in Zusammenhang mit anderen Unternehmen und Kunden.
Sie können ein virtuelles Privatnetzwerk mit den erweiterten Netzwerk- und Sicherheitsfunktionen von Windows 2000 Advanced Server aktivieren.
Verbesserung der E-MailSicherheit.
Verwenden Sie PKI und Zertifikate.
Verwalten eines voll funktionsfähigen Unternehmensnetzwerks während des Übergangszeitraums.
Gleichzeitige Verwaltung und Überwachung der Server unter Windows NT Server 4.0 und Windows 2000 Advanced Server, einschließlich aller Drucker, Dateiserver, RAS-Server, Proxyserver und internen Webserver des Unternehmens. Interoperabilität mit Clients unter Windows 95, Windows 98 und Windows NT 4.0.
Zuordnen der Funktionen von Windows 2000 in Ihrem Unternehmen In den vorherigen Abschnitten wurden die Funktionen und Vorteile der Windows 2000-Plattform im Hinblick auf Unternehmen mit Beispielen zu Firmen und Benutzern sowie zu Produktfunktionen erläutert. In diesem Abschnitt werden Funktionen mit dem Ziel unter die Lupe genommen, die unternehmenskritischen Technologien zu bestimmen. Lesen Sie die Erläuterungen im Hinblick auf die kurz, mittel- und langfristigen Pläne Ihres Unternehmens. Kapitel, die sich auf den Entwurf beziehen, erläutern detailliert, wie die jeweilige Technologie in anderen Windows 2000-Technologien unter Berücksichtigung der Entwurfsabhängigkeiten integriert werden. Die folgenden Abschnitte enthalten Tabellen mit den Windows 2000-Funktionen für Ihre Organisation. Ermitteln Sie die Vorteile der aufgelisteten Funktionen und bestimmen Sie jeweils die Priorität für Ihre Organisation. Anschließend können Sie
24
Teil I Planung
einen Einrichtungsplan unter Berücksichtigung der Termineinhaltung und Kosteneffizienzerstellen. Alle Tabellen in diesem Abschnitt finden Sie auch im Anhang dieser Dokumentation unter „Beispiele für Planungsarbeitsblätter“. Die Tabellen im Anhang sind so formatiert, dass Sie eigene Kommentare zur möglichen Bedeutung dieser Funktionen für Ihr Unternehmen eintragen können. Mit diesen Arbeitsblättern können Sie eine auf Ihre Bedürfnisse zugeschnittene Zusammenfassung der Windows 2000-Funktionen für Ihr Unternehmen erstellen. Hinweis Die folgenden Tabellen heben die grundsätzlichen Vorzüge von Windows 2000 Server und Windows 2000 Professional hervor. Sie enthalten keine vollständige Beschreibung aller Funktionen. Weitere Informationen zu einer bestimmten Funktion finden Sie in der Onlinehilfe des Produkts oder im jeweiligen Kapitel der entsprechenden technischen Referenz zu Microsoft® Windows® 2000.
Dienste zur Verwaltung der Infrastruktur Mit Hilfe der Dienste zur Verwaltung der Infrastruktur von Windows 2000 Server verfügen IT-Abteilungen über Tools zum Einrichten hochentwickelter Dienste, die entscheidend zur Senkung der Betriebskosten beitragen können. Tabelle 1.6 beschreibt die Vorzüge der Dienste zur Verwaltung der Infrastruktur von Windows 2000 Server. Tabelle 1.6 Dienste zur Verwaltung der Infrastruktur Funktion
Beschreibung
Vorteile
Verzeichnisdienste
Active Directory speichert Daten zu allen Objekten im Netzwerk. Dadurch lassen sich diese Daten leicht ermitteln. Sie erhalten eine flexible Verzeichnishierarchie, eine granulare Sicherheitsdelegierung, effiziente Berechtigungsdelegierung, integriertes DNS, Programmierschnittstellen sowie einen erweiterbaren Objektspeicher.
Verwaltungsdienste
Die Microsoft Management Console (MMC) bietet Administratoren eine gemeinsame Konsole für die Überwachung von Netzwerkfunktionen und die Verwendung von administrativen Tools. MMC kann vollständig angepasst werden.
Sie benötigen lediglich eine Gruppe mit Schnittstellen, um administrative Tasks, beispielsweise das Hinzufügen von Benutzern, das Verwalten von Druckern und das Ermitteln von Ressourcen, durch einmaliges Anmelden auszuführen. Entwickler können Anwendungen in einem bestimmten Verzeichnis leicht aktivieren. MMC standardisiert Ihre Verwaltungstools, verringert den Schulungsaufwand und erhöht die Produktivität neuer Administratoren. Außerdem wird die Remoteverwaltung vereinfacht. Sie können ferner Tasks delegieren.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
25
Gruppenrichtlinie
Mit Hilfe der Gruppenrichtlinie können Administratoren den Status bei Computern und Benutzern definieren und steuern. Die Gruppenrichtlinie kann auf jeder Ebene des Verzeichnisdiensts einschließlich der Sites, Domänen und Organisationseinheiten eingerichtet werden. Sie können die Gruppenrichtlinie außerdem anhand von Sicherheitsgruppenmitgliedschaften filtern.
Dank der Gruppenrichtlinie können Administratoren festlegen, welche Benutzer auf bestimmte Computer, Funktionen, Daten und Anwendungen zugreifen können.
Instrumentationsdienste
Mit Hilfe der WindowsVerwaltungsinstrumentation (WMI) können Administratoren Bezüge zu Daten und Ereignissen aus mehreren Quellen auf lokaler oder unternehmensweiter Basis herstellen.
Dank WMI können Sie angepasste Anwendungen und Erweiterungen durch Zugriff auf Windows 2000Objekte erstellen.
Funktion
Beschreibung
Vorteile
Skriptingdienste
Windows Scripting Host (WSH) unterstützt die direkte Ausführung von Microsoft® Visual Basic Script, Java und anderen Skripts über die Benutzeroberfläche oder die Befehlszeile.
Dank WSH können Administratoren und Benutzer Aktionen, beispielsweise das Herstellen und Trennen einer Verbindung zum Netzwerk, automatisieren.
(Fortsetzung)
Weitere Informationen zum Entwerfen und Einrichten der Verzeichnisdienste und Gruppenrichtlinie von Windows 2000 finden Sie unter „Entwerfen der Active Directory-Struktur“ „Planen der verteilten Sicherheit“, „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ und „Anwenden des Änderungs- und Konfigurationsmanagements“ in dieser Dokumentation.
Desktopverwaltungslösungen Mit Hilfe der Funktionen für Desktopverwaltungslösungen werden die Gesamtbetriebskosten Ihres Unternehmen verringert, weil Sie Clients schneller installieren, konfigurieren und verwalten können. Diese Funktionen wurden auch als Tools entworfen, die die Arbeit mit Ihren Computern erleichtern. Tabelle 1.7 erläutert, wie die Funktionen zur Desktopverwaltung von Windows 2000 Server und Windows 2000 Professional dazu beitragen, die Produktivität der Benutzer zu erhöhen. Tabelle 1.7 Desktopverwaltungslösungen Funktion
Beschreibung
Vorteile
IntelliMirror
Bei IntelliMirror handelt es sich um eine Funktionsgruppe, mit deren Hilfe die Daten, Anwendungen und benutzerdefinierten Betriebssystemeinstellungen der Benutzer an verschiedenen Computern des Unternehmens genutzt werden können.
Benutzer haben auch dann Zugriff auf alle benötigten Informationen und Anwendungen, wenn sie nicht mit dem Netzwerk verbunden sind. Administratoren brauchen somit Desktops nicht mehr aufzusuchen, um Aktualisierungen bei Anwendungen oder Betriebssystemen vorzunehmen.
26
Teil I Planung
Windows Installer
Windows Installer steuert die Installation, Änderung, Reparatur und Deinstallation von Software. Enthält ein Modell zur Zusammenfassung von Installationsdaten und APIs, damit Anwendungen mit Windows Installer agieren können.
Remoteinstallation
Die DHCP-basierte Remotestarttechnologie installiert das Betriebssystem auf der lokalen Festplatte des Clients von einer Remotequelle. Der Netzwerkstart kann von einer PXE-Umgebung, einer PXENetzwerkkarte, einer bestimmten Funktionstaste oder einer Remotebootdiskette (für Clients ohne PXE) erfolgen. Servergespeicherte Benutzerprofile kopieren Registrierungswerte und Dokumentinformationen auf einen Speicherort im Netzwerk, damit die Benutzereinstellungen von jedem Standort aus zur Verfügung stehen.
Servergespeichert e Benutzerprofile
Sie können die Remoteeinrichtung und verwaltung von Anwendungen durch Systemadministratoren aktivieren. Die Anzahl der DLL-Konflikte wird verringert. Anwendungen für die automatische Fehlerbehandlung werden aktiviert. Der Administrator braucht den Computer nicht aufzusuchen, um das Betriebssystem zu installieren. Die Remoteinstallation enthält außerdem eine Lösung für die Übermittlung und Verwaltung eines einheitlichen Desktopbilds im Unternehmen.
Benutzer können den Arbeitsplatz verlassen. Die Dokumente und Systemdaten stehen jederzeit zur Verfügung.
(Fortsetzung) Funktion
Beschreibung
Vorteile
Manager für optionale Komponenten
Über das Installationsprogramm von Windows 2000 Server können Sie Windows-Komponenten während oder nach einer Systeminstallation über ein Installationsmodul packen und installieren. Sie können eine Installation von Windows 2000 Server oder Windows 2000 Professional anpassen und für andere Computer klonen.
Es wird der Zeitaufwand für die Installation verringert. Außerdem müssen weniger Computer aufgesucht werden.
Datenträgerduplizierung
Durch Klonen sparen Sie bei der Einrichtung zahlreicher Server oder Clients Zeit und Geld.
Hinweis Sie können mit Systems Management Server die Desktopverwaltungstechnologien von Windows 2000 erweitern. Weitere Informationen zum Einrichten der Verwaltungslösungen von Windows 2000 Server und Windows 2000 Professional finden Sie unter „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ und „Anwenden des Änderungs- und Konfigurationsmanagements“ in dieser Dokumentation.
Sicherheitsfunktionen Die Sicherheit auf Unternehmensebene muss flexibel und robust sein, damit Administratoren Regeln für mögliche Sicherheitsprobleme konfigurieren können, ohne den Datenfluss zu beeinträchtigen. Tabelle 1.8 erläutert die Sicherheitsfunktionen von Windows 2000.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
27
Tabelle 1.8 Sicherheitsfunktionen Funktion
Beschreibung
Vorteile
Sicherheitsvorlagen
Administratoren können verschiedene globale und lokale Sicherheitseinstellungen, beispielsweise sicherheitsrelevante Registrierungseinträge; Zugangskontrollen für Dateien und Registrierung, sowie Sicherheit bei Systemdiensten vornehmen.
Administratoren können Vorlagen für die Sicherheitskonfiguration definieren und diese Vorlagen anschließend ausgewählten Computern in einem einzigen Vorgang zuweisen.
KerberosAuthentifizierung
Das primäre Sicherheitsprotokoll für den Zugriff innerhalb oder außerhalb von Windows 2000-Domänen. Enthält beidseitige Authentifizierung von Clients und Servern und unterstützt die Delegierung und Berechtigung über Proxymechanismen.
Infrastruktur für öffentliche Schlüssel (PKI)
Sie können die integrierte PKI für erhöhte Sicherheit bei mehreren Unternehmensund Internetdiensten von Windows 2000, beispielsweise für die extranetbasierte Kommunikation, verwenden.
Beschleunigt die Ausführung durch Verringern der Serverauslastungen, während die Verbindungen hergestellt werden. Sie können das Protokoll auch verwenden, um auf andere Unternehmensplattformen zuzugreifen, die das KerberosProtokoll unterstützen. Mit PKI können Unternehmen Informationen sicher freigeben. ohne einzelne Windows 2000Konten zu erstellen. Außerdem werden Smartcards und sicherer EMail-Versand aktiviert.
(Fortsetzung) Funktion
Beschreibung
Vorteile
Smartcardinfrastruktur
Windows 2000 enthält ein Standardmodell zum Installieren von Smartcard-Lesern und Karten mit Computern und geräteunabhängigen APIs für Anwendungen, die Smartcards unterstützen. IPSec unterstützt Authentifizierung, Datenintegrität und Verschlüsselung, um die Kommunikation im Intranet, Extranet und im Internet zu schützen.
Die Smartcardtechnologien von Windows 2000 können verwendet werden, um Sicherheitslösungen im Intranet, Extranet und in öffentlichen Websites zu aktivieren. Die Unternehmenskommunikation wird ohne Benutzerbeteiligung transparent geschützt. Vorhandene Anwendungen können IPSec für die sichere Kommunikation verwenden. Administratoren und Benutzer können Daten mit einem zufällig generierten Schlüssel codieren.
IPSec-Verwaltung
NTFS-Verschlüsselung
Auf öffentlichen Schlüsseln basierendes NTFS kann auf Datei- oder Verzeichnisbasis aktiviert werden.
Weitere Informationen zum Einrichten der Sicherheitsdienste von Windows 2000 finden Sie unter „Planen der verteilten Sicherheit“ und „Bestimmen der Strategien für die Netzwerksicherheit von Windows 2000“ in dieser Dokumentation.
Veröffentlichen und Freigeben von Informationen Die Windows 2000-Technologien zum Veröffentlichen und Freigeben von Informationen erleichtern die Datenfreigabe im Intranet, Extranet oder im Web.
28
Teil I Planung
Tabelle 1.9 erläutert die Funktionen zum Veröffentlichen und Freigeben von Informationen. Tabelle 1.9 Veröffentlichen und Freigeben von Informationen Funktion
Beschreibung
Vorteile
Integriert Webdienste
Mit Hilfe der integrierten Webdienste von Windows 2000 Server können Sie verschiedene Webpublishingprotokolle verwenden. Mit Hilfe von integrierten Indexdiensten können Benutzer bei Dateien in unterschiedlichen Formaten und Sprachen eine Volltextsuche durchführen. Diesere Dienste besteht aus Server- und Toolkomponenten für die Verteilung von Audio, Video, Illustrated Audio-Dateien und anderen Multimediatypen in Netzwerken.
Flexible Möglichkeiten zum Veröffentlichen von Informationen im Extranet, Intranet oder im Web.
Windows 2000 macht alle freigegebenen Drucker in Ihrer Domäne in Active Directory verfügbar.
Benutzer können die geeignete Druckquelle schnell ermitteln.
Indexdienste
Multimediadienste
Drucken
Erhöht die Produktivität.
Neue Möglichkeiten für Schulungen, Zusammenarbeit und Datenfreigabe erhöhen die Produktivität.
Weitere Informationen zum Einrichten der Dienste zum Veröffentlichen und Freigeben von Informationen in Windows 2000 finden Sie unter „Aktualisieren und Installieren von Mitgliedsservern“ in dem Band Microsoft InternetInformationsdienste – Die technische Referenz.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
29
Komponentenanwendungsdienste Die Entwicklungsplattform Windows 2000 bietet Unterstützung für Component Object Model (COM) und Distributed COM (DCOM). Dadurch haben Entwicklerteams die Möglichkeit, skalierbarere Anwendungen auf Komponentenbasis effizient zu erstellen. Tabelle 1.10 erläutert die Funktionen der Komponentenanwendungsdienste. Tabelle 1.10 Komponentenanwendungsdienste Funktion
Beschreibung
Vorteile
Eingereihte Komponenten
Entwickler und Administratoren können das geeignete Kommunikationsprotokoll (DCOM oder Asynchrones Protokoll) zum Zeitpunkt der Einrichtung auswählen.
Verlegen und abonnieren
COM Events enthalten einen einheitlichen Mechanismus zum „Verlegen und Abonnieren“ für alle Windows 2000 Server-Anwendungen. Diese Dienste bieten Datenaktualisierungen durch Aufruf einer Anwendung auf einem Großrechner oder durch Senden und Empfangen von Nachrichten aus einer Nachrichtenwarteschlange. Diese Dienste stellen sicher, dass Nachrichtentransaktionen entweder ausgeführt oder sicher in die Unternehmensumgebung zurückgeführt werden.
Entwickler können Dienste ohne Hinzufügen von Codes besser speichern und weiterleiten, die von den integrierten Message Queuing-Diensten von Windows 2000 Server angeboten werden. Entwickler brauchen keine fundamentalen Dienste mehr zu programmieren.
Transaktionsdienste
Message Queuing-Dienste
Webanwendungsdienste
Entwickler können mit Active Server Pages ein webbasiertes Frontend für vorhandene serverbasierte Anwendungen erstellen.
Entwickler können die Richtigkeit der Anwendungen beim Aktualisieren von mehreren Datenquellen gewährleisten.
Entwickler erhalten die Möglichkeit, Anwendungen zu erstellen und einzurichten, die zuverlässig auf unzuverlässigen Netzwerken und mit anderen Anwendungen auf unterschiedlichen Plattformen ausgeführt werden. Dank der Webanwendungsdienste können Remoteserver über einen Webbrowser mit minimalem Verbindungsaufwand verwaltet werden.
Weitere Informationen zum Einrichten der Komponentenanwendungsdienste von Windows 2000 und der Schnittstelle für Microsoft ® Sicherheitsunterstützungsanbieter finden Sie unter „Bestimmen der Strategien für die Netzwerksicherheit von Windows 2000“ in dieser Dokumentation. Weitere Informationen für Entwickler finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „MSDN Platform SDK“ klicken. Hinweis Sie können diese Funktionen und deren Wert für Ihr Unternehmen mit
30
Teil I Planung
den Mitarbeitern des Anwendungsentwicklungsteams besprechen. Deren Erfahrungen können Sie bei der Bestimmung der geeigneten Technologien für Ihr Unternehmen unterstützen.
Skalierbarkeit und Verfügbarkeit Schnellere CPUs und Netzwerkadapter sind die herkömmlichen Eckwerte für die Netzwerkleistung. In der Zukunft werden leistungsstärkere Funktionen zum Lesen/Schreiben, verbesserte Eingabe/Ausgabe (E/A) und schnellerer Zugriff auf Datenträger auch eine wichtige Rolle bei Netzwerkarchitekturen spielen. Umgebungen mit unternehmenskritischen Computern können jetzt die erweiterten Funktionen von Windows 2000 nutzen. Tabelle 1.11 erläutert Windows 2000Funktionen, die Sie bei der Erhöhung der Skalierbarkeit und Verfügbarkeit des Netzwerks unterstützen. Tabelle 1.11 Skalierbarkeit und Verfügbarkeit Funktion
Beschreibung
Vorteile
Speicherarchitektur des Unternehmens
Mit Windows 2000 Advanced Server können Sie auf bis zu 32 GB Prozessorspeicher zugreifen.
Verbesserte SMPSkalierbarkeit
Windows 2000 Advanced Server unterstützt jetzt SMP-Server mit bis zu acht Prozessoren.
Anwendungen für Dialogverarbeitung oder Entscheidungsunterstützung bei großen Datengruppen werden leistungsstärker, weil mehr Datenspeicher zur Verfügung steht. Unternehmen können jetzt schnellere Prozessoren vollständig ausnutzen.
Clusterdienst
Es können mehrere Server als Einzelsystem verwendet werden.
Dank einer vereinfachten Verwaltung haben Sie eine höhere Verfügbarkeit, Zuverlässigkeit, Stabilität und Sicherheit.
Unterstützung für intelligente Eingabe/Ausgabe (I2O)
I2O entlastet den Host bei interruptintensiven E/A-Tasks, weil Haupt-CPUs einen geringeren Verarbeitungsaufwand haben.
Die E/A-Leistung wird bei Anwendungen mit hoher Bandbreite gesteigert.
Terminaldienste
Durch Terminalemulation kann die gleiche Anwendungsgruppe auf unterschiedlicher Clienthardware ausgeführt werden. Hierzu gehören Thin Clients, ältere Computer oder Clients, auf denen Windows nicht ausgeführt wird. Diese Dienste können auch als Option für die Remoteverwaltung eingesetzt werden.
Netzwerklastenausgleich
Es können bis zu 32 Server unter Windows 2000 Advanced Server zu einem Lastenausgleichscluster zusammengeführt werden. Diese Funktion wird häufig zum Verteilen von eingehenden Webanforderungen über den Cluster der Internetserveranwendungen
Anwendungen und Desktops können für taskbasierte Mitarbeiter zentral verwaltet werden. Die Dienste ermöglichen auf vorhandenen Desktops den Einsatz einer vollständigen Microsoft ® Win32®-Umgebung. Remotebenutzer erhalten über DFÜ-Verbindungen die Leistung eines lokalen Netzwerks. Außerdem ist die grafische Remoteverwaltung von Computern mit Windows 2000 Server möglich. Die Verfügbarkeit und Skalierbarkeit von Webservern, FTP-Servern, Streaming Media-Servern und anderen unternehmenskritischen Programmen wird erhöht, indem die Funktionalität mehrerer Hostcomputer (Server eines Cluster) zusammengeführt wird.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000 verwendet. Mit Hilfe von IntelliMirror können Benutzer Daten, Anwendungen und Einstellungen nutzen, obwohl sie nicht mit dem Netzwerk verbunden sind.
IntelliMirror
31
Die Daten sind stets verfügbar. Außerdem ist die Umgebung immer konsistent, auch wenn der Client nicht mit dem Netzwerk verbunden ist.
Weitere Informationen zum Einrichten des Clusterdiensts von Windows 2000 finden Sie unter „Sicherstellen der Verfügbarkeit von Anwendungen und Diensten“ in diesem Buch. Weitere Informationen zu Terminaldiensten finden Sie unter „Einrichten von Terminaldiensten“ in diesem Buch.
Netzwerk- und Kommunikationsfunktionen Sie können mit Hilfe der in Tabelle 1.12 genannten Windows 2000-Technologien Ihre Netzwerkumgebung optimieren. Sie erhalten eine bessere Bandbreitensteuerung, sicheren Remotenetzwerkzugriff und native Unterstützung einer neuen Generation von Kommunikationslösungen. Tabelle 1.12 Netzwerk- undKommunikationsfunktionen Funktion
Beschreibung
Vorteile
Protokoll für die dynamische DNSAktualisierung
Die DNS-Datenbank braucht nicht mehr manuell bearbeitet und repliziert zu werden.
Die Kosten für Verwaltung und Ausstattung werden gesenkt, indem die Anzahl der DNS-Server zur Unterstützung eines Netzwerks verringert wird.
Quality of Service (QoS)
QoS-Protokolle und -Dienste bieten ein garantiertes System für die schnelle Abwicklung des IPVerkehrs.
Resource Reservation Protocol (RSVP)
Mit diesem Signalisierungsprotokoll können der Absender und Empfänger einen für die Datenübertragung reservierten Pfad mit einem angegebenen QoS einrichten.
Sie können den Netzwerkverkehr priorisieren und somit sicherstellen, dass kritische Prozesse ausgeführt und Daten sofort und vollständig übermittelt werden. Erhöht die Zuverlässigkeit für Verbindungen und Datenübertragungen.
Asynchronous Transfer Mode (ATM)
Ein ATM-Netzwerk kann gleichzeitig unterschiedliche Datentypen, beispielsweise Sprache, Daten, Bilder und Video, im Netz übermitteln.
Die Vereinheitlichung mehrerer Datentypen auf einem Netzwerk kann Kosten erheblich senken.
Streaming Media-Dienste
Server- und Toolkomponenten für die Übertragung von Multimediadateien über ein Netzwerk.
Mit Hilfe von Streaming Media können Reisekosten sowie Aufwendungen für Teamarbeit und Schulungen durch Onlinebesprechungen und Datenaustausch erheblich gesenkt werden.
Fibre Channel
Fibre Channel bewältigt ein Datenvolumen von einem Gigabit pro Sekunde. Die Übertragung erfolgt durch Zuordnen von allgemeinen
Erhöhte Flexibilität, Skalierbarkeit, Verwaltbarkeit, Kapazität und Verfügbarkeit bei SCSI-Technologien für anspruchsvolle Anwendungen.
32
Teil I Planung Übertragungsprotokollen und Zusammenführen von Netzwerk-E/A und Hochgeschwindigkeits-E/A bei einer einzigen Verbindung. TAPI 3.0 (TAPI = Telephony API) vereinigt IP und konventionelle Telefonie.
IP-Telefonie
Entwickler können mit TAPI Anwendungen erstellen, die im Internet oder Intranet genau so wie in einem konventionellen Telefonnetz ausgeführt werden können.
WeitereInformationen zu den Netzwerk- und Kommunikationsfunktionen von Windows 2000 finden Sie unter „Vorbereiten der Netzwerkinfrastruktur für Windows 2000“ und „Festlegen von Strategien für Netzwerkverbindungen“ in diesem Buch.
Speicherverwaltung Windows 2000 Server enthält Speicherdienste, die sowohl die Zuverlässigkeit als auch den Benutzerzugriff erhöhen. Tabelle 1.13 erläutert diese Dienste. Tabelle 1.13 Speicherverwaltung Funktion
Beschreibung
Vorteile
Remotespeicher
Überwacht den verfügbaren Speicherplatz auf einer lokalen Festplatte. Wenn der Grenzwert für den freien Speicherplatz auf der primären Festplatte unterschritten wird, entfernt der Remotespeicher lokale Daten, die bereits auf den Remotespeicher kopiert wurden. Administratoren können Wechseldatenträger und Funktionen verwalten. Administratoren können Medienpools erstellen, die von einer bestimmten Anwendung verwendet werden.
Administratoren können den zur Verfügung stehenden Speicherplatz durch Kopieren von Dateien auf Bandmedien verwalten. Die Dateien sind aus der Benutzerperspektive weiterhin aktiv.
Wechselmedien
NTFS-Optimierungen
Es werden unter anderem folgende Leistungsoptimierungen unterstützt: Dateiverschlüsselung, die Möglichkeit, einem NTFS-VolumeSpeicherplatz ohne Neustart hinzuzufügen, Überwachung verteilter Verknüpfungen, Datenträgerkontingente auf Benutzerbasis, um die Auslastung von Speicherplatz zu überwachen und einzuschränken.
Datenträgerkontingente
Administratoren können die Auslastung von Datenträgern besser planen und implementieren. Mit dieser Funktion können Benutzer Daten auf verschiedenen Speichermedien, beispielsweise auf
Backup
Administratoren können die Netzwerkleistung durch Steuerung des Speicherorts optimieren. Es ist mehreren Anwendungen möglich, die gleichen Speichermedien zu verwenden. Die Dateiverschlüsselung minimiert das Risiko, dass vertrauliche Daten Unbefugten zugänglich sind. Durch Erweiterung von Partitionen werden die Ausfallzeiten der Server und des Netzwerks und das Risiko des Datenverlusts verringert.
Der Aufwand für die Hardwareadministration und die Wartung wird verringert. Der Datenverlust durch Ausfall von Hardware oder Speichermedien wird verringert.
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000 Festplatten sowie magnetischen und optischen Medien, sichern. DFS-Unterstützung
Administratoren können eine Verzeichnisstruktur erstellen, die mehrere Dateiserver und Dateifreigaben enthält und Interoperabilität zwischen Windows 2000-Clients und beliebigen Dateiservern ermöglicht, die ein übereinstimmendes Protokoll verwenden.
Dank DFS können Administratoren und Benutzer Daten im Netzwerk besser ermitteln und verwalten. DFS enthält außerdem einen Netzwerkordner mit Fehlertoleranzfür wichtige Netzwerkdateien.
Weitere Informationen zum Einrichten der Speicherverwaltungstechnologien von Windows 2000 Server finden Sie unter „Bestimmen der Strategien für die Speicherverwaltung von Windows 2000“ in diesem Buch.
33
34
Teil I Planung
Planungstaskliste für die Zuordnung von Windows 2000-Funktionen Mit der Planungstaskliste in Tabelle 1.14 können Sie den Prozess der Einsatzplanung für Windows 2000 beginnen. Tabelle 1.14 Planungstaskliste für die Zuordnung von Windows 2000-Funktionen Task
Kapitel
Das Verständnis der Struktur dieser Dokumentation unterstützt Sie beim Prozess der Einsatzplanung.
Erste Schritte bei der Erstellung des Plans
Wissenswertes über die Produktfamilie von Windows 2000.
Die Produktfamilie von Windows 2000im Überblick
Analyse des Einsatzes bestimmter Funktionen für die Optimierung der Mitarbeiterproduktivität. Prüfen der Windows 2000-Funktionen im Hinblick auf die Unternehmensziele.
Windows 2000 optimal einsetzen
Zuordnen der Funktionen von Windows 2000 in Ihrem Unternehmen
Kapitel 1 Einführung in die Einsatzplanung von Windows 2000
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
35
31
K A P I T E L
2
Erstellen eines Einsatzwegweisers
Die Planung Ihres Einrichtungsprojekts ist ein wichtiger Schritt in der logischen Abfolge der Implementierung von Microsoft® Windows® 2000. Windows 2000 wurde für eine inkrementelle Einrichtung konzipiert – auf Grundlage der spezifischen geschäftlichen Anforderungen und der IT-Ausstattung einer Organisation beliebiger Größe –, und aus diesem Grund müssen Sie entscheiden, welche Funktionen für Ihre Organisation infrage kommen. Darüber hinaus müssen Sie berücksichtigen, wie die Windows 2000-Funktionen, die Sie einsetzen möchten, technisch und im Hinblick auf das Projektmanagement voneinander abhängen. Und schließlich sind auch die Anforderungen zu berücksichtigen, die Ihre bestehende IT-Umgebung in puncto Interoperabilität und Koexistenz stellt. In diesem Kapitel wird ein allgemeiner Projektmanagementprozess beschrieben. Darüber hinaus werden wichtige Phasen für die Einrichtung genannt, die Ihnen helfen, einen Projektplan – einen Wegweiser – zu erstellen , nach dem Ihr Team dann bei der Einrichtung von Windows 2000 in Ihrer Organisation vorgeht. Inhalt dieses Kapitels Erstellen eines Projektplans 32 Bereitstellungsszenarios 38 Technologieabhängigkeiten 55 Tipps für die Planung der Windows 2000-Einrichtung Planungstaskliste 60
56
Zielsetzungen Mit den Informationen in diesem Kapitel können Sie folgende Planungsunterlagen zusammenstellen: ? Einen Projektplan. ? Einen Projektmanagementprozess, der für Ihre Organisation geeignet ist.
Weiterführende Informationen in der technischen Referenz ? Weitere Informationen zum Aufstellen des Einrichtungsprojektplans finden Sie unter „Planen des Einsatzes“ in diesem Buch. ? Weitere Informationen zum erfolgreichen Ausführen eines Windows 2000Pilotprojekts finden Sie unter „Ausführen des Pilotprojekts für Windows 2000“ in diesem Buch. ? Weitere Informationen zum Entwerfen eines Testlabors und zum Bewerten der Windows 2000-Funktionen finden Sie unter „Erstellen eines Testlabors für Windows 2000“ in diesem Buch.
32
Teil I Planung
Erstellen eines Projektplans Durch das Aufstellen eines Projektplans für die Einrichtung von Windows 2000 ist gewährleistet, dass die Einrichtung erfolgreich verläuft. Sie werden zwar einen Projektplan aufstellen, der ausschließlich Ihren geschäftlichen Anforderungen und Ihren IT-Anforderungen entspricht. Es gibt aber allgemeine Elemente, die im Plan enthalten sein müssen, damit er effizient als Wegweiser für Ihr Projekt eingesetzt werden kann. Der Schwerpunkt dieses Kapitels ist die Integration vorläufiger Technologieentscheidungen in einen Projektmanagementplan, den Sie für die Einrichtung von Windows 2000 verwenden können. Weitere Informationen zu bestimmten Projektmanagementfragen, die bei der Vorbereitung des Projektplans zu berücksichtigen sind, finden Sie unter „Planen des Einsatzes“ in diesem Buch. In Abbildung 2.1 sind einige Schritte dargestellt, die Sie für das Aufstellen eines Projektplans ausführen können.
Abbildung 2.1 Aufstellen eines Projektplans
Wenn er effizient eingesetzt wird, kann ein Projektplan eindeutig bestimmte Phasen des Einrichtungsprozesses kennzeichnen und einen leicht zu verstehenden und nützlichen Wegweiser darstellen. Es ist zwar nicht erforderlich, bei einem Einrichtungsprozess nach Vorschriften vorzugehen – wie dies bei einem Installationsverfahren üblich ist –, aber ein Einrichtungsprozess für die Infrastruktur bietet einen konzeptionellen Rahmen für Ihr Windows 2000-Einrichtungsprojekt und erleichtert es Ihren Einrichtungsteams, den Fortschritt zu bewerten.
Kapitel 2 Erstellen eines Einsatzwegweisers
33
Viele Organisationen haben bereits Projektmanagementmethoden und -strukturen implementiert. Damit Sie mit der von Ihnen vorgenommenen Einrichtung einen maximalen Erfolg erzielen, gehen Sie nach einer Projektmanagementstruktur vor, die für Ihre Organisation geeignet ist. In den folgenden Abschnitten werden die Grundlagen einer Beispiel-Projektmanagementstruktur dargestellt und die von zwei Beispielunternehmen eingesetzten Projektmanagementstrukturen beschrieben. Im Verlauf dieses Kapitels finden Sie Verweise auf Ihr Einrichtungsteam, die Unterlagen für die Projektplanung, das Einrichten und Einsetzen eines Testlabors und ein Pilotprojekt für Windows 2000. In Tabelle 2.1 sind die Kapitel dieser Dokumentation aufgeführt, in denen Sie weitere Informationen für die Aufstellung Ihres Projektplans erhalten. Tabelle 2.1 In dieser Dokumentation enthaltene Informationen für die Planung der Einrichtung Kapitel
Beschreibung
Planen des Einsatzes
Enthält Informationen über die Analyse der aktuellen Computerumgebung, das Durchführen einer Lückenanalyse, die Anforderungen an das Personal, die Planung von Tasks, die Unterlagen für die Einrichtungsplanung, Kapazitätsplanung, Risikobewertung sowie Schulung und Training. Enthält Informationen über den Entwurf, den Aufbau und die Verwaltung eines Testlabors, das Testen für die Einrichtung sowie das Testen nach der Einrichtung. Enthält Informationen über die erfolgreiche Durchführung eines Windows 2000-Pilotprojekts.
Erstellen eines Testlabors für Windows 2000
Ausführen des Pilotprojekts für Windows 2000 Testen der Anwendungskompatibilität mit Windows 2000
Enthält Informationen über das Testen von Anwendungen (sowohl selbstprogrammierte als auch im Handelerhältliche) zum Ermitteln der Kompatibilität mit Ihrer Windows 2000-Konfiguration.
Vorbereiten des Projektplanungsprozesses Jedes Einrichtungsprojekt durchläuft einen Zyklus – einen Prozess, zu dem das Festlegen von IT-Zielsetzungen gehört, weiterhin der Entwurf und die Entwicklung von Funktionen, die Durchführung eines Pilotprojekts und die Installation des neuen Betriebssystems in Ihrer Produktionsumgebung. Ein Projektplanungsprozess dient in erster Linie dazu, die Reihenfolge festzulegen, in der Ihr Einrichtungsteam die erforderlichen Aktivitäten benennt, implementiert, testet und durchführt. In Abbildung 2.2 ist ein Beispiel für einen Projektmanagementprozess für die Einrichtung von Windows 2000 dargestellt. Die einzelnen Phasen sind im oberen Bereich der Abbildung aufgeführt. Im Hauptteil dieser Abbildung finden Sie Tasks, die in den verschiedenen Phasen der Einrichtung ausgeführt werden müssen. Darüber hinaus enthält er Vorschläge, welche Windows 2000-Technologien für die Einrichtung berücksichtigt werden sollten.
34
Teil I Planung
Abbildung 2.2 Beispiel für Projektmanagementprozess für Windows 2000
Die beiden Balken im unteren Teil der Abbildung beziehen sich auf ein Testlabor. Das Testen ist ein integraler Bestandteil der Windows 2000-Einrichtung und findet im Verlauf des gesamten Einrichtungsprozesses statt. Die vier in Abbildung 2.2 dargestellten Projektmanagementphasen werden in den folgenden Abschnitten beschrieben.
Kapitel 2 Erstellen eines Einsatzwegweisers
35
Ermitteln von Zielsetzungen Während dieser Phase bewerten Sie die Funktionen von Windows 2000 im Hinblick auf die Anforderungen Ihrer Organisation. In dieser Zeit sichern Sie sich auch die Unterstützung der entsprechenden Führungskräfte (auch in finanzieller Hinsicht), definieren Zielsetzungen mit Schwerpunkten und stellen ein Einrichtungsteam zusammen. Und schließlich beginnen Sie mit dem Einsatz des Testlabors, um die Windows 2000-Funktionen zu untersuchen. Der erste Meilenstein ist die Abzeichnung des Gesamtplans für die Einrichtung von Windows 2000 in Ihrer Organisation durch die entsprechenden Führungskräfte. Skizzieren Sie beim Aufstellen Ihres Plans die allgemeinen geschäftlichen und die IT-Zielsetzungen Ihrer Einrichtung, um der Implementierung eine klare Richtung zu geben. Legen Sie auch eindeutig fest, welche Funktionen von Windows 2000 in die verschiedenen Phasen der Einrichtung einbezogen werden. Während dieser Phase sind u. a. folgende Fragen zu beantworten: ? Warum richtet Ihre Organisation Windows 2000 ein? ? Welche geschäftlichen Vorteile wird Windows 2000 Ihrer Organisation ? ? ? ? ? ? ? ?
bringen? Welche IT-Vorteile wird Windows 2000 Ihrer Organisation bringen? Welche Unterschiede bestehen zwischen der gegenwärtig in Ihrer Organisation eingesetzten IT-Umgebung und der von Ihnen angestrebten Umgebung? Wann muss dieses Projekt abgeschlossen sein, und wie sieht der Terminplan aus? Was liegt im Rahmen dieses Projekts, was außerhalb? Wer ist von diesem Projekt betroffen? Was sind die entscheidenden Erfolgsfaktoren? Was sind die Risiken? Welche Gruppen, Organisationen und Einzelpersonen werden in den Prozess einbezogen?
Für diesen Meilenstein sollten Sie u. a. folgende Unterlagen zusammenstellen: ? Zielsetzungen. ? Übersicht über die aktuelle Umgebung, einschließlich der Benutzerprofile. ? Risikobewertung. ? Lückenanalyse.
Weitere Informationen zu Risikobewertung und Lückenanalyse finden Sie unter „Planen des Einsatzes“ in diesem Buch. Diese Phase ist wichtig für die Erstellung des Einsatzwegweisers. Nachdem Sie Ihre Ziele definiert haben, können Sie einfacher bestimmen, welche Windows 2000-Funktionen Sie benötigen und wie diese Funktionen mit der vorhandenen Umgebung zusammenhängen. Durch die Analyse können Sie auch ein Verständnis für entscheidende Technologieabhängigkeiten gewinnen. Die Bewertung muss zwar gründlich sein, diese Phase kann aber innerhalb eines kurzen Zeitraums abgeschlossen werden. Eine Zielsetzungsphase hilft Ihnen, eine Projektvision zu entwerfen, die von IT-Abteilung, Endbenutzern und Management gemeinsam getragen wird, und die Einrichtung erfolgreich abzuschließen.
36
Teil I Planung
Hinweis Ihre Organisation hat diese Phase unter Umständen – formell oder informell – bereits abgeschlossen. Auch wenn das Management bereits die Entscheidung getroffen hat, Windows 2000 einzurichten, müssen Sie trotzdem noch die Unterlagen zu den Zielsetzungen zusammenstellen und formal abzeichnen lassen, bevor Sie mit der Phase des Funktionsentwurfs und der Funktionsentwicklung fortfahren.
Funktionsentwurf und -entwicklung Während der Phase des Funktionsentwurfs und der Funktionsentwicklung stellen Sie den eigentlichen, manchmal auch als Funktionsbeschreibung bezeichneten Entwurf für die Windows 2000-Funktionen auf, die Sie in Ihrer Organisation implementieren möchten. Zu diesem Zeitpunkt ermitteln Sie auch, wie die ausgewählten Funktionen in einer Produktionsumgebung überhaupt zusammenarbeiten. Die technischen Abhängigkeiten der Windows 2000-Funktionen gewinnen während dieser Phase an Bedeutung, und es ist daher wichtig, dass die verschiedenen Einrichtungsteams zusammenarbeiten und sich austauschen über den Leistungsumfang, die Funktionalität und die gegenseitigen Abhängigkeiten der einzelnen Funktionen. Mit den Kapiteln zu den technischen Entwürfen im restlichen Teil dieser Dokumentation können Sie bestimmen, wie bestimmte Funktionen in Ihrer Organisation eingesetzt werden. Die Funktionsbeschreibung besteht aus den gesamten Entwürfen, die Sie testen und weiter verbessern. Sie haben z. B. unter Umständen mehrere Entwurfsvarianten für den Microsoft® Active Directory™-Namespace, die auf verschiedenen geschäftlichen oder IT-Anforderungen basieren. All diese Varianten werden im Hinblick auf die für Ihre Organisation geltenden geschäftlichen und IT-Kriterien bewertet. Zum Schluss sind Sie durch technische Tests und Analysen in der Lage, einen Active Directory-Namespace für Ihre Organisation zu implementieren. Es darf nicht vergessen werden, dass dieser Prozess und seine Ergebnisse sich ausschließlich auf Ihre Organisation beziehen. In dieser Phase beginnt der schrittweise ablaufende Entwurfs- und Testprozess. Die einzelnen Einrichtungsteams stellen ihre Pläne auf und stimmen sie aufeinander ab, um eine umfassende Funktionsbeschreibung zu erstellen. Auch Ihr Testlabor ist in dieser Phase von Bedeutung. Verschiedene Konfigurationen werden getestet, um zu ermitteln, wie die Windows 2000-Funktionen zum Erreichen der Projektziele eingesetzt werden können. Die Funktionsbeschreibung muss den Projektteams genügend Einzelheiten über die Funktionen geben, die in Ihrer Organisation eingerichtet werden, damit die Teams problemlos Ressourcenanforderungen und Verpflichtungen für die Implementierung der Windows 2000-Infrastruktur benennen können. Während dieser Phase stellen Sie auch einen Projektplan auf. Dieser Projektplan enthält die Funktionsbeschreibung (die zusammengeführten Pläne der einzelnen Teams) und einen Zeitplan. Den Projektplan können Sie implementieren, wenn Sie vom Management die Genehmigung erhalten, mit der Einrichtung fortzufahren. In den Plan können Sie u. a. folgende wichtige Teillieferungen für das Projekt aufnehmen: ? Funktionsbeschreibung
Kapitel 2 Erstellen eines Einsatzwegweisers
37
? aktualisierter Risikomanagementplan ? Master-Projektplan und Master-Projektzeitplan ? Funktionsplan, in dem aufgeführt ist, welche Funktionen im Rahmen des Pro-
jekts und welche außerhalb liegen
Windows 2000-Pilotprojekt Nachdem Sie den Funktionsentwurf und die Funktionsentwicklung abgeschlossen und die Funktionskonfigurationen gründlich getestet haben, können Sie ein Pilotprojekt durchführen. Das Einrichtungsteam muss eine Reihe von Meilensteinen festlegen, zu denen Zwischenergebnisse vorzulegen sind. Sie alle umfassen die Entwicklung von Lösungen, das Testen, die Validierung im Hinblick auf vordefinierte Leistungskriterien und die Überarbeitung der Entwürfe. Das Verfolgen von Problemen, die während der Einrichtung auftreten, sowie die effiziente Lösung dieser Probleme sind von entscheidender Bedeutung, um die Einrichtungsziele innerhalb des Zeitplans und des vorgegebenen Budgets zu erreichen. Wenn das Pilotprojekt stabil läuft, können der Projektträger und das Einrichtungsteam zusammenkommen, um die Funktionalität der neuen Windows 2000-Infrastruktur zu bewerten und zu überprüfen, ob die Pläne für Produktionseinführung und Support umgesetzt werden können. Zu den wichtigsten Meilensteinen und Einrichtungsunterlagen in dieser Phase können u. a. gehören: ? Technologievalidierung ist abgeschlossen ? Funktionsbeschreibung ist vollständig und muss nicht mehr geändert werden ? konzeptioneller Nachweis abgeschlossen ? Vorlauftest abgeschlossen ? Pilotprojekt abgeschlossen ? aktualisierter Risikomanagementplan
Darüber hinaus könnten Sie u. a. folgende zusätzliche Einrichtungsunterlagen zusammenstellen: ? Schulungsplan ? Support- oder Helpdeskplan ? Plan für Betriebsumstellung ? Wiederherstellungsplan ? Toolliste
In dieser Phase passen Sie die Entwürfe auf Grundlage der Pilottests an. Sie werden feststellen, dass Änderungen erforderlich sind, wenn Sie die Entwürfe für die einzelnen einzurichtenden Funktionen integrieren und anschließend diese Entwürfe testen, um die entsprechende Integration sicherzustellen. Weitere Informationen zum Validieren und Testen des Windows 2000 Server-Einrichtungsplans über Labortests mit konzeptionellem Nachweis und ein Pilotprojekt finden Sie unter „Erstellen eines Testlabors für Windows 2000“ und „Ausführen des Pilotprojekts für Windows 2000“ in diesem Buch.
38
Teil I Planung
Weitere Informationen zum Testen der Kompatibilität von Anwendungen mit Windows 2000 Professional finden Sie unter „Testen der Anwendungskompatibilität mit Windows 2000“ in diesem Buch.
Produktionseinführung Die letzte Phase des Windows 2000-Projekts ist die Produktionseinführung. Zu diesem Zeitpunkt haben Sie alle Entwürfe im Labor getestet und ein Pilotprogramm durchgeführt, um die Entwürfe weiter zu verbessern und zu testen. Sie können nun Windows 2000 inkrementell im gesamten Unternehmen einrichten. Für einige Unternehmen ist das zu Beginn durchgeführte Pilotprojekt die erste Phase der Einführung. Andere werden unter Umständen die während des Pilotprojekts vorgenommenen Installationen entfernen und die Produktionseinführung mit neuen Installationen beginnen. Während der Produktionseinführungsphase sind Test- und Supportaktivitäten weiterhin von Bedeutung, da nun schrittweise ablaufende Zyklen aus Einrichtung, Testen, Validierung und Support den Hauptschwerpunkt bilden. Nach abgeschlossener Einrichtung und dem Erreichen des entsprechenden Meilensteins wird die neue Windows 2000 Server- und Windows 2000 Professional-Infrastruktur formell an die Betriebs- und Supportgruppen übergeben. Dies ist der Zeitpunkt für eine Projektnachbereitung. Während dieser Phase sollten Sie u. a. folgende wichtige Meilensteine definieren und Einrichtungsunterlagen zusammenstellen: ? Produktionseinführungsplan. ? Freigabeplan für Windows 2000 Server und/oder Windows 2000 Professional. ? Betriebs- und Supportinformationssystem (Informationsbank, Verfahren und
? ? ? ? ?
Prozesse für leistungsbezogenen Support, einschließlich der Testergebnisse und Testtools). Lade- oder Abbildsatz und Installationsskripts. Dokumentationsarchiv (Ausdrucke und Dateien aller Projektunterlagen, einschließlich der Einrichtungsaufzeichnungen, werden archiviert). Schulungsmaterial für Endbenutzer, Administration, Helpdesk- und Betriebspersonal. Projektabschlussbericht. Wiederherstellungsplan.
Nach Abschluss der Einrichtung und des Projektabschlussberichts für den Projektträger sollten Sie das Projekt nachbereiten. Die Nachbereitung können Sie nutzen, um die Stärken und Schwächen des gesamten Projekts objektiv zu bewerten und um zu analysieren, wie Sie mit dem aus der praktischen Erfahrung gewonnenen Wissen zukünftige Infrastruktureinrichtungen verbessern könnten.
Bereitstellungsszenarios Jedes Unternehmen stellt einen eigenen Projektplan auf, der auf den eigenen geschäftlichen Anforderungen und Projektmanagementprozeduren basiert. Die folgenden Szenarios sind Beispiele dafür, wie für verschiedene Organisationen – in diesem Fall Unternehmen verschiedener Größe – Ziele in Meilensteine und Leistungskriterien umgesetzt wurden. Diese Szenarios basieren auf den Erfahrungen von Unternehmen, die am Joint Development Program for Windows 2000 teilgenommen haben.
Kapitel 2 Erstellen eines Einsatzwegweisers
39
Szenario 1: Multinationales Finanzdienstleistungsunternehmen Diese Organisation besteht aus neun verschiedenen Betriebsgesellschaften. Jede Gesellschaft besitzt ihre eigene IT-Organisation, und es gibt keine gemeinsamen IT-Standards. Als Organisation haben die Gesellschaften Probleme mit Sicherheitsrichtlinien, Domänenstrukturen und Netzwerkkonfigurationen. Die meisten Server laufen gegenwärtig unter Microsoft® Windows NT® Server 4.0. Die wichtigsten Ziele der Gesellschaften sind die Erstellung: ? einer neuen IT-Umgebung mit Windows 2000-Funktionalität und ? eines gemeinsamen Verzeichnisses für alle neun Betriebsgesellschaften.
Das Einrichtungsteam hat die folgenden wichtigen Punkte benannt, die definieren, wie die Einrichtung abläuft: ? Phase 1: Bewertung ? Phase 2: Entwurf und Entwicklung ? Phase 3: Testen ? Phase 4: Migration (Einrichtung)
Phase 1: Bewertung Während der Bewertungsphase einigen sich die IT-Verantwortlichen der einzelnen Gesellschaften darüber, dass ein gemeinsamer Namespace gefunden werden muss. Es sind zwar bereits verschiedene DNS-Namen (Domain Name System) von den und für die einzelnen Betriebsgesellschaften registriert; die Aufgabe besteht aber darin, einen Namen zu finden, der als Stammname für alle Unternehmen verwendet wird. Dieser einzelne „Platzhalter“ muss folgende Kriterien erfüllen: ? Den Stamm der Struktur für alle neun Betriebsgesellschaften genau definieren. ? Neu für die Organisation sein (von keiner der Betriebsgesellschaften bisher
intern oder extern verwendet). Das IT-Management stellt organisationsweite Entwicklungsteams zusammen, die in acht Arbeitsgruppen unterteilt sind. Grundlage sind dabei die Pläne für eine Grundkonfiguration, die für die einzelnen Betriebsgesellschaften getestet, modifiziert und angepasst werden kann. In Tabelle 2.2 sind die Einrichtungsteams und ihre Zuständigkeiten beschrieben. Tabelle 2.2 Teams für die Einsatzplanung Einrichtungsteam
Schwerpunkt
Server und Infrastrukturentwurf
Zuständig für Gesamtentwurf, Entwurfsschritte und die Entwicklungsschlussphase.
Active Directory
Domänen- und Strukturentwurf unterhalb der Domänenhauptebene und laufendes Active DirectoryManagement in den entsprechenden Domänen, insbesondere in Bezug auf Sicherheitsberechtigungen und Administratorrechte.
40
Teil I Planung Mobil- und Desktopentwurf
Windows 2000-Konfigurationen für alle Desktopcomputer und tragbaren Computer entwickeln und die Gruppenrichtlinien und Microsoft ® IntelliMirror™ -Funktionen ermitteln, die für die Verwaltung dieser Konfigurationen geeignet sind.
(Fortsetzung) Einrichtungsteam
Schwerpunkt
Migration
Windows NT Server 4.0 in eine Windows 2000ServerUmgebung migrieren. Schwerpunkte sind Interoperabilität, Migration und Koexistenz während der Übergangsperiode mit parallelen Domänen bis zum Abschluss der Migration. Dateiverschlüsselung und Infrastruktur für öffentliche Schlüssel. Windows 2000-Konfiguration für Clients mit wechselnden Arbeitsplätzen entwickeln und die Gruppenrichtlinien und IntelliMirror-Funktionen ermitteln, die für die Verwaltung dieser Konfigurationen geeignet sind. Windows 2000 Logo–Kompatibilität aller internen Anwendungen sicherstellen. Das für Desktopcomputer und tragbare Computer optimale Einrichtungstool ermitteln (über eine intern entwickelte Push-Anwendung oder Windows 2000Installationstools). Gemeinsam genutzte Laufzeitkomponenten ermitteln. Mechanismen für Systemdateischutz untersuchen. Vorhandene Anwendungen parallel für minimale Wartung ausführen.
Zertifikatsdienste Wechselnde Arbeitsplätze
Anwendungsverwaltung
Das Team ermittelt, dass die geschäftlichen und die IT-Anforderungen in erster Linie durch folgende Punkte erfüllt werden: ? Active Directory ? Neuer Domänenentwurf ? IntelliMirror ? Verteiltes Dateisystem (DFS) ? Datenträgerkontingent-Management ? Remoteinstallation des Betriebssystems ? Synchronisation von Active Directory mit Exchange-Verzeichnisdiensten
Phase 2: Entwurf und Entwicklung Der wichtigste Punkt während dieser Phase ist die Entscheidung, ob es erforderlich ist, dass der Domänenstammname über das Internet sichtbar ist (auf ihn zugegriffen werden kann) oder ob er nur intern verfügbar sein soll. Die Betriebsgesellschaften sind bereits als Gesamtgruppe im Internet präsent, so dass der Intranetname anders lauten muss. Es wird ein interner Stammname als Platzhalter angelegt, damit für jede der neun Betriebsgesellschaften eine eigene Domäne angelegt werden kann. Die einzelnen Unternehmen behalten ihre Eigenständigkeit in Gebieten wie Konfigurationserstellung, Management und Sicherheit. Sie nutzen diese Phase auch, um die Konfigurationen für die einzelnen Funktionen zu entwerfen und zu testen. Anschließend ermitteln die Teams gemeinsam, wie die
Kapitel 2 Erstellen eines Einsatzwegweisers
41
ausgewählten Windows 2000-Funktionen sich gegenseitig beeinflussen. Darüber hinaus erstellen sie Schulungsunterlagen und beginnen mit der Aufstellung eines Supportplans.
Hauptziele Als treibende Kraft hinter der Migration in Windows 2000 müssen Active Directory und der Domänenentwurf die folgenden geschäftlichen und IT-Kriterien erfüllen, damit sie von allen Betriebsgesellschaften übernommen werden können: ? Eine Stammdomäne ist erforderlich, damit alle Betriebsgesellschaften sich an
einem gemeinsamen Verzeichnis beteiligen können. ? Jedes Unternehmen möchte die vollständige administrative Kontrolle über seine gesamte Organisation behalten; dazu gehören alle separaten Windows NT Server 4.0-Domänen und -Strukturen. Weiterhin möchten die Unternehmen gegenüber den anderen Betriebsgesellschaften völlig unabhängig sein. ? Domänen und Verzeichnisse müssen so flexibel entworfen werden, dass Firmenübernahmen, Abtrennungen und die Umstrukturierung von bestehenden Betriebgesellschaften möglich sind. ? Jede Betriebsgesellschaft ist für ihre eigene Domäne und die darunter liegenden Elemente zuständig, wobei die spezifischen Anforderungen der jeweiligen Betriebsgesellschaft ausschlaggebend sind. Beim Active Directory-Entwurf muss das Migrationsteam überlegen, ob Computer dupliziert oder aktualisiert werden sollen. Das Duplizieren von Computern ist ein Prozess, bei dem für neue Betriebssysteminstallationen eine Installation und Konfiguration erstellt und diese Konfiguration anschließend auf alle neuen installierten Computer kopiert wird. Da die für den Namespace getroffenen Entscheidungen für das Erreichen der Ziele des Unternehmens von Bedeutung sind, wird ein Ausschuss für den Entwurf des Namespace gebildet. Er setzt sich aus Mitgliedern der IT-Gruppen der einzelnen Betriebsgesellschaften zusammen. Die leitenden Ausschussmitglieder und die ITOrganisationen der einzelnen Betriebsgesellschaften müssen den Schlussentwurf für den Namespace vereinbaren. Für den Entwurf des Namespace berücksichtigen sie u. a. folgende Faktoren: ? Auswirkungen auf das Domänenmodell von Windows 2000 ? Auswirkungen auf den vorhandenen Namespace von Windows NT Server 4.0 ? Konflikte mit dem vorhandenen DNS-Namespace
Der Domänenentwurf und DNS sind für das Unternehmen bei der Aktualisierung von Windows NT Server 4.0 auf Windows 2000 aus zwei Gründen von entscheidender Bedeutung: ? Wenn die vorgeschlagene Windows 2000-Domänenstruktur die bisher verwen-
dete Windows NT Server 4.0-Domänenstruktur widerspiegelt, ist eine direkte Aktualisierung von der Windows NT-Domäne auf die Windows 2000-Domäne möglich. ? Wenn die Entscheidung getroffen wird, für Windows 2000 dieselbe Domänenstruktur wie für einen noch in Betrieb befindlichen Windows NT Server 4.0 zu verwenden, sind zwei parallele Domänenstrukturen erforderlich. Die Windows
42
Teil I Planung
NT Umgebung muss darüber hinaus so lange aufrechterhalten werden, bis die neue Windows 2000-Umgebung stabilisiert wurde. Das Team ermittelt, dass für die Entscheidung, ob eine Aktualisierung oder eine Migration durchgeführt werden soll, folgende Punkte ausschlaggebend sind: ? Die vorhandene Domänenstruktur ? Die vorhandene Funktionalität ? Die neue Funktionalität, die mit Windows 2000 implementiert wird
Das Team erkennt dann, dass erst über die Inhalte der einzelnen Domänen entschieden werden kann, wenn folgende Punkte analysiert wurden: ? Bewerten der Probleme, die im aktuellen Domänenentwurf von Windows NT
Server 4.0 auftreten. ? Entscheiden, welche Funktionen von Windows NT Server 4.0 im Domänenentwurf von Windows 2000 erhalten bleiben sollen. ? Entscheiden, welche neuen Funktionen von Windows 2000 implementiert werden sollen (ausschlaggebend ist, welchen zusätzlichen Wert sie für die neue Domänenstruktur besitzen). ? Ermitteln, ob die Windows NT Server 4.0-Umgebung eine systemeigene Umgebung ist oder ob sie modifiziert oder angepasst wurde (von internen Entwicklungsteams oder mit Lösungen oder Entwicklungen von Drittanbietern). Die Organisation setzt beispielsweise ein internes Skriptingtool ein, das Benutzer bestimmten Anwendungen zuordnet. Dieses Tool gibt Anwendungen auf ähnliche Weise frei wie Windows Installer unter Windows 2000. Es muss daher entschieden werden, ob das interne Tool weiterhin eingesetzt oder ob Windows Installer verwendet werden soll. Durch den Einsatz von Windows Installer würden die internen Entwicklungskosten und damit die Gesamtbetriebskosten (Total Cost of Ownership, TCO) verringert. Die Organisation entscheidet sich daher für den Einsatz von Windows Installer. Weitere Informationen zum Active Directory-Domänenentwurf finden Sie unter „Entwerfen der Active Directory-Struktur“ in diesem Buch. Weitere Informationen zur Domänenmigration finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in diesem Buch.
Weiteres Ziel Das weitere Ziel besteht darin, andere Funktionen von Windows 2000 zu ermitteln, die nicht bereits in Windows NT Server 4.0 enthalten, aber für die Umgebung von Nutzen sein können. Anschließend wird ein Plan aufgestellt, um zu ermitteln, ob die neuen Funktionen für die Umgebung geeignet sind. Die Organisation entscheidet beispielsweise, dass die folgenden Funktionen ihre geschäftlichen und ihre IT-Anforderungen erfüllen: Offlinedateien Personen, die mit tragbaren Computern arbeiten, haben unterwegs Zugriff auf Netzwerkdaten, da persönliche Dateien und Netzwerkdateien auf ihren lokalen Computern abgelegt sind. Für intern arbeitende Personen stellt diese Funktion sicher, dass bei LAN- oder WAN-Unterbrechungen die Produktivität aufrechterhalten wird, da Dateien auf den lokalen Festplatten gespeichert werden.
Kapitel 2 Erstellen eines Einsatzwegweisers
43
FehlertolerantesverteiltesDateisystem Mit dem verteilten Dateisystem (Distributed File System, DFS) kann eine einzelne Verzeichnisstruktur erstellt werden, die mehrere Dateiserver und Dateifreigaben für eine Gruppe, einen Geschäftsbereich oder ein Unternehmen umfasst. Damit können über das Netzwerk verteilte Dateien oder Ordner leicht gefunden werden. Der Einsatz eines fehlertoleranten DFS ist mit servergespeicherten Benutzerprofilen verbunden, die bereits über ihre Windows NT Server 4.0-Infrastruktur verwendet werden. Dateien können im Netzwerk gespeichert werden, was zu einer verbesserten Replikation zwischen den Gesellschaften des Unternehmens führt. Datenträgerkontingent-Management Das Datenträgerkontingent-Management gibt dem Unternehmen die Möglichkeit, mit dem NTFS-Dateisystem formatierte Datenträger zu verwenden, um den einzelnen Personen zur Verfügung stehenden Serverspeicherplatz zu überwachen und zu begrenzen. Es kann auch festlegen, wie vorzugehen ist, wenn Personen die angegebenen Schwellenwerte überschreiten. In der Vergangenheit verwendete die Organisation Tools von Drittanbietern. In dem Bestreben, interne Entwicklungskosten und die Gesamtbetriebskosten (TCO) zu reduzieren, wechselt sie nun zu systemeigenen Windows 2000-Tools. RemoteinstallationdesBetriebssystems Die Organisation verfügt bereits über einen erweiterten Skriptingprozess für die Installation, aber die Skripts müssen bei jeder Änderung der Clientgrundkonfiguration aktualisiert werden. Sie wird die Windows 2000-Remoteinstallation für die Erstinstallation von Windows 2000 Professional verwenden, außerdem für die schnelle Aktualisierung fehlerhaft arbeitender Computer. Die Organisation plant, die Remoteinstallation zusammen mit IntelliMirror einzusetzen, um den Austausch von Computern zu beschleunigen und zu vereinfachen und auf diese Weise die Gesamtbetriebskosten zu reduzieren. Exchange-Verzeichnisdienst mit Active Directory-Integration Die Organisation plant, den Exchange 5.5-Verzeichnisdienst unter Verwendung von Active Directory Connector (ADC) zu synchronisieren und später zu integrieren, wenn sie auf die nächste Version von Exchange aktualisiert.
Phase 3: Testen Die Beispielorganisation hat ein Testlabor für Funktions- und Pilottests eingerichtet. Sie möchte die tatsächlichen Bedingungen ihrer Produktmigration simulieren. Nachdem der Migrationsprozess mit den Labor- und Pilottests validiert wurde, kann die Organisation mit der Produktionseinführung beginnen. Die vorläufigen Entwurfspilotprojekte werden während der Entwurfsphase an das IT-Personal verteilt, damit es die Entwürfe testen und weiter verbessern kann. Zu den Punkten des Entwurfs, die zu Beginn getestet und bewertet werden sollen, gehören u. a.: ? Active Directory-Entwurf (Platzhalterdomäne und vier untergeordnete Do-
mänen). ? Clientstandardkonfiguration.
Die Ziele des Pilotprojekts sind u. a.: ? Windows 2000 und das vorgeschlagene Active Directory-Modell in einer realen
Produktionsumgebung bewerten.
44
Teil I Planung ? Im größtmöglichen Umfang neue, systemeigene Windows 2000-Technologie
einsetzen. ? Die Standardkonfigurationen für stationäre und mobile Clients zusammen-
führen. ? Die vorgeschlagene zukünftige Konfiguration den Unternehmen der Organisa-
tion demonstrieren und konstruktive Kritik zusammentragen. ? Isolierte Windows 2000-Projekte in der gesamten Organisation konsolidieren und ihnen neue Schwerpunkte zuweisen. Während dieser Phase setzt das Einrichtungsteam die Überarbeitung des Entwurfs und das Testen fort, bis der Entwurf allgemeine Zustimmung findet. Der neue Entwurf muss folgende Akzeptanzkriterien erfüllen: ? Erhöhte Stabilität ? Verbesserte Arbeitsumgebung ? Verwaltung möglich mit aktuellen und neuen oder zusätzlichen administrativen
Ressourcen ? Erfüllung der Budgetanforderungen
Nachdem der Domänenentwurf getestet und in seine endgültige Fassung gebracht wurde, wird er von den organisationsweiten Entwicklungsteams abgezeichnet. Anschließend muss der Entwurf vom oberen IT-Management aller neun Betriebsgesellschaften genehmigt werden.
Phase 4: Migration Da es nach Auffassung der Organisation erforderlich ist, die servergespeicherten Profile für Personen, die mit tragbaren Computern arbeiten, beizubehalten, wird entschieden, während der Übergangsphase mit zwei parallelen Umgebungen zu arbeiten. Viele Personen mit servergespeicherten Profilen, die zu Hause auf Windows 2000 aktualisieren, werden feststellen, dass ihre Arbeitsumgebung noch nicht aktualisiert wurde. Durch die Beibehaltung paralleler Umgebungen unterstützt die Infrastruktur alle Personen und ermöglicht ihnen unabhängig von dem von ihnen eingesetzten Betriebssystem den Zugriff auf ihre Dateien. Die Migration muss jedoch so schnell wie möglich stattfinden. Die Organisation plant, die duale Umgebung mit Windows NT Server 4.0 und Windows 2000 für 12 bis 24 Monate beizubehalten. Es besteht die Möglichkeit, in beiden Umgebungen zu arbeiten, bis die IT-Umgebung in allen neun Betriebsgesellschaften vollständig auf Windows 2000 umgestellt ist. Für diese Organisation ist die Einstellung des Betriebs der Windows NT Server 4.0-Umgebung die wichtigste Entscheidung in der gesamten Migration. Sie möchte sicher sein, dass die durchgeführten Labor- und Pilottests ausreichen, um die Auswirkungen größerer Probleme, die durch Ungenauigkeiten im Entwurf entstehen können, in Grenzen zu halten. Die Organisation hofft, durch die im angemessenen Umfang durchgeführten Tests Netzausfallzeiten zu vermeiden. Nach Abschluss der Tests wird sie mit der Migration in Windows 2000 in den Betriebsgesellschaften fortfahren und dann den Betrieb der Windows NT Server 4.0-Umgebung einstellen.
Kapitel 2 Erstellen eines Einsatzwegweisers
45
Szenario 2: Multinationaler Hersteller von Konsumgütern und industriellen Erzeugnissen Szenario 2 basiert auf einem in hohem Maße dezentralisierten Unternehmen mit einer verteilten IT-Umgebung, das aus 175 separaten Betriebsgesellschaften besteht. Fertigung und Montage finden in 49 Ländern auf sechs Kontinenten statt. Das Unternehmen beschäftigt weltweit rund 390.000 Mitarbeiter, die rund 120 Sprachen sprechen. Damit der Übergang für alle Betriebsgesellschaften erleichtert wird und die Supportkosten für die Einrichtung reduziert werden, sind eine gemeinsame Schnittstelle und ein gemeinsamer Implementierungsprozess erforderlich. Alle Betriebsgesellschaften möchten Lösungen für die folgenden allgemeinen Punkte finden: ? Kunden einfachen Zugriff auf eine gemeinsame Wissensbasis bieten, die im ? ? ? ?
? ?
Hinblick auf das Unternehmen und seine Geschäftstätigkeit von Bedeutung ist. Durch Erstellen einer Gesamtstruktur die IT-Administrationskosten reduzieren und den Service verbessern. Windows NT 4.0-basierte Server für die Aktualisierung konsolidieren. Allen Betriebsgesellschaften eine gemeinsame IT-Umgebung bieten. Richtlinien für die Einrichtung von Windows 2000 in der Organisation festlegen, die eine stabile IT-Umgebung bieten und vermeiden, dass einzelne Gruppen separate Produkte oder Funktionen einsetzen, die nicht von der zentralen IT-Abteilung unterstützt werden. IT-Angelegenheiten in allen Betriebsgesellschaften kommunizieren. Einen effizienten Entwurf für Active Directory vorlegen, da damit zahlreiche weitere Windows 2000-Funktionen aktiviert werden.
Einrichtungsteams Die Organisation stellt ein Einrichtungsteam zusammen, das aus einem Server- und einem Clientteam besteht. In jedem Team sind Personen aus den wichtigsten Betriebsgesellschaften vertreten. Ihr Ziel besteht darin, ein Modell sowohl für Server- als auch Clientbetriebsumgebungen zu entwickeln, das in allen Betriebsgesellschaften eingesetzt werden kann. Im Grunde genommen besteht ihr Ziel darin, einen Entwurfs- und Einrichtungsprozess einzuführen und zu validieren, der von allen Betriebsgesellschaften genutzt werden kann, anstatt Windows 2000 in einer Produktionsumgebung einzurichten. Sie gliedern ihren Plan in drei Phasen: ? Phase 1: Infrastrukturbackboneentwurf und -entwicklung ? Einrichtung von Kerndiensten für die primäre Unternehmensdomäne ? Einrichtung von Servern in den größeren Unternehmensniederlassungen ? Phase 2: Einsatzplanung in den Betriebsgesellschaften ? Einrichten von Pilotdomänen in allen Betriebsgesellschaften ? Konfigurieren von Standorten und Standortverknüpfungsbrücken ? Erstellen von Benutzerkonten ? Einrichtung von Vertrauensstellungen zwischen Windows NT Server 4.0-
und Windows 2000-Domänen ? Durchführen eines Pilotprojekts mit Windows 2000 Professional in mehreren Betriebsgesellschaften
46
Teil I Planung ? Phase 3: Migration der Hauptdienste von Windows NT Server 4.0 in
Windows 2000 Server ? Windows Internet Name Service (WINS) ? Dynamic Host Configuration Protocol (DHCP) ? Drucken ? Webserver, die Internet Information Services (IIS) einsetzen
Zu den ersten Tasks, die das Team ausführt, gehört das Aufstellen einer Liste mit den wichtigsten Angelegenheiten und den Hauptrisiken für das Gesamtprojekt. Diese Liste enthält folgende Punkte: ? Erkennen, dass es für die Koordination, die für den Aufbau eines globalen
Unternehmens erforderlich ist, kein Beispiel gibt. (Es dauert durchschnittlich drei Jahre, ein Betriebssystem sowohl für Server als auch für Clients in allen Betriebsgesellschaften einzurichten.) ? Nach Bedarf die Koexistenz mit UNIX und auf Großrechnern ausgeführten Geschäftsbereichsanwendungen vorbereiten. (Viele Betriebsgesellschaften haben beispielsweise Sun RISC 6000-Server, auf denen unter Windows NT Server 4.0 ein FIBU-Programm ausgeführt wird.) ? Tools bereitstellen, um Teile der Gesamtstruktur nach Bedarf zu verschieben
und zusammenzuführen; ausschlaggebend sind interne Änderungen im Unternehmen und häufige Übernahmen, Zusammenschlüsse und Abtrennungen. ? Die Position für die Domänenadministration erstmals besetzen; die Person muss: ? schnell auf Änderungsanforderungen und Anforderungen im Stammdomänensupport reagieren. ? die Erstellung von untergeordneten Domänen und Standorten effizient
delegieren können. ? Erkennen, dass ein einzelnes Schema unter Umständen nicht die Konfigura-
tionsanforderungen aller Betriebsgesellschaften erfüllt; daher ist für den Geschäftsbetrieb zwischen den Gesellschaften eventuell ein Tool für die Verzeichnissynchronisation erforderlich. ? IP-Abhängigkeiten (Internet Protocol) im Unternehmen erkennen, beispielsweise: ? Firewalls ? Netzwerkleistung
Das Servereinrichtungsteam Das Servereinrichtungsteam ist verantwortlich für die Planung und den Entwurf des Servereinrichtungsprozesses. Grundlage sind die Phasen, die für das gesamte Einrichtungsteam definiert wurden. Das Servereinrichtungsteam setzt sich aus vier Teams zusammen, deren Schwerpunkte technische Planung, Active Directory, Logistik und Migration sind. Die vom Serverteam benannten strategischen Ziele sind: ? Windows 2000 Active Directory-Dienste definieren, die von allen
Betriebsgesellschaften eingesetzt werden können.
Kapitel 2 Erstellen eines Einsatzwegweisers
47
? Einen Plan für die Migration von der aktuellen Windows NT Server 4.0-
Umgebung in eine Windows 2000-Umgebung aufstellen. ? Kurzfristige vorbereitende Schritte konzipieren. ? Ein Backbonepilotprojekt für das Unternehmen implementieren. ? Richtlinien und Windows 2000-Modelle für alle Betriebsgesellschaften im-
plementieren. In Abbildung 2.3 ist der Projektmanagementrahmen dargestellt, den das Serverteam für die Einrichtung von Windows 2000 einsetzt.
Abbildung 2.3
Servereinrichtungsprozess für einen multinationalen Hersteller
Serverphase 1: Ermitteln der zu implementierenden Funktionen Das Hauptziel des Servereinrichtungsteams besteht darin, Einrichtungsstandards für ein gemeinsames Verzeichnis- und Domänenmodell zu erstellen, das von allen Betriebsgesellschaften verwendet werden kann. Darüber hinaus muss es eine globale Windows 2000-Infrastruktur entwickeln, die alle Betriebsgesellschaften unterstützt. Das Team konzentriert sich zunächst darauf, einen Infrastrukturbackbone zu entwerfen, der weltweit auf die wichtigsten IP-Backbone-POPs (Points of Presence) zurückgreift. Der Backbone ist kein physikalischer Netzwerkbackbone, sondern ein logischer Backbone aus Stammnamespace und Domänencontrollern. Das Team muss unter Verwendung der Windows 2000-Infrastruktur einen Backbone entwickeln, an dem sich alle Betriebsgesellschaften beteiligen können. Jede Betriebsgesellschaft muss über eine Schnittstelle zum Stamm der Gesamtstruktur verfügen und auf einen gemeinsam genutzten globalen Katalog zugreifen können. Anschließend beginnt das Team damit, auf Grundlage der geschäftlichen Anforderungen die Technologien zu ermitteln, die speziell für das Unternehmen erforderlich sein werden. Da die Systemadministration weltweit auf Englisch miteinander kommuniziert, ist auf Serverebene beispielsweise keine Sprachenunterstützung erforderlich. Das Team trifft die Entscheidung, sich u. a. auf folgende spezifische Punkte zu konzentrieren: ? Entwerfen von Domänen und Standorten ? Entwerfen von Organisationseinheiten
48
Teil I Planung ? Festlegen der Verwendung von DNS- oder WINS-Namensauflösung ? Verständnis gewinnen für Replikation und Active Directory-Container ? Synchronisieren des Exchange-Verzeichnisdiensts mit Active Directory ? Entwerfen von Windows 2000 Active Directory ? Entwickeln von Standards für eine allgemeine
Serverbetriebssystemkonfiguration ? Festlegen von Platzierungskriterien für Domänencontroller und den globalen Katalog sowie ihrer Standorte Die Tabelle 2.3 enthält eine vom Unternehmen aufgestellte Checkliste mit Tätigkeiten; anhand dieser Liste soll festgestellt werden, wann das Serverteam die für Phase 1 gesteckten Ziele erreicht hat. Tabelle 2.3 Checkliste für die in Phase 1 erreichten Meilensteine Abgeschlossen
Punkt Pilotprojekte mit vier bis sechs Servern an mindestens drei Standorten einrichten. Die Genehmigung für die Verwendung von .net/ .int für den Stammdomänennamen einholen. Windows 2000 Server an einer angegebenen Anzahl von IT-POPs des Unternehmens installieren. Die -DNS-Struktur definieren; dazu gehören: Server für die integrierte dynamische DNS-Aktualisierung für die -Domäne am europäischen Standort X konfigurieren. Server für die integrierte dynamische DNS-Aktualisierung am USamerikanischen Standort A konfigurieren. Die IT-Hauptserver mit den neuen Domänendaten aktualisieren. Datensatzserialisierung und Zonenübertragung mit dem Hauptbetriebsstandort verifizieren. Direct Host in am dd/mm/jjjj starten. Die zentrale Betriebskonfiguration definieren; dazu gehören: Globale Kataloge an den europäischen Standorten X und Z festlegen. Subnetze benennen. X Standorte erstellen. Standortverknüpfungen zwischen den europäischen Standorten X und Z einrichten. Managementfunktionen durch die Installation der Windows 2000 Terminaldienste für die Remoteadministration erweitern. Die elektronische Softwareverteilung durch die Konfiguration von Backbonestandorten für die Replikation von Windows 2000-Builds an den europäischen Standort Z aktivieren.
Kapitel 2 Erstellen eines Einsatzwegweisers
49
(Fortsetzung) Abgeschlossen
Punkt Die Verzeichnisdaten des Unternehmens (mehr als 200.000 Namen) in den Verzeichnisdienst des Pilotprojekts laden. Replikation und Laden auf dem System verifizieren. Die geladenen Daten nach dem Test löschen.
Serverphase 2: Vorbereiten des abschließenden Entwurfs für die Serverarchitektur und Durchführen von Pilotprojekten Das Team kann sich nun auf Phase 2 konzentrieren und damit beginnen, die verschiedenen Betriebsgesellschaftsdomänen für das Pilotprojekt einzurichten. Einige Domänen sind neu, während andere von Windows NT Server 4.0 migriert werden. Das Team hat die Entscheidung getroffen, sich u. a. auf folgende spezifische Punkte zu konzentrieren: ? Active Directory-Struktur entwerfen und Struktur im Testlabor validieren. ? Pläne für die Migration von Windows NT Server 4.0 in Windows 2000 Server
aufstellen. ? Standardinstallationsprozess für die Servereinrichtung entwickeln. ? Labor für die unternehmensweite Integration einrichten. ? Spezifikationen für weitere Windows 2000-Funktionen definieren. ? Kommunikationsplan für Endbenutzer umsetzen; dies umfasst das IT-Personal
in anderen Betriebsgesellschaften, die IT-Administration und die an Desktopsystemen arbeitenden Personen. Die Tabelle 2.4 enthält eine vom Unternehmen aufgestellte Checkliste mit Tätigkeiten; anhand dieser Liste soll festgestellt werden, wann das Serverteam die für Phase 2 gesteckten Ziele erreicht hat. Tabelle 2.4 Abgeschlos sen
Checkliste für den Abschluss von Phase 2 Punkt 10 Standorte für das Pilotprojekt bestimmen, darunter vier in den USA und fünf in Europa; ein Standort ist das europäische Clientlabor. 18 bis 24 Server in einer Pilotumgebung einsetzen. 30 bis 40 Arbeitsstationen in einer Pilotumgebung einsetzen. Den IP-Backbone des Unternehmens über ein virtuelles privates Netzwerk (VPN) konfigurieren; hierzu werden Firewalls für den VPNZugriff zwischen Betriebsgesellschaften und entsprechenden Backbonestandorten des Unternehmens konfiguriert. Administrative Delegierung definieren; dazu gehören: Domänen für die Betriebsgesellschaften vorab erstellen. Betriebsgesellschaften in DNS-Zonen delegieren.
50
Teil I Planung (Fortsetzung) Abgeschlossen
Punkt Eine Domäne für die Betriebsgesellschaften erstellen; dazu gehören: Betriebsgesellschaftsdomänen an fünf europäischen und vier USamerikanischen Standorten einrichten. Teilnehmende Betriebsgesellschaftssubnetze bestimmen. Standorte erstellen und Standortmanagement delegieren. Standortverknüpfungen zwischen den Standorten der Betriebsgesellschaften und den Backbonestandorten erstellen. An jedem teilnehmenden Standort (nicht Betriebsgesellschaft) einen globalen Katalog festlegen. Delegierung für die einzelnen Betriebsgesellschaften definieren; dazu gehören: Eine Organisationseinheitsstruktur innerhalb der Betriebsgesellschaftsdomäne erstellen. Die Administration der Organisationseinheiten delegieren. Benutzerkonten ermitteln und Konten für die Mitglieder des Serverund des Clienteinrichtungsteams anlegen. Clientcomputer des Windows 2000-Einrichtungsteams den Betriebsgesellschaftsdomänen zuordnen. Eine Windows NT Server 4.0-Vertrauensstellung als Produktionsressourcendomäne für die Betriebsgesellschaft einrichten. WINS in geeigneter Weise in den Betriebsgesellschaftsbackbone integrieren. Microsoft® Exchange Server durch Konfiguration von Active Directory Connector in den einzelnen Betriebsgesellschaften integrieren und eine einseitige Synchronisation zur Aktualisierung der Active DirectoryDaten einrichten. Eine Zertifizierungsstelle einrichten. Verzeichnisdienstreplikationeinrichten. Mit folgenden Schritten Windows 2000 Professional in Absprache mit dem Clienteinrichtungsteam einrichten: Eine unbeaufsichtigte Installation eines Clientprototypen in verschiedenen Domänen entwickeln. Gruppenrichtlinien für Clients in allen Domänen verwenden. Sprachenunterstützung auf einem Clientprototypen mit drei Beispielsprachen installieren. Internationales Clientroaming aktivieren. Die Standardsoftware der einzelnen Betriebsgesellschaften an all den Standorten installieren und einsetzen, die auf Gruppenrichtlinienobjekten basieren. Sicherstellen, dass Arbeitsstationen über vorhandene RAS-Dienste
Kapitel 2 Erstellen eines Einsatzwegweisers
51
von Windows NT 4.0 auf Ressourcen zugreifen können, die auf Windows 2000 basieren. (Fortsetzung) Abgeschlossen
Punkt Mit folgenden Schritten Benutzer definieren: Gruppenrichtlinien für Benutzer in allen Domänen verwenden. Sicherstellen, dass serverbasierte Benutzerprofile in verschiedenen Domänen ordnungsgemäß eingesetzt werden können (Clientstandardsprache muss gleich sein). Sicherstellen, dass serverbasierte Benutzerprofile international ordnungsgemäß eingesetzt werden können (unterschiedliche Clientstandardsprachen). Sicherstellen, dass der Zugriff auf Ressourcen weltweit in verschiedenen Domänen ordnungsgemäß funktioniert.
Serverphase 3: Vorstellen der Migrationspläne in den Betriebsgesellschaften Der Schwerpunkt von Phase 3 ist die Migration der Dienste von Windows NT Server 4.0 in Windows 2000. Die Dienste werden nach einer Risikobewertung migriert, die entworfen wurde, um den Einfluss auf bestehende Produktionssysteme zu reduzieren. Wenn das Team bei der Migration von Schlüsselkomponenten in gewissem Umfang erfolgreich war, steigt die Komplexität und damit das Risiko. Das Einrichtungsteam wird die Pläne nach umfassenden Tests den Betriebsgesellschaften vorlegen, damit sie diese als Prototypen verwenden können. Zu den Tätigkeiten während dieser Phase gehören: ? Eine Migrationsstrategie vorstellen. ? Den Betriebsgesellschaften Windows 2000-Konzepte und vorgeschlagene
Entwürfe vorstellen. ? Den vorgeschlagenen Entwurf gegenüber der Geschäftsführung (IT-Prüfausschuss) vertreten. ? Das Projekt und den vorgeschlagenen Entwurf gegenüber den Endbenutzern vertreten. ? Einen Wiederherstellungsplan erarbeiten, der Geschäftsunterbrechungen vermeidet; dies gilt insbesondere für: ? Eine Sicherungsstrategie ? Eine Rollback-(Fallback-)Strategie auf Windows NT 4.0 nach der Migration zu Windows 2000. Die Tabelle 2.5 enthält eine vom Unternehmen aufgestellte Checkliste mit Tätigkeiten; anhand dieser Liste soll festgestellt werden, wann das Serverteam die für Phase 3 gesteckten Ziele erreicht hat.
52
Teil I Planung Tabelle 2.5 Checkliste für den Abschluss von Phase 3 Abgeschlossen
Punkt An mehreren geographischen Standorten, darunter Nordamerika, Europa und Asien, Standorte für die Migration bestimmen. Für die einzelnen Domänen und Standorte festlegen, wie viele Server in die Migration einbezogen werden. Für die einzelnen Domänen und Standorte festlegen, wie viele Clientcomputer in die Migration einbezogen werden. Durch Aufnahme eines Windows 2000WINS-Server in eine vorhandene Umgebung eine WINS-Migration durchführen. Durch Aufnahme eines Windows-DHCP-Servers in eine vorhandene Umgebung eine DHCP-Migration durchführen. Durch Auswahl einer Anzahl von Druckservern, die keine Windows NT Server 4.0-Domänencontroller sind, und ihre Aktualisierung auf Windows 2000 eine Druckservermigration durchführen. Eine Internetservermigration durchführen; hierzu wird mit IIS 5.0 eine Website für die Einrichtung von Windows 2000implementiert und ein Zeiger von der vorhandenen zentralen Site erstellt. Inhalte von der Versuchssite auf die neue Site replizieren. DNS-Datensätze zu diesem Server hinzufügen. Ressourcendomänen reduzieren; hierzu wird eine Windows NT 4.0Ressourcendomäne ausgewählt und in Windows 2000Servermigriert. Neue Kontendomänen erstellen; hierzu wird der primäre Domänencontroller für Windows NT 4.0-Kontendomänen in Windows 2000 Server migriert.
Das Clienteinrichtungsteam Die größte Herausforderung für das Clienteinrichtungsteam ist die Arbeit mit allen Betriebsgesellschaften, um die allgemeine Zustimmung zu einer Clientcomputerkonfiguration zu erhalten. Die vorhandenen Clientbetriebssysteme in der Organisation umfassen Windows 95, Windows 98 und Windows NT 4.0 Workstation. Weiterhin befasst sich das Clientteam mit folgenden Punkten: ? Unternehmensweit die Anzahl der eingesetzten Anwendungen verringern.
Derzeit gibt es gut 1000 Anwendungen, wodurch es dem IT-Team erschwert wird, Support zu leisten. ? Den IT-Schwerpunkt von den tragbaren Computern auf die Personen verlagern, die mit den tragbaren Computern arbeiten. ? Untersuchen, ob statt der bisherigen Methode der Softwareverteilung in Windows NT Server 4.0 eine andere Methode eingeführt werden sollte. ? Mehr Hardwaresupport für tragbare Computer leisten. Das Team muss einen Vorschlag entwickeln, der die Betriebsgesellschaften bei der Entscheidung unterstützt, ob zunächst die Client- oder die Serverinfrastruktur aktualisiert wird. Das Team stellt fest, dass zwar beide Optionen möglich sind, kommt aber zu dem Schluss, dass die folgenden Punkte, die dafür sprechen,
Kapitel 2 Erstellen eines Einsatzwegweisers
53
zunächst die Serverinfrastruktur zu aktualisieren, für die Organisation von Bedeutung sind:
? Erhöhte zentralisierte Kontrolle über die Clientcomputer. ? Die mit den Clientcomputern arbeitenden Personen haben weniger Möglich-
keiten, die Konfiguration zu ändern. ? Einsatz von Windows 2000-Tools für die Installation. ? Es ist ein globaler Katalog aktiviert, auf den alle zugreifen können. Das Team stellt fest, dass die meisten Betriebsgesellschaften in der Organisation zunächst ihre Server aktualisieren möchten. Nachdem dann Active Directory und ein globaler Katalog aktiviert sind, möchten sie Gruppenrichtlinien und andere Tools für Änderungen und Konfigurationsmanagement implementieren, um zu einer differenzierteren Administration der Clientcomputer zu gelangen. Das Team erkennt auch, dass die Entscheidung, ob zunächst die Server aktualisiert werden sollen, von besonderer Bedeutung ist, wenn es beabsichtigt, für die Einrichtung der Software die Verwendung von Windows 2000-Gruppenrichtlinien zu empfehlen. Es muss untersuchen, welchen Einfluss der Einsatz von Gruppenrichtlinien auf Active Directory haben wird. Die Organisation hat folgende Ziele für das Clientarchitekturteam: ? Eine Standardclientkonfiguration als modulares Produkt für alle Betriebsgesell-
schaften entwickeln. ? Eine Referenzinstallation mit Hardware, Software und Betriebsabläufen erstellen. ? Einen Rahmen für ein globales Modell entwerfen, das die Anmeldung an jedem beliebigen Ort weltweit ermöglicht. ? Ein Modell für Schulung und Helpdesksupport entwickeln.
Die Arbeit des Clientteams gliedert sich in zwei Phasen: ? Phase 1: Fragen zur Clientstandardkonfiguration ? Phase 2: Softwarelogistik
Phase 1: Fragen zur Clientstandardkonfiguration Damit die Ziele für den weltweiten geschäftlichen Einsatz erreicht werden, entscheidet das Clientteam, eine standardisierte Konfiguration mit folgenden Komponenten zu verwenden: ? Windows 2000 Professional-Clients ? Microsoft® Office 97 oder Office 2000 ? Virenprüfungsfunktionen ? Webbrowser ? E-Mail-Client ? Sprachenunterstützung ? Windows-Terminaldienste-Funktionen (sicherstellen, dass der Cliententwurf
für Terminaldienste geeignet ist).
54
Teil I Planung
? Internationales Clientroaming aktivieren, damit weltweit Verbindungen bzw.
Einwählverbindungen mit dem IP-Backbone des Unternehmens und der Zugriff auf folgende Komponenten möglich sind: ? Benutzerdefinierte Einstellungen für Desktops und Anwendungen. ? Persönliche Dokumente und Mail (überall verfügbar). ? Unternehmensweite Standardsoftware.
Phase 2: Softwarelogistik Während der zweiten Phase konzentriert sich das Team auf die Entwicklung einer Strategie, um das neue Betriebssystem und die Clientkonfiguration auf geordnete und effiziente Weise auf stationären und tragbaren Clients zu installieren. Das Team benennt folgende Punkte: ? Installationspakete für folgende Anwendungen erstellen: ? Unternehmensanwendungen. ? Gemeinsame Anwendungen für alle Betriebsgesellschaften. ? Selbstprogrammierte Anwendungen für die einzelnen Betriebsgesellschaften
(nach Bedarf). ? EineAnleitung für Installationspakete erstellen, die folgendes enthält: ? Standardisierte Paketzusammenstellung weltweit für alle
Betriebsgesellschaften. ? Ein einziges Installationspaket pro Anwendung weltweit für nichtstandardisierte Software. ? Anwendungen für die einzelnen Betriebsgesellschaften nach Bedarf neu zusam-
menstellen. ? Installationspakete zuordnen: ? Allen Benutzern. ? Benutzergruppen nach Funktion oder Organisation. ? Nach clientspezifischen Anforderungen. ? Anwendungen auf Grundlage von Benutzeranforderungen installieren
Das Clienteinrichtungsteam hat festgestellt, dass das Management die Praxis fortsetzen möchte, neue Clientbetriebssysteme und Konfigurationsabbilder in Verbindung mit dem Erwerb neuer Hardware zu installieren. Der Betriebssystemeinsatz in der Organisation dauert durchschnittlich drei Jahre. Interne Studien zu den Gesamtbetriebskosten haben ergeben, dass diese Kosten reduziert werden können, wenn im Voraus mehr Mittel für bessere Hardware aufgewendet werden und vor dem Einbau der neuen Hardware in die Benutzersysteme das neue Clientkonfigurationsabbild aktualisiert wird. Darüber hinaus bringen neue Funktionen und erweiterte Funktionalität der Systemadministration und IT-Fachleuten in punkto Clients erhebliche Vorteile. Die mit den Clients arbeitenden Personen und Führungskräfte müssen hingegen deutlich erkennbare Beweise bekommen, dass die Produktivität erhöht wird. Es ist daher erforderlich, dass sowohl die Führungskräfte, die die Entscheidungen treffen, als
Kapitel 2 Erstellen eines Einsatzwegweisers
55
auch die Personen, die mit den Systemen arbeiten, vom Projekt überzeugt sind, bevor in den einzelnen Betriebsgesellschaften die Einrichtungsphase beginnt.
Technologieabhängigkeiten Windows 2000 Server ist ein Mehrzwecknetzwerkbetriebssystem, das mit klar umrissenen, aber dennoch integrierten Funktionen konzipiert wurde, die inkrementell eingerichtet werden können. Aus diesen Gründen gibt es zahlreiche Technologieabhängigkeiten, die Sie bei der Planung der Einrichtung berücksichtigen müssen. In den folgenden Beispielen sind einige dieser Technologieabhängigkeiten dargestellt.
Active Directory und Domänennamespace Die Active Directory-Struktur, das Domain Name System (DNS) sowie die Infrastrukturpläne für Windows Internet Name Service (WINS), Dynamic Host Configuration Protocol (DHCP), Netzwerkprotokolle, Dateien, Drucken, Streaming-Media und weitere bandbreitenintensive Anwendungen müssen unter Berücksichtigung der geschäftlichen Anforderungen und der IT-Leistung entworfen werden. Wenn die geschäftlichen Anforderungen zahlreiche Tochtergesellschaften sowie servergespeicherte Profile und Remotezugriff vorgeben, müssen Sie Organisationseinheiten, Gruppenrichtlinien, Sicherheit und IntelliMirror-Technologien in Ihre Überlegungen einbeziehen. Möchten Sie sichere Intranet- oder Extranetfunktionen bieten, sind IP-Sicherheit (IPSec) und eine Infrastruktur für öffentliche Schlüssel (PKI) wichtige Komponenten in den Entwürfen. Wenn Sie Windows 2000 Professional als Hauptbetriebssystem für Desktops und Laptops einsetzen möchten, sollten Sie Installationsoptionen, Sprachenunterstützung, Sicherheit, Active Directory und weitere Technologien für Änderungen und Konfigurationsmanagement in Ihre Überlegungen einbeziehen. Und schließlich müssen Sie in einer heterogenen Umgebung, in der neben Windows NT und Windows 2000 noch andere Netzwerkbetriebssysteme eingesetzt werden, Optionen für Interoperabilität und Koexistenz berücksichtigen.
Active Directory und Exchange Server Sie planen unter Umständen, Active Directory in einer geographisch verteilten Umgebung einzusetzen, in der ein zentralisiertes IT-Management durch langsame WAN-Verbindungen erschwert wird und die Wahrscheinlichkeit hoch ist, dass stabile und sichere Verbindungen beeinträchtigt werden. Auf der anderen Seite haben Sie aber auch die geschäftliche Anforderung eines stabilen, sicheren und allgemeinen Systems für den E-Mail-Verkehr und die Zusammenarbeit verschiedener Betriebsgesellschaften, darunter geographisch entfernte Standorte. Sie müssen die Beziehungen zwischen Active Directory und dem Exchange Server 5.5-Verzeichnisdienst berücksichtigen; darunter fallen auch Gruppenrichtlinien, IP-Sicherheit und virtuelle private Netzwerke (VPNs). Planen Sie den Einsatz von Active Directory Connector (ADC), um Daten kontinuierlich mit dem ExchangeVerzeichnis zu synchronisieren. Sie müssen auch den DNS-Entwurf in Ihre Überlegungen einbeziehen. Dies gilt insbesondere, wenn es mehrere Organisationen gibt, Tochtergesellschaften mit eigenem Internetdomänennamen, eigenen Domänen- und Verzeichnisstrukturen und Sicherheitsanforderungen sowie unterschiedlichen Netzwerkbetriebssystemen
56
Teil I Planung
oder IT-Standards. Der DNS-Entwurf ist besonders wichtig, wenn nicht das Windows 2000-Team, sondern andere Gruppen für den DNS-Namespace zuständig sind. Dies ist beispielsweise bei vielen UNIX-zentrierten IT-Organisationen der Fall.
Integrieren von Exchange Server Wenn Sie einen gemeinsamen E-Mail-Standard und ein gemeinsames Verzeichnis benötigen, Ihre Organisation aber nicht mit Exchange Server 5.5 arbeitet, müssen Sie unter Umständen vor der Einrichtung von Windows 2000 Exchange Server 5.5 implementieren, damit über ADC eine Synchronisation mit Active Directory möglich ist. Sie können dieses Ziel aber auch zurückstellen, bis die Einrichtung von Windows 2000 abgeschlossen ist, und dann die nächste Version von Exchange einsetzen.
Remoteinstallation des Betriebssystems Ein weiteres Beispiel ist ein Benutzerstandort mit eingeschränktem Support, aber hervorragender Konnektivität, an dem die lokale Clientinstallation bisher manuell durchgeführt wurde. Mit der Remoteinstallation und IntelliMirror sind nun Installationen und Problembehandlung an Remotestandorten möglich, ohne dass Support vor Ort erforderlich ist. Weitere Informationen zu Technologieabhängigkeiten finden Sie in den einzelnen Kapiteln zur technischen Planung in dieser Dokumentation. Beachten Sie, dass jede Funktion, die Sie einsetzen möchten, einen eigenen Entwurf erfordert, damit sie formal im Labor und in Pilotumgebungen getestet werden kann.
Tipps für die Planung der Windows 2000-Einrichtung Das Ziel, das Sie beim Erstellen von Planungsunterlagen und Ausarbeiten eines Einrichtungsplans letztlich verfolgen, ist die erfolgreiche Einrichtung von Windows 2000 mit den in Ihrer Organisation bewährten Projektmanagementtechniken. Die Listen in den folgenden Abschnitten enthalten Punkte, die bei der Planung der Einrichtung zu berücksichtigen sind. BestmöglicheallgemeineVerfahren Die folgende Liste enthält allgemeine Verfahren, die sich für einige Organisationen, die früh auf Windows 2000 migriert sind, als die am besten geeigneten Verfahren erwiesen. ? Untersuchen Sie anhand des Organigramms Ihrer Organisation, in welchem
Umfang die Managementstruktur der Organisation den Anforderungen der Organisation und den Netzwerk-LAN-Verbindungen entspricht. Bauen Sie auf Grundlage dieser Überlegungen eine Active Directory-Infrastruktur auf. ? Legen Sie fest, in welchem Umfang Funktionen international ausgerichtet sein sollen, und welche Nachteile Sie dafür in Kauf nehmen können. ? Berücksichtigen Sie in Ihrem Zeitplan, dass das Testen des Produkts komplexer werden kann als ursprünglich geplant. ? Planen Sie die Anwendungsinstallation um Windows Installer. ? Legen Sie fest, wie die Zuständigkeiten für die Systemadministration aufgeteilt
werden, und geben Sie an, wer Administratorrechte erhalten soll.
Kapitel 2 Erstellen eines Einsatzwegweisers
57
? Legen Sie fest, welche Richtlinien auf einem normalen Benutzersystem gelten
sollen. ? Nutzen Sie die neuen Komponenten von Windows 2000. Integrieren Sie sie
überlegt, um ihren Einfluss auf die Leistung Ihrer Anwendung gering zu halten. ? Planen Sie genügend Zeit für die Installation von Windows 2000 Server ein –
ein Prozess, der mehrere Stunden in Anspruch nehmen kann. ? Nehmen Sie internationale Gesichtspunkte in Ihre Windows 2000-Fragenliste und Testüberwachungssysteme auf. ? Stellen Sie Arbeitsgruppen zusammen, um taskbasierte Architekturentscheidungen zu untersuchen. ? Schreiben Sie einen gut umsetzbaren Testplan und richten Sie ein Testlabor ein, das im Hinblick auf die verwendeten Hardware- und Softwaretypen Ihre Produktionsumgebung exakt abbildet. ? Aktualisieren Sie zunächst langsam. Wenn erste Erfolge eintreten, können Sie
die Geschwindigkeit des Prozesses und die Einrichtungsrate erhöhen. Einrichtungsphasen Ermitteln Sie, welche Reihenfolge für die Einrichtung von Windows 2000 in Ihren Organisationen allgemein am besten geeignet ist. Ein Unternehmen ist in der folgenden Reihenfolge vorgegangen: ? Definieren Sie die aktuelle Umgebung; ermitteln Sie dazu, welche Server- und
Clientbetriebssysteme derzeit in Ihrer Organisation eingesetzt werden. Untersuchen Sie, welche Funktionen sie besitzen und zu welchen Zwecken sie eingesetzt werden. ? Untersuchen Sie, ob sich die Benutzerzahl möglicherweise durch Zusammen?
? ? ? ? ?
schlüsse, Übernahmen, Umstrukturierungen oder Wachstum ändert. Untersuchen Sie, in welchem Maße die Serverumgebung skaliert werden muss (ermitteln Sie den Bedarf an Clustering und Lastenausgleich sowie Terminaldiensten). Entwerfen Sie die Active Directory-Struktur und nehmen Sie den DNS-Namespace auf. Aktualisieren Sie die Netzwerkinfrastruktur und Mitgliedsserver. Implementieren Sie Active Directory und Speicherverwaltung. Aktualisieren oder migrieren Sie die Clients auf Windows 2000 Professional. Implementieren Sie Desktop-Verwaltung mit Tools für Änderungen und Konfigurationsmanagement.
Gesichtspunkte für die Installation von Anwendungen Berücksichtigen Sie die folgenden Tipps, wenn Sie die Installation von Anwendungen in Ihren Organisationen planen. ? Investieren Sie früh in die Dokumentation der Installation. Nehmen Sie sich die
Zeit, bereits in einer frühen Phase des Produktentwicklungszyklus den Installationsprozess darzustellen. ? Beziehen Sie Entwickler in die Dokumentation der Installation ein. Dadurch
können bereits früh Abhängigkeiten entdeckt werden.
58
Teil I Planung ? Beachten Sie, dass Windows Installer-Validierungen die Anwendungsleistung
beeinflussen können. ? Vermeiden Sie, wenn irgend möglich, Neustarts während der Installation. ? Nehmen Sie keine Einträge in Win.ini, System.ini, Autoexec.bat oder
Config.sys vor. ? Geben Sie allen, die Ihre Anwendungen testen, vor, diese mit Windows Installer zu installieren. ? Beachten Sie, dass die Systemadministration Ihr Produkt in den Startmenüs
oder auf den Desktops der Benutzer ankündigen kann, ohne dass das Produkt vollständig installiert wird. Die Anwendung wird installiert, sobald auf eine Verknüpfung oder ein Dokument des Typs doppelgeklickt wird, den die Anwendung unterstützt. ? Gewinnen Sie ein Verständnis für Gesichtspunkte zum Systemdateischutz und planen Sie entsprechend. InternationaleGesichtspunkte Die folgenden Tipps helfen Ihnen bei der Planung internationaler Installationen. ? Vermeiden Sie Annahmen über die Sprachversion des Betriebssystems, das
Ihre Anwendung ausführt. ? Vermeiden Sie die Annahme, dass Gebietsschema, Codepage und Benutzerschnittstelle für eine vorgegebene Person oder einen vorgegebenen Computer zusammenpassen. ? Verwenden Sie Windows Installer. Die Anwendung ist sowohl in einer ANSI-
als auch in einer Unicode-Version verfügbar. ? Ermitteln Sie, welche Schriften benötigt werden. Oft sind für die Unterstützung international einsetzbarer Funktionen nur die richtigen Schriften erforderlich. ? Verwenden Sie die neuesten Windows 2000-Druckertreiber. Sie bieten die bestmögliche Unterstützung für internationale Funktionen. ? Überprüfen Sie bei der Isolierung von Problemen, die bei internationalen Installationen auftreten, sowohl die Anwendung als auch das Betriebssystem. Leistungsgesichtspunkte Das Aufrechterhalten eines hohen Leistungsstands ist wichtig, um die Ziele der meisten Einrichtungen zu erreichen. Die folgenden Tipps helfen Ihnen bei Ihren Plänen für eine Leistungsverbesserung. ? Verzögern Sie, wo immer es möglich ist, Startinitialisierungen. ? Vereinfachen Sie die Startbildschirme, damit weniger Grafikbits über das
Netzwerk gesendet werden. ? Berücksichtigen Sie Netzausfälle und allgemeine Gesichtspunkte zur Netzwerkleistung in Ihren Planungen. ? Verwenden Sie die von Windows 2000 für die Dateisysteme bereitgestellte Cacheschicht, wenn eine Freigabe offline geht. ServergespeicherteBenutzerprofileundTerminaldienste Die folgenden Tipps unterstützen Sie bei der Planung von Installationen für servergespeicherte Benutzerprofile und Terminaldienste.
Kapitel 2 Erstellen eines Einsatzwegweisers
59
? Wenn Sie das Szenario mit servergespeicherten Benutzerprofilen sorgfältig
planen, ist damit auch ein beträchtlicher Teil der Arbeit, die für die Implementierung von Terminaldiensten anfällt, nicht mehr erforderlich. ? Unterstützen Sie servergespeicherte Benutzerprofile und Statusseparation. ? Trennen Sie die Einstellungen für Einzelbenutzer von den Einstellungen für
Einzelcomputer. ? Schreiben Sie nicht vor, dass für die Einzelcomputereinstellungen Schreibzugriff erforderlich ist. ? Beachten Sie, dass reguläre Windows 2000-Benutzer Daten nur in ihren Benutzerprofilen ändern können. Es ist nicht möglich, mit Ihrer Anwendung Abschnitte der Unterstruktur HKEY_LOCAL_MACHINE in der Registrierung zu ändern. ? Melden Sie sich als Benutzer (nicht als Administrator) an, wenn Sie Ihre Anwendung ausführen. Testen Sie sie auf Computern, auf denen Benutzer keine Administratorrechte besitzen. Dadurch können Sie Probleme früh erkennen. Administration Berücksichtigen Sie beim Aufstellen Ihres Plans folgende Tipps, um die Administration der Windows 2000-Installation zu erleichtern. ? Stellen Sie sicher, dass die administrativen Funktionen Ihrer Anwendung so
einfach wie möglich sind, aber doch alle Funktionen bieten. Dies unterstützt die Einrichtung der Anwendung in kleinen oder mittelgroßen Organisationen, in denen keine eigenen Tools entwickelt werden. ? Unterstützen Sie Skripting in Ihrer Anwendung. Eine Strategie: Wenn Sie einen Anbieter für Windows Management Instrumentation (WMI) schreiben, haben Sie die Möglichkeit, kostengünstig einfache Skriptingunterstützung in Ihrer Anwendung bereitzustellen. ? Unterstützen Sie OnNow/ACPI-Anforderungen. Verwalten Sie Ruhezustand-
und Reaktivierungsbenachrichtigungen und -anforderungen. ? Beachten Sie, dass die Standardsicherheitseinstellungen im Vergleich zu Windows NT 4.0 für normale Benutzer erheblich enger gefasst wurden. Für Aufgaben, die sie unter Windows NT 4.0 noch ausführen konnten, müssen sie unter Windows 2000 unter Umständen Hauptbenutzer sein.
60
Teil I Planung
Planungstaskliste In Tabelle 2.6 sind die Tasks zusammengefasst, die Sie für die Erstellung des Windows 2000-Einsatzwegweisers ausführen müssen. Tabelle 2.6 Taskliste für Einsatzwegweiser Task
Kapitel
Einen Projektmanagementprozess definieren, der wichtige Meilensteine und Projektergebnisse benennt, die den Anforderungen Ihres Unternehmens entsprechen. Während der Entscheidung für bestimmte Funktionen, die eingerichtet werden sollen, deren Technologieabhängigkeiten im Zusammenhang mit anderen Windows 2000-Funktionen und -Technologien untersuchen.
Vorbereiten des Projektplanungsprozesses
Einschränkungen im Projektmanagement benennen, die die Einrichtung beeinflussen können. Beispiele hierfür sind finanzielle Einschränkungen oder Einschränkungen bei den Personalressourcen, weiterhin organisatorische Logistik wie die Umsetzung der Urlaubsplanung oder Gesichtspunkte im Zusammenhang mit dem Bestand am Jahresende. Einen Prozess für die Risikobewertung entwickeln und eine umfassende Risikoanalyse vorbereiten. Die Reihenfolge festlegen, in der die Einrichtung umgesetzt wird. Einen Projektplan für Ihre Organisation aufstellen, der sich auf Windows 2000-Funktionen, Einrichtungsteams, Zeitpläne und dazugehörige Abhängigkeiten konzentriert.
Funktionsentwurf und -entwicklung
Ermitteln von Zielsetzungen
Ermitteln von Zielsetzungen Bereitstellungsszenarios Bereitstellungsszenarios
Weitere Informationen zum Projektmanagement finden Sie unter dem Hyperlink „Microsoft Solutions Framework“ auf der Seite für Webressourcen unter http://windows.microsoft.com/windows2000/reskit/webresources.
61
K A P I T E L
3
Planen des Einsatzes
Nachdem Sie die Projektmanagementstruktur für Ihre Einsatzplanung festgelegt haben, können Sie damit beginnen, die Einzelheiten Ihres Plans auszuarbeiten. In diesem Kapitel erhalten Sie Informationen für die Ausarbeitung bestimmter Abschnitte Ihres Projektplans. Das Projektmanagement muss beispielsweise die Personalanforderungen ermitteln, Einrichtungsteams zusammenstellen, festlegen, welche Planungsunterlagen erstellt werden sollen, sowie eine Lückenanalyse durchführen und eine Funktionsbeschreibung erstellen. Microsoft hat zwar festgestellt, dass die in diesem Kapitel beschriebenen Methoden zu einer erfolgreichen Einrichtung beitragen, es handelt sich aber um Empfehlungen, die an die Anforderungen und die Struktur Ihrer Organisation angepasst werden können. Inhalt dieses Kapitels Festlegen der Einzelheiten des Projektplans 62 Testen von Windows 2000 und Durchführen eines Pilotprojekts Zusammenstellen von Unterlagen für die Projektplanung 71 Einrichten von Windows 2000 81 Taskliste für die Einsatzplanung 82
70
Zielsetzungen Mit den Informationen in diesem Kapitel können Sie folgende Planungsunterlagen zusammenstellen: ? Projektumfang und -zielsetzungen ? Personalbedarf und Projektteams ? Lückenanalyse ? Administrative Pläne ? Kommunikationsstrategie ? Schulungsplan ? Risikobewertungsmatrix
Weiterführende Informationen in der technischen Referenz ? Weitere Informationen zum Aufstellen des Projektplans finden Sie unter „Erstellen eines Einsatzwegweisers“ in diesem Buch. ? Weitere Informationen zum erfolgreichen Ausführen eines Microsoft® Windows® 2000-Pilotprojekts finden Sie unter „Ausführen des Pilotprojekts für Windows 2000“ in diesem Buch.
62
Teil I
Planung ? Weitere Informationen zum Entwerfen eines Testlabors und zum Bewerten der
Windows 2000-Funktionen finden Sie unter „Erstellen eines Testlabors für Windows 2000“ in diesem Buch.
Festlegen der Einzelheiten des Projektplans Damit Sie Windows 2000 optimal nutzen können, müssen Sie die Einrichtung sorgfältig planen. Ihr Projektplan enthält verschiedene Aspekte Ihres Geschäftsbetriebs und der technischen Infrastruktur Ihres Netzwerks. Berücksichtigen Sie zu Beginn die in den folgenden Abschnitten beschriebenen Schritte.
Projektumfang und -zielsetzungen Der erste Schritt in der Einsatzplanung ist die Definition der Projektziele. In diesem Schritt benennen Sie die spezifischen geschäftlichen Ziele, die Sie erreichen möchten, und wie Windows 2000 Ihnen helfen kann, diese Ziele zu erreichen. Diese Strategie hilft Ihnen auch dabei, die für Sie am besten geeigneten Windows 2000-Funktionen auszuwählen. Geben Sie in Ihren Projektzielsetzungen die speziellen geschäftlichen Angelegenheiten an, mit denen Sie sich befassen müssen. Nehmen Sie spezielle, kurzfristige Zielsetzungen auf, wie beispielsweise „Windows 2000 bis zum Ende des Quartals auf 2.500 Computern einrichten“, aber auch allgemeinere, langfristige Zielsetzungen wie beispielsweise „die laufenden Kosten für Softwareverteilung reduzieren“. Legen Sie Ihre Zielsetzungen fest, bevor Sie die Einsatzplanung fortsetzen, denn sie beeinflussen, was Sie durchführen und wie Sie es durchführen. Klare Zielsetzungen helfen Ihnen, auf dem eingeschlagenen Weg zu bleiben. Geben Sie beim Dokumentieren des Projektumfangs die Bereiche, Funktionen und Umgebungen an, die Ihre Windows 2000-Implementierung abdeckt. Es könnte beispielsweise für Sie von Interesse sein, einen älteren Dateiserver zu aktualisieren, nicht aber Active Directory in der gesamten Infrastruktur einzurichten. In Tabelle 3.1 sind einige allgemeine geschäftliche Angelegenheiten und Projektzielsetzungen skizziert, die mit Windows 2000 zusammenhängen. Beachten Sie, dass diese Tabelle nur ein Beispiel darstellt. Damit Sie Ihre eigenen Zielsetzungen ableiten können, müssen Sie Ihre eigenen geschäftlichen Angelegenheiten bewerten. Sie werden unter Umständen feststellen, dass eine einzelne geschäftliche Angelegenheit durch eine Reihe von Projektzielsetzungen behandelt werden kann oder eine einzelne Projektzielsetzung eine Reihe von geschäftlichen Angelegenheiten abdecken kann. Tabelle 3.1 Beispiel für geschäftliche Angelegenheiten und Projektzielsetzungen im Zusammenhang mit Windows 2000 Geschäftliche Angelegenheit
Projektzielsetzung
Gesamtbetriebskosten durch Verlängern der Betriebsdauer älterer Systeme erhöhen.
Mit Terminaldiensten Windows 2000Desktop-Funktionalität für die Systeme bereitstellen, für die anderenfalls eine Aktualisierung erforderlich wäre. Mit Microsoft® Active Directory™ Informationen über alle Objekte im Netzwerk speichern.
Das Finden von Ressourcen im Netzwerk und den Zugriff auf die Ressourcen vereinfachen.
Kapitel 3 Planen des Einsatzes
63
(Fortsetzung) Geschäftliche Angelegenheit
Projektzielsetzung
Mobile Benutzer unterstützen, indem ihnen von mehreren Computern aus der Zugriff auf ihre Dokumente und Systeminformationen ermöglicht wird.
Mit servergespeicherten Benutzerprofilen Desktopeinstellungen und Dokumente auf einen Speicherort im Netzwerk kopieren, damit Personen überall dort, wo sie sich anmelden, auf ihre Einstellungen und Dokumente zugreifen können.
Personalbedarf Organisieren Sie Ihr Einrichtungsteam und ordnen Sie dann den Teammitgliedern bestimmte Rollen zu. Je nach Größe Ihrer Organisation und der Komplexität Ihrer Einrichtung sollten Sie auch Untergruppen bilden. Bewerten Sie die Schlüsselkompetenzen Ihres IT-Personals. Beziehen Sie auch seine Erfahrung im Hinblick auf Windows 2000-Technologien in die Bewertung ein. Entscheiden Sie dann, wie Sie bei Defiziten verfahren. In der folgenden Liste finden Sie Optionen, die Sie für Schulungen in Betracht ziehen sollten: ? Beginnen Sie erst mit der Einrichtung, wenn das Personal umfassend in den
neuen Technologien geschult ist. ? Verlagern Sie Teile der Arbeit nach außen, um Schwachpunkte abzudecken. Veranlassen Sie dann, dass dem Personal die erforderlichen Fähigkeiten von den externen Mitarbeitern vermittelt werden. ? Verlagern Sie die Einrichtung, den Support und die Verwaltung für Ihr Unternehmen nach außen. Wichtig Sich eine Person zu sichern, die das Projekt trägt und die allgemeinen Anforderungen vertritt, die die Organisation an das Projekt stellt, ist in der Regel entscheidend für den erfolgreichen Verlauf. Diese Person kann dazu beitragen, dass das Einrichtungsteam ein Verständnis für seine Ziele gewinnt und diese Ziele erreicht.
Organisieren des Einrichtungsteams Der Personalbedarf kann sich während der Planung und Einrichtung von Windows 2000 ändern, für die Einrichtung von Betriebssystemen ist aber in der Regel eine Reihe von Personen erforderlich. Nehmen Sie für eine große Organisation mindestens zwei oder drei Personen, die für die Betriebssystemadministration erforderlich sind, in Ihr zentralisiertes Team auf. Nehmen Sie auf jeden Fall auch Helpdesk- oder Supportpersonal auf. Versuchen Sie von Beginn an, Personen in Ihr Einrichtungsprojekt einzubeziehen, die das Unternehmen sehr gut kennen, und geben Sie ihnen einen Überblick über Windows 2000 und seine Vorteile. Dieser Personenkreis kann Ihnen helfen, die allgemeineren Anforderungen Ihrer Organisation zu erfüllen. Wenn es sich bei Ihrer Organisation um eine internationale Organisation handelt, sollten Sie wichtige Personen von Standorten in anderen Länderneinbeziehen. Nehmen Sie Personen auf, die an Schulungen für das Betriebssystem Windows 2000 teilgenommen haben und ein umfassendes Verständnis für Ihre Netzwerkumgebung besitzen.
64
Teil I
Planung
Die Mitglieder eines Kernteams, das aus Fachleuten aus den Bereichen Sicherheit, Netzwerk, Interoperabilität und Anwendungen besteht, könnten auch die Untergruppen in ihrem Fachgebiet leiten. Teammitglieder müssen detailorientierte Projektmanagementerfahrung besitzen, weiterhin praktische technische Erfahrungen und die Fähigkeit, innovativ zu arbeiten und neue Technologien schnell und unabhängig zu bewältigen. Sie benötigen außerdem in hohem Maße ausgeprägte analytische Fähigkeiten, um die Projektvision mit den Einzelheiten verknüpfen zu können, die zur Erfüllung der Vision erforderlich sind. Nehmen Sie die Unterlagen für den Umfang und die Zielsetzungen des Projekts als Richtlinie, um festzulegen, welche Untergruppen für das Planen und das Testen der Einrichtung derjenigen Funktionen zuständig sind, die eingesetzt werden sollen. Sie sollten überlegen, ob Sie Ihr Kernteam für die Einrichtung in ein Server- und ein Clientteam aufteilen und die Zuständigkeiten für die Untergruppen wie in der folgenden Liste aufgeführt delegieren: ? Basisserverteam ? Active Directory ? Domain Name System (DNS) ? Netzwerkentwurf ? Dynamic Host Configuration Protocol (DHCP) und Windows Internet
Name Service (WINS) ? Sicherheit ? Tools für die Administration ? Microsoft Exchange Server und E-Mail ? Basisclientteam ? Client- und Desktopfunktionen wie Microsoft ® IntelliMirror™ ,
Betriebssystem und Anwendungsinstallation sowie vorhandene Anwendungen. ? Notebook- und Laptopgesichtspunkte wie Energieverwaltung, Docking, Remotezugriff und servergespeicherte Profile. Planen Sie Ihre Teams so, dass sie die interne Struktur widerspiegeln, weiterhin die geschäftlichen Anforderungen und die Windows 2000-Funktionen und -Dienste und die Art und Weise, in der Sie sie einsetzen möchten. Die Organisation Ihrer Einrichtungsteams spiegelt die oben dargestellten Rollen wider. Eine Möglichkeit, ein Einrichtungsteam zu organisieren, ist in Tabelle 3.2 dargestellt. Tabelle 3.2
Beispiel für Einrichtungsteams
Team
Zuständigkeiten
Lenkung
Die Leitung aller anderen Teams für Gesamtkoordination und -kommunikation einbeziehen. Personen aufnehmen, die strategisch planen und die Abläufe in der Organisation kennen – Personen, die beispielsweise wissen, dass vorhandene Systeme implementiert sind und warum sie benötigt werden.
Kapitel 3 Planen des Einsatzes
65
(Fortsetzung) Team
Zuständigkeiten
Planung und Koordination
Behandelt Support und Schulung, Unternehmensplanung, Planung vor der Migration, unternehmenswichtige Systeme und Consulting von Drittanbietern. Lösungen auf folgenden Gebieten entwickeln und testen: Clustering, Hierarchical Storage Management (HSM), Sicherung, Wiederherstellung, Terminaldienste, Integration und Hardwareanforderungen. Befasst sich mit dem Domänenmodell, Active Directory, LAN-Gesichtspunkten, Telekommunikation, verteiltem Dateisystem (DFS), globalem Dateizugriff, Domain Name System (DNS) und Remotezugriff. Entwickelt Standards für Internet-, Intranet- und Extranetdienste sowie Domänensicherheit und Richtlinienimplementierung. Systems Network Architecture (SNA), Kerberos-Verknüpfungen mit Mainframes und UNIX sowie UNIX/MainframeIntegration, NetWare- und OS/2-Integration/-Koexistenz.
Server
Infrastrukturentwurf
Sicherheit
Interoperabilität
Anwendungsintegra-tion
Integration von Messaging-, Datenbank- und Arbeitsgruppenanwendungen und -Suites, Internettools sowie Unternehmensanwendungen und Anwendungen von Drittanbietern.
Netzwerk
Verzeichnisaktivierte Netzwerklösungen untersuchen, testen und entwickeln.
Client
Lösungen für Anwendungen, Aktualisierung/Migration, Hardware und Laptops finden und testen.
Desktopadministration
Die Pläne der Organisation für Änderungs- und Konfigurationsmanagement entwickeln und testen; dazu gehören Gruppenrichtlinien, Softwareinstallation und Verwaltung von Benutzerdaten und Einstellungen.
Ausschuss für die Entgegennahme von Anregungen
Setzt sich aus Personen aus dem Benutzerkreis zusammen. Gibt Feedback zu den Entscheidungen des Einrichtungsteams.
Zuordnen von Rollen in Windows 2000-Teams Die Tätigkeiten im Zusammenhang mit der Einrichtung von Windows 2000 gliedern sich in zahlreiche Kategorien. In kleinen Implementierungsprojekten füllt eine Person unter Umständen mehrere Rollen aus, in großen Implementierungsprojekten wird eventuell verschiedenen Personen eine Rolle zugewiesen. Beachten Sie, dass Windows 2000 sich bei der Aktivierung von Verzeichnisdiensten erheblich von Umgebungen unterscheidet, in denen Verzeichnisdienste nicht verwendet werden. Für die Verwendung von Verzeichnisdiensten muss die IT-Organisation entsprechende Schulungen erhalten und langsam in eine neue Support- und Administrationsstruktur migriert werden. Diese Änderung beeinflusst die gesamte Organisation und erfordert im Vergleich zu einer normalen Aktualisierung ein noch höheres Maß an Managementausbildung und -beteiligung.
66
Teil I
Planung
In Tabelle 3.3 sind die Rollen, Zuständigkeiten, Anforderungen, und Arbeitsbelastungsvariablen beschrieben, die Sie für Ihren Personalbedarf im Zusammenhang mit Windows 2000 berücksichtigen müssen. Tabelle 3.3 Rollen für die Verwaltung von Windows 2000 Rollen und Zuständigkeiten
ErforderlicheFähigkeiten
IT-Management oder Projektträger Legt Prioritäten für die Windows 2000Infrastruktur fest. Legt die geschäftliche Grundlage für das Projekt fest. Definiert die Vision für die Einrichtung und sichert die Finanzierung. Tritt sowohl für das Team als auch für die Organisation ein. Beseitigt Hindernisse, kontrolliert die Balance zwischen Funktionen und engem Zeitplan und ist für den Kommunikationsplan zuständig. Projektmanagement Forciert die wichtigen Entscheidungen, die für die Freigabe der Windows 2000Infrastruktur notwendig sind. Entwickelt zusammen mit dem Einrichtungsteam Lösungen und definiert den Umfang der Einrichtung. Erstellt zusammen mit anderen Teammitgliedern die Funktionsbeschreibung. Vereinfacht die tägliche Koordination für die Bereitstellung der Windows 2000-Systeme in Übereinstimmung mit den organisatorischen Standards und den Zielen für die Interoperabilität. Forciert allgemeine wichtige Entscheidungen, bei denen möglicherweise Nachteile in Kauf genommen werden müssen. Entwicklung/Entwurf Bewertung technischer Lösungen, die beim Entwurf und bei der Entwicklung der Windows 2000-Infrastruktur eingesetzt werden sollen. Definition der Strategie für die einzelnen Windows 2000-Funktionen, die während der Einrichtung freigegeben werden. Spielt eine fundamentale Rolle im Entwurf der anfänglichen Infrastruktur. Entwirft die für die Implementierung erforderliche Infrastruktur und baut diese auf. Fachleute für Themen/technische Punkte Zuständig für den Entwurf und die Entwicklung von Strategien für ihre Themenbereiche. Leiten die Untergruppen.
Verständnis für die geschäftlichen Probleme der Organisation und die Lösungen, die Windows 2000 bieten wird. Kenntnis der Hauptfunktionen und -leistungsmerkmale von Windows 2000 Server und Windows 2000 Professional.
Detaillierte Kenntnisse über die Funktionalität von Windows 2000 Server und Windows 2000 Professional. Fähigkeit, die Ziele der Geschäftsführung mit den Zielen des Projektteams zu koordinieren.
Erfahrung in der Entwicklung von komplexen Betriebssystemdiensten. Verständnis für die technischen Anforderungen bei der vorhandenen und der neuen Netzwerkinfrastruktur.
Umfangreiche technische Erfahrungen in den jeweiligen Fachbereichen und im Zusammenhang mit Windows 2000. Detailorientierte Projektmanagementerfahrungen.
Kapitel 3 Planen des Einsatzes
67
(Fortsetzung) Rollen und Zuständigkeiten
Erforderliche Fähigkeiten
Testen Hilft bei der Entwicklung der ersten Lösungsentwürfe. Stellt sicher, dass dem Team alle Fragen bekannt sind und dass diese Fragen vor der Produktionseinführung bearbeitet wurden. Entwirft Testlabore und baut diese auf und führt alle Tests und Validierungen vor der Produktionseinführung durch. Führt Skalierbarkeitsanalysen und Leistungstests durch.
Vertrautheit mit Windows 2000 Server und dazugehöriger Netzwerkhardware oder Windows2000 ProfessionalKonnektivität. Erfahrung im Entwerfen, Ausführen und Debuggen von Tests. Erfahrung im Testen von Anwendungen.
Dokumentation Unterstützt die Entwicklung von Projektdokumentation einschließlich der Planungsunterlagen, Berichte und Whitepapers. Kann schreibendes, bearbeitendes und produzierendes Personal umfassen. Benutzerschulung Tritt für die Benutzerinnen und Benutzer ein. Bewertet Benutzeranforderungen, legt Schulungszielsetzungen fest und entwickelt Schulungsprogramme, um Benutzern die optimale Nutzung der Windows 2000-Infrastruktur zu ermöglichen.
Vertrautheit mit relevanten Technologien. Erfahrungen in Kommunikation, Schreiben und Bearbeiten sowie Kenntnisse in der technischen Dokumentation.
Logistikmanagement Gewährleistet reibungslose Einführung, Installation und Migration für die Betriebsund Supportgruppen, einschließlich Helpdesk und Schulung.
Vertrautheit mit dem IT-System der Organisation, der Netzwerkinfrastruktur und den Windows 2000-Funktionen. Kenntnisse über Lösungen zur Selbsthilfe und Präsentationssoftware. Erfahrungen in Kommunikation und Schulung. Gute Kenntnisse über die Funktionen und die Funktionsabläufe von Windows 2000 Server und Windows 2000 Professional.
Bei der Untersuchung Ihrer administrativen Anforderungen stellen Sie unter Umständen fest, dass Sie die aktuelle Organisation verändern möchten. Nutzen Sie diese Gelegenheit, um festzustellen, wie das System gegenwärtig verwaltet wird und ob eine Umstrukturierung nützlich wäre. Wenn zum Beispiel zwei getrennte Teams Microsoft Exchange und Microsoft® Windows NT ® verwalten, sollten Sie in Betracht ziehen, ein eigenes Team für die Verwaltung von Windows 2000 zusammenzustellen.
Aktuelle Computerumgebung Bevor Sie die Windows 2000-Umgebung entwerfen, müssen Sie ein umfassendes Verständnis für die aktuelle Computerumgebung gewinnen. Die Dokumentation der vorhandenen Computerumgebung hilft Ihnen, die Struktur Ihrer Organisation zu verstehen und zu erkennen, und wie sie die Benutzer unterstützt. Sie hilft Ihnen außerdem, Ihren Windows 2000-Einsatzplan aufzustellen. Diagramme sind hilfreich beim Umgang mit komplexen Konzepten wie beispielsweise dem Netzwerklayout. Wo es angebracht ist, erstellen Sie solche Diagramme und nehmen Sie sie in Ihre Projektplanunterlagen auf.
68
Teil I
Planung
Weitere Informationen zu Netzwerkdiagrammen finden Sie unter „Vorbereiten der Netzwerkinfrastruktur für Windows 2000“ und „Bestimmen der Strategien für die Netzwerkverbindung“ in diesem Buch. Dokumentieren Sie bei der Überprüfung der aktuellen Computerumgebung auf jeden Fall folgende Punkte: Geschäftliche Organisation und geographische Anforderungen Beschreiben Sie die Standorte und die Organisation der Unternehmenseinheiten. Befinden sich große Gruppen von Mitarbeiterinnen und Mitarbeitern in geographisch weit voneinander getrennten Gebieten oder sind sie alle nahe beieinander? Stehen die Unternehmenseinheiten in engen Beziehungen zueinander oder unterscheiden sich ihre Anforderungen deutlich voneinander? Wichtigegeschäftliche Prozesse Wenn Sie wichtige geschäftliche Prozesse ändern, nehmen Sie Diagramme auf, die diese Prozesse darstellen und erläutern, wie die neue IT-Infrastruktur sie beeinflussen wird. In einigen Organisationen könnte beispielsweise ein wichtiges Ziel bei der Einrichtung von Windows 2000 darin bestehen, die Administration auf lokales Administrationspersonal zu verteilen. Durch die verteilte Administration kann das Administrationspersonal besser auf die Anforderungen der lokalen Benutzerinnen und Benutzer reagieren. Wenn dies der Fall ist, erstellen Sie ein Modell, das darstellt, wie durch den Gesamtplan dieses Ziel erreicht wird. Informationsarchitektur Stellen Sie in dem Diagramm zu den wichtigen geschäftlichen Prozessen dar, wie die Informationen, die zum Treffen von wichtigen Entscheidungen erforderlich sind, zur richtigen Zeit am richtigen Ort zur Verfügung gestellt werden. Sind beispielsweise Verkauf und Marketing in der Lage, für Kundenaufträge genaue Liefertermine zu bestätigen? Überprüfen Sie in Ihrem konzeptionellen Entwurf, ob wichtige Datenspeicher gut organisiert und leicht zugänglich sind. Anwendungsanforderungen Führen Sie eine vollständige Bestandsaufnahme der Anwendungen durch, die in Ihrer Organisation eingesetzt werden. Nehmen Sie alle selbstprogrammierten (internen) Anwendungen auf. Achten Sie bei der Dokumentation der Computerumgebung auch darauf, zu welchen unterschiedlichen Aufgaben die Computer eingesetzt werden und wie der Wechsel auf Windows 2000 diese Arbeiten beeinflussen wird. Wenn beispielsweise eine alte Unternehmensanwendung eingesetzt wird, die auf bestimmte ODBC-Treiberversionen angewiesen ist, muss diese Anwendung getestet werden, um sicherzustellen, dass sie funktioniert. Technologiearchitektur Nehmen Sie bei der Dokumentation der Netzwerkarchitektur auf jeden Fall Topologie, Größe, Typ und Verkehrsverlauf auf. Bedeutende Änderungen, die Sie für die Technologiearchitektur planen, beispielsweise in den Bereichen Hardware, Netzwerk und Dienste, müssen in Übersichtsdiagrammen dargestellt werden. Aktuelle und zukünftige IT-Standards Im Laufe der Zeit werden die Netzwerk- und Anwendungsstandards in vielen Organisationen aufgesplittert oder sie veralten. Dies ist häufig in Organisationen der Fall, die sich mit anderen Unternehmen zusammengeschlossen oder sie übernommen haben. Nicht zueinander passende Systeme, die über einen langen Zeitraum aufgebaut, von verschiedenen Personen entworfen wurden und oft geographisch getrennt sind, stellen ein potentielles Risiko für eine erfolgreiche Einrichtung dar. Eine Prüfung der vorhandenen Systeme trägt zum Erfolg des Einrichtungsteams bei.
Kapitel 3 Planen des Einsatzes
69
AdministrativesModell Durch die Untersuchung des vorhandenen administrativen Modellsidentifizieren Sie die administrativen Tasks, die das IT-Personal in allen Bereichen Ihrer Organisation ausgeführt hat. Dies hilft Ihnen bei der Entscheidung, ob Sie Aspekte des vorhandenen administrativen Betriebsentwurfs ändern müssen, damit Sie Funktionen von Windows 2000, die Sie einsetzen möchten, aufnehmen können.
Festlegen von Standards und Richtlinien Viele Organisationen stellen fest, dass durch die Aufstellung von Standards und Richtlinien für Windows 2000 Zeit und Geld eingespart werden kann. Dies rührt daher, dass eine Standardumgebung das Potential für zu viele Konfigurationskombinationen reduziert und damit die administrative und architektonische Arbeitsauslastung effizienter gestaltet. Nehmen Sie als Grundlage für diese Standards, wie Computer vom Personal eingesetzt werden. Personen, die mit CAD befasst sind, haben beispielsweise höhere Anforderungen als andere, die allgemeine Büroanwendungen einsetzen. Damit Sie optimale Ergebnisse erzielen, legen Sie Standardkonfigurationen für Clients und Server fest. Nehmen Sie Richtlinien auf mit Mindestanforderungen und empfohlenen Werten für CPU, RAM und Festplatten sowie für Zubehör wie CDROM-Laufwerke und unterbrechungsfreie Stromversorgung. Bestimmen Sie die Standardsoftwarekonfigurationen, die in Ihrer Organisation eingesetzt werden. Nehmen Sie Betriebssysteme und andere Anwendungen sowie Richtlinien auf, wie diese Software verteilt wird, welcher Support für sie geleistet wird und in welchem Umfang ihre Verwendung Einschränkungen unterliegt. Stellen Sie Richtlinien für die in Ihrer Organisation verwendeten Netzwerkbetriebssysteme und -protokolle auf. Nehmen Sie Standardkonfigurationen für alle Netzwerkkomponenten auf (z. B. Router, Hubs und Repeater). StellenSie Richtlinien für den Support und die Verwaltung dieser Konfigurationen auf. Führen Sie schließlich die für Windows 2000 erforderlichen neuen Standards und Richtlinien ein. Dazu gehören Schemaverwaltung und -überwachung, Standortentwurf und Benennungsstandards.
Durchführen einer Lückenanalyse Vergleichen Sie die aktuelle Computerumgebung mit der zukünftigen, auf Ihren Projektzielsetzungen basierenden Umgebung. Die Lücke zwischen der bestehenden Umgebung und Ihren Zielen hilft Ihnen, die Funktionen von Windows 2000 zu benennen, die eingerichtet werden sollen. Die wichtigsten Schritte für die Durchführung einer Lückenanalyse sind: ? Bestimmen Sie die Lücke zwischen der heutigen Arbeitsweise des Personals
und der von Ihnen angestrebten Arbeitsweise nach Abschluss der Einrichtung. Computer und Betriebssysteme sind nur dann wertvoll für Ihr Geschäft, wenn sie für das Personal wertvoll sind. Eine erfolgreiche Einrichtung schließt die Lücke zwischen der heutigen Arbeitsweise des Personals und der Arbeitsweise, die ihm das neue System nach Abschluss der Einrichtung ermöglicht. Wenn das Team später damit beginnt, die Erfolgsrate zu messen, ist das wichtigste Messergebnis, wie das System die Arbeit derjenigen verbessert hat, die es einsetzen.
70
Teil I
Planung ? Sofern vorhanden, gehen Sie die Unterlagen früherer Computer- und Netz-
?
?
?
?
werkaktualisierungen durch. Die vorhandenen Unterlagen bieten nicht nur nützliche Informationen über die aktuelle Computerumgebung, sie könnten auch ein Schema darstellen, nach dem Sie in Ihrem Entscheidungsprozess vorgehen. Gehen Sie die von Hardware- und Softwareherstellern erhaltenen Unterlagen durch. Unterlagen zu der aktuellen Hardware und Software in Ihrer Infrastruktur unterstützen Sie bei der Entscheidung, ob Computerressourcen aktualisiert oder ausgetauscht werden sollten. Benennen Sie Tasks und bestimmen Sie die Ressourcenanforderungen für die einzelnen Tasks. Nachdem Sie die Tasks angegeben und ermittelt haben, welche Ressourcen für die Ausführung dieser Tasks erforderlich sind, können Sie festlegen, welche Gruppen innerhalb der Organisation einbezogen werden müssen und ob zusätzliche externe Ressourcen benötigt werden. Aktualisieren Sie Unterlagen wie Kalkulationstabellen oder Zeitpläne mit Planungs-, Arbeits- und Ressourcenzuordnungen. Diekontinuierliche Aktualisierung von Unterlagen erleichtert die Planung von Arbeitszeitplänen und die Zuordnung von Ressourcen. Senden Sie die Unterlagen zur Lückenanalyse zur Genehmigung an die entsprechenden Entscheidungsträger in Ihrer Organisation. Wenn die Genehmigung erteilt wird, können Sie mit dem Projekt beginnen; anderenfalls müssen Sie die Unterlagen ändern und erneut den Genehmigungsprozess durchlaufen, bevor Sie mit der Implementierung beginnen.
Spezifische Planungs- und Entwurfsrichtlinien werden in allen Abschnitten dieser Dokumentation bereitgestellt.
Testen von Windows 2000 und Durchführen eines Pilotprojekts Testen Sie Ihren Windows 2000-Entwurf in einem Labor, bevor Sie Windows 2000 einsetzen. In den ersten Planungsphasen müssen Sie Standorte für Tests und Pilotprojekte auswählen und Hardwareanforderungen bewerten. Sobald das Labor in Betrieb ist, gewinnen Sie mit ihm ein besseres Verständnis für das Produkt, können die Richtigkeit von Konzepten belegen und Lösungen validieren. Gehen Sie davon aus, dass das Labor sich im Verlauf des Projekts entwickelt. Nehmen Sie allgemein so viele Einzelheiten wie möglich in Ihre Testplanunterlagen auf, damit die Test- und Einrichtungsteams alle Informationen haben, die sie für eine erfolgreiche Arbeit benötigen. Beschreiben Sie in Ihrem Testplan den Umfang, die Zielsetzungen, Methoden, den Zeitplan und die Ressourcen (Hardware, Software, Personal, Schulung und Tools). Die einzelnen Teams und Untergruppen müssen für ihre technischen Fachbereiche eigene Testpläne aufstellen und Testfälle verfassen. Testfälle beschreiben, auf welche Weise getestet werden soll. Dadurch ist es möglich, Testergebnisse zu replizieren und zu vergleichen. In den Anfangsphasen des Projekts liegt der Schwerpunkt der Tests auf den Komponenten, um die Entwürfe zu validieren. Später verlagert sich der Schwerpunkt der Tests auf die Interoperabilität der Komponenten, um zu gewährleisten, dass sie alle gemeinsam eingesetzt werden können. Sie müssen die Kompatibilität von Anwendungen mit Windows 2000 testen. Testen Sie zu Beginn die Funktionen, die
Kapitel 3 Planen des Einsatzes
71
für Ihre Organisation unternehmenswichtig sind und bei denen die Änderung des ausgewählten Entwurfs kosten- und zeitintensiv wäre. Nehmen Sie einen Plan auf, mit dem alle auftretenden Fragen jeweils an die Person weitergeleitet werden, die am ehesten in der Lage ist, in der betreffenden Situation eine Lösung zu finden. Ein klar definierter Weiterleitungsprozess unterstützt das Team dabei, sich auf die Lösung zu konzentrieren und unmittelbar Korrekturmaßnahmen zu ergreifen. Wenn Sie Active Directory einrichten, testen Sie auf jeden Fall die Anwendungen mit dem Verzeichnisdienst. Nachdem Sie Ihre Windows 2000-Einrichtung in der Laborumgebung verifiziert haben, führen Sie mindestens ein Pilotprojekt durch, bevor Sie mit der allgemeinen Einrichtung beginnen. Das Pilotprojekt ist für die endgültige Einrichtung bestimmend; es ist daher wichtig, auf alle Aspekte des Projekts umfassend vorbereitet zu sein. Sie müssen ermitteln, wie viel Zeit die Installation in Anspruch nimmt, wer benötigt wird, welche Tools benötigt werden, um den Prozess zu vereinfachen, und müssen den Gesamtzeitplan aufstellen. Das Pilotprojekt bietet die Möglichkeit, Ihre Einsatzplanung zu testen. Es bietet weiterhin die Möglichkeit, das Supportpersonal zu schulen und die Benutzerreaktionen auf das Produkt zu messen und auf diese Weise im Voraus auf Supportanforderungen einzugehen. Weitere Informationen zum Einrichten eines Testlabors finden Sie unter „Erstellen eines Testlabors für Windows 2000“ in dieser Dokumentation. Weitere Informationen zu Pilotprojekten finden Sie unter „Ausführen des Pilotprojekts für Windows 2000“ in diesem Buch. Hinweis Schließen Sie Ihr Pilotprojekt ab, bevor Sie mit der Produktionseinrichtung im großen Rahmen fortfahren. Dokumentieren Sie nach Abschluss der einzelnen Phasen des Pilotprojekts die Ergebnisse, überprüfen Sie, ob die Projektanforderungen erfüllt wurden, und überarbeiten Sie den Plan nach Bedarf. Lösen Sie alle größeren Probleme, bevor Sie mit der Phase der Einrichtung im großen Rahmen beginnen. Stellen Sie sicher, dass alle Aspekte Ihrer Produktionsumgebung im Pilotprojekt enthalten sind. Wenn Sie beispielsweise eine internationale Einrichtung mit mehreren Sprachen durchführen, stellen Sie sicher, dass Ihr Pilotprojekt sich erfolgreich mit internationalen und sprachbezogenen Gesichtspunkten befasst.
Zusammenstellen von Unterlagen für die Projektplanung Im gesamten Verlauf Ihres Projekts müssen Sie eine Reihe von Unterlagen zusammenstellen, die Ihre Vision definieren, für Unterstützung werben, Richtlinien bieten und den Einrichtungsprozess zusammenfassen. Unabhängig davon, ob sich diese Informationen in wenigen oder zahlreichen Dokumenten befinden, nehmen Sie die in den folgenden Abschnitten besprochenen Informationen auf.
72
Teil I
Planung
Administrative Dokumente Die administrativen Dokumente sind Teil Ihres Projektplans. Sie helfen Ihnen, Ihre Zielsetzungen zu definieren, kontinuierlich vorbereitet zu sein und im Zeitplan zu bleiben. Nehmen Sie folgende Informationen in Ihre administrativen Dokumente auf:
Kapitel 3 Planen des Einsatzes
73
Umfang und Zielsetzungen Stellen Sie wie zuvor beschrieben sicher, dass Ihr Plan klar die Projektzielsetzungen und den Umfang festlegt und Methoden bereitstellt, mit denen Fortschritt und Erfolg gemessen werden können. Phasen und Meilensteine Legen Sie Projektphasen fest, damit Ihr Personal die Zeit hat, sich zu orientieren, und damit Sie mit Hilfe dieser Phasen die Annahmen überprüfen können, zu denen Sie in der Planungsphase gelangt sind. Gehen Sie davon aus, dass zumindest ein Teil des Prozesses schrittweise abläuft. Legen Sie Meilensteine fest und überwachen Sie diese, damit das Projekt wie geplant verläuft. Weitere Informationen finden Sie unter „Erstellen eines Einsatzwegweisers“ in dieser Dokumentation. Budget Benennen und überwachen Sie die erwarteten Kosten und Kostenbeschränkungen für das Projekt; dazu gehören Entwicklung, Hardware, Räumlichkeiten, Schulung, Personal, Testen und Einrichtung. Geben Sie an, durch welche zusätzlichen Quellen unerwartete Ausgaben abgedeckt werden können. Stellen Sie sicher, dass die unternehmensweite Vision für das Projekt klar definiert ist, damit auch die Aufteilung der Gelder klar definiert ist. Personal Planen Sie das Personal für die Windows 2000-Standorte. Hierzu ist ein Dokument geeignet, das Berichtstrukturen, Zuständigkeiten, die Häufigkeit von Besprechungen sowie Kommunikationsstrategien skizziert und aufführt, wer allgemein für bestimmte Aufgaben und Funktionen verantwortlich ist. Weitere Informationen finden Sie unter „Zuordnen von Rollen in Windows 2000-Teams“ weiter oben in diesem Kapitel. Räumlichkeiten Benennen Sie Anforderungen für Räumlichkeiten und sprechen Sie mit den entsprechenden Gruppen in Ihrer Organisation. Definieren Sie früh Ihre Anforderungen und lassen Sie sich die entsprechenden Räumlichkeiten geben, damit später praktisch ausgeschlossen werden kann, dass diese Gesichtspunkte ein Hindernis für Ihre Einrichtung werden können. AllgemeineRisikobewertung Benennen Sie die Projektrisiken, die sich außerhalb der Einrichtung befinden. Zu den möglichen Risiken können die Verfügbarkeit von Ressourcen, bevorstehende Zusammenschlüsse sowie der Verlust von wichtigen Personen gehören. Kommunikationsstrategie Schaffen Sie bei Management und Benutzer ein verstärktes Bewusstsein für das Einrichtungsprojekt, indem Sie Ihre Planungen anderen Gruppen in Ihrer Organisation mitteilen. Bauen Sie früh Unterstützung und Akzeptanz für das Projekt auf, indem Sie ihre Planungen von anderen Führungskräften und Personen in Schlüsselstellungen in vereinbarten Intervallen überprüfen lassen. Weitere Informationen finden Sie unter „Kommunikationsstrategie“ weiter unten in diesem Kapitel.
74
Teil I
Planung
Einrichtungsunterlagen Sie sollten die folgenden Einrichtungsunterlagen als Teil Ihres Projektplans zusammenstellen. Übersicht überdie aktuelle Netzwerkumgebung Nehmen Sie eine Übersicht auf, die die aktuelle Netzwerkumgebung beschreibt; dazu gehören Netzwerkinfrastruktur, Hardware, Richtlinien, Anzahl und Art der Benutzer sowie geographische Standorte. Einrichtungsentwurf Führen Sie im Einzelnen auf, wie der Übergang auf Windows 2000 stattfinden wird; dazu gehören die Aktualisierungs- und Migrationsstrategie für die Server und die Clientcomputer, sowie Angaben darüber, wo, wann und in welcher Form diese Aktualisierungen stattfinden und wer einbezogen wird. Berücksichtigen Sie vorhandene Systeme und Anwendungen, z. B. bei den Auswirkungen, die ein Wechsel des Betriebssystems auf vorhandene Anwendungen und Speicher- und Hardwareleistung hat. Lückenanalyse Befassen Sie sich mit den spezifischen Lücken zwischen der vorhandenen Umgebung und dem Projektziel. Listen Sie dann die Änderungen auf, die speziell zum Erreichen der Projektziele erforderlich sind. Weitere Informationen finden Sie unter „Durchführen einer Lückenanalyse“ weiter oben in diesem Kapitel. Kapazitätsplan Benennen Sie die Gesichtspunkte und Eventualitäten, mit denen Sie sich befassen werden, um zu gewährleisten, dass die Hardware- und Netzwerkkapazitäten für die einzusetzenden Windows 2000-Funktionen ausreichen (z. B. der Replikationsverkehr, der durch Active Directory oder die Remoteinstallation des Betriebssystems entsteht). Sie möchten die Gewissheit haben, dass wichtige Dienste während oder nach der Einführung nicht in ihrer Funktion beeinträchtigt werden. Weitere Informationen finden Sie unter „Kapazitätsplanung“ weiter unten in diesem Kapitel. Risikobewertung Benennen Sie die Risiken in Ihrem Plan und entwickeln Sie Alternativpläne, um diesen Risiken zu begegnen. Bewerten Sie Ihren Einrichtungsplan kontinuierlich neu und führen Sie nach Abschluss der einzelnen Phasen des Projekts jeweils eine formelle Bewertung durch. Weitere Informationen finden Sie unter „Risikobewertung“ weiter unten in diesem Kapitel. Plan für die Problemweiterleitung Geben Sie einen Weiterleitungspfad an, den Personen in Ihrer Organisation nutzen können, um Fragen den Anforderungen entsprechend zu lösen und weiterzuleiten. Ordnen Sie die Art der Probleme oder Situationen den Personen zu, die am besten geeignet sind, sich mit ihnen zu befassen. Ein Weiterleitungsprozess gibt dem Team die Möglichkeit, sich auf die Lösung der Probleme zu konzentrieren. Pilotplan Geben Sie die Zielsetzungen für die Server und Clients an, die in die erste Einführung einbezogen werden, welche Funktionen Sie einrichten werden und welche Mechanismen Sie einsetzen werden, um Rückmeldungen von den am Pilotprojekt beteiligten Personen zu erhalten. Weitere Informationen zur Vorbereitung und Durchführung eines Pilotprojekts finden Sie unter „Ausführen des Pilotprojekts für Windows 2000“ in diesem Buch.
Kapitel 3 Planen des Einsatzes
75
Testen und Einrichtungsstrategien Planen Sie, wie Windows 2000 getestet und eingerichtet wird. Weitere Informationen finden Sie unter „Testen von Windows 2000 und Durchführen eines Pilotprojekts“ weiter oben in diesem Kapitel.
Funktionsbeschreibung Die Funktionsbeschreibung gibt Einzelheiten zu den Betriebssystemfunktionen an, die implementiert werden, und wie diese Funktionen konfiguriert und eingerichtet werden. All diese Elemente müssen am Umfang und an den Zielsetzungen des Einrichtungsprojekts ausgerichtet sein. Beschreiben Sie die verschiedenen Arten von Benutzern, welche wichtigen Tasks sie ausführen, wie diese derzeit ausgeführt werden und wie die Leistung in der neuen Netzwerkumgebung verbessert werden kann. Wenn es sich bei Ihrer Organisation um eine große Organisation mit mehreren Standorten oder um eine internationale Organisation handelt, müssen Sie Einzelheiten zu geographischen Gesichtspunkten angeben. Zahlreiche Funktionen von Windows 2000 stehen miteinander in Beziehung; dies gilt besonders, wenn Sie die Einrichtung von Active Directory planen. Aus diesem Grund ist eine Matrix zu Abhängigkeiten sehr wichtig und kann als ein Hauptdokument angesehen werden. Einrichtungsteams müssen zusammenarbeiten, um die Tasks zu bestimmen, die für die Integration der einzelnen Komponenten erforderlich sind, und um abzuschätzen, wie viel Zeit für die Ausführung dieser Tasks benötigt wird. Benennen Sie alle Gesichtspunkte, deren Teammitglieder und Management sich bewusst sein müssen. Es ist besonders wichtig, die Abhängigkeiten anzugeben, die andere Teams beeinflussen. Sie stellen z. B. unter Umständen fest, dass die Arbeit einer Reihe von Teams sich mit dem Domain Name System (DNS) befasst und dass ihre Tasks koordiniert werden müssen, um doppelte Anstrengungen zu vermeiden.
Kommunikationsstrategie Ein detaillierter Kommunikationsplan kann die Effizienz Ihres Einrichtungsprojekts erhöhen. Eine angemessene Kommunikation erhöht die Wahrscheinlichkeit, dass Ihre Planung und Einrichtung von Windows 2000 die Arbeit anderer Teams, die neue IT-Projekte einrichten, ergänzen und die Tätigkeiten integriert werden. Dies hilft dem Management, die Projektteams bei der Überwindung von Hindernissen zu unterstützen, und bereitet Benutzer darauf vor, die neue Infrastruktur zu nutzen. Eine effiziente Kommunikationsstrategie benennt die Anforderungen verschiedener Personenkreise, z. B. Geschäftsführung, Projektteams, IT-Organisation und Benutzer auf allen Ebenen. Personen kontinuierlich zu informieren bedeutet, sie kontinuierlicheinzubeziehen. Nutzen Sie Ihre Kommunikationsstrategie, um Unterstützung für Ihr Einrichtungsprojekt, die neuen Windows 2000-Technologien und die geschäftlichen Prozesse aufzubauen, die die Technologien unterstützen.
76
Teil I
Planung
Beim Aufstellen des Kommunikationsplans ist die Auseinandersetzung mit folgenden Fragen von Bedeutung: Wie werden Informationen zur Einrichtung verbreitet? Zur Ergänzung traditionellerer Medien, z. B. gedruckter Materialien, können Sie E-Mail und Intranet einsetzen. Das Erstellen einer Intranetsite, die auf einfache Weise mit Statusberichten zur Einrichtung aktualisiert werden kann, ist eine der einfachsten Möglichkeiten, Benutzer auf dem Laufenden zu halten. Die Benutzer werden positiv gefördert, wenn sie in ausreichendem Maße in der Lage sind, eigene Lösungen zu entwickeln. Damit werden Unsicherheiten reduziert und Supportkosten gesenkt. Welche Informationen werden weitergegeben? Erläutern Sie, wie die neue Infrastruktur Arbeiten vereinfacht und den geschäftlichen Anforderungen der Organisation dient. Der Status der Einrichtung ist eine der wichtigsten Informationen, die Sie an Benutzer und Mitglieder des Einrichtungsteams weitergeben können. Heben Sie die Erfolge hervor, gestehen Sie aber auch Hindernisse ein. Wie häufig werden Informationenverbreitet? Für Endbenutzer könnten monatlich aktualisierte Informationen ausreichen. Für das Management einzelner Abteilungen sind eventuell häufigere Aktualisierungen angebracht, insbesondere wenn das Pilotprojekt oder Produktionseinführungen bevorstehen. Mitglieder der ITAbteilung sollten unabhängig davon, ob sie direkt in die Einrichtung einbezogen sind, wöchentlich aktualisierte Informationen erhalten. Die von Ihnen eingeführten Änderungen haben einen direkten Einfluss auf die Arbeitsweise des IT-Personals. Sie müssen den Fortgang Ihres Einrichtungsprojekts aufmerksam beobachten. Welche Arten von Rückmeldungsmechanismen werden eingeführt? Teilen Sie Einzelheiten zu Ihren Planungen mit, um Rückmeldungen der Endbenutzer zu erhalten. Die Einrichtung eines Rückmeldungsmechanismus, mit dem Benutzer Ihre Sorgen und Enttäuschungen ausdrücken können, ist wichtig für Ihren Erfolg. Ein Kanal für die wechselseitige Kommunikation eröffnet Benutzern die Möglichkeit, Teil des Projekts zu sein und als Teammitglieder wertvolle Informationen zu geben, die zum Erfolg Ihres Projekts beitragen können.
Schulungsplan Informieren Sie Benutzer in Schulungen über die Windows 2000-Funktionen, bevor Sie mit der Einrichtung beginnen. Es empfiehlt sich auch, offizielles Training anzubieten und einen Rückmeldungsmechanismus zu entwickeln. Microsoft Official Curriculum (MOC) für Microsoft Windows 2000 Professional und Windows 2000 Server bietet Computerfachleuten Training für die Einrichtung, die Administration und die Unterstützung eines auf Windows 2000 basierenden Netzwerks. Dieser praxisorientierte technische Lehrplan enthält Kurse, die Teilnehmern das Wissen und die Fähigkeiten für folgende Bereiche vermitteln: ? Die Funktionsweise und die Funktionen von Windows 2000 verstehen. ? Auf Windows 2000 aktualisieren und Windows 2000 installieren und
konfigurieren. ? Ein auf Windows 2000 basierendes Netzwerk administrieren.
Kapitel 3 Planen des Einsatzes
77
? Supportfähigkeiten von Microsoft Windows NT 4.0 auf Windows 2000
aktualisieren. ? Eine Infrastruktur für Windows 2000-Verzeichnisdienste entwerfen. ? Eine Infrastruktur für Windows 2000-Netzwerkdienste entwerfen. ? Eine Infrastruktur für Änderungen und Konfigurationsmanagement entwerfen.
Weitere Informationen zu MOC für Windows 2000 finden Sie unter dem Link „Microsoft Training and Certification - Microsoft Official Curriculum“ auf der Webressourcenseite unter http://windows.microsoft.com/windows2000/reskit/webresources.
Kapazitätsplanung Die Kapazitätsplanung bietet eine sichere Grundlage für die Planung und Verwaltung der Computerumgebung. Wenn Sie die Computerressourcen ermitteln, die zur Erfüllung Ihrer geschäftlichen Anforderungen benötigt werden, erzielen Sie folgendeVorteile: ? Servicezielsetzungen werden erreicht. ? Produktivität wird gesteigert. ? Skalierbarkeit wird entwickelt und verwaltet. ? Gesamtbetriebskosten werden unter Kontrolle gebracht oder verringert.
Eine der wichtigsten Tasks bei der Kapazitätsplanung ist die Erstellung einer repräsentativen Grundlinie für die Arbeitsauslastung und die Computerressourcen. Die mit der Kapazitätsplanung und der Unternehmensplanung beschäftigten Personen müssen zusammenarbeiten, um die geschäftlichen Komponenten zu benennen, die von Computerressourcen abhängig sind, und um die aus der Arbeitsauslastung entstehenden Anforderungen zu prognostizieren. Anlagenwirtschaft ist der Schlüssel für die Durchführung einer Hardwarebestandsaufnahme. Wenn der Austausch von Hardware erforderlich ist, überprüfen Sie vor der Aktualisierung sorgfältig, was ausgetauscht werden muss. Einige Organisationen verlassen sich bei der Kapazitätsplanung auf das Fachwissen der Führungskräfte, andere arbeiten mit analytischen Modellen, Simulation, Benchmarking oder, in entscheidenden Situationen, Experimenten. Unabhängig davon, welche Technik Sie einsetzen, ist für die erfolgreiche Verwaltung der Computerumgebung ein proaktiver Ansatz erforderlich. Ein guter Ansatzpunkt besteht darin, die verschiedenen Aktivitäten zu skizzieren, die in Ihrem Netzwerk oder in den Subnetzen pro Stunde, Tag oder Monat stattfinden; dazu gehört z. B. Folgendes: ? Anzahl der Kennwortänderungen. ? Anzahl der Benutzeranmeldungen. ? Anzahl der DNS-Abfragen. ? Anzahl der Kennwortänderungen für Computerkonten.
78
Teil I
Planung
Ermitteln Sie anschließend für jeden der vorhergehenden Punkte den niedrigsten, den höchsten und den Mittelwert. Sie möchten wissen, wie viele dieser Ereignisse stattfinden, wie viel Bandbreite sie im Netz beanspruchen und wie viel Verarbeitungsleistung und Speicherplatz sie auf dem Server nutzen. Ermitteln Sie, in welchem Umfang dieselben Elemente im neuen Produkt auftreten. Anhand dieser Informationen können Sie dann Ihre Server optimieren und die Domänen- und Standortstruktur planen. Weitere Informationen zu Kapazitätsplanung und Windows 2000-Funktionen finden Sie in den Kapiteln dieser Dokumentation, die die von Ihnen geplanten Technologienbehandeln.
Risikobewertung Wenn Sie planen, ein Betriebssystem und eine Netzwerkstruktur einzurichten, planen Sie das Unerwartete ein. Auch der beste Einrichtungsplan kann durch Änderungen in den geschäftlichen Anforderungen, wirtschaftliche Änderungen, andere Benutzeranforderungen oder Unterbrechungen wie Stromausfälle oder Unwetter beeinträchtigt werden. Ein Risikomanagementplan hilft Ihnen, potentielle Risiken zu benennen, bevor sie eintreten, und bereitet Sie darauf vor, schnell zu reagieren, wenn sie eintreten. Ein gut durchdachter und proaktiver Risikomanagementplan kann Ihnen bei folgenden Punkten hilfreich sein: Die Wahrscheinlichkeit verringern, dass ein Risikofaktor tatsächlich eintritt Wenn nur ein Mitglied des Personals vollständig mit der Sicherheitsinfrastruktur vertraut ist, könnte der Verlust dieser Person in der laufenden Einrichtung ernsthafte Auswirkungen haben. Sie können dieses Risiko reduzieren, indem Sie für alle Fachleute in Schlüsselstellungen Personen schulen, die diese Fachleute ersetzen können, und die Unterlagen auf dem neuesten Stand und zugänglich halten. Das Ausmaß des Verlusts in Grenzen halten, wenn ein Risiko eintritt Wenn Sie vermuten, dass das Budget für Ihr Windows 2000 Server-Einrichtungsprojekt nicht a usreicht, haben Sie unter Umständen die Möglichkeit, verschiedene zusätzliche Quellen anzugeben, die unerwartete Ausgaben abdecken. Die Konsequenzen eines Risikosändern Eine plötzlich stattfindende Umstrukturierung, Übernahme oder Abtrennung in einer laufenden Einrichtung kann Ihre Planungen erheblich stören. Wenn Sie einen Prozess für schnelle Änderungen definiert haben, können Sie die Herausforderung so bewältigen, dass Ihr Projektzeitplan kaum oder überhaupt nicht beeinträchtigt wird.
Kapitel 3 Planen des Einsatzes
79
Auf die Abschwächung von Risiken während der Einrichtung vorbereitet sein Dies ist möglich durch eine strategische Planung von Installation und Einführung. Sie können beispielsweise damit beginnen, neue Windows 2000-Domänencontroller in eine vorhandene Windows NT 4.0-Domäne aufzunehmen. Eine andere Möglichkeit besteht darin, eine neue Windows 2000-Domäne aufzubauen, eine Vertrauensstellung mit der vorhandenen Kontendomäne einzurichten und dann die Benutzerkonten zu duplizieren. Sie könnten aber auch neue Windows NT 4.0Domänencontroller in Ihrer Domäne installieren, sie in ein privates Netzwerk verschieben und dann aktualisieren, um die neue Domäne einzurichten. In jedem dieser Beispiele hätten Sie die Möglichkeit, auf einfache Weise wieder zur vorhergehenden Umgebung zurückzukehren, wenn dies erforderlich wäre.
Risikomanagement Für ein effizientes Risikomanagement muss der Risikomanagementplan gewisse Anforderungen erfüllen. Der Plan muss: ? Unternehmenswichtige Anwendungen benennen. ? Potentielle Risiken benennen und analysieren. ? Potentielle Auswirkungen der Risiken mengenmäßig erfassen. ? Einzelheiten zu Weiterleitungsprozessen angeben. ? Lösungen benennen. ? Dem oberen Management und den Projektmitgliedern mitgeteilt werden. ? Bestandteil des täglichen Projektmanagements werden. ? Auf dem neuesten Stand gehalten werden.
Risikomanagement muss Teil der regelmäßigen Aktivitäten Ihres Teams sein und alle wichtigen Personen, Prozesse sowie geschäftlichen und technologischen Bereiche Ihrer Windows 2000-Einrichtung umfassen. Sie müssen folgende Aufgaben ausführen: Risiken in allen Bereichen bewerten, die Ihr Projekt beeinflussen könnten Bitten Sie jedes Team darum, die potentiellen Risiken, die mit seinem Zuständigkeitsbereich (z. B. Sicherheit, Netzwerk, Einrichtung, Support oder Schulung) verknüpft sind, zu benennen und sich mit ihnen zu befassen. Den Risiken Prioritäten zuordnen Risiken können sich in Ausmaß und Wahrscheinlichkeit unterscheiden. Ermitteln Sie, welche Risiken die größte Bedrohung für Ihre Organisation darstellen. Befassen Sie sich zunächst mit den Hauptrisikofaktoren. Mit Personen zusammenkommen, die Unternehmensanwendungen und vorhandene Anwendungen unterstützen Ältere Anwendungen und Unternehmensanwendungen stellen ein besonderes Risiko dar. Treffen Sie sich zu einem frühen Zeitpunkt mit den Personen, die umfassende Kenntnisse über diese Anwendungen besitzen. Wenn ein Drittanbieter für eine dieser Anwendungen zuständig ist, beziehen Sie ihn so schnell wie möglich in den Prozess ein.
80
Teil I
Planung
Ein Urteil zur Realisierbarkeit vermeiden, dasausschließlich auf der Anzahlder ermittelten Risiken basiert Ein Projekt mit 20 ermittelten Risiken läuft nicht unbedingt reibungsloser ab als ein Projekt, für das 40 Risiken ermittelt wurden. Eine Risikobewertung, die eine größere Zahl von Risiken ermittelt, könnte einfach nur gründlicher sein als eine mit weniger Risiken. Verwenden Sie dieses Dokument, um genau zu bestimmen, welche Risiken den geplanten Verlauf eines Projekts verhindern und welche geringere Auswirkungen besitzen. Eine Umgebung fördern, in der Personen, die Risiken benennen, nicht negativ beurteilt werden Personen, die in einer Organisation die praktischen Arbeiten verrichten, erkennen Probleme oft vor ihren Führungskräften. Wenn sie schlechte Nachrichten nur widerstrebend weitergeben, könnte dies Ihre Risikobewertung beeinträchtigen. Ziehen Sie ein Prämienprogramm für die Personen in Betracht, die Risiken benennen, als auch für diejenigen, die an Lösungen zur Vermeidung dieser Risiken mitarbeiten.
Risikobewertungsmatrix Damit potentielle Risiken klar benannt werden können, entwickeln Sie ein grundlegendes Verständnis für die Abhängigkeiten, die zwischen den verschiedenen Elementen der Einrichtung bestehen. Eine Risikomatrix kann Ihnen helfen, diese Elemente zu benennen und miteinander zu verknüpfen. Tabelle 3.4 enthält ein Beispiel für eine Risikobewertungsmatrix, die verschiedene Gesichtspunkte aufführt; dazu gehören z. B. die Wahrscheinlichkeit, dass das Risiko eintritt, die Auswirkungen, die ein bestimmtes Risiko auf Ihr Projekt haben kann, und die Strategie, die erforderlich ist, um das Risiko abzuschwächen. Tabelle 3.4 Beispiel für Risikobewertungsmatrix Risiko
Wahrscheinlichkeit
Auswirkung
Zuständige Person
Lösungsdatum
Abschwächungsstrategie
Es ist ein Zusammenschluss im Gespräch.
Mittel
Hoch
Einrichtungsteamleitung
tt/mm/jj
Bis zur Einrichtung von Windows 2000 werden nicht alle Computer eine Konfiguration besitzen, die die Hardwaremindestanforderungen erfüllt.
Mittel
Mittel
Programmmanagement-, Helpdeskund Logistikteams
tt/mm/jj
Eine Strategie für eine schnelle Integration mit den entsprechenden Teammitgliedern in anderen Organisationen entwerfen. Entscheiden, ob Hardware zum Zeitpunkt der Installation aktualisiert wird oder bis zu einer Aktualisierung der Hardware in der gesamten Organisation gewartet wird.
Kapitel 3 Planen des Einsatzes
81
Erstellen Sie die Matrix zu einem frühen Zeitpunkt der Planungsphase, und aktualisieren Sie sie in regelmäßigen Zeitabständen oder wenn sich Änderungen bei Zeitplan, Beschreibung, Management, Team, Umfang oder Einführungsstrategie ergeben.
Risikogesteuerter Zeitplan Es gibt wenige Komponenten einer Einrichtung, die zum Entstehen von Risiken mehr beitragen als ein schlecht ausgearbeiteter Zeitplan. Wenn Ihre Organisation z. B. im vierten Quartal die Einrichtung einfriert, kann die Qualität der Tests und der Einführung beeinträchtigt werden, wenn zu viele wichtige Schritte in der letzten Minute eingeschoben werden. Wenn Sie die Einrichtung zeitlich so planen, dass die einfachsten Komponenten zuerst berücksichtigt werden, und mit den Komponenten, die am komplexesten sind und die meisten Risiken bergen, bis zuletzt warten, schränken Sie die Zeit ein, die Ihnen für die Lösung komplexerer Probleme zur Verfügung steht. Ein Zeitplan, in dem die Risikobewertung berücksichtigt ist, kann die Wahrscheinlichkeit ernsthafter Probleme nahezu ausschließen. Die folgenden Richtlinien können Sie bei der Aufstellung eines risikogesteuerten Zeitplans unterstützen: Nehmen Sie Schätzungen auf Taskebene als Grundlage für den Zeitplan Beginnen Sie mit Schätzungen auf Taskebene, arbeiten Sie weiter bis zu Teamzeitplänen und integrieren Sie dann die Zeitpläne mehrerer Teams. Den Zeitplan von unten nach oben aufzubauen und Schätzungen auf Taskebene als Grundlage zu nehmen, zwingt dazu, die Punkte zu benennen und zu lösen, die ein Projekt verzögern oder sogar den geplanten Ablauf verhindern können. Entwickeln Sie zunächst die Komponenten, die die meisten Risiken bergen Befassen Sie sich zunächst mit den Komponenten der Einrichtung, die die meisten Risiken bergen. Die Auswirkungen, die Verzögerungen, Entwurfsänderungen oder andere Probleme auf den übrigen Teil der Einrichtung haben, sind geringer, wenn Sie sich früh mit ihnen befassen. Legen Sie Meilensteine für wichtige Ergebnisse und Zwischenergebnisse fest Meilensteine sind Prüfpunkte, an denen der Fortschritt anhand von Tests überprüft wird. Zahlreiche Meilensteine für Zwischenergebnisse geben Ihnen die Möglichkeit, bereits zu Beginn des Prozesses den Fortschritt anhand neuer Informationen neu zu bewerten und das Risiko zu verringern, dass die Meilensteine für wichtige Ergebnisse nicht erreicht werden. Planen Sie Zeit für unvorhergesehene Umstände ein Wenige große Einrichtungen werden abgeschlossen, ohne dass sie von Ereignissen beeinträchtigt werden, die zu Unterbrechungen im Zeitplan führen. Dazu gehören z. B. die Erkrankung von Schlüsselpersonal, unerledigte Hardwareaufträge oder Probleme bei der Finanzierung. Planen Sie Zeitpolster für diese unvorhergesehenen Umstände ein. Planen Sie Zeitfür Projektmanagement ein Es nimmt Zeit in Anspruch, die Vision zu definieren, die Finanzierung zu sichern und alle anderen Projektmanagementtasks durchzuführen. Planen Sie entsprechend Zeit für das Projektmanagement ein.
82
Teil I
Planung
Verwenden Sie ein Tool für die Projektplanung Tools für die Projektplanung geben Ihnen die Möglichkeit, Tasks mit (gegenseitigen) Abhängigkeiten zu verknüpfen und schnell die für Tasks zuständigen Personen sowie den Status von Tasks anzugeben. Sie können auch dafür genutzt werden, den Fortschritt der verschiedenen Teams und ihrer Tasks zu überwachen, um sicherzustellen, dass der Zeitplan für das Projekt eingehalten wird. Halten Sie den Zeitplan auf dem neuesten Stand Aktualisieren Sie immer dann den Zeitplan, wenn sich geschäftliche Umstände oder Umstände im Zusammenhang mit der Einrichtung ändern, neue Aktivitäten aufgenommen oder Meilensteine erreicht werden. Halten Sie leitende Projektmitarbeiter auf demLaufenden, wenn Änderungen im Projektplanerforderlichsind Durch die Definition von Zielsetzungen erfahren Personen, wann die Einrichtung gestoppt werden muss. Wenn Sie z. B. Windows 2000 auf zehn Computern eingeführt haben und feststellen, dass der Dienst eines Drittanbieters beeinträchtigt wird, sollten Sie zunächst dieses Problem lösen, bevor Sie die Einrichtung fortsetzen.
Einrichten von Windows 2000 In der letzten Phase der Einsatzplanung wird definiert, wie ein reibungsloser Übergang vom Pilotprojekt in die Produktion realisiert wird. Ihr Ziel ist die erfolgreiche und effiziente Einrichtung von Windows 2000 bei minimalen Unterbrechungen für Benutzer und die geschäftlichen Kernfunktionen der Organisation. Die Einrichtung von Windows 2000 in der Produktionsumgebung und die Einrichtung von Windows 2000 in der Pilotphase haben viele gemeinsame Merkmale. Damit die Einrichtung erfolgreich verläuft, sollten Sie u. a. folgende Schritte ausführen: Führen Sie die Einrichtung in Phasen durch Mit einer inkrementellen Einrichtung haben Sie die Möglichkeit, Risiken zu verringern und Unterbrechungen zu minimieren. Stellen Sie einen Sicherungsplan für die Einrichtung auf Mit einem zuverlässigen und getesteten Sicherungsplan haben Sie die Möglichkeit, auf schnelle und einfache Weise eine vorhergehende Umgebung wiederherzustellen, wenn Sie während der Einrichtung auf Probleme stoßen. Stellen Sie einen Sicherungs-/Wiederherstellungsplanauf Da es selbst bei den besten Datenschutzstrategien zu schwerwiegenden Ausfällen bei Computern oder Standorten kommen kann, benötigen Sie einen Plan, mit dem Systeme nach einem schwerwiegenden Ausfall wiederhergestellt werden. Weitere Informationen zum Aufstellen eines Wiederherstellungsplans finden Sie unter „Bestimmen der Strategien für die Speicherverwaltung von Windows 2000“ in dieser Dokumentation.
Kapitel 3 Planen des Einsatzes
83
Angemessene Schulung anbieten Stellen Sie sicher, dass Ihr Support- und Ihr Administrationsteam für die Einrichtung umfassend geschult und vorbereitet sind. Halten Sie Endbenutzer auf dem Laufenden Informieren Sie Endbenutzer über Windows 2000, bevor Sie es auf ihren Computern einrichten, und bieten Sie entsprechende Schulungen an. In einigen Organisationen müssen Endbenutzerschulungen durchgeführt werden, bevor neue Technologien eingesetzt werden können. Wenn dies eine Strategie ist, die Sie in Betracht ziehen, planen Sie zusätzliche Ressourcen und Kosten ein. Halten Sie Teams auf dem Laufenden Stellen Sie sicher, dass den Teams bewusst ist, wie die Einrichtungspläne in Ihrer Gesamtheit aussehen, in welchem Umfang sie zuständig und einbezogen sind und welche Änderungen im Plan oder Zeitplan auftreten können. Legen Sie wichtige Einrichtungsaktivitäten in Zeiten außerhalb der Geschäftsstunden Sie können die Auswirkungen für Benutzer und Netzwerk auf ein Minimum reduzieren, wenn Sie die Zeiten, in denen wichtige Windows 2000-Aktivitäten durchgeführt werden, sorgfältig planen. Warten Sie z. B. mit der Einrichtung von Windows 2000 für eine bestimmte Gruppe, bis diese Gruppe einen Projekttermin erreicht oder ein großes Projekt abgeschlossen hat.
Taskliste für die Einsatzplanung In Tabelle 3.5 sind die Tasks zusammengefasst, die Sie für die Planung des Windows 2000-Einsatzes ausführen müssen. Tabelle 3.5 Taskliste für die Einsatzplanung Task
Kapitel
Den Umfang des Projekts sowie langfristige und kurzfristige Zielsetzungen definieren. Windows 2000-Funktionen auf Projektzielsetzungen abbilden. Aktuelle Computerumgebung dokumentieren. Lückenanalyse durchführen.
Projektumfang und -zielsetzungen
Rollen für das Personal und den Zeitbedarf für die Erfüllung von Tasks definieren.
Personalbedarf
Standards für Hardware, Software und Netzwerkkonfigurationen festlegen. Administrative Unterlagen zusammenstellen. Einrichtungsunterlagen zusammenstellen.
Festlegen von Standards und Richtlinien Administrative Dokumente
Einrichtungsentwurf erstellen. Kommunikationsstrategie entwerfen.
Einrichtungsentwurf Kommunikationsstrategie
Kapazitätsanforderungen bewerten. Risiken bestimmen. Zeitplan aufstellen und verwalten.
Kapazitätsplanung Risikobewertung Risikogesteuerter Zeitplan
Projektumfang und -zielsetzungen Aktuelle Computerumgebung Durchführen einer Lückenanalyse
Einrichtungsunterlagen
84
Teil I
Planung (Fortsetzung) Task
Kapitel
Schulungsplan aufstellen. Testplan entwickeln.
Schulungsplan Testen von Windows 2000 und Durchführen eines Pilotprojekts
Pilotprojekt planen.
Testen von Windows 2000 und Durchführen eines Pilotprojekts
Reibungslosen Übergang auf Windows 2000 planen.
Einrichten von Windows 2000
Kapitel 3 Planen des Einsatzes
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
85
85
K A P I T E L
4
Erstellen eines Testlabors für Windows 2000
Testen Sie vor der Einrichtung von Microsoft® Windows® 2000 – auch in einem Pilotprojekt – Ihren vorgeschlagenen Entwurf unbedingt in einer Umgebung, die Ihre Produktionsumgebung simuliert und schützt. Sie können Ihren Entwurf überprüfen, indem Sie Tests entwerfen und durchführen, die die Bedingungen in der Zielumgebung widerspiegeln. In diesem Kapitel finden das Testmanagement sowie die Einrichtungsprojektteams allgemeine Überlegungen für den Entwurf und den Betrieb eines Testlabors, das die besonderen Anforderungen Ihrer Organisation erfüllt. Darüber hinaus werden in der gesamten Dokumentation in einzelnen Kapiteln Fragen im Zusammenhang mit dem Testen bestimmter Windows 2000-Funktionen behandelt. Inhalt dieses Kapitels Vorbereiten der Testumgebung 86 Festlegen der Strategie für das Labor 90 Entwerfen des Labors 99 Erstellen des Labors 113 Verwalten des Labors 115 Testen 117 Testen nach der Einrichtung 124 Planungstasklisten für Labortests 126 Zielsetzungen Dieses Kapitel unterstützt Sie bei der Erstellung folgender Planungsdokumente: ? Laborbeschreibung ? Labordiagramm ? Weiterleitungsplan ? Testplan ? Testfälle WeiterführendeInformationen inder technischen Referenz ? Weitere Informationen zum Planen von Anwendungstests finden Sie unter „Testen der Anwendungskompatibilität mit Windows 2000“ in diesem Buch. ? Weitere Informationen zum Planen eines Pilotprojekts in Ihrer Produktionsumgebung finden Sie unter „Ausführen des Pilotprojekts für Windows 2000“ in diesem Buch.
86
Teil I
Planung
Vorbereiten der Testumgebung Ein wichtiger Faktor für den Erfolg Ihres Windows 2000-Projekts sind umfassende Tests auf der Grundlage von realistischen Szenarios. Realistische Szenarios erfordern eine Testumgebung, die Ihre Produktionsumgebung so weit wie möglich simuliert. In dieser Testumgebung können die Mitglieder des Planungsteams ihre Annahmen überprüfen, Einrichtungsprobleme ermitteln, den Einrichtungsentwurf optimieren und ein tieferes Verständnis für die Technologie gewinnen. Diese Tätigkeiten reduzieren das Fehlerrisiko und schließen praktisch aus, dass während und nach der Einrichtung Ausfallzeiten in der Produktionsumgebung entstehen.
Aufbauen einer Testumgebung Eine Testumgebung umfasst alle Standorte, die Tests unterstützen, wobei für das Unternehmensnetzwerk keine Risiken entstehen. Viele große Organisationen verteilen ihre Testumgebungen auf zahlreiche physische oder sogar geographische Standorte, um Tests in verschiedenen technischen, geschäftlichen oder politischen Kontexten durchzuführen. Die Entscheidungen, die Sie im Zusammenhang mit der Testumgebung treffen, werden von folgenden Faktoren beeinflusst: ? Ihre Testmethoden ? Funktionen und Komponenten, die Sie testen werden ? Personen, die die Tests durchführen werden
Eine Testumgebung kann aus einem oder mehreren Laboren bestehen, und ein Labor kann einen oder mehrere Standorte umfassen. Mit „Labor“ wird in diesem Kapitel ein Netzwerk bezeichnet, das für Tests konzipiert wurde und vom Unternehmensnetzwerk isoliert ist. Sie gelangen für Ihr Windows 2000-Projekt unter Umständen zu der Entscheidung, verschiedene unabhängige Labore für unterschiedliche Testzwecke einzurichten. Sie könnten z. B. ein Labor für das Testen der Netzwerkinfrastruktur und der Server und ein weiteres Labor für das Testen der Clientcomputer und der Anwendungen einrichten. Umgekehrt könnte ein einzelnes Labor mehrere Standorte umfassen. Sie könnten z. B. ein Labor für die Netzwerkinfrastruktur einrichten, das mehrere, durch ein WAN verbundene Standorte umfasst, um die Auswirkungen verschiedener Verbindungsgeschwindigkeiten zu testen. Wenn Sie Microsoft® Windows® 2000 Server und Microsoft® Windows® 2000 Professional gleichzeitig einrichten, beeinflussen zahlreiche Faktoren die Entscheidung, ob für die beiden Projekte getrennte Labore eingerichtet werden oder ob sie ein gemeinsames Labor erhalten sollen. Zu diesen Faktoren gehören u. a.: ? Komplexität der Einrichtung (z. B. häufige Änderungen in der Produktions? ? ? ? ?
umgebung und die neuen Funktionen, die Sie implementieren möchten). Größe, Standort und Struktur Ihrer Projektteams. Umfang Ihres Budgets. Verfügbarkeit von Räumlichkeiten. Standort des Testpersonals. Verwendung der Labore nach der Einrichtung.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
87
Die Überlegungen in diesem Kapitel gelten für Labore, die Sie für das Testen von Windows 2000 Server oder Windows 2000 Professional entwerfen.
Verwenden des Labors für das Risikomanagement Ein gut entworfenes Testlabor bietet eine gesteuerte Umgebung für die Tests, die im Verlauf des Projekts anfallen – von Experimenten mit der Technologie über den Vergleich von Entwurfslösungen bis hin zur Optimierung des Rolloutprozesses. Ein gutes Labor muss keine Investition sein, für die umfangreiche Ressourcen oder Mittel aufgewendet werden; es kann von wenigen Hardwarekomponenten in einem kleinen Raum bis hin zu einem vollständigen Netzwerk in einer Datacenterumgebung reichen. Das Testlabor ist eine Investition, die ein Vielfaches einbringen kann durch die Einsparung der Kosten für Support und erneute Einrichtung, die bei schlecht getesteten Lösungen entstehen. Es ist ein wichtiger Teil des Risikomanagementplans für Ihr Windows 2000-Projekt. Sie können Risiken im Labor identifizieren, wenn Tests z. B. folgende Probleme offenbaren: ? Hardware- oder Softwareinkompatibilitäten ? Schwächen im Entwurf ? Leistungsgesichtspunkte ? Schwierigkeiten bei der Interoperabilität ? Begrenzte Kenntnisse über neue Technologien ? Ineffizienz bei Betrieb oder Einrichtung
Wenn Tests Probleme dieser Art offenbaren, bietet das Labor die Möglichkeiten zur Entwicklung und Validierung von Alternativlösungen. Das Labor ist darüber hinaus der Ort für folgende Tätigkeiten: ? Pläne für die vorzeitige Beendigung entwerfen und validieren und auf diese
Weise während Pilotprojekt- und Produktionsrollout die Risiken für die geschäftlichen Abläufe verringern. ? Lernen, wie der Einrichtungsprozess optimiert werden kann, und auf diese Weise den Zeit- und Kostenaufwand für die Einrichtungsaktivitäten reduzieren. ? Effiziente administrative Prozeduren entwickeln und auf diese Weise den Zeitund Personalbedarf für die laufende Wartung nach der Einrichtung reduzieren. ? Die Fortschritte anhand des Projektplans überprüfen und den Projektzeitplan weiter verbessern.
Laborentwicklungsprozess Abbildung 4.1 ist ein Flussdiagramm, in dem die Phasen für die Vorbereitung des Labors für Tests dargestellt werden. In der Strategiephase legen Sie die Ziele und einen allgemeinen Ansatz für das Labor fest. Die Entscheidungen, die Sie in dieser Phase treffen, beeinflussen die Entscheidungen in der Entwurfsphase. In der Entwurfsphase planen und dokumentieren Sie die logische und physische Struktur des Labors. Mit den Entscheidungen in der Entwurfsphase legen Sie fest, was in der Aufbauphase erstellt wird.
88
Teil I
Planung
In der Aufbauphase richten Sie das Labor ein und testen die Netzwerkkomponenten, bevor das Testen von Windows 2000 beginnt. Die Entwurfs- und die Aufbauphase sind iterativ, denn mit wachsendem Kenntnisstand, sich entwickelnden Anforderungen und sich ändernden Testschwerpunkten müssen Sie Komponenten des Labors neu entwerfen und neu aufbauen. Darüber hinaus müssen Sie Komponenten neu aufbauen, wenn die bei Hardware, Software oder Testmethoden zusammengekommenen Änderungen beginnen, sich auf die Testergebnisse auszuwirken.
Abbildung 4.1 Prozess für die Einrichtung eines Testlabors
Kapitel 4 Erstellen eines Testlabors für Windows 2000
89
Testprozess Abbildung 4.2 ist ein Flussdiagramm, in dem die Phasen für die Planung und Durchführung von Tests im Labor dargestellt werden. Die Haupttätigkeitensind: ? Einen Testplan erstellen, der Umfang, Zielsetzungen und Methoden beschreibt. ? Testfälle entwerfen, in denen beschrieben ist, wie Tests durchzuführen sind. ? Tests durchführen und Ergebnisse auswerten. ? Testergebnisse dokumentieren. ? Probleme zur Lösung an die geeigneten Personen weiterleiten.
Abbildung 4.2 Prozess für die Planung und Durchführung von Tests
90
Teil I
Planung
Einrichten eines vorläufigen Labors Sofern Sie nicht bereits über ein Labor verfügen, ist es in Ihrem Projekt für die Einrichtung von Windows 2000 wichtig, so früh wie möglich mit den Arbeiten dafür zu beginnen. Sie benötigen das Labor zu einem frühen Zeitpunkt in der Planungsphase, um Kenntnisse über das Produkt zu gewinnen, Konzepte zu beweisen, verschiedene Szenarios im Hinblick auf Ihr Geschäftsmodell zu testen und Lösungen zu validieren. Ganz zu Beginn des Projekts können Sie den Standort auswählen, mit der Auswertung von Hardwareanforderungen beginnen, vorhandene Laborausrüstung neu konfigurieren und unter Umständen damit beginnen, Hardware für das Labor zu erwerben oder wieder herzurichten. Ihre frühzeitige Planung zahlt sich bei den Tests aus, wenn Sie ausreichend Raum für die notwendige Ausrüstung und die richtigen Konfigurationen für genaue Tests bereitgestellt haben. Dokumentieren Sie die von Ihnen getroffenen Entscheidungen zu Hardware-, Software- und Personalanforderungen in Ihrem Testplan. Weitere Informationen zum Testplan finden Sie unter „Testen“ weiter unten in diesem Kapitel. Wenn Sie ein permanentes Labor planen, müssen Sie unter Umständen die Genehmigung des Managements sowie Mittel erhalten, die nicht mit Ihrem Windows 2000-Einrichtungsprojekt zusammenhängen. Ist dies der Fall, beginnen Sie so früh wie möglich mit dem Genehmigungsprozess. Zu einem frühen Zeitpunkt im Planungsprozess kann Ihr Labor Sie dabei unterstützen, Ihren grundlegenden Namespaceentwurf zu erstellen und einen Übersichtsplan für die Einrichtung aufzustellen; diese können Sie dann als Grundlage für weitere Tests und Entwicklungen verwenden. Wenn Sie das Labor als Grundkonfiguration verwenden und dann schrittweise Funktionen hinzufügen, können Sie die Probleme vermeiden, die bei unabhängig voneinander entwickelten Entwürfen entstehen. Damit Sie mit sondierenden Tests beginnen können, bauen Sie ein vorläufiges Labor mit zwei oder drei Servern und Clientcomputern auf, verwenden Sie ein vorhandenes Labor oder richten Sie eine Client/Server-Konfiguration in einem Büro ein. Wenn Sie dann eine Entscheidung über den allgemeinen Entwurf treffen, fügen Sie die Teile für das offizielle Labor zusammen. Das Labor entwickelt sich zwar im Laufe des Projekts, um Änderungen bei den Testschwerpunkten widerzuspiegeln; stellen Sie aber sicher, dass es vor den im Vorfeld des Pilotprojekts stattfindenden Integrationstests vollständig ausgerüstet ist und unterbrechungsfrei läuft.
Festlegen der Strategie für das Labor Sie haben unter Umständen bereits ein Labor und planen, es für das Testen von Windows 2000 einzusetzen. Eventuell hoffen Sie auch, für das Projekt ein neues Labor aufbauen zu können. Unabhängig von Ihrer aktuellen Situation nützt es Ihnen sehr, Ihre Ziele für das Labor und seinen langfristigen Zweck zu durchdenken. Sie gelangen unter Umständen zu dem Entschluss, dass nun der richtige Zeitpunkt gekommen ist, das zu einem anderen Zweck eingerichtete Labor zu aktualisieren, damit Sie es in Zukunft für das Änderungsmanagement in Ihrer Windows 2000-Umgebung einsetzen können.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
91
Wenn Sie bereits über ein permanentes Labor verfügen, dass Sie für das Testen Ihres Windows 2000 Entwurfs einsetzen möchten, sollten Sie direkt mit „Entwerfen des Labors“ weiter unten in diesem Kapitel fortfahren.
Überlegungen zur Investitionsrentabilität Wenn Sie die Entscheidung treffen, ein neues Labor für die Windows 2000-Einrichtungstests aufzubauen, müssen Sie unter Umständen die Investitionen gegenüber den Projektträgern begründen. Damit dies für Sie möglich ist, verschaffen Sie sich einen allgemeinen Überblick über alle damit zusammenhängenden Kosten. Die im Labor durchgeführten Tests führen zu saubereren Implementierungen und reduzieren die Supportkosten. Wenn Sie das Labor für die Entwicklung von betrieblich effizienten Vorgängen entwickeln (z. B. automatisierte administrative Tools und Remoteprozeduren), können Sie die Gesamtbetriebskosten Ihrer Organisation reduzieren. Über einen gewissen Zeitraum hinweg betrachtet, sind die Kosten für den Aufbau und den Unterhalt eines Labors daher wahrscheinlich beträchtlich niedriger als die Kosten für die Behebung von Problemen in der Produktion, für die erneute Einrichtung von schlecht durchdachten oder getesteten Lösungen oder die Verwaltung der Produktionsumgebung mit ressourcenintensiven Prozessen. In Organisationen, die für verschiedene Projekte getrennte Labore einrichten, ist es oft möglich, auf die Betriebsgröße bezogene Kostenvorteile zu erzielen. Durch Konsolidierung der Labore und Formalisierung der Nutzung und Verwaltung des neuen Labors können Sie veranlassen, dass mehrere Projekte sich gemeinsam an den reduzierten Kosten für ein einzelnes Labor beteiligen. Wenn Sie die Entscheidung treffen, ein gemeinsam genutztes Labor einzurichten, versuchen Sie aber, Projekte auszuwählen, deren Zeitpläne und Ausrüstungsanforderungen zueinander passen. Es ist einfacher und kostengünstiger, ein paar neue Komponenten hinzuzufügen, um das Labor für ein neues Projekt zu aktualisieren, als jedes Mal von neuem zu beginnen. Für je mehr Zwecke Sie das Labor einrichten, desto einfacher ist es, die Investitionskosten für die Räumlichkeiten, die Ausrüstung und den Support, die für Aufbau und Betrieb benötigt werden, zu begründen. Das Labor kann zu Zwecken eingesetzt werden, die von frühzeitigem praktischem Training bis zur Lösung von Problemen nach der Implementierung reichen. Sie sollten das Labor als erste Schulungsinvestition ansehen. Sie können es sogar zu Lehrzwecken einsetzen, um z. B. dem Management oder anderen Gruppen Funktionen oder Einrichtungsprozesse zu demonstrieren.
Verwenden des Labors während des Projekts Damit Sie die Kosten für das Labor begründen können, berücksichtigen Sie die zahlreichen Einsatzmöglichkeiten im Verlauf des Projekts. Dieser Abschnitt enthält Beispiele dafür, wie Sie das Labor einsetzen könnten.
Planung Zu Beginn der Planungen nutzen die Mitglieder des Projektteams das Labor, um praktische Erfahrungen zu gewinnen. Sie nutzen es, um die Technologie besser zu verstehen, ihre Hypothesen zu testen und Probleme für die Implementierung sowie Supportanforderungen zu ermitteln. Dies ist auch ein guter Zeitpunkt, nach Mög-
92
Teil I
Planung
lichkeiten zur Optimierung von bestehenden betrieblichen Prozessen zu suchen, z. B. Tasks ermitteln, die automatisiert oder im Remotebetrieb ausgeführt werden können. Im Verlauf des Entwurfsprozesses nutzen die Teammitglieder das Labor, um neue Technologien, Modelle und Prozesse zu testen, während sie nach Lösungen für geschäftliche Anforderungen suchen. Diese Entwicklung von Prototypen und Modellen führt zu geschäftlichen Entscheidungen darüber, wie Windows 2000Funktionen implementiert werden.
Entwicklung Während der Entwicklung bietet das Labor eine gesteuerte Umgebung zum Testen und Bewerten einer Vielzahl von Gesichtspunkten, z. B.: ? Windows 2000-Funktionen ? Netzwerkinfrastrukturkompatibilität ? Interoperabilität mit anderen Netzwerkbetriebssystemen ? Hardwarekompatibilität ? Anwendungskompatibilität ? Leistungs- und Kapazitätsplanung ? Dokumentation von Installation und Konfiguration ? Administrative Prozeduren und Dokumentation ? Produktionsrollout (Prozesse, Skripts, Dateien und Pläne für die vorzeitige
Beendigung) ? Grundlegende Verkehrsverläufe (Verkehrsvolumen ohne Benutzeraktivität) ? Tools (Windows 2000, von Drittanbietern oder eigene) ? Wirtschaftlichkeit
Einrichtung Während der Einrichtung des Pilotprojekts bietet das Labor den Betriebsteams, z. B. dem Helpdesk und dem Betriebspersonal, den Platz, um mit der Planung der laufenden Supportstruktur zu beginnen. Darüber hinaus können Sie im Labor während der Pilotprojekt- und Produktionseinrichtung Probleme im Einrichtungsprozess isolieren, reproduzieren, analysieren und korrigieren.
Nach der Einrichtung Nach der Einrichtung kann das Supportteam im Labor die Probleme, die in der Produktionsumgebung aufgetreten sind, reproduzieren und lösen. Das Labor bietet auch einen sicheren Ort, um im Rahmen des Änderungsmanagementprozesses Änderungen wie z. B. Service Packs, Patches, neue Anwendungen oder neue Desktopkonfigurationen zu testen. In Abbildung 4.3 sind die vielfältigen Einsatzmöglichkeiten für das Labor sowie die Projektphasen angegeben, in die einige Tätigkeiten fallen können. Die Zeitrahmen sind Schätzungen und stellen keine tatsächliche Einrichtung dar.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
93
Abbildung 4.3 Rolle des Labors im Verlauf des Projekts
Das Labor ist nicht der einzige Ort, an dem Tests durchgeführt werden. Mitglieder des Projektteams können Funktionen auch auf ihren eigenen Testcomputern testen. Das Testlabor ist jedoch der Ort, an dem überprüft wird, ob die Komponenten und Funktionen in einer integrierten Umgebung, die die für die Einrichtung vorgesehene Produktionsumgebung simuliert, zusammen eingesetzt werden können. Die simulierte Umgebung sollte sowohl die Einführungsphase, in der keine einheitliche Funktionalität vorhanden ist, als auch die Schlussphase des Projekts, in der die neue Funktionalität vollständig implementiert ist, widerspiegeln.
Bewerten von Labormodellen Viele Organisationen richten für jedes neue Projekt, für das sie Einrichtungen testen müssen, ein Ad-hoc-Labor ein. Andere Organisationen richten ein permanentes Labor ein, das an unterschiedliche Projekte angepasst werden kann, und setzen es für das Änderungsmanagement ein. Sowohl Ad-hoc-Labore als auch Änderungsmanagementlabore haben ihre Vor- und Nachteile.
Ad-hoc-Labore Ad-hoc-Labore werden für ein bestimmtes Projekt eingerichtet. Wenn das Projekt abgeschlossen ist, wird die Ausrüstung zu anderen Zwecken eingesetzt. Sie könnte z. B. in der Produktionsumgebung verwendet werden, in das Inventar aufgenommen oder an den Hersteller zurückgegeben werden. Die kurzfristigen Kosten eines Ad-hoc-Labors liegen unter Umständen unter denen eines permanenten Labors, da die gesamte Ausrüstung wieder zu anderen Zwecken eingesetzt wird. Diese Beurteilung der Kosten ist jedoch kurzsichtig, denn für jedes Projekt, für das ein Labor erforderlich ist, muss ein neues Labor eingerichtet werden. Ad-hoc-Labore können z. B. zu folgenden Problemen führen: ? Wenn für jedes neue Projekt ein neues Labor erforderlich ist, wird Zeit zu
einem kritischen Faktor. Da die Teams das Labor zu einem frühen Zeitpunkt im Projekt benötigen, treten z. B. folgende Probleme auf:
94
Teil I
Planung ? Können die entsprechenden Hardware- und Softwarelizenzen rechtzeitig
besorgt werden? ? Führt der Austausch von Hardware oder Software dazu, dass nicht im
erforderlichen Umfang getestet werden kann? ? Ist es möglich, die Hersteller, Modelle und Versionen ausfindig zu machen,
die benötigt werden, um die in der Produktion eingesetzten Hardware- und Softwarekombinationen angemessen zu testen? ? Können Sie die Räumlichkeiten reservieren, die für den Aufbau der Netzwerkkonfiguration und die Durchführung der Tests benötigt werden? ? Führt der Zeitaufwand für den Aufbau und das Debuggen des Testlabors dazu, dass weniger Zeit für das Testen zur Verfügung steht und möglicherweise nicht alle Tests durchgeführt werden können? ? Wenn viele Teams Hardware- und Softwarelizenzen suchen, wird es schwierig, nachzuvollziehen, wer was verwendet und wer Käufe genehmigt. Da somit keine Rechenschaftspflicht besteht, kann es zu überplanmäßigen Ausgaben und erhöhten Kosten kommen.
Änderungsmanagementlabore Die im vorhergehenden Abschnitt dargestellten Probleme sind überzeugende Gründe dafür, ein permanentes, offizielles Labor einzurichten. Nachdem Windows 2000 implementiert wurde, können Sie in einem permanenten Labor z. B. folgende Änderungen in der Umgebung testen: ? Netzwerkaktualisierungen ? Service Packs und Softwarepatches ? Kompatibilität von Geschäftsanwendungen ? Desktopkonfigurationen ? Neue Hardwareplattformen ? Administrative Prozesse und Supportprozesse ? Verwaltungstools für Clientcomputer
Ein vollständig ausgerüstetes permanentes Labor, das für das Änderungsmanagement eingesetzt wird, besitzt folgende Vorteile: LangfristigeKosteneinsparung. Über Projekte hinweg betrachtet sind die Kosten für ein permanentes Labor wahrscheinlich angemessener als diejenigen für Ad-hoc-Labore, bei denen Käufe nicht überwacht werden oder die finanzielle Rechenschaftspflicht nicht mehr klar zu erkennen ist. VermindertegeschäftlicheRisiken. Labore verringern die Risiken für die Produktionsumgebung, denn zuverlässige Tests führen zu saubereren Implementierungen. Es ist z. B. verlockend, auf umfassende Tests für eine augenscheinlich unbedeutende Änderung zu verzichten, wenn ein Testlabor nicht sofort zur Verfügung steht. Aber selbst eine kleine Änderung kann einen geschäftlichen Prozess zum Stillstand bringen. Steht ein permanentes Labor für das Änderungsmanagement zur Verfügung, ist es leichter, selbst kleine Änderungen zu testen. Je deutlicher das Labor die Produktionsumgebung widerspiegelt, desto zuverlässiger können die Tests sein.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
95
Zeiteinsparung für das Projekt Die Zeiten für Setup und Debugging werden auf ein Minimum reduziert, denn es nimmt weniger Zeit in Anspruch, Aktualisierungen in einem vorhandenen Labor vorzunehmen, als jedes Mal ein neues Labor einzurichten. Die Zeitersparnis ist von entscheidender Bedeutung, wenn Sie planen, Laborausrüstung für die laufende Prototypentwicklung einzusetzen. Wenn das Labor sowohl für die Einrichtung als auch für das Testen eingesetzt wird, steht weniger Zeit für den Aufbau zur Verfügung. Unterstützungbei der angemessenen Ausstattung des Labors Wenn Sie ein Änderungsmanagementlabor planen, ist es unter Umständen einfacher für Sie, den Kauf von Ausrüstung zu begründen, die Sie für bestimmte Testanforderungen benötigen. Bei Ad-hoc-Laboren ist es wahrscheinlich, dass die Ausrüstung aus einem anderen Einsatzbereich übernommen oder im Hinblick auf die Anforderungen in ihrem zukünftigen Einsatzbereich gekauft wird und damit unter Umständen nicht Ihre Testanforderungen erfüllt. Es ist auch wahrscheinlicher, dass Sie die richtige Ausrüstungskombination beibehalten können, die die Produktionsumgebung genau widerspiegelt. Im Laufe der Zeit können Sie mit der ursprünglichen Ausrüstung weiterarbeiten und neue Ausrüstung erwerben, um die sich ständig ändernde und vielfältige Produktionsumgebung abzubilden. Indem Sie die richtige Ausrüstungskombination im Labor beibehalten, ermöglichen Sie umfassende Regressionstests während des Änderungsmanagementprozesses. Unterstützungbei der Einrichtung konsistenter Methoden Wenn Sie über ein permanentes Labor verfügen, können Sie Personen bestimmen, die ausschließlich für den Support im Labor zuständig sind. Mit einem permanenten Labor und einem kontinuierlichen Labormanagement können Sie konsistente Testprozesse und -techniken entwickeln, die konsistente, über Zeiträume hinweg vergleichbare Ergebnisse hervorbringen.
Auswählen eines Labormodells Zu Ihrer Entscheidung über die Art des Labors – Ad-hoc- oder Änderungsmanagementlabor – tragen zahlreiche Faktoren bei. Die folgenden Faktoren können Ihre Entscheidung beeinflussen: ? Budget ? Verfügbare Zeit und verfügbares Personal für das Einrichten des Labors ? Vorhandene Labore ? Einschränkungen im Hinblick auf Räumlichkeiten oder Umgebung ? Unternehmenskultur ? Projektziele oder Unternehmensziele
Der erste Schritt beim Treffen dieser Entscheidung besteht darin, die langfristigen Test- und Risikomanagementziele einzuschätzen. Betrachten Sie anschließend die Vor- und Nachteile der einzelnen Modelle im Hinblick auf Ihre Zielsetzungen.
96
Teil I
Planung
Sie stellen unter Umständen fest, dass ein Modell für Ihre Ziele am besten geeignet ist, die Umstände aber einen anderen Ansatz vorzuschreiben scheinen. Sie sehen z. B. die Vorteile eines für eine längere Zeit eingerichteten Labors, in dem Sie Softwarepatches und -aktualisierungen testen können, aber Ihre Organisation scheint nicht über das Budget zu verfügen, um ein permanentes Labor einzurichten und zu betreiben. Sie müssen zwar die möglichen Ergebnisse der gegensätzlichen Lösungen abwägen, gelangen aber unter Umständen zu kreativen Möglichkeiten, die Ihre Ideallösung unterstützen. Stellen Sie sich z. B. folgende Fragen: ? Welche Auswirkungen hat die Entscheidung auf die Qualität der Tests? ? Welche Auswirkungen hat die Entscheidung auf die Schulung des Teams und ? ? ?
?
den Support für den Entwurf? Wird das Labor auch anderen vorhandenen Projekten nützen? Können andere Projekte ihre Anstrengungen und Budgets zusammenführen, um ein Labor gemeinsam zu nutzen? Ist es für Sie möglich, das Labor stufenweise aufzubauen, indem Sie mit den unbedingt notwendigen Komponenten beginnen und sie dann nach Budgetlage ergänzen? Werden Hardwarehersteller einer besonderen Vereinbarung zustimmen? Ist es z. B. möglich, dass Hersteller die Ausrüstung zunächst leihweise bereitstellen, bevor sie gekauft wird, oder werden sie Ihnen die Ausrüstung überlassen, wenn sie im Gegenzug den Namen Ihrer Organisation für Marketingzwecke nutzen können?
Auswählen eines Laborstandorts Ihre Entscheidungen über das Labormodell und den Laborstandort hängen wahrscheinlich miteinander zusammen. Der Standort für ein permanentes Labor, das von einer Vielzahl von Gruppen genutzt werden soll, erfordert mehr Überlegungen als ein für kurze Zeit betriebenes Labor, das von wenigen Gruppen genutzt wird. Raum für zukünftige Erweiterungen ist z. B. ein wichtiger Gesichtspunkt, wenn Sie planen, das Labor langfristig zu nutzen. Damit Sie diese Entscheidungen treffen können, berücksichtigen Sie die folgenden Fragen: ? Welche Laboreinrichtungen sind bereits vorhanden? Wie geeignet sind sie? Wie ? ? ?
?
leicht können sie an die Testanforderungen angepasst werden? Können vorhandene Labore konsolidiert werden? Welchen Umfang besitzt die Implementierung, und wie komplex ist sie? Wie möchten Sie das Budget für das Labor aufteilen? Berücksichtigen Sie folgende Punkte: ? Aufwendungen für Einrichtungen und Arbeitsbereich (Raum, Heizung, Lüftung, Klimaanlage, Stromversorgung, Verkabelung, Patchfelder, Servergestelle und Arbeitsflächen). ? Hardware und Software. ? Support- und weiteres Laborpersonal. Muss das Labor mit dem Produktionsnetzwerk oder anderen Laboren verbunden werden? Wenn es mit dem Produktionsnetzwerk verbunden werden muss, wie werden Sie die Verbindung regulieren und Router konfigurieren, um das Produktionsnetzwerk zu schützen?
Kapitel 4 Erstellen eines Testlabors für Windows 2000
97
Weitere Informationen zum Verbinden des Labors mit dem Produktionsnetzwerk finden Sie unter „Simulieren der vorgeschlagenen Serverumgebung“ weiter unten in diesem Kapitel. Bei der Auswahl von Laborstandorten sind noch die folgenden zusätzlichen Gesichtspunkte zu berücksichtigen: Aktualisierung oder Neuaufbau Wenn Sie sich dazu entscheiden, ein vorhandenes Labor zu verwenden, können Sie unter Umständen mit kleineren Aktualisierungen die Voraussetzungen für das Testen von Windows 2000 schaffen. Sie sollten z. B. die Server im Hinblick auf Speicher, Festplattenkapazität, Prozessortyp und Prozessorgeschwindigkeit auf den Stand der Server bringen, die Sie einsetzen möchten. Erreichbarkeit Das Labor sollte für alle Gruppen zugänglich sein, die es verwenden. Wenn Sie ein Programm implementieren, in dem Personen, die nicht zum Projektteam gehören, hinzukommen, um ihre eigenen Anwendungen zu testen, sollte das Labor über Einrichtungen, z. B. Parkraum, für Besucher verfügen. Sicherheit Stellen Sie sicher, dass Sie das Labor physisch absichern können, um Ihre Ausrüstung vor unberechtigter Benutzung zu schützen. Räumlichkeiten Unabhängig davon, ob Sie ein neues Labor einrichten oder ein vorhandenes aktualisieren, sind Räumlichkeiten ein Hauptgesichtspunkt. Für die Ausführung von Windows 2000 selbst ist keine hochentwickelte, teure Ausrüstung erforderlich. Da es wichtig ist, die Produktionsumgebung so genau wie möglich zu simulieren, beeinflusst die Komplexität dieser Umgebung die Komplexität des Labors. Zu den Faktoren in der aktuellen und der vorgeschlagenen Produktionsumgebung, die die Komplexität und damit den Raumbedarf ihres Labors bestimmen, gehören u. a.: ? Anzahl und Kombination der Funktionen, die Sie implementieren möchten.
Planen Sie die Implementierung einer Domäne, die sich über mehrere Standorte erstreckt? Planen Sie die Implementierung eines virtuellen privaten Netzwerks (VPN)? ? Vielschichtigkeit der Produktionsumgebung. Verfügen Sie über oder planen Sie den Einsatz von Standardausrüstung, -anwendungen und -konfigurationen in Ihrer Produktionsumgebung, oder werden Sie zahlreiche Hersteller, Modelle, Versionen und Konfigurationen nutzen? ? Komplexität der Netzwerkkonfiguration. Verfügen Sie in Ihrem Produktionsnetzwerk über mehrere Topologietypen? Planen Sie Schnittstellen zwischen Windows 2000 Server- und Großrechner-, Macintosh- oder UNIX-Systemen?
98
Teil I
Planung
Zusätzlich zu den Faktoren in der Produktionsumgebung können sich auch einige Testsituationen auf die Komplexität des Labors auswirken. Sie möchten z. B. eventuell weitere Server einsetzen, um bestimmte Testarten zu isolieren (wie im weiteren Verlauf dieses Kapitels beschrieben). Der Platzbedarf wird auch durch die Anzahl der Personen bestimmt, die nach Ihren Überlegungen an den Tests teilnehmen werden. Berücksichtigen Sie, wie vielen Benutzern Sie gleichzeitig Platz bieten müssen. Umgebungsbedingungen Der Standort für das Labor sollte, z. B. im Hinblick auf Temperatur, Feuchtigkeit und Sauberkeit, geeignete Umgebungsbedingungen aufweisen. Diese Anforderungen ähneln denen Ihres Datacenters. Der Laborstandort muss außerdem Ihre Anforderungen an Stromversorgung, Verkabelung und Netzwerkverbindungen erfüllen. Anzahl der Standorte In manchen Fällen empfiehlt es sich, dass Sie Ihr Labor an mehreren, miteinander verbundenen Standorten einrichten, damit Sie die Auswirkungen von geographisch getrennten Netzwerksegmenten testen können. Wenn Sie z. B. die Implementierung des Microsoft® Active Directory™ -Verzeichnisdiensts mit mehreren Active Directory-Standorten planen, sollten Sie die Replikation über eine ähnliche WANoder Internetverbindung testen. Weitere Informationen zu Active Directory-Standorten und Replikation finden Sie unter „Entwerfen der Active Directory-Struktur“ in dieser Dokumentation. In anderen Fällen empfiehlt es sich, mehrere unabhängige Labore für verschiedene Einsatzzwecke einzurichten. So könnten Sie ein eigenes Labor für Anwendungstests oder getrennte Labore für das Testen von Windows 2000 Server und Windows 2000 Professional einrichten.
Testen in einer verteilten Laborumgebung Eine Laborumgebung kann über zahlreiche physische oder sogar geographische Standorte verteilt sein. Die hier vorgestellten Fallstudien beschreiben, wie zwei Organisationen zu der Entscheidung gelangt sind, Labore auf diese Weise einzusetzen.
Fallstudie 1: Funktionelle Laborstandorte Ein großer Hochtechnologie-Hardwarehersteller ist nach funktionellen Gesichtspunkten organisiert. Seine regionalen Niederlassungen befinden sich an verschiedenen geographischen Standorten, die ausgewählt wurden, weil sie sich in der Nähe der Zulieferer und Lieferanten befinden, die die Funktion der jeweiligen Region unterstützen. Dieser Hersteller hat ein Labor entwickelt, das sich in drei seiner Hauptstandorte im Südwesten und Westen der USA befindet. Jeder Laborstandort wurde dafür konzipiert, die Funktionen und Konfigurationen zu testen, die für den Geschäftsbetrieb des jeweiligen Standorts eingesetzt werden. Bei jedem Labor handelt es sich um ein permanentes Labor, das für das Änderungsmanagement in der Produktionsumgebung eingesetzt wird.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
99
Zum Schluss plant die Organisation, das Labor auf internationale Standorte zu erweitern, z. B. Städte im Nahen und Fernen Osten, in Osteuropa und auf den Britischen Inseln. Die Organisation wird diese Remotestandorte dazu verwenden, Lösungen für die Herausforderungen eines globalen Unternehmens zu entwerfen und zu testen, z. B.: ? Konnektivität in stabilen Ländern ? Langsame Verbindungen ? Zeitweilig unstabile Verbindungen ? Mehrere Sprachen ? Mehrere Zeitzonen ? UnterschiedlicheWährungen ? Varianten bei Computer- und Netzwerkhardware
Fallstudie 2: Laborstandorte für Notfälle Für eine andere Organisation ist es wichtig, auf Notfälle vorbereitet zu sein. Diese Organisation möchte, dass ihre geographisch getrennten Standorte erforderlichenfalls in der Lage sind, die Rolle einer zentralisierten IT-Abteilung zu übernehmen. In dieser Organisation ist das Labor ein permanentes Änderungsmanagementlabor, das auch für Wiederherstellungstests eingesetzt wird. Bei einem Notfall würden Produktionssysteme am ausgewählten Standort eingesetzt, um auf ihnen die Aufgaben der IT-Abteilung auszuführen. Damit dies jederzeit möglich ist, führt die Organisation Tests im Labor durch, um zu gewährleisten, dass alle benötigten Hardware- und Softwarekomponenten am Alternativstandort verfügbar sind und ordnungsgemäß eingesetzt werden können. Diese Tests umfassen Folgendes: ? Laden von Anwendungen und Datenbanken ? Einstellen von Konfigurationen ? Ausführen von Anwendungen
Entwerfen des Labors Bevor Sie das Labor entwerfen, müssen Sie über einen allgemeinen Einrichtungsplan verfügen. Sie müssen z. B. den vorgeschlagenen Namespaceentwurf kennen. Darüber hinaus muss Ihnen die Domänenarchitektur bekannt sein, und Sie müssen wissen, wie Server für Dienste wie Domain Name System (DNS), Dynamic Host Configuration Protocol (DHCP) und Windows Internet Name Service (WINS) konfiguriert werden. Damit gewährleistet ist, dass das Labor die Testanforderungen widerspiegelt, müssen die Projektuntergruppen Informationen über die von ihnen benötigte Hardware und Software und die benötigten Konfigurationen weitergeben. Wenn Sie die Entscheidung treffen, ein permanentes Labor einzurichten, das Sie nach der Einrichtung von Windows 2000 für das Änderungsmanagement verwenden können, sollte der Entwurf sowohl bezüglich des Raumbedarfs als auch bezüglich der Raumaufteilung flexibel genug sein, um zukünftige Entwicklungen aufzunehmen.
100
Teil I
Planung
Je mehr Planung in den Entwurf des Labors geht, desto genauer können die Tests die tatsächliche Implementierung abbilden.
Voraussetzungen für das Entwerfen des Labors Da das Labor die Umgebung simulieren soll, in der Sie Windows 2000 einrichten werden, benötigen Sie Informationen über die aktuelle und die vorgeschlagene Umgebung, bevor Sie das Labor entwerfen können. Microsoft® Systems Management Server (SMS) kann Sie dabei unterstützen, Informationen über Ihr aktuelles System zusammenzutragen. Weitere Informationen zur Verwendung von SMS zur Aufnahme des Systeminventars finden Sie unter „Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur“ in dieser Dokumentation. Die Informationen über die vorgeschlagene Umgebung sollten in den Planungsdokumenten enthalten sein, die vom Projektteam erstellt werden. Zusätzlich zu einem allgemeinen Verständnis für die Windows 2000-Funktionen benötigen Sie folgende Informationen: ? Den aktuellen Netzwerkentwurf (logisch und real). ? Den vorgeschlagenen Windows 2000-Entwurf. ? Eine Liste der Funktionen, die ausgewertet und untersucht werden müssen. ? Eine Bestandsaufnahme der vorhandenen Hardware (Server, Clientcomputer
und tragbare Computer). ? Eine Liste der für den Einsatz von Windows 2000 vorgeschlagenen Hardware. Diese Liste wird im Verlauf der Testphase erweitert, Sie benötigen jedoch zu Beginn eine Liste für die Ausrüstung des Labors. ? Eine Liste der administrativen Tools (Windows 2000, von Drittanbietern und eigene). ? Eine Liste der Aktualisierungen, beispielsweise Service Packs, Treiber und BIOS, die Sie installieren müssen, um Windows 2000 einrichten zu können.
Entwürfe für Testszenarios Bemühen Sie sich bei Ihrem Entwurf darum, das Labor flexibel auszulegen. Versuchen Sie darüber hinaus, zumindest die folgenden zwei Kriterien zu erfüllen: ? Simulieren der vorgeschlagenen Umgebung – Entwurf für das, was Sie testen
werden. ? Aufnehmen des Testprozesses – Entwurf dafür, wie Sie testen werden. Sie gelangen zwar unter Umständen zu der Entscheidung, für das Testen der Server und der Clientcomputer ein Labor einzusetzen, in diesem Abschnitt werden aber die Überlegungen für den Entwurf des Labors getrennt dargestellt.
Simulieren der vorgeschlagenen Serverumgebung Planen Sie, aus der vorgeschlagenen logischen und realen Produktionsumgebung so viele Komponenten wie möglich zu testen; dies umfasst Computerhardware, Netzwerktopologie,WAN-Verbindungen, Domänenarchitektur, Dienste, Datenbanken, Geschäftsanwendungen, administrative Tools, das Sicherheitsmodell, die Methodik für die Anwendungseinrichtung und die Speichermethoden für Netzwerkserver.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
101
In diesem Abschnitt werden einige Überlegungen für den Entwurf eines Labors zum Testen von Windows 2000 Server vorgestellt. Die hier vorgebrachten Punkte gelten unter Umständen nicht für alle Implementierungen von Windows 2000 Server. Konzentrieren Sie sich auf die Überlegungen, die für Ihren Entwurf gelten.
Serverhardware und Treiber Verwenden Sie dieselben Hardwarekomponenten und Treiber, die Sie auf den Servern in der Produktionsumgebung einsetzen oder deren Einsatz Sie planen. Achten Sie auf jeden Fall darauf, dass Sie ein aktualisiertes BIOS erhalten, das mit Windows 2000 kompatibel ist.
Dienste und Konfigurationen Verwenden Sie dieselben Dienste und Konfigurationen, die Sie in der tatsächlichen Einrichtung einsetzen werden. Duplizieren Sie z. B. die DNS-, DHCP- und WINSKonfigurationen. Wenn Sie nicht den Einsatz der in Windows 2000 integrierten DNS- und DHCP-Dienste planen, nehmen Sie die Dienste von Drittanbietern auf, die Sie verwenden möchten.
Benutzerkonten Wenn Sie von Microsoft® Windows NT® 4.0 migrieren, richten Sie die Domänencontroller als Replikate der Domänencontroller in der Produktion ein, und verwenden Sie dazu Kopien der Benutzerkonten aus der Produktion. Mit dem Tool ClonePrincipal können Sie Benutzer aus der Produktion in Ihre Testdomäne kopieren. Weitere Informationen zu Strategien für die Migration von Benutzerkonten und die einzusetzenden Tools finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in dieser Dokumentation. Sprechen Sie sich immer mit den für die IT-Sicherheit zuständigen Personen ab, wenn Sie Produktionsdaten auf Labordatenbanken kopieren.
Domänenstruktur Wenn Sie Active Directory implementieren, simulieren Sie die Domänenhierarchie. Nehmen Sie z. B., je nach den Erfordernissen, eine Gesamtstruktur mit mehreren Strukturen auf, eine Struktur mit über- und untergeordneten Domänen und transitive und einseitige Vertrauensstellungen. Bilden Sie Ihre zentralisierte oder dezentralisierte IT-Administration in der Organisationseinheit ab. Nehmen Sie, je nach Bedarf, Active Directory-Standorte auf.
Serverstrategie Nehmen Sie Datei- und Druckserver auf, Anwendungsserver, Webserver, Datenbankserver und anderweitig genutzte Dienstprogrammserver, die sich in der Produktionsumgebung befinden oder befinden werden. Wenn Sie den Einsatz von SMS für die Einrichtung von Windows 2000 Server planen, nehmen Sie es in das Labor auf.
Gemischte Umgebungen Damit sowohl die gemischte Umgebung während eines in Phasen ablaufenden Rollouts als auch die Windows 2000-Umgebung nach Abschluss des Rollouts berücksichtigt wird, planen Sie folgende Domänentypen ein: ? Nativer Modus ? Gemischter Modus
102
Teil I
Planung ? Aktuelles Produktionsbetriebssystem
Durch die Simulation des Übergangsstatus können Sie funktionelle Probleme ermitteln, die während der in Phasen ablaufenden Implementierung unter Umständen auftreten. Die Server, auf denen andere Betriebssysteme als Windows 2000 Server ausgeführt werden, sollten die Dienste in der aktuellen Produktionsumgebung widerspiegeln.
Clientcomputerkonfiguration Verwenden Sie dieselbe Kombination von Clientcomputern wie in der Produktionsumgebung. Wenn Sie planen, zunächst Windows 2000 Server und später Windows 2000 Professional einzurichten, nehmen Sie das Clientbetriebssystem auf, das Sie verwenden werden, bis Windows 2000 Professional eingerichtet ist. Planen Sie, zunächst Windows 2000 Professional einzurichten, testen Sie, wie die erweiterte Serverfunktionalität bei der Einrichtung der Infrastruktur in Ihre Umgebung eingeführt wird. Wenn Sie ein in Phasen ablaufendes Rollout planen, nehmen Sie dieselbe Kombination auf, die während des Rollouts eingesetzt wird. Setzen Sie z. B. Clientcomputer mit Microsoft® Windows® 95 und Clientcomputer mit Windows 2000 Professional ein.
Netzwerktopologie und Protokolle Bilden Sie so genau wie möglich die in der Produktionsumgebung verwendete Netzwerktopologie und die eingesetzten Protokolle ab. Wenn z. B. in Ihrem Produktionsnetzwerk sowohl Ethernet als auch Token Ring verwendet werden, sollten beide in das Labor aufgenommen werden.
WAN-Verbindungen Wenn Sie mit einem WAN arbeiten, sollte das Labor mit Routern zum Testen der Netzwerklatenz ausgestattet sein. Wenn Sie über die Einrichtungen und das Budget verfügen, sollten Sie ein zweites Labor an einem Remotestandort einrichten, um die Netzwerklatenz über die WAN-Verbindung zu testen. Testen Sie z. B. Domänencontroller und die Replikation mit dem globalen Katalog über die Verbindung. Wenn Sie in einer multinationalen Organisation arbeiten, ist es empfehlenswert, das zweite Labor in einer anderen Region der Welt einzurichten, um reale Verzögerungsprobleme zu testen. Wenn Sie nicht über einen Standort für ein zweites Labor verfügen, an dem Sie die WAN-Verbindung testen können, haben Sie die Möglichkeit, zwei Router im selben Labor miteinander zu verbinden und die Verbindung mit einem Verbindungssimulator zu testen.
Remotekonnektivität Stellen Sie dieselben Arten von Remotekonnektivität, z. B. Routing und Remote Access Service und VPN zur Verfügung, damit Sie die Möglichkeit haben, das PPTP-Protokoll (Point-to-Point Tunneling Protocol), IPSec (Internet Protocol Security), das L2TP-Protokoll (Layer 2 Tunneling Protocol) und das Routing für Wählen bei Bedarf zu testen.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
103
Peripheriegeräte Nehmen Sie eine repräsentative Auswahl der Typen von Peripheriegeräten auf, die in der Produktionsumgebung eingesetzt werden. Nehmen Sie z. B. dieselben Drucker- und Scannertypen mit den dazugehörigen Treibern auf.
Interoperabilität Wenn Sie planen, Windows 2000 Server für den Betrieb mit Netzwerken oder Computern mit anderen Betriebssystemen zu implementieren, ahmen Sie die Infrastruktur für die Interoperabilität nach. Bauen Sie z. B. Verbindungen zu Großrechnerhosts, UNIX-Systemen oder anderen Netzwerkbetriebssystemen auf. Damit die Laborkonfiguration und die Testreihe überschaubar bleiben, entscheiden Sie, welche Interoperabilitätsszenarios für Ihre Organisation am wichtigsten sind, und konzentrieren Sie sich auf diese.
Administrative Tools Nehmen Sie die Tools (Windows 2000, von Drittanbietern oder eigene) auf, die Sie derzeit für serverbasierte administrative Tasks verwenden oder deren Einsatz Sie planen. Sie müssen testen, ob die Tools mit der neuen Umgebung kompatibel sind und effektiv eingesetzt werden können.
Fehlertoleranztechniken Testen Sie alle Fehlertoleranztechniken, die Sie in der Produktionsumgebung einsetzen möchten. Wenn Sie z. B. den Einsatz von Clustering planen, nehmen Sie einen Clusterserver in das Labor auf.
Terminaldienste Wenn Sie die Implementierung von Terminaldiensten planen, installieren Sie die entsprechende Kombination von Anwendungen auf dem Server. Sie müssen verstehen, welche Auswirkungen die Ausführung von Anwendungen in einer Mehrbenutzerumgebung hat. Unter Umständen müssen Sie für einige Anwendungen die Standardbetriebsumgebung ändern, um die gewünschte Funktionalität zu erhalten. Weitere Informationen zu Terminaldiensten finden Sie unter „Einrichten von Terminaldiensten“ in dieser Dokumentation. Anmerkung Wenn Sie Bedenken haben, dass einige Ihrer wichtigen Anwendungen unter Umständen nicht mit Windows 2000 Professional kompatibel sind, ziehen Sie die Installation der Terminaldienste in Betracht. Sie können die Terminaldienste auf einem Windows NT 4.0-Server einrichten und die Windows 2000-Clientcomputer so einrichten, dass die Clients die problematischen Anwendungen auf diesem Server nutzen. Ziehen Sie diesen Ansatz aber nur als Alternativplan in Betracht, um in letzter Minute auftretende Verzögerungen im Zeitplan zu vermeiden.
Produktionsnetzwerkkonnektivität Isolieren Sie das Testlabor vom Unternehmensnetzwerk. Wenn Sie eine Verbindung vom Labor zum Unternehmensnetzwerk aufbauen müssen, planen Sie Möglichkeiten ein, diese Verbindung zu regulieren und zu steuern, und entwickeln Sie eine Möglichkeit, die Verbindung schnell zu beenden.
104
Teil I
Planung
Entwerfen Sie Routerkonfigurationen zum Schutz des Produktionsnetzwerks. Ziehen Sie z. B. die Verwendung eines mehrfach vernetzten Routers mit zwei Netzwerkadaptern in Betracht, um für bestimmte, kontrollierte Einsatzzwecke eine Verbindung zwischen dem Labor und dem Produktionsnetzwerk aufzubauen. Konfigurieren Sie den Router so, dass vom Produktionsnetzwerk der Zugriff auf das Testnetzwerk möglich ist, vom Testnetzwerk aber nicht auf das Produktionsnetzwerk zugegriffen werden kann. Mit diesem Ansatz wird die Produktionsumgebung vor den Abläufen im Labor geschützt, Benutzer in der Produktion können aber auf Ressourcen im Labor zugreifen. Sie können z. B. mit diesem Ansatz arbeiten, um Anmeldeskripts auf einem Laborserver mit einer kleinen Zahl von Benutzern zu testen, bevor Sie die Skripts in ein Pilotprojekt in der Produktionsumgebung verschieben.
Simulieren der vorgeschlagenen Clientcomputerumgebung Entwerfen Sie das Clientcomputerlabor so, dass Sie dieselben Funktionen testen können, die in der Produktionsumgebung verwendet werden. Nehmen Sie dieselben Hardware-, Anwendungs- und Netzwerkkonfigurationstypen auf. In diesem Abschnitt werden einige Überlegungen für den Entwurf eines Labors zum Testen von Windows 2000 Professional behandelt. Die hier vorgebrachten Punkte gelten unter Umständen nicht für alle Implementierungen von Windows 2000 Professional. Konzentrieren Sie sich auf die Überlegungen, die für Ihren Entwurf gelten.
Clientcomputerhardware Nehmen Sie pro Hersteller und Modell mindestens einen Clientcomputer auf, auf dem Windows 2000 in der Produktionsumgebung ausgeführt werden soll. Wenn in Ihrer Organisation Laptops, Dockingstationen oder Portreplikatoren eingesetzt werden, nehmen Sie unbedingt auch diese Hersteller und Modelle auf. Achten Sie auf jeden Fall darauf, dass Sie ein aktualisiertes BIOS erhalten, das mit Windows 2000 kompatibel ist. Es empfiehlt sich, im Rahmen des Einrichtungsprojekts eine Standardhardwarekonfiguration für Windows 2000 Professional zu entwickeln. Die im Labor durchgeführten Tests können Sie dabei unterstützen, eine Standardkonfiguration zu definieren und weiter zu verbessern. Überprüfen Sie bei der Definition der Hardwarekonfigurationen, ob die Komponenten mit Windows 2000 kompatibel sind. Sie müssen z. B. unter Umständen die Kompatibilität der folgenden Komponenten überprüfen: ? USB-Adapter ? CD- und DVD-Laufwerke ? Audioadapter ? Netzwerkadapter ? Videoadapter ? SCSI-Adapter ? Massenspeichercontroller ? Wechselmedien ? Zeigegeräte (Mäuse, Trackballs, Tabletts) ? Tastaturen
Kapitel 4 Erstellen eines Testlabors für Windows 2000
105
Um die Kompatibilität zu ermitteln, schlagen Sie die Komponenten in der Hardwarekompatibilitätsliste (Hardware Compatibility List, HCL) von Microsoft nach. Sie finden dieses Liste unter http://www.microsoft.com, wenn Sie eine Suche mit dem Schlüsselwort „HCL“ durchführen. Die HCL enthält die gesamte von Microsoft unterstützte Hardware. Wenn Ihre Hardware sich nicht in der Liste befindet, wenden Sie sich an den Hersteller, um herauszufinden, ob ein Treiber zur Verfügung steht. Wenn Ihre Komponenten mit 16-Bit-Treibern arbeiten, müssen Sie 32-Bit-Treiber besorgen. Sie können zur Überprüfung der Hardwarekompatibilität auch Windows 2000 Professional Setup verwenden. Führen Sie Setup im Modus „Nur auf Aktualisierung prüfen“ aus, um Protokolldateien zu erhalten, in denen inkompatible Hardware und Software sowie Gerätetreiber angegeben sind, die aktualisiert werden müssen. Das Befehlszeilenformat für den Modus „Nur auf Aktualisierung prüfen“ lautet wie folgt: winnt32 /checkupgradeonly
Auf Computern mit Windows 9x trägt die Protokolldatei den Namen Upgrade.txt und befindet sich im Windows-Installationsordner. Auf Systemen mit Windows NT heißt die Protokolldatei Winnt32.log und befindet sich im Installationsordner. Wenn im Lieferumfang von Windows 2000 keine aktualisierten Gerätetreiber für Ihre Geräte enthalten sind, wenden Sie sich an den Hersteller, um einen aktualisierten Treiber zu erhalten. Nachdem Sie sich für eine Standardhardwarekonfiguration entschieden haben, inventarisieren Sie die Computer in der Produktionsumgebung, um zu ermitteln, welche Computer vor der Einrichtung von Windows 2000 aktualisiert werden müssen. Informationen zur Verwendung von SMS zur Inventarisierung finden Sie unter „Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur“ in diesem Buch. Weitere Informationen zur Entwicklung von Clientcomputerstandards finden Sie unter „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ in diesem Buch.
Netzwerkverbindung Stellen Sie Verbindungen zu denselben Netzwerktypen her, die in der Produktionsumgebung eingesetzt werden, z. B. LAN, WAN oder Internet. Wenn Sie planen, Routing, Remotezugriff oder einen Proxynetzwerkdienst in der Produktionsumgebung einzusetzen, nehmen Sie diese Verbindungstypen in das Labor auf.
Serverbasierte Dienste Konfigurieren Sie Server für die in der Produktionsumgebung eingesetzten Dienste. Nehmen Sie z. B. folgende Dienste auf: ? DNS, WINS und DHCP ? Verzeichnisdienste (z. B. X.500 und NetWare) ? Dateifreigabe
106
Teil I
Planung ? Drucken im Netzwerk ? Serverbasierte Unternehmensanwendungen, sowohl zentralisiert als auch
dezentralisiert ? IntelliMirror Vergessen Sie nicht, z. B. folgende administrative Dienste vorzubereiten: ? Remoteinstallation des Betriebssystems ? Serverbasierte Anwendungseinrichtung ? Tools für die Verwaltung von Clientcomputern (z. B. SMS)
Domänenauthentifizierung Wenn Ihre Organisation Domänenauthentifizierung einsetzt oder den Einsatz plant, simulieren Sie die Authentifizierungskonfiguration im Labor. Wenn Sie von Windows NT 4.0 in Windows 2000 Server migrieren, planen Sie die Authentifizierung in der gemischten Umgebung ein, die während des in Phasen ablaufenden Rollouts auftreten wird.
Netzwerkverwaltungsdienste Nehmen Sie die in der Umgebung verwendeten Netzwerkdienste auf, z. B. SNMP (Simple Network Management Protocol).
Netzwerkprotokolle Verwenden Sie die Protokolle, die Sie in der Produktionsumgebung einsetzen möchten. Überprüfen Sie die von Ihnen verwendeten Protokolle auf Clientcomputern, bevor Sie sie in das Produktionsnetzwerk einbinden.
Anwendungen Sie benötigen Lizenzen für als auch Zugriff auf die Software für alle eigenständigen und serverbasierten Anwendungen, die auf Windows 2000 ProfessionalClientcomputern unterstützt werden sollen. Weitere Informationen zum Testen von Anwendungen in einem Labor finden Sie unter „Testen der Anwendungskompatibilität mit Windows 2000“ in diesem Buch
Peripheriegeräte Nehmen Sie eine repräsentative Auswahl der Typen von Peripheriegeräten, z. B. Drucker und Scanner, auf, die in der Produktionsumgebung eingesetzt werden.
Serverplattform-Interoperabilität Simulieren Sie die Serverplattformen, auf die Windows 2000 Professional-Clientcomputer zugreifen sollen. Wenn Sie ein separates Serverlabor haben, ziehen Sie in Betracht, das Clientcomputerlabor mit diesem Labor zu verbinden, anstatt Server im Clientcomputerlabor zu installieren. Sie müssen unter Umständen Verbindungen zu den folgenden Systemen aufbauen: ? Windows 2000 Server ? Windows NT ? Großrechner, die die 3270-Emulation unterstützen ? UNIX
Kapitel 4 Erstellen eines Testlabors für Windows 2000
107
? Andere Netzwerkbetriebssysteme
Wenn Sie planen, Windows 2000 Professional gleichzeitig mit Windows 2000 Server einzurichten, nehmen Sie jeden Servertyp auf, auf den ein Clientcomputer während der Einrichtungsperiode zugreifen kann – sofern diese Tests nicht vom Windows 2000 Server-Team durchgeführt werden sollen.
Desktopkonfigurationen Im Rahmen Ihres Windows 2000 Professional-Projekts gelangt Ihre Organisation unter Umständen zu der Entscheidung, Clientstandardkonfigurationen und die für ihre Verwaltung eingesetzten Gruppenrichtlinien zu bewerten. Aus Labortests können Informationen gewonnen werden, um dem Management bestimmte Konfigurationen und Gruppenrichtlinienobjekte zu empfehlen. Wenn Sie entscheiden, diese Art von bewertenden Tests durchzuführen, vergleichen Sie parallel unterschiedliche Konfigurationen und Gruppenrichtlinieneinstellungen. Planen Sie genügend Computer derselben Marke und desselben Modells ein, um die parallelen Bewertungen durchführen zu können. Bewerten Sie Clientkonfigurationen auf der Grundlage von Leistung, Benutzerfreundlichkeit, Stabilität, Hardware- und Softwarekompatibilität, Funktionalität und Sicherheitsmodell. Überprüfen Sie bei der Bewertung der Gruppenrichtlinienobjekte, ob sie zu den gewünschten Ergebnissen führen, besonders wenn für eine Konfiguration mehrere gelten, und ob die resultierende Anmeldezeit akzeptabel ist.
Leistung Nutzen Sie das Labor, um mit der Bewertung der Auswirkungen auf den Netzwerkverkehr zu beginnen. Testen Sie hierzu Änderungen in grundlegenden Verkehrsverläufen ohne Benutzeraktivität. Weiter Informationen zu Leistungskonzepten und Überwachungstools finden Sie unter „Überblick über die Leistungsüberwachung“ in Microsoft® Windows® 2000 Server – Die technische Referenz: Betrieb.
Produktionsnetzwerkkonnektivität Das Clientcomputerlabor muss wie das Serverlabor vom Unternehmensnetzwerk isoliert werden. Wenn Sie eine Verbindung zwischen dem Labor und dem Unternehmensnetzwerk aufbauen müssen, planen Sie, auf welche Weise Sie Router zur Trennung der beiden Netzwerke einsetzen.
Koordinieren von Testprozessen Da einige Tests die Laborumgebung verändern, können sie ungewollt andere Tests beeinflussen. Achten Sie darauf, diese Art von Tests zu isolieren, sie zu koordinieren und zu verwalten. So ändern z. B. Tests zu Serveraktualisierungen den Status der Server. Befassen Sie sich im Labordomänenentwurf mit Szenarios dieser Art. Mit anderen Szenarios müssen Sie sich unter Umständen in den Verfahren für die Laborverwaltung befassen. So wirken sich z. B. Schemarevisionen auf die Gesamtstruktur aus. Planen Sie daher für diese Art von Tests Zeiten ein, und informieren Sie andere Laborbenutzer darüber. Vergessen Sie nicht, dass das Labor häufig geändert werden muss, damit es die jeweils aktuellen Testschwerpunkte widerspiegelt. Erstellen Sie Sicherungen von Grundkonfigurationen, damit das Testpersonal einen Computer schnell wieder auf seinen vorherigen Status zurücksetzen kann. Testen Sie auf jeden Fall den Wieder-
108
Teil I
Planung
herstellungsprozess. Dokumentieren Sie die Sicherungsdateien, und lagern Sie sie an einem sicheren, zugänglichen Ort.
Entwerfen von Testdomänen Bieten Sie mit Ihrem Entwurf für die Labordomänenstruktur ein konsistentes Setup und eine konsistente Konfiguration, damit das Testpersonal sich auf eine Infrastruktur mit bekanntem Status verlassen kann. Planen Sie z. B. eine einzelne Domäne für Migrationstests und Tests im gemischten Modus ein. Dabei sollte die Domäne sich immer im Status für den gemischten Modus befinden. Die Ausnahme bilden eingeplante Zeiträume, in denen sie zum Testen des Migrationsprozesses auf den vorherigen Status zurückgesetzt wird. Auf diese Weise wissen Laborbenutzer immer, was sie zu erwarten haben. Zusammenzufassend: Entwerfen Sie die Labordomänenhierarchie so, dass Tests in eigene Domänen aufgeteilt werden. Beispiele für die Arten von Tests, für die unter Umständen getrennte Domänen benötigt werden, sind: ? DNS ? Nativer Modus ? Gemischter Modus ? Migrationsprozess ? Replikat der Produktionsdaten
Fallstudie für das Entwerfen von Testdomänen Ein großes Fertigungsunternehmen hat sein Labor mit dem Ziel entworfen, darin spezifische Tests durchzuführen. In Abbildung 4.4 ist die logische Struktur der Domänen des Labors dargestellt. Das Unternehmen hat eine Stammdomäne mit vier untergeordneten Domänen angelegt. Die Domänenstruktur hat es dem Projektteam ermöglicht, für jede der folgenden Testarten eine eigene Domäne zu verwenden: ? Windows 2000 Server-Funktionen in einer Domäne im nativen Modus,
einschließlich Drucken. ? Virtuelle private Netzwerke. ? Interoperabilität im gemischten Modus und Migrationsprozess. ? Microsoft® Exchange Server-Integration mit Windows 2000. In einer isolierten Domäne hatte das Team die Möglichkeit, DNS zu testen, ohne andere Tests zu beeinflussen.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
109
Abbildung 4.4 Beispiel für das Entwerfen von logischen Domänen im Testlabor
Dokumentieren der Laborkonfiguration Dokumentieren Sie den Laborentwurf sowohl in einer Beschreibung als auch in einem Diagramm. Bringen Sie das Diagramm im Labor an, damit leicht auf Informationen zum Labor zugegriffen werden kann und Laborbenutzer aktuell über Änderungen im Entwurf informiert werden. Das Testpersonal kann die Laborbeschreibung und das Diagramm beim Entwerfen von Testfällen verwenden, um sicherzustellen, dass der Testplan alles abdeckt und Tests reproduziert werden können.
Beschreibung des Labors Nehmen Sie in die Laborbeschreibung folgende Informationen auf: ? Domänenstruktur. Hierzu gehören: ? Gesamtstruktur und Strukturhierarchie. ? Gruppenrichtlinienobjekte(die Einstellungen und deren Anwendung). ? Zweck der jeweiligen Domäne. ? Methode zum Laden von Benutzerkontodaten. ? Vertrauensstellungen (transitiv und explizit). ? Domänencontroller. Hierzu gehören: ? Primäre Domänencontroller (PDC) und Reservedomänencontroller (BDC),
wenn Sie von Windows NT 4.0 migrieren. ? Server, die als Domänencontroller fungieren sollen, wenn Sie von einem
anderen Betriebssystem migrieren. ? Mitgliedsserver, einschließlich der Dienste, die darauf ausgeführt werden sollen.
110
Teil I
Planung ? Clientcomputer. Hierzu gehören: ? Marke und Modell des Computers. ? Speichervolumen. ? Typ und Geschwindigkeit des Prozessors. ? Festplattenkapazität. ? Grafikkarten (Typ, Auflösung und Farbtiefe). ? Verwendung des Laborentwurfs für bestimmte Tests. Hierzu gehören: ? Tests im gemischten und im nativen Modus. ? DFÜ-Tests und weitere Remotetests. ? Interoperabilitätstests (UNIX, Großrechner und andere Systeme). ? Replikations- und Active Directory-Standorttests. ? Testen der WAN-Verbindungen.
Labordiagramme Nehmen Sie in das Labordiagramm sowohl die logische als auch die physische Struktur des Labors auf. Je nach Komplexität des Labornetzwerks können die logische und die physische Ansicht in einem Diagramm zusammengefasst werden.
Logisches Diagramm Nehmen Sie folgende Informationen in das logische Diagramm auf: ? Domänenhierarchie, einschließlich Gesamtstrukturen und Strukturen. ? Domänennamen. ? Active Directory-Standorte. ? Server für besondere Dienste (Domänencontroller, globaler Katalog, DNS,
DHCP und WINS) mit folgenden Informationen: ? Computername ? IP-Adresse ? Serverfunktion ? Transitive Vertrauensstellungen. ? Explizite einseitige Vertrauensstellungen. Abbildung 4.5 ist ein Beispiel für ein logisches Diagramm. Dieses Labor besitzt eine Struktur, die aus einer Stammdomäne und drei untergeordneten Domänen besteht. Pfeile mit zwei Spitzen geben transitive Vertrauensstellungen zwischen den Windows 2000-Domänen an. Die Windows NT 4.0-Domäne hat explizite einseitige Vertrauensstellungen mit der Windows 2000-Struktur. Dieses Labor besitzt keine Active Directory-Standorte. In dieser Testphase enthält das Labor Domänencontroller, von denen einige auch DNS-Server sind, die das Protokoll für die dynamische Aktualisierung unterstützen, weiterhin DHCP-Server und einen Server für den globalen Katalog.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
Abbildung 4.5 Beispiel für das logische Diagramm eines Testlabors
Physisches Diagramm Nehmen Sie folgende Informationen in das physische Diagramm auf: ? Netzwerkkomponenten. Hierzu gehören: ? Router und Brücken. ? Hubs. ? Verbindungssimulatoren. ? Proxyserver. ? Sniffer und Verkehrserzeuger. ? Analoge Verbindungen und ISDN-Verbindungen. ? LAN-, WAN- und Internetverbindungen und Geschwindigkeiten. ? Server. Hierzu gehören: ? Domänenname. ? Computername. ? IP-Adresse. ? Serverfunktion. ? Clientcomputer. Hierzu gehören: ? Computername. ? IP-Adresse, wenn die statische Adressierung eingesetzt wird.
111
112
Teil I
Planung
Abbildung 4.6 ist ein Beispiel für ein physisches Diagramm. Dieses physische Diagramm ist für dasselbe Labor wie das logische Diagramm in Abbildung 4.5. In diesem Diagramm sehen Sie die drei Subnetze für die drei untergeordneten Domänen. Jedes Subnetz besitzt sowohl einen Windows 2000 ProfessionalClientcomputer als auch einen anderen Clientcomputertyp. Das Labor benutzt simulierte Frame Relay-Verbindungen und besitzt einen UNIX-Server.
Abbildung 4.6. Beispiel für das physische Diagramm eines Testlabors
Kapitel 4 Erstellen eines Testlabors für Windows 2000
113
Erstellen des Labors Nachdem Sie das Labor entworfen und dokumentiert haben, veranlassen Sie, dass die Projektuntergruppen den Plan überprüfen, um zu gewährleisten, dass alle Erfordernisse abgedeckt wurden. Wenn der Laborplan genehmigt wurde, können Sie mit Kauf und Installation von Hardware und Software beginnen. Wenn Sie planen, das Labor bei geänderten Testschwerpunkten in regelmäßigen Abständen neu aufzubauen, ziehen Sie für die Verwaltung der Änderungen im Labor Tools oder Produkte wie z. B. SMS in Betracht. Sie sollten auch überlegen, ob Sie die Funktion für die Remoteinstallation des Betriebssystems einsetzen, damit Sie mit ihr schnell Änderungen an den Clientcomputerkonfigurationen im Labor vornehmen können. Weitere Informationen zum Verwenden der Remoteinstallation des Betriebssystems zum Automatisieren der Clientcomputerinstallationen erhalten Sie unter „Automatisieren der Clientinstallation und der Aktualisierung“ in dieser Dokumentation. Active Directory Service Interfaces (ADSI) und Windows Scripting Host können Sie dabei unterstützen, Benutzer, Gruppen und Organisationseinheiten in der Laborumgebung schnell zu erstellen, zu löschen oder zu ändern. Dokumentieren Sie beim Erstellen oder erneuten Aufbau des Labors jede von Ihnen an Servern und Clientcomputern vorgenommene Änderung in chronologischer Reihenfolge. Diese Aufzeichnungen können Ihnen helfen, Probleme zu lösen sowie zu verstehen, warum sich ein bestimmter Computer im Laufe der Zeit in der gezeigten Weise verhält. Sie unterstützen Sie auch dabei, die zuletzt vorgenommenen Änderungen rückgängig zu machen, um ein kurzfristiges Problem zu lösen. Das Erstellen des Labors umfasst folgende Schritte: ? Kauf von Hardware und Software, einschließlich der administrativen Tools.
Sie können die Ausrüstung entweder kaufen oder von anderen Einsatzorten übernehmen. Welches Vorgehen Sie wählen, hängt von Ihrem Budget und dem von Ihnen gewählten Labormodell ab. Es ist in beiden Fällen wichtig, Ausrüstung zu erhalten, mit der Sie Ihre Einrichtung ausreichend testen können und die Ihre Produktionsausrüstung widerspiegelt. Stellen Sie sicher, dass die von Ihnen eingesetzte Hardware sich in der Hardwarekompatibilitätsliste von Microsoft befindet. Sie können sich auch an die Hersteller wenden, um herauszufinden, ob die Produkte auf Windows 2000 vorbereitet sind. Stellen Sie sicher, dass die Hersteller mit Ihrer Hardware aktiv Windows 2000 unterstützen. Verwenden Sie dieselben Modelle von denselben Herstellern, die Sie auch bei der Hardware und Software in der Produktionsumgebung einsetzen werden. Diese Richtlinie gilt für: ? Hubs, Switches, Router und Brücken ? Netzwerkadapter ? Servercomputerhardware und -betriebssysteme ? Clientcomputerhardware und -betriebssysteme
114
Teil I
Planung ? Installieren und konfigurieren Sie Netzwerkkomponenten. Beschriften Sie alle
Netzwerkkabel. ? Testen Sie alle Netzwerkverbindungen.
?
?
?
?
? ?
Wenn Sie das Netzwerk vor der Installation der Server testen, können Sie Probleme leichter eingrenzen und lösen. Installieren und konfigurieren Sie alle Server. Wenn Sie Server von anderen Einsatzorten übernehmen, müssen Sie sie unter Umständen aktualisieren, um sie mit Windows 2000 Server einsetzen zu können. Verwenden Sie denselben Speicher, dieselbe Plattenkapazität und dieselbeCPU-Geschwindigkeit, die Sie für die Einrichtung planen. Führen Sie unbedingt eine Virenprüfung durch, und defragmentieren Sie die Festplatten. Installieren Sie das entsprechende Betriebssystem, entweder Windows 2000 Server oder das Betriebssystem, dessen Aktualisierung Sie planen. Partitionieren Sie die Festplatten genau so, wie Sie es für die Einrichtung geplant haben. Wenn Sie die Domänencontroller aktualisieren, führen Sie vor der Aktualisierung Sicherungen für die Server durch. Testen Sie die Sicherungen, und lagern Sie sie an einem sicheren Ort. Durch das Erstellen zuverlässiger Sicherungen vermeiden Sie Störungen in der Produktionsumgebung, wenn der Aktualisierungsprozess sich ändert oder nicht erfolgreich verläuft, oder Sie den ursprünglichen Stand wiederherstellen müssen. Wenn Sie neue Ausrüstung kaufen, führen Sie einen zwei- oder dreitägigen Probelauf mit den Komponenten durch, um sicherzustellen, dass sie ordnungsgemäß funktionieren. Installieren Sie Anwendungssoftware, wenn Sie bereit sind, sie in die Tests einzubeziehen. Installieren Sie alle serverbasierten Anwendungen, z. B. Microsoft® BackOffice®- und Geschäftsanwendungen, die sich in der Produktionsumgebung befinden. Erstellen oder laden Sie Kopien der dazugehörigen Datenbanken. Installieren Sie die administrativen Tools, die Sie einsetzen oder deren Einsatz Sie planen. Installieren Sie Tools für Tests und Administration. Wenn Sie planen, den Netzwerkverkehr zu überprüfen oder die Leistung zu testen, sollten Sie einen Hardware- oder einen Softwaresniffer aufnehmen. Wenn Sie Terminaldienste implementieren, installieren Sie eine repräsentative Gruppe von Anwendungen, damit Sie den gleichzeitigen Zugriff durch mehrere Benutzer testen können. Installieren und konfigurieren Sie alle Clientcomputer. Wenn Sie planen, Sicherungen für die Wiederherstellung von Grundkonfigurationen zu erstellen, richten Sie die Grundkonfigurationen ein, und erstellen Sie die Sicherungen. Wenn Sie z. B. anstatt einer Neuinstallation die Aktualisierung von Windows 95 auf Windows 2000 Professional planen, sichern Sie einen Windows 95Clientcomputer, auf dem sich Ihre Standardanwendungen befinden. Die Grundkonfigurationen sollten alle Service Packs umfassen, die in Ihrer Umgebung unterstützt werden. Testen und dokumentieren Sie auf jeden Fall den Wiederherstellungsprozess.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
115
? Testen Sie die einzelnen Komponenten im Labor, um Probleme zu isolieren, die
nicht mit Windows 2000 Server und der Einrichtung zusammenhängen. Wenn Sie mit dem Testen beginnen, möchten Sie nicht Probleme mit dem Labor beheben, sondern Ihre Zeit für das Debugging von Einrichtungsproblemen einsetzen. ? Wenn Sie eine Verbindung zum Produktionsnetzwerk herstellen müssen, konfigurieren und testen Sie Router, um das Labor von der Produktion zu isolieren.
Verwalten des Labors Wenn Ihr Labor ein permanentes Labor sein soll oder von zahlreichen Gruppen verwendet wird, müssen Sie unter Umständen eine Person für die Verwaltung benennen. Dies ist insbesondere dann der Fall, wenn das Labor während des Änderungsmanagementprozesses von mehreren Gruppen genutzt werden soll. Für kleinere Labore oder Labore, die von einem einzelnen Team genutzt werden, ist es eventuell nicht nötig, eine Person für die Verwaltung zu benennen. Auch wenn Sie nicht entscheiden, eine Person zu benennen, die ausschließlich für die Verwaltung zuständig ist, wählen Sie eine Person aus, die für das Labor verantwortlich ist. Richten Sie unabhängig von Ihrer Entscheidung über die Laborverwaltung ein Kommunikationssystem ein, das sich gut dafür eignet, Informationen über die Verfügbarkeit und den Status des Labors zu verbreiten. Laborbenutzer müssen wissen, wann sie ihre eigenen Tests durchführen können, ob ihre Tests andere Tests unterbrechen und welchen Status das Labor besitzt. Wenn z. B. eine Domäne im Labor zum Testen des Migrationsprozesses und zum Testen der Funktionen im gemischten Modus verwendet wird, müssen Laborbenutzer wissen, ob die Computer aktualisiert werden können oder bereits aktualisiert wurden. Wenn Sie sich dafür entscheiden, eine Person mit der Laborverwaltung zu beauftragen, wägen Sie im Hinblick auf die entstehenden Nachteile und Kosten ab, ob eine Person ausschließlich für die Laborverwaltung zuständig sein soll, oder ob Sie ein Mitglied des Projektteams mit dieser Rolle betrauen. Welche Entscheidung Sie treffen, hängt von Größe und Komplexität des Labors ab. Die zusätzlichen Pflichten in der Laborverwaltung neben den anderen Verpflichtungen im Projekt führen unter Umständen zu einer übermäßigen Belastung.
Verpflichtungen der Laborverwaltung Die mit der Laborverwaltung betraute Person ist für folgende Arten von Aufgaben verantwortlich: ? Hardware und Software beschaffen. ? Netzwerkzugänge und Serverkapazität und -konfigurationen verwalten. ? Hardware- und Softwarekonfigurationen und -aktualisierungen verwalten. ? Tests der Untergruppen koordinieren (Wer testet wann was?).
Wenn für Tests die Konfiguration von Servern oder Clientcomputern geändert werden muss, müssen diese Änderungen zeitlich geplant und anderen Laborbenutzern mitgeteilt werden.
116
Teil I
Planung ? Änderungssteuerungsprozess entwickeln und überwachen.
? ?
? ? ? ? ? ? ? ?
Im Änderungssteuerungsprozess wird festgelegt, wer zu Änderungen in der Laborumgebung berechtigt ist. Labordokumentation führen (z. B. Laborbeschreibungen, Diagramme und Prozesse). Physische Sicherheit herstellen. Die mit der Laborverwaltung betraute Person ergreift Maßnahmen, um die unbefugte Nutzung von Laborausrüstung zu vermeiden, und verwaltet den Zugang zum Labor mit Schlüsseln oder elektronischen Schlössern. Inventarkontrollsystem einrichten. Laborbudget für Supportkosten aufstellen. Hardware beschriften (einschließlich Verkabelung). Probleme mit der Umgebung lösen. Präventives Wartungsprogramm für die Ausrüstung implementieren. Genehmigungsprozess für die Entnahme von Ausrüstungsgegenständen einrichten (z. B. Ausleihen). Regelmäßige Serversicherungen erstellen. Sauberkeit und Ordnung im Labor sicherstellen.
Letzten Endes ist die mit der Verwaltung des Labors betraute Person dafür verantwortlich, das Labor so einsatzfähig und flexibel wie möglich zu machen. Alle Prozesse, die zur Erfüllung dieser Aufgaben entworfen werden, sollen die Nutzung des Labors erleichtern, nicht behindern.
Entwickeln von Laborrichtlinien Es empfiehlt sich, Richtlinien dafür zu entwickeln und zu implementieren, wie Teammitglieder das Labor einsetzen sollten. Formulieren Sie die Richtlinien so, dass die Mitglieder sie sich leicht merken und problemlos umsetzen können. Verfolgen Sie die Absicht, zu erläutern anstatt vorzuschreiben. Benennen und dokumentieren Sie Folgendes: Rollen und Zuständigkeiten Geben Sie an, wer für Aufgaben wie das Aufstellen eines Zeitplans für die Laborbenutzung und das Erstellen von Sicherungen zuständig ist. Einrichtungen und Richtlinien für besondere Arten von Tests Geben Sie z. B. an, welche Domänen und Konfigurationen Teammitglieder zum Testen des Migrationsprozesses nutzen sollen. Richtlinien fürdie Änderungskontrolleim Labor Geben Sie an, wer zu Änderungen an der Konfiguration berechtigt ist. Definieren Sie den Genehmigungsprozess für Änderungsanforderungen. Geben Sie z. B. an, wer Schemarevisionen vornehmen darf, und wer über vorgenommene Revisionen benachrichtigt werden soll. Legen Sie fest, in welcher Form Änderungen im Labor dokumentiert werden müssen. InitialisierungsprozedurenfürServer Dokumentieren Sie die Schritte für die Installation und Konfiguration von Domänencontrollern und Mitgliedsservern und das Laden von Daten auf diese Controller und Server. Nehmen Sie DNS-Einstellungen auf, wenn Sie nicht das in Windows 2000 integrierte DNS verwenden.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
117
LaborwiederherstellverfahrenfürRollouttests Dokumentieren Sie die Schritte, mit denen der ursprüngliche Zustand von Domänencontrollern wiederhergestellt und Benutzerkontodaten aktualisiert werden. Dokumentieren Sie die gesamten Serverkonfigurationen. Testen Sie den Aktualisierungsprozess, bevor Sie mit den Migrationstests beginnen. WiederherstellverfahrenfürClientcomputer Wenn Sie planen, Clientcomputer zum Testen verschiedener Konfigurationen häufig neu einzurichten, dokumentieren Sie, welche Tools einzusetzen sind, um schnell einen bekannten Ausgangszustand des Computers wiederherzustellen. Sie sollten z. B. RIS einsetzen.
Testen Gut durchgeführte Tests reduzieren das Risiko für den Geschäftsbetrieb, wenn Sie Änderungen in der Produktionsumgebung einführen. Intensives Testen erfordert jedoch sorgfältige Planung. Wenn Ihre Tests genau widerspiegeln sollen, wie Ihr vorgeschlagener Entwurf funktionieren wird, müssen Sie sie so entwerfen, dass sie die Bedingungen und Veränderungen in Ihrer Umgebung realistisch darstellen. Selbst ein gut entworfenes Testlabor kann einen schlecht entworfenen Test nicht ausgleichen. Tests sind eine zentrale Komponente des Risikomanagements: ? Mit ihnen wird überprüft, ob Ihr Entwurf die geschäftlichen und technischen
Anforderungen erfüllt, die für das Windows 2000-Projekt formuliert wurden. ? Sie offenbaren potentielle Risiken für Ihre Produktionsumgebung. ? Sie offenbaren potentielle Risiken für Ihren Projektzeitplan. Denken Sie beim Planen Ihrer Tests daran, dass es nicht möglich ist, alles zu testen. Anstatt alle Kombinationen zu testen, konzentrieren Sie sich auf Einschränkungen. Testen Sie z. B. den langsamsten Clientcomputer, den am stärksten ausgelasteten Server oder die am wenigsten zuverlässige Netzwerkverbindung. Konzentrieren Sie sich darüber hinaus auf Bereiche, die die größten Risiken bergen oder am wahrscheinlichsten sind. Es ist wichtig, dass die Reihe Ihrer Testfälle überschaubar bleibt. Die Tests werden im gesamten Projekt fortgesetzt und entwickeln sich von Tests auf Komponentenebene (Einheitentests) zu Integrationstests. Diese Tests werden folgendermaßen definiert: Einheitentests In diesen Tests wird überprüft, ob einzelne Funktionen, Komponenten oder Anwendungen ordnungsgemäß arbeiten. Die Einheitentests beginnen mit dem Start der Entwurfsphase und werden fortgesetzt, bis der Entwurf nicht mehr geändert werden muss. Sie laufen iterativ mit dem Entwurf ab – Testergebnisse validieren den vorgeschlagenen Entwurf oder führen zu Änderungen. Einheitentests werden in der Regel von den Personen durchgeführt, die sich mit der Systemarchitektur und der Entwicklung befassen.
118
Teil I
Planung
Integrationstests In diesen Tests wird überprüft, ob die Funktionen und Komponenten als Einheit zusammenarbeiten. Während Einheitentests sich mit der Tiefe einer Komponente befassen, betreffen Integrationstests die Breite eines Systems. Integrationstests finden nach den Einheitentests statt, wenn der Entwurf nicht mehr geändert werden muss. Mit der Umsetzung des Entwurfs werden die Tests zunehmend komplexer und integriert, bis sie die gesamte Interoperabilität der Funktionen und Komponenten umfassen. Für Integrationstests ist ein vollständig ausgerüstetes Testlabor erforderlich, in dem Testkonfigurationen und -bedingungen genau kontrolliert werden können. Es empfiehlt sich, dass die Integrationstests von einer Gruppe durchgeführt werden, die nicht mit der Entwicklung befasst ist. Viele Organisationen verfügen über Testteams, die Integrationstests planen und durchführen. Neben der Überprüfung, ob die Technologie wie vorgeschlagen eingesetzt werden kann, sollten die mit den Integrationstests befassten Personen die Testergebnisse auch unter einem geschäftlichen Gesichtspunkt betrachten. Sie sollten überlegen, wie Endbenutzer mit der Lösung arbeiten werden und wie leistungsfähig die Lösung in diesem Einsatzgebiet ist. Sie sollten auch überprüfen, ob die vorgeschlagene Lösung die geschäftlichen und technischen Anforderungen für das Windows 2000-Projekt erfüllt.
Aufstellen eines Weiterleitungsplans Stellen Sie vor Beginn der Tests einen Weiterleitungsplan auf, den das Projektteam bei auftretenden Problemen verwendet. Der Weiterleitungsplan sollte sich mit folgenden Punkten befassen: ? Wo melden Teammitglieder nicht erfolgreich verlaufene Tests oder andere
? ?
? ? ?
Probleme? Geben Sie beide in das System zur Problemprotokollierung ein, oder geben Sie Probleme an einer anderen Stelle ein, z. B. auf einer Website? Welche Schritte befolgen sie, bevor sie die Angelegenheit oder das Problem melden? Muss das Problem z. B. reproduziert werden? Von wem? Welche Informationen muss die Meldung über das Problem enthalten? Beispiele sind: ? Informationen zu Ansprechpartnern (Telefonnummer, Pagernummer und E-Mail-Adresse für die Leitung der Untergruppe und den externen Support) ? Status des Problems (neu oder laufend) ? Priorität und geschäftliche Begründung des Problems ? Reihenfolge der Ereignisse, die zum Problem führen (nehmen Sie relevante Informationen wie IP-Adresse und Domänennamen mit auf) ? Ursachen (bekannt oder vermutet) ? Informationen zur Problembehandlung (Ablaufverfolgung, Diagnose) Wie benachrichtigen sie die Entwurfsgruppe über die Angelegenheit oder das Problem? Wer überprüft und löst die Probleme? Welche Benachrichtigungshierarchie besteht?
Kapitel 4 Erstellen eines Testlabors für Windows 2000
119
Erstellen des Testplans In einer frühen Planungsphase von Windows 2000 sollte jede Entwurfsuntergruppe einen Testplan aufstellen, in dem beschrieben wird, wie sie ihre spezifische Technologie testen wird. So könnte z. B. das Netzwerkteam einen Plan schreiben, der beschreibt, wie es Netzwerkfunktionen testen wird. Alle Mitglieder sollten vor Beginn der Tests den Testplan prüfen und genehmigen. Auf Grundlage des Testplans werden Testfälle (Szenarios) entwickelt, die beschreiben, wie die einzelnen Funktionen getestet werden sollen. Eine ausführlichere Beschreibung von Testfällen erhalten Sie im Abschnitt „Entwerfen von Testfällen“ weiter unten in diesem Kapitel. Der Testplan gilt sowohl für Einheiten- als auch für Integrationstests. Er bietet einen umfassenden Überblick über den Testaufwand und sollte die nachfolgend aufgeführten Themen behandeln.
Umfang und Zielsetzungen Beschreiben Sie in diesem Abschnitt des Testplans, was Ihre Tests abdecken werden und was Sie nicht testen werden. So könnten Sie z. B. das Testen der Clientcomputerhardware auf die unterstützten Mindestkonfigurationen oder die Standardkonfigurationen beschränken. Beschreiben Sie, was Sie mit Ihren Tests erreichen möchten. Eine Organisation hatte z. B. das Ziel, die Windows NT 4.0-Umgebung Komponente für Komponente in Windows 2000 zu migrieren und dabei die Zugriffssteuerungslisten (ACLs) und Exchange-Berechtigungen beizubehalten. Das Ziel einer anderen Organisation bestand darin, während bestimmter Verzeichnisdiensttasks den Netzwerkverkehr zu messen und die Serverleistung zu überwachen.
Testmethoden Beschreiben Sie die allgemeine Strategie, die Sie für Ihre Tests einsetzen werden. Ihre Strategie für das Testen von Schemarevisionen könnte z. B. darin bestehen, eine isolierte Domäne im Labor zu konfigurieren, in der Schemarevisionen durchgeführt werden können, ohne dass dies Auswirkungen auf andere Labortests hat. Dieser Abschnitt des Testplans könnte folgende Beschreibungen enthalten: ? Für den Test verwendete Domänenarchitektur ? Für die Durchführung der Tests oder das Messen der Ergebnisse verwendete
Tools und Techniken ? Für die Tests verwendete automatisierte Techniken
Erforderliche Ressourcen Listen Sie die folgenden Arten von Ressourcen auf, die Sie für die Tests benötigen: Hardware Geben Sie z. B. an, welche Standardkonfigurationen nach Ihren Planungen für Clientcomputer unterstützt werden. Nehmen Sie Komponenten wie Grafikkarten, Modems und externe Laufwerke auf. Software Nehmen Sie z. B. Microsoft® BackOffice®- oder andere serverbasierte Produkte auf, die Sie testen müssen.
120
Teil I
Planung
Datenbanken Nehmen Sie Datenbanken auf, die Sie zum Testen von Anwendungen einrichten müssen. Es empfiehlt sich, eine Beschreibung der Ressourcen, z. B. Personal und Produktionsdaten, aufzunehmen, die Sie benötigen, um Daten in die Datenbanken zu laden. Personal Geben Sie an, wie viele Personen das Testteam umfassen soll und welcher Kenntnisstand erforderlich ist. Nehmen Sie Berater und weiteres Supportpersonal auf. Schulung Geben Sie an, welche Windows 2000-Schulungen das Testpersonal benötigt, um die Technologie, die es testet, zu verstehen. Tools Nehmen Sie z. B. Verbindungssimulatoren zum Testen von WAN-Verbindungen auf, wenn Sie nicht über ein zweites Labor verfügen, dass Sie zu diesem Zweck einsetzen können. Führen Sie alle Tools auf, die Sie zum Automatisieren von Tests und zum Protokollieren von Testergebnissen benötigen.
Funktionen Nehmen Sie eine Liste aller Funktionen oder Funktionsaspekte auf, die getestet werden sollen. Diese Liste beschreibt, was getestet werden soll, und nicht, wie es zu testen ist. Einige Organisationen fügen eine Liste der Tests als Anhang zu ihrem Testplan bei. Andere Organisationen erstellen ein separates Dokument, eine Testbeschreibung, die die Tests auflistet und kurz beschreibt, was die einzelnen Tests abdecken müssen. Wiederum andere Organisationen nehmen die Liste der Tests als Tasks in ihren Projektzeitplan auf. Der folgende Abschnitt ist ein Beispiel aus der Testbeschreibung einer Organisation: Test 1 — Beibehalten der Vertrauensstellungen Beschreibung: Alle Vertrauensstellungen zu und von einer Domäne müssen beibehalten werden, wenn die Domänencontroller auf Windows 2000 aktualisiert werden. Zeigen Sie die Vertrauensstellungen mit dem Domänenstrukturmanager an. Wenn die Vertrauensstellungen nicht angezeigt werden, war der Test nicht erfolgreich.
Beachten Sie, dass die Beschreibung keine Anweisungen darüber enthält, wie der Test durchgeführt werden soll. Im weiteren Verlauf des Projekts entwickeln die Teammitglieder detaillierte Verfahren, in denen beschrieben wird, wie die einzelnen, im Testplan aufgeführten Tests durchgeführt werden. Der Abschnitt „Entwerfen von Testfällen“ weiter unten in diesem Kapitel enthält weitere Informationen über die Entwicklung von Testverfahren. Ihr Testplan sollte die folgenden Arten von Tests behandeln: ? Die Funktionalität der einzelnen Funktionen und Dienste, die Sie implementieren
werden. ? Interoperabilität mit den in der Produktionsumgebung vorhandenen Komponenten und Systemen, sowohl während und nach eines in Phasen ablaufenden Rollouts. Diese Tests umfassen die gemischte Umgebung während des in Phasen ablaufenden Rollouts und die Windows 2000-Umgebung nach dem Abschluss des Rollouts.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
121
? Hardware- und Treiberkompatibilität für jeden Computertyp, auf dem
Windows 2000 ausgeführt wird. ? Anwendungskompatibilität für jede Anwendung, die unter Windows 2000
ausgeführt wird. ? Grundlinien und Beanspruchungstests für die Kapazitätsplanung. ? Grundlinien für die Überwachung der Leistung. ? Optimierung von Konfigurationen, z. B. für standardisierte Desktops auf
Clientcomputern. ? Verfahren für die Administration während und nach der Einrichtung, z. B. Aktualisierung eines Clientcomputers und Pläne für die vorzeitige Beendigung. ? Tools und Dienstprogramme. Weitere Informationen zum Planen von Anwendungskompatibilitätstests finden Sie unter „Testen der Anwendungskompatibilität mit Windows 2000“ in diesem Buch.
Risiken Beschreiben Sie die bekannten Risiken, die erfolgreiche Tests verhindern könnten. So ist es z. B. möglich, dass das Labor hinter dem Zeitplan zurückliegt, Hardware oder Software nicht zur Verfügung steht oder Testpersonal an anderen Projekten arbeitet oder zusätzliche Schulung benötigt.
Zeitplan Skizzieren Sie einen Zeitplan, der jeden im Testplan aufgeführten Test enthält. Dieser Zeitplan kann Sie dabei unterstützen, die Nutzung des Labors mit anderen Untergruppen zu koordinieren.
Entwerfen von Testfällen Ein Testfall ist ein detailliertes Verfahren, mit dem eine Funktion oder ein Funktionsaspekt vollständig getestet wird. Während im Testplan beschrieben ist, was getestet werden soll, beschreibt ein Testfall, wie ein bestimmter Test durchzuführen ist. Sie müssen für jeden Test, der im Testplan oder in der Testbeschreibung aufgeführt ist, einen Testfall entwickeln. Testfälle sollten von einer Person geschrieben werden, die die zu testende Funktion oder Technologie versteht, und sollten von einer gleichrangigen Person überprüft werden. Testfälle enthalten z. B. folgende Informationen: ? Zweck des Tests ? Besondere Hardwareanforderungen, z. B. ein Modem ? Besondere Softwareanforderungen, z. B. ein Tool ? Spezifische Setup- oder Konfigurationsanforderungen ? Beschreibung, wie der Test durchgeführt werden soll ? Erwartete Ergebnisse oder Erfolgskriterien für den Test
122
Teil I
Planung
Das Entwerfen von Testfällen kann im Testzeitplan eine zeitaufwendige Phase sein. Sie könnten zwar versucht sein, Abkürzungen zu nehmen, aber die investierte Zeit wird sich langfristig auszahlen. Sie können Tests schneller durchführen, wenn diese sorgfältig geplant sind. Anderenfalls wird Zeit für das Debuggen und erneute Durchführen von Tests aufgewendet. Organisationen verfolgen bei der Dokumentation von Testfällen verschiedene Ansätze, die von der Entwicklung von detaillierten, Rezepten ähnelnden Schrittfolgen bis hin zum Verfassen von allgemeinen Beschreibungen reichen. In detaillierten Testfällen wird in den Schritten genau beschrieben, wie der Test durchzuführen ist. Bei beschreibenden Testfällen entscheidet das Testpersonal zum Zeitpunkt des Tests, wie er durchgeführt wird und welche Daten verwendet werden. Zu den Vorteilen von detaillierten Testfällen gehört, dass sie reproduzierbar und leichter zu automatisieren sind. Dieser Ansatz ist besonders wichtig, wenn Sie planen, die Testergebnisse über einen Zeitraum hinweg zu vergleichen (z. B. bei der Optimierung von Konfigurationen). Ein Nachteil von detaillierten Testfällen ist, dass in Entwicklung und Verwaltung mehr Zeit investiert werden muss. Andererseits sind Testfälle, die Interpretationen zulassen, nicht reproduzierbar und können zu Debuggingzeiten führen, die eher mit dem Test als mit dem, was getestet wird, verbunden sind. Sie sollten einen Kompromiss zwischen den beiden Gegensätzen finden, der zu mehr Einzelheiten tendiert. Wägen Sie Gründlichkeit und Durchführbarkeit miteinander ab, damit Sie Ihr Ziel erreichen, die Tests einheitlich und überschaubar zu gestalten. Tabelle 4.1 enthält ein Beispiel für die ersten Schritte eines detaillierten Testfalls: Tabelle 4.1 Beispiel für Testfall Schritt
Verfahren
Erfolgskriterien
1
Den Server abmelden und wieder zum Bildschirm für die Anmeldung im Netz wechseln. Die Domänenliste anklicken, um sie zu öffnen.
Keine.
3
Die Domänenliste anklicken, um sie zu öffnen.
Die Stammdomäne wird in der Liste angezeigt.
4
Über Konto mit Administratorrechten am Server anmelden.
Konto wird fehlerfrei am Server angemeldet.
2
Ergebnis
Der Name des lokalen Servers wird nicht in der Liste angezeigt.
Durchführen von Tests Bevor Sie mit den Tests beginnen, passen Sie die Einrichtung des Labors erforderlichenfalls an, damit sie die im Testfall genannten Anforderungen erfüllt. Gehen Sie beim Testen genau nach dem aufgezeichneten Testfall vor. Sie müssen genau wissen, welche Testschritte durchgeführt wurden, bevor Sie die Ergebnisse richtig auswerten oder den Test reproduzieren können, um die Ergebnisse über einen Zeitraum hinweg zu vergleichen.
Kapitel 4 Erstellen eines Testlabors für Windows 2000
123
Analysieren Sie bei der Durchführung der Tests die Ergebnisse anhand der Kriterien im Testfall, um zu ermitteln, ob der Test erfolgreich oder nicht erfolgreich verlaufen ist. Wenn ein Test nicht erfolgreich verlaufen ist, kann es sich um ein Problem mit dem Test selbst, der Einrichtung des Labors oder dem vorgeschlagenen Entwurf handeln. Ziehen Sie bei nicht erfolgreich verlaufenen Tests folgende Schritte in Betracht: Problem mit demTestfall Überarbeiten Sie den Testfall, führen Sie den Test erneut aus und dokumentieren Sie alle vorgenommenen Änderungen. Problem mit der Einrichtung des Labors Gehen Sie nach dem Änderungssteuerungsprozess für das Labor vor, konfigurieren Sie das Labor neu, und führen Sie den Test erneut aus. Problem mit demEntwurf. Gehen Sie nach dem Weiterleitungsverfahren für das Projekt vor, um die entsprechenden Personen über das Problem zu informieren. Weisen Sie den offenen Problemen Prioritäten zu und verfolgen Sie sie, bis sie gelöst und erneut getestet wurden. Berücksichtigen Sie bei der Vergabe von Prioritäten für Probleme die potentiellen Auswirkungen und die Wahrscheinlichkeit, dass sie auftreten.
Dokumentieren von Testergebnissen Auch wenn Sie Probleme und Fehler unter Umständen in Ihrem System zur Problemprotokollierung aufzeichnen, benötigen Sie zusätzlich ein Überwachungssystem für die Aufzeichnung von Testergebnissen. Ein solches System unterstützt Sie bei der Überwachung der Testfortschritte und der Erfolgsquote von Tests. Diese Informationen sind nützlich für Berichte an das Management, die Überprüfung von Trends und die Validierung des Personalbestands. Einige Organisationen setzen ein Hardcopysystem ein, bei dem die Testergebnisse im Testfallpapier dokumentiert werden. Mit einem solchen System kann jedoch schwieriger nachvollzogen werden, was getestet wurde; auch das Verfassen von Berichten wird erschwert. Eine Alternative ist der Kauf eines kommerziellen Produkts, mit dem Testfälle protokolliert und Berichte über sie erstellt werden können. Eine weitere ist die Entwicklung einer Datenbankanwendung für die Organisation und Verwaltung der Testfälle. Mit diesen Ansätzen haben Sie die Möglichkeit, Berichte zu automatisieren und auf diese Weise die Testergebnisse und die Fortschritte bei den Tests zu überwachen. Unabhängig davon, welche Methode Sie auswählen, ist es wichtig, dass die Mitglieder des Projektteams leicht auf das Testprotokoll zugreifen können. Weitere Informationen zum Einrichten eines Testüberwachungssystems finden Sie unter „Testen der Anwendungskompatibilität mit Windows 2000“ in diesem Buch. Wofür Sie sich bei der Protokollierung Ihrer Tests auch entscheiden, es ist wichtig, die Ergebnisse jedes einzelnen Tests zu dokumentieren. Nehmen Sie z. B. folgende Informationen auf: ? Name und Abteilung der Person, die den Test durchgeführt hat ? Wann der Test durchgeführt wurde (Datum und Uhrzeit) ? Windows 2000-Produktname (Server oder Professional)
124
Teil I
Planung ? Vollständige Beschreibung der Ergebnisse ? Problemlösungen ? Nummern, unter denen Probleme in das System zur Problemprotokollierung
eingegeben wurden
Testen nach der Einrichtung Ihr Labor kann sich noch lange nach der Einrichtung von Windows 2000 als wertvoll erweisen, wenn Sie es im Rahmen Ihres Änderungsmanagementprozesses einsetzen. Die Bedeutung, die das Testen von Änderungen in der Computerumgebung besitzt – ob Sie neue Netzwerkinfrastrukturkomponenten aufnehmen, neue Server installieren, Hersteller von Clientcomputern wechseln, Konfigurationen ändern oder Service Packs und Patches implementieren –, kann nicht oft genug betont werden. Über ein noch so gut entworfenes und ausgerüstetes Labor zu verfügen reicht aber nicht aus. Damit Sie das Labor so effizient wie möglich nutzen können, legen Sie fest, wie Sie es zur Implementierung von Änderungen in der Produktionsumgebung einsetzen werden. Vergessen Sie nicht, die Komponenten im Labor in regelmäßigen Abständen zu bewerten, um die Auswirkungen der zusammengekommenen Änderungen zu ermitteln. So verhält sich z. B. ein Computer, auf dem zahlreiche Änderungen vorgenommen wurden, unter Umständen nicht so wie ein Computer, auf dem dieselbe Konfiguration neu installiert wurde.
Verwenden des Labors für das Änderungsmanagement Ein Änderungsmanagementlabor ist der Ort, an dem Sie für die Umgebung vorgeschlagene Änderungen testen, bevor Sie sie in der Produktion implementieren; dies gilt auch für Pilotprojekte. Wenn Sie das Labor für das Änderungsmanagement einsetzen, wird es Teil eines größeren Prozesses. Dieser Prozess gibt den Informationsfluss und die Reihenfolge der Aktivitäten ab dem Zeitpunkt an, zu dem eine Änderung vorgeschlagen wurde, bis zu dem Zeitpunkt, zu dem sie implementiert wird. Der von Ihnen entwickelte Prozess hängt ab von der Art der Änderungen, die Sie durchführen, den beteiligten Teams und der Unternehmenskultur. Zur Zusammenstellung eines Änderungsmanagementprozesses in einer IT-Umgebung stehen Ihnen zahlreiche Ressourcen zur Verfügung. Der erste Schritt ist die Aufstellung eines Änderungsmanagementplans. Berücksichtigen Sie vor der Aufstellung des Plans folgende Gesichtspunkte: ? Wer genehmigt Änderungen? ? Wie werden Vorschläge dokumentiert und vorgelegt? ? Wer analysiert den Vorschlag, um seine Wichtigkeit und seine Auswirkungen
zu bestimmen? ? Welche Rollen spielen Methoden und Verfahren (einschließlich des Labors)? ? Wie wird der Status einer Änderung dokumentiert und berichtet? Das Testen im Labor ist ein Schritt in dem Prozess, mit dem Änderungen in der Produktionsumgebung vorgenommen werden. Zahlreiche Unternehmen testen alle Patches und Service Packs bis zur Zertifizierung, bevor sie ein Pilotprojekt oder ein eingeschränktes Rollout einrichten. Wenn Sie Änderungen in verschiedenen
Kapitel 4 Erstellen eines Testlabors für Windows 2000
125
Szenarios und Situationen testen, verringern Sie erheblich das Risiko, während der Implementierung auf Probleme zu stoßen.
Definieren der Rolle des Labors im Änderungsmanagement Wie bereits erläutert, ist es wichtig, im Rahmen des Prozesses für die Implementierung von Änderungen Tests im Labor durchzuführen. Darüber hinaus ist es wichtig, zu definieren, wie das Labor in diesem Prozess eingesetzt wird. Sie können das Risiko, dass im Labor etwas vergessen wird, dadurch reduzieren, dass Sie die Schritte und Anforderungen für allgemeine Änderungen beschreiben. Es ist z. B. hilfreich, Folgendes zu benennen: ? Komponenten, die vor der Implementierung der Änderung im Labor benötigt ? ? ? ?
werden. Schritte, die für die Implementierung der Änderung erforderlich sind. Dokumentation, die im Labor zu erstellen ist. Zu ergreifende Maßnahme, falls der Labortest nicht erfolgreich verläuft. Zu ergreifende Maßnahme, wenn der Labortest erfolgreich verläuft.
In Abbildung 4.7 ist dargestellt, wie eine große Organisation ihr Clientcomputerlabor zum Testen von Änderungen an den Desktopstandardkonfigurationen einsetzt.
Abbildung 4.7 Beispiel für die Verwendung eines Labors im Änderungsmanagementprozess
126
Teil I
Planung
Planungstasklisten für Labortests Verwenden Sie die beiden folgenden Tasklisten als Kurzreferenz für die Planung der Einrichtungstests für Windows 2000. Die erste Checkliste hilft Ihnen bei der Vorbereitung des Labors, die zweite unterstützt Sie beim Erstellen, Ausführen und Dokumentieren der Tests.
Taskliste für die Laborvorbereitung In Tabelle 4.2 sind die Tasks zusammengefasst, die Sie beim Entwerfen und Aufbauen eines Testlabors ausführen müssen. Tabelle 4.2 Taskliste für die Laborvorbereitung Task
Kapitelüberschrift
Ein Labormodell auswählen. Einen oder mehrere Laborstandorte auswählen. Ein Übergangslabor einrichten (sofern benötigt).
Festlegen der Strategie für das Labor Festlegen der Strategie für das Labor
Raumbedarf und Umgebungsanforderungen für das Labor bestimmen.
Entwerfen des Labors
Erforderliche Stromversorgung und Netzwerkverbindungen bestimmen.
Entwerfen des Labors
Logische und physische Konfiguration des Labors entwerfen und dokumentieren.
Entwerfen des Labors
Hardwareanforderungen bestimmen. Softwareanforderungen bestimmen (einschließlich Geschäftsanwendungen und Tools). Festlegen, wer das Labor benutzen muss.
Entwerfen des Labors Entwerfen des Labors
Datenbankanforderungen bestimmen. Verkabelungs- und Netzwerkzugangsplanungen festlegen. Hardware erwerben (einschließlich Verkabelung und Software). Arbeitsbereichausrüstung erwerben, z.B. Schreibtische, Stühle, Whiteboards, Pinnwände, Lampen, Telefone und Regale. Das Netzwerk aufbauen und konfigurieren.
Entwerfen des Labors Entwerfen des Labors
Netzwerkverbindungen testen. Die Server aufbauen und konfigurieren. Anwendungen und Datenbanken auf den Servern installieren. Tools für Tests und Administration installieren. Die Clientcomputer aufbauen und konfigurieren.
Erstellen des Labors Erstellen des Labors Erstellen des Labors
Einrichten eines vorläufigen Labors
Entwerfen des Labors
Erstellen des Labors Erstellen des Labors
Erstellen des Labors
Erstellen des Labors Erstellen des Labors
Kapitel 4 Erstellen eines Testlabors für Windows 2000
127
(Fortsetzung) Task
Kapitelüberschrift
Anwendungen auf den Clientcomputern installieren. Alle Laborkomponenten testen.
Erstellen des Labors
Eine Person für die Laborverwaltung bestimmen.
Verwalten des Labors
Einen Änderungssteuerungsprozess für das Labor definieren.
Entwickeln von Laborrichtlinien
Den Laborwiederherstellungsprozess erstellen, testen und dokumentieren.
Entwickeln von Laborrichtlinien
Erstellen des Labors
Taskliste für Tests In Tabelle 4.3 werden die Tasks für Tests zusammengefasst, die Sie durchführen müssen. Tabelle 4.3
Taskliste für Tests
Task
Kapitelüberschrift
Einen Testplan schreiben. Testfälle aufbauen.
Erstellen des Testplans Entwerfen von Testfällen
Weiterleitungsverfahren entwickeln. Tests durchführen und Ergebnisse auswerten. Testergebnisse dokumentieren.
Aufstellen eines Weiterleitungsplans Durchführen von Tests Dokumentieren von Testergebnissen
128
Teil I
Planung
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
129
K A P I T E L
5
Ausführen des Pilotprojekts für Windows 2000
Das Pilotprojekt ist der letzte große Schritt vor der Einrichtung von Microsoft® Windows® 2000 im großen Rahmen. Bevor Sie mit dem Pilotprojekt beginnen können, müssen die Integrationstests in der Laborumgebung abgeschlossen sein. Während des Pilotprojekts testen Sie Ihren Entwurf in einer gesteuerten, realen Umgebung, in der normale geschäftliche Aufgaben mit den neuen Funktionen ausgeführt werden. Rechtzeitig vor dem Pilotprojekt müssen die im Projektmanagement und in der Systemplanung tätigen Personen festlegen, wo und wann das Pilotprojekt durchgeführt wird. Dieses Kapitel unterstützt Sie beim Aufstellen eines Pilotprojektplans, beim Auswählen von Benutzern und Standorten und bei der Entscheidung, wie die Pilotprojektumgebung eingerichtet werden soll. Inhalt dieses Kapitels Überblick über das Durchführen eines Pilotprojekts 130 Erstellen eines Pilotprojektplans 132 Vorbereiten des Pilotprojekts 137 Einrichten des Pilotprojekts 140 Bewerten des Pilotprojekts 140 Planungstaskliste für die Durchführung eines Pilotprojekts
142
Zielsetzungen Dieses Kapitel unterstützt Sie bei der Erstellung folgender Planungsdokumente: ? Pilotprojektplan ? Rolloutprozedur im Pilotprojekt
Weiterführende Informationen in der technischen Referenz ? Weitere Informationen zu den Tests vor dem Pilotprojekt finden Sie unter „Erstellen eines Testlabors für Windows 2000“ in diesem Buch. ? Weitere Informationen über die Migration von Microsoft® Windows NT®, Version 3.51 oder höher, zu Windows 2000 finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in diesem Buch. ? Weitere Informationen zum Automatisieren der Installation von Windows 2000 für Server erhalten Sie unter „Automatisieren der Serverinstallation und der Aktualisierung“ in diesem Buch. ? Weitere Informationen zum Automatisieren der Installation von Windows 2000 für Clientcomputer erhalten Sie unter „Automatisieren der Clientinstallation und der Aktualisierung“ in diesem Buch.
130
Teil I Planung
Überblick über das Durchführen eines Pilotprojekts Nachdem Sie Ihren Windows 2000-Entwurf in Ihrer Testumgebung verifiziert haben, müssen Sie ihn mit einer begrenzten Zahl von Benutzern in Ihrer Produktionsumgebung testen. Ein Pilotprojekt verringert das Risiko, dass während der im großen Rahmen durchgeführten Einrichtung Probleme auftreten. Ein Pilotprojekt soll in erster Linie zeigen, dass Ihr Entwurf in der Produktionsumgebung wie von Ihnen erwartet eingesetzt werden kann und dass er die geschäftlichen Anforderungen Ihrer Organisation erfüllt. Es soll weiterhin dem Installationsteam die Möglichkeit geben, den Einrichtungsprozess zu üben und weiter zu verbessern. Das Pilotprojekt gibt den Benutzern die Möglichkeit, Ihnen Rückmeldungen über die Arbeitsweise der Funktionen zu geben. Nutzen Sie diese Rückmeldungen, um aufgetretene Fragen zu klären oder einen Alternativplan aufzustellen. Anhand der Rückmeldungen können Sie auch ermitteln, in welchem Umfang nach der vollständigen Einrichtung wahrscheinlich Supportleistungen erforderlich sein werden. Und schließlich führt das Pilotprojekt zu der Entscheidung, ob die Einrichtung im großen Rahmen fortgesetzt oder ob sie verzögert werden soll, damit Probleme gelöst werden können, die die Einrichtung gefährden könnten. Damit Risiken während der Einrichtung praktisch ausgeschlossen werden, sollten Sie mehrere Pilotprojekte oder Pilotprojektphasen in Betracht ziehen. Sie könnten z. B. ein Pilotprojekt für den Entwurf des Namespace durchführen, ein weiteres für die Standarddesktopkonfigurationen und das Sicherheitsmodell und schließlich ein zusätzliches Projekt für die Remoteeinrichtung von Anwendungen.
Pilotprozess Der Pilotprozess ist iterativ. Sie richten eine begrenzte Zahl von Computern in einer gesteuerten Umgebung ein, werten die Ergebnisse aus, beheben Probleme und richten ein weiteres Pilotprojekt ein, bis Sie den Umfang und die Qualität für eine vollständige Einrichtung erreicht haben. In Abbildung 5.1 sind die wichtigsten Schritte für die Planung und die Durchführung eines Pilotprojekts dargestellt.
Kapitel 5 Ausführen des Pilotprojekts für Windows 2000
131
Abbildung 5.1 Prozess für die Durchführung eines Pilotprojekts
Beginnen mit der Informationstechnologie Wenn Sie mehrere Pilotprojekte planen, starten Sie im kleinen Umfang und steigern Sie den Umfang der Pilotprojekte allmählich. Viele Organisationen führen ihr erstes Pilotprojekt in der IT-Abteilung (Informationstechnologie) durch. Sie bauen zu Beginn ein System auf, das die in der Produktionsumgebung geplante Einrichtung emuliert; Teilnehmer nutzen Testcomputer in einem Testnetzwerk. Anschließend binden die Organisationen schrittweise IT-Personal in das Pilotprojekt ein. Wenn Sie im Laufe der Zeit immer mehr Benutzer in das System aufnehmen, können Sie ein solches IT-Pilotprojekt dazu verwenden, offene Fragen zu Skalierbarkeit und Leistung zu lösen. Nachdem Sie alle Probleme gelöst haben, können Sie mit dem ersten Pilotprojekt in der Produktionsumgebung beginnen. Zu diesem Zeitpunkt richten Sie Windows 2000 auf Produktionscomputern in Unternehmenseinheiten für Endbenutzer ein.
Voraussetzungen für ein Produktionspilotprojekt Bevor Sie mit dem ersten Pilotprojekt in der Produktion beginnen, muss der Testlaborbetrieb unterbrechungsfrei ablaufen, und die Testteams müssen die Integrations- und Anwendungstests abgeschlossen haben. Validieren Sie auf jeden Fall die Komponenten Ihres Entwurfs, bevor Sie sie im Unternehmensnetzwerk implementieren. Validieren Sie z. B. die Protokolle, die Sie einsetzen möchten, den Replikationsverkehr über die WAN-Verbindungen sowie die Sicherungs- und Wiederherstellungsprozeduren. Führen Sie keine neuen Technologien oder
132
Teil I Planung
Prozeduren in das Pilotprojekt ein, die noch nicht im Labor getestet wurden. Wenn das Testen des Rolloutprozesses eines der Ziele Ihres Pilotprojekts ist, muss das Installationsteam den Prozess umfassend entwickelt, getestet und dokumentiert haben. Lösen Sie offene Probleme in Ihrem Entwurf oder entwickeln Sie einen Alternativplan. Sie müssen außerdem eine Testreihe entwickeln und validieren, die das Installationsteam nach Aktualisierung der Computer ausführen kann. Diese Tests gewährleisten, dass die Installation ordnungsgemäß funktioniert, bevor Sie sie an die Benutzer übergeben. Bevor Sie mit der Einrichtung des Pilotprojekts beginnen, holen Sie die Genehmigung des Managements für Ihren Pilotprojektplan ein. Beginnen Sie frühzeitig mit der Arbeit am Pilotprojektplan, damit bis zu dem Zeitpunkt, zu dem Sie mit der Einrichtung des Pilotprojekts beginnen können, die Kommunikationskanäle eingerichtet und die teilnehmenden Personen vorbereitet sind.
Erstellen eines Pilotprojektplans Das Pilotprojekt ist für die vollständige Einrichtung bestimmend; es ist daher wichtig, dass sie es sorgfältig planen, in ständigem Austausch mit den Teilnehmern stehen und die Ergebnisse umfassend auswerten. Das Aufstellen eines Plans für Ihr Pilotprojekt hilft Ihnen, die einzelnen Gesichtspunkte zu durchdenken und zu definieren, was alle daran beteiligten Personen erwarten dürfen. Wenn Sie mehrere Pilotprojekte durchführen, sollten Sie mehrere Pilotprojektpläne aufstellen. Jede Untergruppe könnte beispielsweise ein eigenes Pilotprojekt durchführen und einen eigenen Plan aufstellen. Ihr Pilotprojektplan sollte folgende Punkte enthalten: ? Umfang und Zielsetzungen ? Teilnehmende Benutzer und Standorte ? Schulungsplan für Benutzer im Pilotprojekt ? Supportplan für das Pilotprojekt ? Kommunikationsplan für das Pilotprojekt ? Bekannte Risiken und Alternativpläne ? Rollbackplan ? Zeitplan für Einrichtung und Durchführung des Pilotprojekts
Wenn Sie den Pilotprojektplan aufgestellt haben, bitten Sie das IT-Management und das Management der teilnehmenden Unternehmenseinheiten, den Plan zu überprüfen und zu genehmigen, bevor Sie fortfahren.
Umfang und Zielsetzungen Legen Sie im ersten Planungsschritt für das Pilotprojekt fest, was enthalten und was nicht enthalten sein soll (Umfang) und was Sie erreichen möchten (Zielsetzungen). Definieren Sie klar den Umfang und die Zielsetzungen, damit deutlich wird, was zu erwarten ist, und Sie Erfolgskriterien benennen können. Greifen Sie nach Möglichkeit auf Ihre Zielsetzungen zurück, um Metriken für die Bewertung des Pilotprojekts zu entwickeln. Geben Sie auch eine Dauer für das
Kapitel 5 Ausführen des Pilotprojekts für Windows 2000
133
Pilotprojekt an, entweder im Hinblick auf den zeitlichen Umfang oder im Hinblick auf die zu erfüllenden Kriterien.
Umfang des Pilotprojekts In einem Pilotprojekt wird das Testen auf Benutzer ausgedehnt, die an Produktionsaufgaben arbeiten. Gehen Sie nicht davon aus, im Pilotprojekt jeden Teil der Funktionalität zu testen. Konzentrieren Sie sich auf Funktionen, die die größten Risiken bergen, und auf Ereignisse, die mit der größten Wahrscheinlichkeit eintreten. Definieren Sie den Umfang des Pilotprojekts; geben Sie dazu an, was enthalten und was nicht enthalten sein soll. Listen Sie die Dienste und Funktionen auf, die Sie in das Pilotprojekt aufnehmen möchten, und geben Sie an, was Sie mit ihnen zu erreichen hoffen. Beschreiben Sie die Funktionalitätsbereiche, auf die sich die Implementierung des Pilotprojekts auswirken wird, und in welchem Ausmaß und in welchen Situationen dies der Fall sein wird. Listen Sie die Dienste und Funktionen auf, die Sie nicht in das Pilotprojekt aufnehmen möchten. Wenn bestimmte Aspekte Ihres Entwurfs nicht vom Pilotprojekt abgedeckt werden können, beschreiben Sie diese Aspekte. Wenn Sie beispielsweise planen, bei der Aktualisierung die vorhandene Domänenarchitektur zu verwenden und die Struktur erst später zu ändern, enthält das erste Pilotprojekt unter Umständen noch nicht den Umstrukturierungsprozess. Beschreiben Sie, was Sie für die Zeit nach dem Pilotprojekt erwarten. Wenn Sie planen, einige Funktionen beizubehalten und andere nicht mehr zu verwenden, formulieren Sie Erwartungen darüber, was bleibt und was entfernt wird. Glauben Sie, dass Sie das Pilotprojekt später eventuell entfernen und nicht für das Produktionssystem beibehalten möchten, formulieren Sie in Ihrem Pilotprojektplan die Erwartung, dass das Projekt entfernt wird. Wenn Sie beispielsweise den Namespace neu entwerfen, möchten Sie unter Umständen die Möglichkeit haben, ihn nach dem Pilotprojekt zu ändern. Die Aufnahme dieser Informationen in Ihren Pilotprojektplan prägt frühzeitig die Erwartungen der Benutzer.
Zielsetzungen für das Pilotprojekt Geben Sie explizit die Ziele an, die Ihr Pilotprojekt erfüllen soll. Bestimmen Sie anhand Ihrer Zielsetzungen Kriterien, mit denen Sie den Erfolg Ihres Pilotprojekts messen. Viele Organisationen haben beispielsweise folgende Hauptziele: ? Sicherstellen, dass das System in der eigenen Umgebung ordnungsgemäß
eingesetzt werden kann. ? Sicherstellen, dass der Entwurf den geschäftlichen Anforderungen entspricht. ? Unterstützung der Benutzer für das Windows 2000-Projekt aufbauen. Zu den zusätzlichen Zielen vieler Organisationen gehören beispielsweise: ? Den Einrichtungsprozess testen. ? Das Installationsteam schulen. ? Dokumentation für die gesamte Einrichtung erstellen. ? Die Support- und Helpdeskteams schulen.
134
Teil I Planung ? Informationen zusammentragen, mit denen zukünftige Supportanforderungen
abgeschätzt werden können. ? Die Administrationsteams schulen. ? Schulungsmaterialien für Endbenutzer entwickeln und testen.
Benutzer und Standorte für das Pilotprojekt Wählen Sie sorgfältig aus, welche Benutzer und Standorte an dem Pilotprojekt teilnehmen sollen. Legen Sie zunächst die Auswahlkriterien fest und entscheiden Sie sich dann für eine Methode zur Auswahl von Kandidaten. Zu den Methoden, die Sie einsetzen können, gehören Interviews, Fragebogen und Anfragen um freiwillige Mitarbeit. Wenn Sie mehrere Pilotprojekte durchführen, ändert sich wahrscheinlich im Verlauf der Projekte der von Ihnen ausgewählte Benutzerkreis. Zum Schluss sollten Sie Endbenutzer einbeziehen, die typisch für Ihre Organisation sind. Für ein früheres Pilotprojekt sollte eine geeignete Benutzergruppe jedoch folgende Eigenschaften besitzen: ? In der Lage, einen spürbaren Nutzen aus Windows 2000 zu ziehen. ? Keine entscheidende Rolle im täglichen Betriebsablauf spielen.
Die Gruppe sollte in der Lage sein, bei auftretenden Problemen auf Ausfallzeiten und abfallende Leistung so zu reagieren, dass ihre Arbeit nicht gravierend beeinträchtigt wird. ? Repräsentativ für die Zielumgebung. Wählen Sie Gruppen oder Standorte, die keine nur für Sie geltenden Anforderungen oder Betriebsumgebungen besitzen, denn das Pilotprojekt soll Voraussagen darüber zulassen, wie Ihr Entwurf und das Rollout in der Umgebung insgesamt funktionieren. ? Mit vielfältiger Computerhardware vielfältige Aktivitäten ausführen. ? Dem Windows 2000-Projekt äußerst aufgeschlossen gegenüberstehen. ? Zugang zu Technologie haben. Benutzer, die einen Zugang zu Technologie haben, gehen in der Regel gelassener mit Problemen um, die während eines Pilotprojekts auftreten, und geben dem System wahrscheinlich eher Impulse. Dieser Benutzerkreis nimmt jedoch unter Umständen Probleme hin, für die Support geleistet werden sollte. Veranlassen Sie diese Benutzer dazu, alle auftretenden Probleme zu berichten. Anderenfalls werden Sie feststellen, dass ihre Lernkurve nicht der eines normalen Benutzers entspricht. Berücksichtigen Sie bei der Planung nachfolgender Pilotprojekte und bei der vollständigen Einrichtung, welche Auswirkungen diese Unterschiede in den Benutzergruppen haben. ? Bereit, an Schulungen teilzunehmen. Beachten Sie, dass Benutzer, die mit der Technologie weniger vertraut sind, für die Vorbereitung auf ihre Rolle mehr Anleitungen und während des Pilotprojekts mehr Unterstützung benötigen. Ermitteln Sie auf Grundlage der folgenden Kriterien die Anzahl der Standorte und Benutzer für das Pilotprojekt: ? Ziele für das Pilotprojekt
Kapitel 5 Ausführen des Pilotprojekts für Windows 2000
135
? Anzahl der Funktionen, die getestet werden ? Größe des Supportteams
Wählen Sie eine Person aus dem Teilnehmerkreis als Verbindungsperson zu den Benutzern. Wählen Sie jemanden mit ausgeprägten kommunikativen Fähigkeiten und guten Beziehungen sowohl zur Pilotprojektgruppe als auch zum Projektteam. Arbeiten Sie mit dieser Person bei der Planung des Pilotprojekts zusammen. Die Verbindungsperson kann Sie darüber informieren, welche Arbeiten die Pilotprojektgruppe ausführt, und kann die Gruppe auf ihre Rolle vorbereiten. Bewegen Sie Benutzer zur Teilnahme und zu Rückmeldungen, indem Sie ein Programm mit entsprechenden Anreizen einrichten. Sie könnten beispielsweise Prämien vergeben oder veranlassen, dass das Management den teilnehmenden Personen, die während des Pilotprojekts einen besonderen Beitrag geleistet haben, eine entsprechende Anerkennung zukommen lässt.
Schulungsplan für das Pilotprojekt Sie müssen rechtzeitig vor dem Pilotprojekt festlegen, wie und wann die teilnehmenden Personen geschult werden sollen. Benennen Sie die Ressourcen, die Sie für die Schulung einsetzen werden. Ziehen Sie z. B. in Betracht, externes Trainingspersonal heranzuziehen, Seminare durchzuführen, ein Programm für die Schulung der Schulenden zu entwickeln oder die Schulungsinhalte über Medien zu verbreiten. Viele Organisationen stellen fest, dass die Schulung am besten unmittelbar vor der Installation durchgeführt wird. Legen Sie fest, was die Schulung abdecken sollte, und schätzen Sie ab, wie lange sie dauern wird. Beschränken Sie die Schulung auf das, was die Benutzer wissen müssen, um ihre Arbeit zu erledigen. Vergessen Sie nicht, die Schulung in Ihren Pilotprojektzeitplan aufzunehmen.
Supportplan für das Pilotprojekt Entwickeln Sie Ihren Supportplan auf jeden Fall frühzeitig, da Sie unter Umständen das Supportpersonal schulen müssen. Ihr Supportplan sollte sich damit befassen, wer Support leistet, in welchem Umfang Support geleistet werden muss und wie Benutzer Probleme berichten können. Bestimmen Sie, wer die Benutzer im Pilotprojekt unterstützen wird. Wird es das Projektteam sein, der Helpdesk, oder werden externe Ressourcen herangezogen? Wenn der Helpdesk Support leistet, wie werden Sie ihn schulen? Welche Rolle wird das Projektteam spielen? Wenn die Schulung des Helpdeskpersonals zu den Zielsetzungen Ihres Pilotprojekts gehört, benötigen Sie sowohl aus dem Projektteam als auch aus dem Helpdeskteam Ressourcen. Legen Sie fest, auf welchen Serviceebenen Sie während des Pilotprojekts Support leisten können. Müssen kritische Probleme z. B. innerhalb einer bestimmten Zahl von Stunden gelöst werden? Zu welchen Zeiten muss der Support Benutzern zur Verfügung stehen? Dokumentieren Sie die Prozesse für Änderungs- und Problemmanagement für das Pilotprojekt. Ihr Prozess sollte sich mit folgenden Gesichtspunkten befassen: ? Wie werden Änderungsanforderungen vorgelegt, genehmigt, getestet und
implementiert?
136
Teil I Planung ? Wo melden Benutzer aufgetretene Probleme?
Können sie Probleme in einem vorhandenen System melden, oder benötigen Sie einen neuen Mechanismus, z. B. eine Website, mit dem Benutzer Probleme und Fragen protokollieren können? ? Wie werden Sie Probleme überprüfen, ihnen Prioritäten zuweisen und sie
lösen? ? Welchen Weiterleitungsprozess werden Sie einsetzen, um das entsprechende Personal zu benachrichtigen?
Kommunikation Beschreiben Sie in Ihrem Pilotprojektplan, wie Sie mit Teilnehmern kommunizieren werden, um sie auf das Pilotprojekt vorzubereiten und um während des Pilotprojekts Statusberichte auszutauschen. Nehmen Sie die Art von Informationen auf, die Sie weitergeben möchten, sowie wem, wie und wie oft Sie sie weitergeben. Beschreiben Sie z. B., wie und wann Sie Benutzer über das Pilotprojektrollout benachrichtigen werden. Weitere Informationen zu Kommunikationsstrategien finden Sie unter „Planen des Einsatzes“ in dieser Dokumentation. Legen Sie fest, wie Sie während des Pilotprojekts kommunizieren werden, und beginnen Sie dabei mit dem Aufbau der Mechanismen, die verwendet werden. Stellen Sie z. B. E-Mail-Verteiler für die verschiedenen Gruppen auf, die bestimmte Arten von Informationen erhalten müssen. Sie sollten festhalten, welche Arten von Informationen Sie an die einzelnen Verteilerlisten senden. Richten Sie Mechanismen ein, um Informationen über das Pilotprojekt weiterzugeben, beispielsweise Websites, häufig gestellte Fragen, Verfahren und Statusberichte.
Rollbackplan für das Pilotprojekt Ein entscheidender Teil Ihres Pilotprojektplans ist die Rollbackprozedur, die Sie einsetzen werden, wenn das Pilotprojekt nicht erfolgreich verlaufen sollte. Entwickeln Sie ein detailliertes Verfahren, das erläutert, wann und wie Sicherungen erstellt und wie sie wiederhergestellt werden. Werden Sie beispielsweise Abbilder oder inkrementelle Sicherungen erstellen? Dokumentieren Sie den Sicherungs- und Wiederherstellungsprozess, und testen Sie diese Prozesse. Wählen Sie zum Lagern der Sicherungsmedien einen sicheren Platz, und nehmen Sie den Ort in Ihren Rollbackplan auf.
Kapitel 5 Ausführen des Pilotprojekts für Windows 2000
137
Geben Sie die Kriterien dafür an, wann die Rollbackprozedur eingesetzt wird. So könnten Sie z. B. ein System einrichten, mit dem der Schweregrad von Problemen klassifiziert wird, und beschreiben, auf welchen Ebenen die Beendigung des Pilotprojekts gerechtfertigt ist. Sie sollten auch festlegen, dass für unterschiedliche Arten von Problemen unterschiedliche Rollbackpläne aufgestellt werden. So sollten Sie z. B. eine Prozedur entwickeln, mit der das gesamte Pilotprojekt beendet wird, wenn ein umfassendes Problem aufgetreten ist, und eine weitere Prozedur, bei der bestimmte Komponenten nicht weitergeführt werden, wenn das Problem sich isolieren lässt. Es empfiehlt sich auch, eine zusätzliche Wiederherstellungsprozedur für den Fall einzurichten, dass die Integrität der Daten im Verzeichnisdienst erheblich verletzt wurde.
Zeitplan Eine der frühesten Aktivitäten in der Planung eines Pilotprojekts ist das Aufstellen eines Zeitplans. Dieser sollte Aufgaben beinhalten für die Planung des Pilotprojekts, für die Vorbereitung der Benutzer und Standorte, die Einrichtung des Pilotprojekts und das Testen während des Pilotprojekts. Vergessen Sie nicht, Zeit für die Schulung von Benutzern, Supportpersonal und Installationsteam einzuplanen. Planen Sie auch Zeit ein für eine Inventaraufnahme an den Standorten, die Aktualisierung der Hardware und die Bewertung des Pilotprojekts. Sie müssen unter Umständen auch Aufgaben für die Entwicklung der Support- und Kommunikationsmechanismen aufnehmen, die Sie während der Planung benennen. Damit Sie den Zeitplan für die Einrichtungsphase aufstellen können, müssen Sie wissen, wie viele Computer aktualisiert werden sollen und wie lange die Aktualisierung pro Computer schätzungsweise dauert. Legen Sie in Ihren Planungen fest, wie viele Systeme pro Tag aktualisiert werden und in welcher Reihenfolge die Aktualisierung stattfinden soll. Überlegen Sie, welche Tageszeiten und welche Wochentage am besten für die Aktualisierung der Server und Clientcomputer geeignet sind. Sollen Computer außerhalb der Büro- und Geschäftszeiten aktualisiert werden, um Unterbrechungen im Benutzerbetrieb zu vermeiden? Sollen die Clients während der Arbeitszeit aktualisiert werden, so dass Benutzer während dieser Zeit an Schulungen teilnehmen können? Haben Sie in Ihre Planungen als Anforderung aufgenommen, dass Endbenutzer an Schulungen teilgenommen haben müssen, bevor Sie deren Computer auf Microsoft® Windows® 2000 Professional aktualisieren oder es auf den Computern installieren? Ist dies der Fall, hängt die Einrichtung des Pilotprojekts vom Schulungszeitplan ab. Während der Einrichtung des Pilotprojekts können Sie Ihren Zeitplan mit aktualisierten Schätzwerten, die auf den von Ihnen während der Installation gewonnenen Erfahrungen basieren, weiter verbessern, so dass er genauere Daten für die vollständige Einrichtung enthält.
Vorbereiten des Pilotprojekts Wenn das Anfangsdatum für Ihr Pilotprojekt näher rückt, beginnen Sie mit den Rolloutvorbereitungen. Planen Sie genügend Zeit ein, um sowohl die Benutzer als auch die physischen Standorte vorzubereiten. Während die Benutzer den Windows 2000-Entwurf testen, muss das Installationsteam die Rolloutprozedur entwickeln, testen, dokumentieren und weiter verbessern.
138
Teil I Planung
Vorbereiten der Standorte für das Pilotprojekt Bereiten Sie die Standorte auf das Pilotprojekt vor, damit das Installationsteam beim Start des Projekts mit der Aktualisierung des Betriebssystems beginnen kann. Sie sollten bereits über eine Inventarliste der Computer und Netzwerkkomponenten verfügen. Weitere Informationen zum Zusammenstellen einer Inventarliste der Netzwerkausrüstung finden Sie unter „Vorbereiten der Netzwerkinfrastruktur für Windows 2000“ in diesem Buch. Bewerten Sie die Computer und die Netzwerkausrüstung, die am Standort für das Pilotprojekt eingesetzt werden, und ermitteln Sie dann, welche Hardwareaktualisierungen erforderlich sind. Bestimmen Sie zumindest die erforderlichen Änderungen und erwerben Sie die Komponenten. Sofern möglich, installieren Sie die neuen Komponenten und testen Sie sie frühzeitig. Überprüfen Sie die folgenden Arten von Aktualisierungen: ? Aktualisierungen der Clientcomputer auf die unterstützte
Hardwaremindestkonfiguration (Speicher, Festplattenkapazität, Prozessorgeschwindigkeit/-typ, Netzwerkadapter). ? Serveraktualisierungen für optimale Hardwarekonfigurationen. ? Netzwerkaktualisierungen zur Erfüllung von Entwurfsanforderungen. ? Client- und Serveraktualisierungen für die Kompatibilität mit Windows 2000
(Hardware, Anwendungen, Treiber). Darüber hinaus müssen Sie Folgendes ermitteln: ? Am Standort eingesetzte Anwendungen. ? Besondere Sicherheitsanforderungen. ? Besondere Konnektivitätsanforderungen.
Stellen Sie sicher, dass die gesamte Hardware und Software auf ihre Kompatibilität getestet wurde und das Installationsteam auf besondere Anforderungen vorbereitet ist.
Vorbereiten der Benutzer im Pilotprojekt Es ist wichtig, frühzeitig mit der Pilotprojektgruppe in Kontakt zu treten. Bei Ihrer ersten Kontaktaufnahme sollten Sie darstellen, über welche Kanäle kommuniziert wird und was zu erwarten ist. Wenn das Startdatum für das Pilotprojekt näher rückt, schulen Sie die Benutzer und informieren Sie sie über besondere Einrichtungsplanungen und Termine.
Frühzeitige Kommunikation Wenn Sie die Teilnehmer ausgewählt haben, treffen Sie sich bald darauf mit ihnen zu folgenden Zwecken: ? Unterstützung für das Pilotprojekt einholen. ? Verbindungsperson zu den Benutzern bestimmen. ? Zuständigkeiten klären. ? Support- und Rollbackpläne besprechen.
Kapitel 5 Ausführen des Pilotprojekts für Windows 2000
139
Die Teilnehmer des Pilotprojekts müssen verstehen, was das Projekt mit sich bringen wird. Sie müssen verstehen, wie das Pilotprojekt unter Umständen ihre Arbeit beeinflusst und welche Zuständigkeiten sie haben werden. Besprechen Sie die Dauer des Pilotprojekts, in welchem Umfang Sie Support leisten werden und welche Tests die Teilnehmer durchführen sollen. Die Teilnehmer am Pilotprojekt werden zwar weiterhin ihren täglichen geschäftlichen Aufgaben nachgehen, Sie sollten aber einige Bereiche angeben, auf die sie sich konzentrieren sollten. Befassen Sie sich mit etwaigen Bedenken, die die Teilnehmer im Hinblick auf das Pilotprojekt und ihre Rolle haben.
Kontinuierliche Information der Teilnehmer Im Verlauf Ihrer Pilotprojektplanungen kann die Verbindungsperson zu den Benutzern Sie über deren Bedenken informieren und die Benutzer über neue Entwicklungen auf dem Laufenden halten. Teilen Sie beim Aufstellen der Supportpläne den Benutzern mit, wie und wann sie Support anfordern müssen und wie sie Probleme oder Fragen weitergeben sollten. Informieren Sie die Benutzer über die Art der Schulung, die sie erhalten werden, und wann sie damit rechnen können. Einige Organisationen bieten ein- bis zweistündige Schulungen unmittelbar vor der Einrichtung. Erinnern Sie zu Beginn der Einrichtung des Pilotprojekts die Teilnehmer an Folgendes: ? Termine für Schulungen und für die Aktualisierung von Computern. ? Verfahren, die sie befolgen müssen, bevor ihre Computer aktualisiert werden. ? Namen und Rufnummern von Supportansprechpartnern.
Entwickeln des Rolloutprozesses Wenn das Testen des Rolloutprozesses zu den Zielen Ihres Pilotprojekts gehört, muss das Installationsteam die Prozeduren während der Projekttestphase entwickeln, dokumentieren und testen. Das Testlabor ist gut geeignet, um Debugging bei auftretenden Problemen durchzuführen, aber das Pilotprojekt bietet eine realen Test, in dem die Prozeduren im Hinblick auf Genauigkeit und Effizienz weiter verbessert werden können. Stellen Sie sicher, dass die Skripts und Tools für die Automatisierung der Aktualisierungen für die Computer in der Pilotprojektumgebung geeignet sind. Erstellen Sie bei der Entwicklung von Prozeduren für die Einrichtung von Windows 2000 auf verschiedenen Arten von Computern eine Dokumentation, die die mit der Installation befassten Personen unterstützt. Ihre Dokumentation für das Rollout sollte u. a. folgende Punkte enthalten: ? Listen mit Tools und Materialien, die für die Installation benötigt werden. ? Listen mit Skripts und ihren Speicherorten. ? Sicherungen, die die mit der Installation befassten Personen vor und während
der Einrichtung durchführen müssen. Nehmen Sie auch Sicherungen der Benutzerdaten auf Clientcomputern auf.
140
Teil I Planung ? Schritte für die Migration in die neue Domänenstruktur.
?
?
?
?
Weitere Informationen zu Strategien für die Migration in die neue Domänenstruktur und die einzusetzenden Tools finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in dieser Dokumentation. Schritte für die Durchführung von automatisierten und manuellen Computeraktualisierungen. Die manuelle Methode kann eingesetzt werden, wenn die automatisierte Methode nicht ordnungsgemäß funktioniert. Weitere Informationen zur Automatisierung von Installationen finden Sie unter „Automatisieren der Serverinstallation und der Aktualisierung“ und „Automatisieren der Clientinstallation und der Aktualisierung“ in dieser Dokumentation. Akzeptanztests, die die mit der Installation befassten Personen während und unmittelbar nach der Einrichtung durchführen müssen, um zu überprüfen, ob die Einrichtung erwartungsgemäß funktioniert. Betriebsprozeduren, die die mit Installation und Administration befassten Personen ausführen müssen (Berechtigungen zurücksetzen, Kennwörter ändern, Benutzerdaten wiederherstellen). Schritte zur Beendigung, wenn das Pilotprojekt nicht ordnungsgemäß verläuft.
Einrichten des Pilotprojekts Führen Sie vor der Einrichtung des Pilotprojekts einen Trockentest für den Prozess durch. In einem Trockentest wird zu einem geplanten Zeitpunkt außerhalb der Büro- und Geschäftszeiten der gesamte Aktualisierungsprozess durchlaufen, das neue Setup wird umfassend getestet und anschließend wird alles wieder entfernt. Denken Sie bei der Einrichtung des Pilotprojekts daran, die gesamten Sicherungen zu überprüfen. Beschriften Sie die Sicherungsmedien eindeutig und lagern Sie sie an einem sicheren Ort. Verifizieren Sie jeden Schritt bei der Durchführung. Zeichnen Sie im Verlauf Ihrer Arbeit auf, wie viel Zeit die Installation in Anspruch nimmt, damit Sie Ihren Zeitplan weiter verbessern können. Veranlassen Sie, dass während der Einrichtung ein Mitglied der Systemadministration zur Verfügung steht, das umfassende Sicherheitsberechtigungen besitzt; dazu gehören auch die Rechte, Mail- und Datenbankserverkennwörter zu verwalten. Vergessen Sie nicht, Korrekturen in den Rolloutprozeduren festzuhalten. Nehmen Sie Korrekturen in der laufenden Arbeit vor, und testen Sie die Korrekturen in der nächsten Aktualisierung. Benennen und dokumentieren Sie ineffiziente Schritte und Methoden, und benutzen Sie die Informationen, um den Rolloutprozess weiter zu verbessern.
Bewerten des Pilotprojekts Ihr Team muss über das gesamte Projekt hinweg den Fortschritt überwachen und aufgetretene Probleme beheben und die Lösungen neu testen. Veranlassen Sie, dass das System zur Verfolgung von Problemen zu Beginn des Pilotprojekts zur Verfügung steht, und fordern Sie die am Pilotprojekt beteiligten Benutzer auf, es für ihre Problemberichte einzusetzen. Benutzer vernachlässigen im Alltag oft die Weitergabe von Problemen, da sie entweder glauben, ein Problem sei unbedeutend, oder eine Möglichkeit finden, es zu umgehen. Damit Sie Ihr Pilotprojekt genau
Kapitel 5 Ausführen des Pilotprojekts für Windows 2000
141
bewerten können, ist es aber für Sie erforderlich, dass die Benutzer alle Probleme berichten. Zum Abschluss des Pilotprojekts müssen Sie Informationen aus einer Vielzahl von Quellen einholen, um den Erfolg des Pilotprojekts zu bewerten. Je mehr Informationen Sie während des Pilotprojekts zusammentragen, desto genauer können Sie es zum Abschluss bewerten.
Überwachen des Pilotprojekts Ihr Team sollte das Netzwerk für das Pilotprojekt kontinuierlich überwachen und Engpässe und Bereiche ermitteln, bei denen eine Optimierung erforderlich ist. Überwachen Sie sowohl den Verkehrsfluss als auch die Anwendungsleistung. Tools zur Überwachung geben zwar zahlreiche Informationen, es ist aber auch hilfreich, in regelmäßigen Abständen den Pilotprojektstandort zu besuchen. Durch häufige Gespräche mit Benutzern werden Probleme entdeckt, die anderenfalls unbemerkt bleiben würden. Gehen Sie auf jeden Fall häufig die Problemberichte durch und ermitteln Sie Trends. Bewerten Sie während des Pilotprojekts die Risiken für das Projekt. Achten Sie z. B. auf Folgendes: ? Änderungen im Umfang ? Kostensteigerungen ? Probleme bei der Interoperabilität ? Unvorhergesehene Ausfallzeiten
Einholen von Rückmeldungen Bewerten Sie zum Abschluss des Pilotprojekts den Erfolg und geben Sie dem Management Empfehlungen über den nächsten Schritt. Das Management muss dann entscheiden, ob das Projekt über das Pilotprojekt hinaus fortgesetzt wird. Für die Bewertung und die Empfehlungen hilft Ihnen die Analyse von Informationen aus einer Vielzahl von Quellen. Entnehmen Sie die Informationen z. B. aus: ? Website-Feedbackformularen ? Sitzungen mit dem Management ? Problemberichten ? Endbenutzerumfragen ? Beobachtungen des IT-Projektteams
Versuchen Sie, Informationen sowohl zum Entwurf als auch zum Einrichtungsprozess einzuholen. Überprüfen Sie, was funktioniert und was nicht funktioniert hat, damit Sie Ihren Plan überarbeiten und weiter verbessern können. Sammeln Sie z. B. Informationen über folgende Punkte: ? Schulung ? Rolloutprozess ? Support ? Kommunikation ? Aufgetretene Probleme
142
Teil I Planung ? Verbesserungsvorschläge
Verwenden Sie die Rückmeldungen, um zu überprüfen, ob der bereitgestellte Entwurf die Funktionsbeschreibung und die geschäftlichen Anforderungen erfüllt. Hat das Pilotprojekt die Erfolgskriterien erfüllt, die Sie vor Beginn des Projekts definiert hatten. Wenn Sie Metriken für die Messung des Erfolgs festgelegt hatten, welche Werte wurden für das Pilotprojekt erzielt?
Planungstaskliste für die Durchführung eines Pilotprojekts In Tabelle 5.1 werden die Tasks zusammengefasst, die Sie bei der Planung eines Pilotprojekts durchführen müssen. Tabelle 5.1 Planungstaskliste für die Durchführung eines Pilotprojekts Task
Kapitelüberschrift
Plan für das Pilotprojekt mit folgendem Inhalt aufstellen: ? Projektumfang und -zielsetzungen. ? Benutzer und Standorte.
Erstellen eines Pilotprojektplans
? Schulungs-, Support-, Kommunikations-
und Rollbackpläne. ? Zeitplan.
Benutzer und Standorte vorbereiten. Rolloutprozess entwickeln.
Vorbereiten des Pilotprojekts Vorbereiten des Pilotprojekts
Pilotprojekt einrichten. Pilotprojekt unterstützen und überwachen. Rückmeldungen über das Pilotprojekt einholen.
Einrichten des Pilotprojekts Bewerten des Pilotprojekts Bewerten des Pilotprojekts
Ergebnisse des Pilotprojekts bewerten.
Bewerten des Pilotprojekts
T E I L
I I
Netzwerkinfrastruktur
Das Vorbereiten der Netzwerkinfrastruktur ist ein wichtiger Schritt vor dem Einsatz. Teil II bietet Informationen zur Dokumentation Ihrer aktuellen Netzwerkumgebung und zur Vorbereitung Ihres Netzwerks für Microsoft ® Windows® 2000. Kapitel in Teil II Vorbereiten der Netzwerkinfrastruktur für Windows 2000 145 Festlegen von Strategien für Netzwerkverbindungen 167 Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur 207
144
Teil 1
Planung
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
145
K A P I T E L
6
Vorbereiten der Netzwerkinfrastruktur für Windows 2000 Bevor Sie Microsoft® Windows® 2000 in Ihrer Organisation einrichten, müssen Sie das Netzwerk vorbereiten. Wenn Sie mit der Netzwerkverwaltung befasst sind, hilft Ihnen dieses Kapitel dabei, die Bereiche der Netzwerkinfrastruktur, z. B. Server, Router und Netzwerkdienste, zu ermitteln, die vor der Einrichtung von Windows 2000 unter Umständen aktualisiert oder geändert werden müssen. Es behandelt außerdem die Dokumentierung der aktuellen Netzwerkinfrastruktur. Bevor Sie dieses Kapitel lesen, gehen Sie die Informationen in „Erstellen eines Einsatzwegweisers“ und „Planen des Einsatzes“ in diesem Buch durch. Inhalt dieses Kapitels Dokumentieren der aktuellen Umgebung 146 Vorbereiten der Netzwerkarchitektur 155 Zielsetzungen Dieses Kapitel unterstützt Sie bei der Erstellung folgender Planungsdokumente: ? Inventar, Diagramme und Dokumentation der aktuellen Netzwerkumgebung. ? Plan zur Vorbereitung der Infrastruktur für die Einrichtung von
Windows 2000. WeiterführendeInformationen in der technischen Referenz ? Weitere Informationen zu Windows 2000 TCP/IP finden Sie in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke. ? Weitere Informationen zum Bewerten des vorhandenen Netzwerks, der Infrastruktur und der Protokolle finden Sie unter „Festlegen von Strategien für Netzwerkverbindungen“in diesem Buch. ? Weitere Informationen zum Erstellen eines Plans für die Domänenmigration finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in diesem Buch.
146
Teil II
Netzwerkinfrastruktur
Dokumentieren der aktuellen Umgebung Die physikalische und logische Topologie des vorhandenen Netzwerks zu dokumentieren und eine vollständige und genaue Inventarliste der in Ihrer Organisation eingesetzten Hardware und Software aufzustellen, sind sehr wichtige vorbereitende Schritte, bevor Sie mit den Planungen für die Netzwerkinfrastruktur von Windows 2000 beginnen. Folgende Bereiche der aktuellen Netzwerkumgebung müssen Sie dokumentieren, um das Netzwerk für die Einrichtung von Windows 2000vorzubereiten: ? Hardware und Software ? Netzwerkinfrastruktur ? Datei-, Druck- und Webserver ? Unternehmensanwendungen ? Architektur der Verzeichnisdienste ? Sicherheit
Zum Dokumentieren des Netzwerks eignen sich Microsoft Windows NT®Anwendungen zur Netzwerkdiagnose, z. B. Netzwerkmonitor. OEMs bieten oft Software für Problembehandlung oder Konfiguration, die zum Dokumentieren der Konfiguration von Ausrüstung und Treibern ideal geeignet ist. Im Verlauf der Vorbereitung der Netzwerkinfrastruktur für Windows 2000 werden Sie umfangreiche Planungen vornehmen. In „Erstellen eines Einsatzwegweisers“ weiter oben in dieser Dokumentation haben Sie den Umfang Ihres Einrichtungsprojekts definiert und die Windows 2000-Funktionen ausgewählt, die eingesetzt werden sollen. Darüber hinaus haben Sie technische Abhängigkeiten von Windows 2000 ermittelt, die sich unter Umständen auf Ihre Planungen auswirken, und einen Projektplan für die Einrichtung aufgestellt. Der Schwerpunkt dieses Kapitels ist die Vorbereitung der Netzwerkinfrastruktur für Windows 2000, aber diese Vorbereitungen lassen sich nicht von den Planungen trennen, die in anderen Kapiteln dieser Dokumentation beschrieben werden. Unabhängig davon, ob Sie ein neues Netzwerk vorbereiten oder Windows 2000 in eine vorhandene Netzwerkstruktur migrieren, werden Ihre Planungen in den Bereichen Domänenumstrukturierung, Serveraktualisierungen und Infrastrukturanforderungen ausschlaggebend dafür sein, welche spezifischen Tasks Sie zur Vorbereitung der Infrastruktur durchführen müssen.
Hardware- und Softwareinventar Sofern noch nicht geschehen, nehmen Sie auf allen Servern und Clientcomputern, die im Netzwerk eingesetzt werden, das Hardware- und Softwareinventar auf. Dokumentieren Sie alle Router, Drucker, Modems und weitere Hardware, z. B. RAID-Arrays und RAS-Serverhardware. Nehmen Sie unbedingt auch Details wie BIOS-Einstellungen auf, weiterhin die Konfiguration aller Peripheriegeräte, z. B. Drucker, Scanner und Eingabegeräte. Zeichnen Sie Treiberversionen und weitere Software- und Firmwareinformationen auf.
Kapitel 6 Vorbereiten der Netzwerkinfrastruktur für Windows 2000
147
Nehmen Sie in die Softwareinventarliste alle Anwendungen auf allen Computern auf. Zeichnen Sie auch die Versionsnummern (oder Datums- und Zeitstempel) der DLLs der Anwendungen auf Ihrem System auf. Vergessen Sie nicht, die Service Packs zu dokumentieren, die Sie für das Betriebssystem oder Anwendungen installiert haben. Sie können Skripts und eine Reihe von Fremdanbieteranwendungen einsetzen, um diese Informationen in Windows- und Windows NTNetzwerken mit WMI (Windows Management Instrumentation) zu ermitteln. Systems Management Server unterstützt Sie beim Zusammenstellen von Informationen über das Windows NT-Netzwerk. Sie können damit ausführliche Berichte über die Hardware, Software und Anwendungen erstellen, die in Ihrer Organisation eingesetzt werden. Weitere Informationen über die Analyse des Netzwerks mit Systems Management Server finden Sie unter „Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur“. Dokumentieren Sie die Netzwerkkonfigurationen für Server und Clientcomputer. Auf Computern mit Windows NT können Netzwerkeinstellungen leicht abgerufen werden. ? So rufen Sie Netzwerkeinstellungen in Windows NT ab 1. Klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie auf Systemsteuerung . 2. Doppelklicken Sie auf Netzwerk. 3. Notieren Sie die Informationen auf den Registerkarten Identifikation, Dienste, Protokolle, Netzwerkkarte und Bindungen. Öffnen Sie auf jedem Computer, für den eine statische IP-Adresse vergeben wurde, ein Befehlszeilenfenster, führen Sie den Befehl ipconfig /all aus und zeichnen Sie die Ergebnisse auf. Hardwarefremdanbieter stellen oft Diagnose- und Verwaltungssoftware zur Verfügung, die ausführliche Informationen über Hardware- undKonfigurationseinstellungen zusammenstellt. Die Inventarlisten können Sie zu folgenden Zwecken nutzen: ? Bestätigen Sie, dass die aktuelle Infrastruktur, die Serverhardware, das Com-
puter-BIOS und die Softwarekonfigurationen mit Windows 2000 Server kompatibel sind. Vergleichen Sie dazu Ihr Inventar mit der Hardwarekompatibilitätsliste (HCL). Weitere Informationen zur HCL finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft Windows Hardware Compatibility List“ klicken. ? Ermitteln Sie die spezifischen Aktualisierungspfade für die einzelnen Server und Clientcomputer und skizzieren Sie Spezifikationen für den Kauf neuer Ausrüstung.
148
Teil II
Netzwerkinfrastruktur
Netzwerkinfrastruktur Achten Sie beim Dokumentieren der aktuellen Netzwerkumgebung besonders auf Bereiche, in denen gegenwärtig Probleme auftreten. Wenn Sie das Netzwerk vor der Einrichtung eines neuen Betriebssystems stabilisieren, werden Einrichtung und Problembehandlung einfacher, und Sie können mehr Vertrauen zu demaktualisierten Netzwerk haben. Das Einrichten eines Testlabors zum Duplizieren von Problemen und Konfigurationen ist eine gute Möglichkeit, die Auswirkungen der Einrichtung von Windows 2000 mit einem bestimmten Satz von Protokollen, Hardwaretreibern und Client/Serverkonfigurationen zu bewerten. Weitere Informationen zum Einrichten eines Testlabors finden Sie unter „Erstellen eines Testlabors für Windows 2000“ in diesem Buch. Beim Dokumentieren der Netzwerkinfrastruktur erhalten Sie sowohl Hardwaredaten, die den physikalischen Aufbau der Infrastruktur dokumentieren, als auch Softwaredaten, die angeben, welche Protokolle im Netzwerk verwendet werden und wie diese dokumentiert sind. Darüber hinaus müssen Sie die logische Organisation des Netzwerks dokumentieren, die Methoden für die Auflösung von Namen und Adressen sowie die vorhandenen Dienste und ihre Konfiguration. Die Netzwerkstandorte und die zwischen ihnen zur Verfügung stehende Bandbreite zu dokumentieren, wird Ihnen auch bei der Entscheidung helfen, ob Sie bei der Aktualisierung auf bzw. Migration in Windows 2000vollständigautomatisierte oder bedarfsgesteuerte Installationen durchführen. Weitere Informationen zu Installation, Aktualisierung und Migration in das Betriebssystem Windows 2000 finden Sie unter „Automatisieren der Clientinstallation und der Aktualisierung“ und „Automatisieren der Serverinstallation und der Aktualisierung“ in diesem Buch. Mit einem physikalischen und einem logischen Netzwerkdiagramm können Sie die zusammengetragenen Informationen auf verständliche und intuitive Weise organisieren.
Physikalisches Netzwerkdiagramm Mit dem physikalischen Diagramm stellen Sie folgende Informationen über Ihr bestehendes Netzwerk dar: ? Details zu den physikalischen Kommunikationsverbindungen, z. B.Kabellänge,
?
? ?
?
-qualität und ungefährer Verlauf der Verkabelung, der analogen sowie der ISDN-Verbindungen. Server mit Computernamen, IP-Adresse (sofern statisch), Serverrolle und Domänenmitgliedschaft. Ein Server kann zahlreiche Rollen innehaben, u. a. primärer oder Reservedomänencontroller, DHCP-Server, DNS-Server, WINSServer, Druckserver, Router, Anwendungs- oder Dateiserver. Standorte von Geräten wie Druckern, Hubs, Switches, Modems, Routern und Brücken sowie von Proxyservern im Netzwerk. WAN-Kommunikationsverbindungen (analog und ISDN) und die zwischen den Standorten verfügbare Bandbreite. Dies kann ein Näherungswert oder die tatsächliche gemessene Kapazität sein. Anzahl der Benutzer an den einzelnen Standorten, einschließlich der mobilen Benutzer.
Kapitel 6 Vorbereiten der Netzwerkinfrastruktur für Windows 2000
149
Abbildung 6.1 ist ein Beispiel für ein physikalisches Netzwerkdiagramm.
Abbildung 6.1 Physikalisches Netzwerkdiagramm
Dokumentieren Sie für alle Geräte im Netzwerk die Firmwareversion, den Durchsatz sowie etwaige besondere Konfigurationsanforderungen. Wenn Sie statische IP-Adressen für Geräte vergeben haben, zeichnen Sie diese auf. Weitere Informationen zu Netzwerkverbindungen und Windows 2000 finden Sie unter „Festlegen von Strategien für Netzwerkverbindungen“ in diesem Buch.
Logisches Netzwerkdiagramm Im logischen Diagramm wird die Netzwerkarchitektur dargestellt; es enthält u. a. folgendeInformationen:
150
Teil II
Netzwerkinfrastruktur ? Domänenarchitektur, einschließlich der bestehenden Domänenhierarchie,
Namen und des Adressierungsschemas. ? Serverrollen, einschließlich der primären und Reservedomänencontroller, DHCP-Server oder WINS-Server. ? Vertrauensstellungen, einschließlich der Darstellungen von transitiven, einseitigen und zweiseitigen Vertrauensstellungen. Abbildung 6.2 ist ein Beispiel für ein logisches Netzwerkdiagramm.
Abbildung 6.2 Logisches Netzwerkdiagramm
Netzwerkkonfiguration Die allgemeinen Bereiche Ihrer Netzwerkkonfiguration, die Sie dokumentieren müssen, sind in den folgenden Abschnitten aufgeführt.
Namensauflösungsdienste Stellen Sie sicher, dass Sie alle DNS- und WINS-Server im Netzwerk dokumentiert und Konfigurationen, Versionsdaten sowie Hardwaredetails aufgezeichnet haben. Halten Sie fest, ob DNS-Server im Netzwerk, auf denen nicht Windows NT ausgeführt wird, die dynamische Registrierung und Ressourceneinträge des Typs Dienstidentifizierung (SRV) unterstützen und ob Aktualisierungen für dieses Leistungsmerkmal vom Softwarehersteller erhältlich sind. Wenn Sie über Hosts im Netzwerk verfügen, auf denen nicht Windows NT ausgeführt wird, dokumentieren Sie die Dienste, die sie nutzen und bereitstellen, z. B. UNIX BIND. Dokumentieren Sie auch die Versionen der einzelnen eingesetzten Dienste. Wenn z. B. BIND im Netzwerk eingesetzt wird, beachten Sie, dass Versionen vor 4.9.4 nicht mit Windows 2000 kompatibel sind. Dokumentieren Sie
Kapitel 6 Vorbereiten der Netzwerkinfrastruktur für Windows 2000
151
SAP- (Service Advertising Protocol) und RIP-Dienste (Routing Information Protocol), wenn sie derzeit im Netzwerk verwendet werden.
IP -Adressiermethoden und Dienstkonfigurationen Stellen Sie sicher, dass Sie alle DHCP-Server im Netzwerk dokumentiert haben; dazu gehört Folgendes: ? Alle IP-Adressen, die Sie für Server oder Clientcomputer vergeben haben. ? DHCP-Einstellungen, z. B. das Standardgateway. ? Details zu den Subnetzen und ihre Beziehung zur allgemeinen
Domänenstruktur. ? Die Anzahl der Subnetze und Hosts im Netzwerk. Halten Sie auch die im Netzwerk eingesetzten IP-Adressen und Subnetzmasken fest. ? Wie lange ein Client eine IP-Adresse im Netzwerk leasen kann.
Remotenetzwerk und DFÜ-Netzwerk Wenn es Remotebenutzer oder mobile Benutzer gibt, dokumentieren Sie Ihre RASund DFÜ-Konfigurationen. Verwenden Sie für mobile Benutzer Software von Fremdanbietern, überprüfen und dokumentieren Sie die Konfiguration dieser Produkte. Wenn Sie virtuelle private Netzwerke (VPNs) verwenden, dokumentieren Sie die Konfiguration des VPNs, um zu bewerten, ob Sie es durch Windows 2000 VPN ersetzen können. Fragen zur Bandbreite Dokumentieren Sie die aktuelle Bandbreitennutzung im Netzwerk, um eine Grundlinie zu ermitteln, von der aus Änderungen gemessen werden können. Zum Messen von Bandbreitenmetriken, z. B. gesendete oder empfangene Bytes und Pakete, Übertragungs- und Empfangsfehler und Pakete pro Sekunde, können Sie eine Reihe von Microsoft-Tools oder Tools von Fremdanbietern verwenden. Dokumentieren Sie die Geschwindigkeit der Netzwerkverbindungen zwischen den Netzwerksegmenten und geografischen Standorten Ihrer Organisation. Prüfen Sie die logische und geografische Verteilung Ihrer Organisation unter dem Gesichtspunkt der Bandbreite. Hat sie Niederlassungen oder mobile oder Remotemitarbeiter? Berücksichtigen Sie Umfang und Art des Verkehrs, der über die Kommunikationsverbindungen der Organisation abläuft. Wird z. B. die Geschwindigkeit der WAN-Verbindungen regelmäßig durch Domänenreplikation zwischen Domänencontrollern an verschiedenen Standorten verringert? Dokumentieren Sie die verfügbare Nettobandbreite aller WAN-Verbindungen und Netzwerksegmente. Versuchen Sie, die verfügbare Bandbreite während niedriger, normaler und hoher Netzwerkauslastung aufzuzeichnen.
Datei-, Druck- und Webserver Dokumentieren Sie die Konfigurationsdetails der Mitgliedsserver. Achten Sie besonders auf Konfigurationen, die nur einmal vorhanden sind (z. B. ein Server mit angeschlossenem Modempool oder ein Abteilungsserver mit mehreren Netzwerkadaptern). Halten Sie fest, ob der Server ein Unternehmens- oder ein Abteilungsserver ist. Notieren Sie besondere Betriebsanforderungen der Server und stellen Sie fest, ob für diese Server besondere Protokolle oder Treiber erforderlich sind. Wenn z. B. ein Produkt sich auf einem Reservedomänencontroller befinden muss, wird die Funktionalität des Produkts unter Umständen beeinflusst, wenn der
152
Teil II
Netzwerkinfrastruktur
Reservecontroller auf Windows 2000 aktualisiert wird. Ermitteln Sie wie bei jedem Computer die Windows 2000-Kompatibilität der Hardware und der dazugehörigen Treiber auf diesen Computern über die HCL. Ermitteln Sie die Standorte der Drucker in Ihrer Organisation und dokumentieren Sie deren Konfigurationen. Achten Sie besonders auf Web- und Proxyserver – während der Planung der Einrichtung müssen Sie die möglichen Sicherheitsaspekte bei dieser Klasse von Servern sowie die Bandbreite berücksichtigen, die die einzelnen Server unter Umständen benötigen (insbesondere für Active Directory™ ). Weitere Informationen zu Planungen für Datei-, Druck- und Webserver finden Sie unter „Aktualisieren und Installieren von Mitgliedsservern“ in dieser Dokumentation.
Unternehmensanwendungen Ermitteln Sie alle Anwendungen, über die Ihr Unternehmen verfügen muss, um seine Hauptziele verfolgen zu können. Üblicherweise werden Sie eine zentrale Gruppe von Anwendungen finden, z. B. eine Datenbankanwendung, ein E-MailSystem und ein Finanzsoftwarepaket, die alle ordnungsgemäß funktionieren müssen, damit Ihr Unternehmen seine Ziele erreichen kann. Überprüfen Sie diese Anwendungen auf ihre Windows 2000-Kompatibilität. Wenn z. B. das E-MailProgramm mit Active Directory integriert werden soll, müssen Sie beim Hersteller in Erfahrung bringen, ob ein Aktualisierungspfad auf Windows 2000- und Active Directory-Kompatibilität verfügbar oder geplant ist. Viele Softwarehersteller haben in Partnerschaften mit Microsoft zusammengearbeitet, um sicherzustellen, dass ihre Produkte ordnungsgemäß unter Windows 2000 ausgeführt werden. Das „Zertifiziert für Windows“-Logo gibt Ihnen die Gewissheit, dass ein Produkt kompatibel ist. Weitere Informationen zur Prüfung der Windows 2000-Kompatibilität von Anwendungen finden Sie unter „Testen der Anwendungskompatibilität mit Windows 2000“ in diesem Buch. Weitere Informationen zu Anwendungen, die mit Windows 2000 kompatibel sind, finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Directory of Windows 2000 Applications“ klicken.
Architektur der Verzeichnisdienste Dokumentieren Sie die vorhandene Domänenstruktur im Rahmen Ihrer Planungen für den Wechsel zu Active Directory. Ermitteln Sie die Domänenarchitektur, die Benutzer und Benutzergruppen in der Organisation, ihre geographischen Standorte sowie Ressourcendomänen und administrative Domänen. Dokumentieren Sie die ein- und zweiseitigen Vertrauensstellungen zwischen den Domänen. Halten Sie fest, ob der Namespace nicht fortlaufend ist; dies kann auf Übernahmen, Zusammenschlüsse oder andere Tätigkeiten zurückzuführen sein. Diese Informationen werden hilfreich sein, wenn Sie die Windows 2000-Domänengesamtstruktur planen und festlegen, welche Art von Vertrauensstellung zwischen den Domänen eingerichtet werden soll. Ermitteln Sie alle im Netzwerk ausgeführten Verzeichnisdienste, bei denen es sich nicht um Windows NT-Dienste handelt (z. B. Microsoft® Exchange Server-Verzeichnisdiensterweiterungen oder UNIX BIND). Ermitteln Sie weiterhin alle Benutzerkonten, die für die einzelnen Benutzer angelegt wurden. Diese Informationen sind sowohl für die Migration in Active Directory als auch für die Verwaltung der ordnungsgemäßen Funktionalität zwischen Active Directory und anderen
Kapitel 6 Vorbereiten der Netzwerkinfrastruktur für Windows 2000
153
Verzeichnisdiensten hilfreich, da für die einzelnen Benutzer alle Kontodaten verfügbar sind.
Modell für die Domänenverwaltung Benennen Sie das Hauptmodell (oder Standards) für die Domänenverwaltung. Haben Sie ein zentralisiertes, hierarchisches Verwaltungsmodell oder lässt Ihre Organisation ein verteiltes Verwaltungsmodell zu? Welche Tätigkeiten kann die lokale Administration im Vergleich zur unternehmensweiten Administration ausführen? Gibt es bei den Verwaltungsmodellen in Ihrer Organisation Überlappungen? Mit Hilfe dieser Informationen können Sie ermitteln, ob administrative Pflichten unter Windows 2000 neu strukturiert werden können, wodurch die Domänenverwaltung kostengünstiger und effizienter wird. Windows 2000 bietet beträchtliche Verbesserungen für die Verwaltung sowohl größter als auch kleinster Netzwerkkomponenten. Dokumentieren Sie bei der Untersuchung der vorhandenen Domänenstruktur folgende Informationen für Ihr Netzwerk: TypderDomänenstruktur Die meisten Netzwerke haben mehrere Masterkontodomänen mit noch mehr Ressourcendomänen. Bei der Migration oder der Aktualisierung der vorhandenen Domänen auf Windows 2000 wird die vorhandene Domänenstruktur Ihren Entwurf für die Windows 2000-Domänenstruktur beeinflussen. Weitere Informationen finden Sie unter „Bestimmen der Strategien für die Domänenmigration“in diesem Buch. VorhandeneVertrauensstellungen Zeichnen Sie die im Netzwerk vorhandenen einund zweiseitigen Vertrauensstellungen auf. Geben Sie die Domänen und Vertrauensstellungen an, die Sie nicht in die Windows 2000-Domänengesamtstruktur übernehmen möchten. Domänen, die auf Windows 2000-Domänen aktualisiert werden und als Teil derselben Gesamtstruktur gekennzeichnet sind, werden über transitive Vertrauensstellungen mit anderen Windows 2000-Domänen verbunden. Nach der Aktualisierung der Domänen auf Windows 2000 müssen Sie explizite Vertrauensstellungen zwischen Windows 2000-Domänen und den Domänen erstellen, die Sie nicht in die neue Gesamstruktur übernehmen möchten. Anzahl und Standorte der Domänencontrollerim Netzwerk Dies gibt Ihnen die Möglichkeit, die Aktualisierung der einzelnen Domänen zu planen. Geben Sie die primären und die Reservedomänencontroller im physikalischen und logischen Netzwerkdiagramm an. Zeichnen Sie ihre physikalischen Standorte und Konfigurationsdetails auf. Weitere Informationen zum Festlegen der Reihenfolge und des zeitlichen Ablaufs von Domänencontrolleraktualisierungen finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in diesem Buch. Diein der Organisation vorhandenen DNS-Namespaces Wenn Ihnen bekannt ist, welche Namespaces in Ihrer Organisation vorhanden sind, hilft Ihnen dies, einen eindeutigen Namespace für die Windows 2000-Gesamtstruktur zu erstellen. Die Entscheidung, welcher DNS-Namespace als Stamm der Active DirectoryHierarchie verwendet werden soll, ist ein wichtiger Teil Ihrer Planungen, denn der Stammnamespace kann nach dem Entwurf der Hierarchie nur schwer geändert werden. Weitere Informationen zum Planen der Active Directory-Domänenstruktur finden Sie unter „Entwerfen der Active Directory-Struktur“ in diesem Buch.
154
Teil II
Netzwerkinfrastruktur
Sicherheit Die Überprüfung und Implementierung der Sicherheitsstandards in Ihrer Organisation ist selbst dann nützlich, wenn Sie kein neues Betriebssystem einführen; wenn Sie aber ein neues System einführen, werden diese Schritte außerordentlich wichtig. Überprüfen Sie die Sicherheitsstandards und -verfahren für mobile und Desktopbenutzer, interne und externe Netzwerke sowie DFÜ- und RAS-Konten. Werden administrative Tasks, z. B. das Anlegen von Benutzern und Gruppen, Dateifreigaben, das Ändern von Kennwörtern und die Konfiguration von Geräteund Objektattributen, von einer zentralisierten Gruppe oder von mehreren Gruppen ausgeführt? Welche spezifischen Rechte haben diese Gruppen, und wie setzen sichdieMitgliedslisten zusammen? Dokumentieren Sie die Arten von Beziehungen, die derzeit zwischen Niederlassungsstandorten, Unternehmenseinheiten und Abteilungen in Ihrer Organisation bestehen. Befassen sich diese Einheiten gemeinsam mit administrativen Tasks, oder ist jede Einheit für ihre eigene Verwaltung verantwortlich? Umfassen Ihre Benutzergruppen mehrere Abteilungen oder Standorte des Unternehmens, oder bauen Sie sie nach Organisationseinheit auf? Dokumentieren Sie dies und alle vorhandenen Sicherheitsrichtlinien zu Benutzern und Unternehmen. Dokumentieren Sie, welche Arten von Informationen welchen Gruppen zur Verfügung stehen, und halten Sie wichtige Einschränkungen fest, die für bestimmte Arten von Informationen, z. B. Abrechnungsdaten, erforderlich sind. Dokumentieren Sie alle Richtlinien, die im Hinblick auf die angemessene Nutzung des Netzwerks bestehen, z. B. ob und zu welchen Zwecken Personal auf das Web zugreifen kann und was einen verbotenen oder unangemessenen Zugriff darstellt. Die Beziehungen Ihres Unternehmens mit externen Herstellern, Kunden und Jointventure- oder Geschäftspartnern beeinflussen Ihre Sicherheitsstrategie. Beantworten Sie die folgenden Fragen zu den Beziehungen Ihres Unternehmens: ? Bestehen Verpflichtungen zur Einhaltung bestimmter Dienstebenen zwischen
Ihnen und Ihren Partnern, oder gestatten Sie ihren Partnern auf der Ebene anerkannter Benutzer den Zugriff auf Ihr Netzwerk? ? Welche Richtlinien haben Sie im Hinblick auf ihren Zugriff auf Ihre Netzwerkdaten und -ressourcen? ? Können sie Daten nur schreibgeschützt anzeigen oder haben sie die Möglichkeit, Daten im Netzwerk zu ändern oder hinzuzufügen? ? Wie beschränken Sie den Zugriff auf Anwendungen? Dokumentieren Sie die in Ihrer Organisation derzeit angewandten oder geplanten Sicherheits- und Verschlüsselungsstandards. Nehmen Sie dazu folgende Informationen auf: ? Dokumentieren Sie die Sicherheitsrechte im Netzwerk nach Benutzern und
Benutzergruppen. ? Listen Sie die Domänen und die vorhandenen Vertrauensstellungen zwischen den Domänencontrollern auf. ? Dokumentieren Sie Ihre Kennwortstandards – wie lang ein Kennwort sein muss, zulässige Zeichenkombinationen, wie lange ein Benutzer ein Kennwort beibehalten kann usw.
Kapitel 6 Vorbereiten der Netzwerkinfrastruktur für Windows 2000
155
? Listen Sie die im Netzwerk verwendeten Sicherheitsprotokolle auf. ? Dokumentieren Sie, wie Sie externe Benutzer (über Internet, DFÜ- und WAN-
Verbindungen) im Netzwerk authentifizieren. ? Dokumentieren Sie Details über mehrere Konten für einzelne Benutzer. Haben z. B. Benutzer ein Konto für Windows NT und ein weiteres Konto für UNIX? Dokumentieren Sie die Berechtigungen, Benutzer und Benutzergruppenmitgliedschaften und andere Einzelheiten zu diesen Mehrfachkonten. Weitere Informationen zu den Gesichtspunkten im Zusammenhang mit dem Aufstellen eines Netzwerksicherheitsplans finden Sie unter „Planen der verteilten Sicherheit“ in dieser Dokumentation. Zu diesen Punkten gehört, dass Sie die Arten von Sicherheitsrisiken erkennen, denen Ihre Organisation unter Umständen ausgesetzt ist, und die Möglichkeiten planen, diesen Risiken zu begegnen. Im Rahmen dieses Prozesses planen und entwickeln Sie Richtlinien zur Infrastruktur für öffentliche Schlüssel und zur Benutzerauthentifizierung und entwickeln Möglichkeiten zur Sicherung von E-Mail- und Webservern. Beziehen Sie in die Überprüfung der bestehenden Sicherheitsvorkehrungen auch die Überprüfung Ihrer Sicherungsschemas ein. Hierzu gehören die Fragen, ob Sie Sicherheitsrisiken unter Umständen dadurch reduzieren können, dass Sie Sicherungsmedien extern lagern, und ob Ihr Wiederherstellungsplan aktuell ist und der aktuellen Netzwerkgröße und den aktuellen Netzwerkanforderungen entspricht. Weitere Informationen zum Entwickeln einer Richtlinie für die Speicherkonfiguration und zum Aufstellen eines Wiederherstellungsplans finden Sie unter „Bestimmen der Strategien für die Speicherverwaltung von Windows 2000“ in dieser Dokumentation. Weitere Informationen zu Sicherheitsgesichtspunkten und Sicherheitsplanungen unter Einsatz von Windows 2000-Funktionen finden Sie unter „Internetprotokollsicherheit“ in Microsoft Windows 2000 Server – Die technische Referenz: TCP/IPNetzwerke und unter „Planen der verteilten Sicherheit“ in diesem Buch.
Vorbereiten der Netzwerkarchitektur In den folgenden Abschnitten ist beschrieben, wie die Netzwerkinfrastruktur für Windows 2000 vorbereitet wird. Netzwerke unterscheiden sich zwar voneinander, und Ihre Prioritäten werden von zahlreichen technischen und organisatorischen Faktoren bestimmt werden – Sie können aber für die Vorbereitung nach der in Abbildung 6.3 dargestellten allgemeinen Methode vorgehen.
156
Teil II
Netzwerkinfrastruktur
Abbildung 6.3 Flussdiagramm für die Vorbereitung des Netzwerks
All diese Themen werden in den weiteren Kapiteln dieser Dokumentation ausführlich behandelt. In diesem Kapitel werden die Punkte erläutert, deren Sie sich in jedem dieser Bereiche bewusst sein sollten, wenn Sie Ihre Netzwerkinfrastruktur für Windows 2000 vorbereiten. Es verweist Sie auch auf das entsprechende Kapitel in diesem Buch, in dem Sie weitere Einzelheiten zu den Themen befinden.
Kapitel 6 Vorbereiten der Netzwerkinfrastruktur für Windows 2000
157
Vorbereitende Schritte Wenn Sie damit beginnen, Ihre Netzwerkinfrastruktur für Windows 2000 vorzubereiten, stabilisieren Sie das vorhandene Netzwerk und überprüfen Sie die Netzwerkprotokolle.
Stabilisieren des vorhandenen Netzwerks Bevor Sie eine Netzwerkaktualisierung oder ein Migrationsprojekt implementieren, ermitteln und korrigieren Sie alle Übertragungsengpässe im Netzwerk, schlecht funktionierende Hardware, unstabile oder problematische Konfigurationen sowie weitere Bereiche, die Anlass zu Bedenken geben. In einem Migrations- oder Aktualisierungsprojekt führen geringe Bandbreiten und unstabile Netzwerkkomponenten dazu, dass die Ziele des Projekts schwerer erreicht werden. Zielen Sie bei Ihren Planungen zur Hardwareaktualisierung auf unstabile Computer, Peripheriegeräte und Netzwerkgeräte. Bringen Sie mit Ihrer Arbeit den Zeitplan für die Netzwerkverwaltung auf den neuesten Stand, bevor Sie die Aktualisierung durchführen. Wenn Sie Netzwerkgeräte, z. B. Netzwerkadapter, austauschen, ersetzen Sie sie durch Windows 2000–kompatible Geräte, die in der HCL aufgeführt sind.
Überprüfen der Netzwerkprotokolle In jedem Netzwerk werden je nach den Erfordernissen verschiedene Protokolle verwendet. Organisationen, die ein Ethernet-Netzwerk unterhalten, nutzen unter Umständen eine Kombination aus TCP/IP, NetBEUI, SPX/IPX u. a.; dies ist abhängig von den Netzwerk-, Authentifizierungs- undSicherheitsanforderungen und -funktionen des eingesetzten Betriebssystems. Geben Sie die Protokolle an, die in Ihrem Netzwerk eingesetzt werden. Überlegen Sie in diesem Zusammenhang, welche dieser Protokolle durch Windows 2000 Versionen ersetzt oder welche entfernt werden können, da sie von aktualisierten Clients nicht mehr benötigt werden. Wenn Sie z. B. im Rahmen Ihrer Migration alle Clients, die SPX/IPX einsetzen, durch Windows 98- oder Windows 2000 Professional-Clients ersetzen, haben Sie unter Umständen die Möglichkeit, IPX/SPX aus Ihrem Netzwerk zu entfernen und so Bandbreite freizugeben. Ziehen Sie in Betracht, Ihr Netzwerk zu vereinfachen, indem Sie nur Protokolle aus der TCP/IP-Protokollfamilie verwenden. Die TCP/IP-Protokollfamilie von Windows 2000 bietet gegenüber früheren Versionen eine erweiterte Funktionalität, z. B. Unterstützung großer Empfangsfenster und selektive Bestätigung. Sie müssen den Microsoft TCP/IP-Protokollstapel verwenden, um bestimmte Funktionen, z. B. Active Directory-Unterstützung, zu erhalten und die erweiterten Funktionen von Windows 2000 nutzen zu können. So nutzen z. B. frühere Versionen von Windows NT das Point-to-PointTunnelingProtokoll (PPTP) für die Sicherung von Kommunikationsverbindungen. Windows 2000 unterstützt PPTP, bietet aber erweiterte Funktionalität und erhöhte Sicherheit bei den Kommunikationsverbindungen, da das Layer 2 TunnelingProtokoll (L2TP) zusätzlich unterstützt wird. Weitere Informationen zu den Funktionen und den Leistungssteigerungen in der Windows 2000-TCP/IPProtokollfamilie finden Sie unter „Windows 2000 TCP/IP“ in Microsoft Windows 2000 Server – Die technische Referenz: TCP/IP-Netzwerke.
158
Teil II
Netzwerkinfrastruktur
Vorbereiten der physikalischen Infrastruktur Beziehen Sie in Ihre Überlegungen die Qualität und die Bandbreite der vorhandenen Netzwerkverkabelungenund -geräte ein, weiterhin die Frage, ob sie für die Aktualisierungs- und Migrationspläne ausreichen. Sind die Netzwerkgeräte, z. B. Hubs und Verkabelung, für Ihre Zwecke schnell genug? Wie schnell sind Ihre Verbindungen zu geographisch verteilten Standorten? Wie viel Verkehr wird im internen Netzwerk und über Verbindungen generiert? So generiert z. B. eine Remoteniederlassung, die hauptsächlich eine Textverarbeitung oder eine Tabellenkalkulation als Desktopanwendung einsetzt, nicht viel Netzwerkverkehr zum Zweigstellenserver, so dass Netzwerkverkabelung der Kategorie 3 mit einer Übertragungskapazität von 10 Megabit pro Sekunde (Mbps), zusammen mit Hubs gleicher Geschwindigkeit, angemessen erscheint. In der Hauptniederlassung werden hauptsächlich freigegebene Anwendungen mit freigegebenen Daten, z. B. Datenbanken und Buchhaltungssysteme, als Desktopanwendungen eingesetzt. Diese Anwendungen generieren erheblich mehr Netzwerkverkehr und erforde rn schnellere Netzwerkgeräte und -verkabelungen. Auf den Desktops im Unternehmen über Internetzugang und Multimedia zu verfügen, wird zunehmend wichtiger und trägt zu den Bandbreitenanforderungen bei. Für Ethernet-Netzwerke, in denen freigegebene Anwendungen ausgeführt werden, ist unter Umständen Verkabelung der Kategorie 5 mit einer Übertragungskapazität von 100 Mbps erforderlich. Werten Sie in Ihrem Labor die Bandbreitenanforderungen für eine spezifische Konfiguration aus. Wenn Ihre Organisation z. B. plant, Sprache und Video über das Datennetzwerk zu übertragen, müssen Verkabelung und Switches in der Lage sein, die Bandbreitenanforderungen dieser Dienste zu verarbeiten. Diagnosetools von Fremdanbietern und in Windows NT integrierte Diagnosetools können Sie z. B. dabei unterstützen, die Bandbreitenanforderungen zu ermitteln, die durch das Senden eines komprimierten Videosignals über die WAN-Verbindungen des Netzwerks entstehen. In Ihrem Labor können Sie jedoch mehrere mögliche Konfigurationen für Ausrüstung und Betriebsparameter testen, um die niedrigste Anforderung zu ermitteln. Ihr Einrichtungsplan wird von den Konfigurationsanforderungen für diejenigen Windows 2000-Funktionen beeinflusst werden, deren Einsatz Sie planen. Wenn z. B. ein DFS-Datenträger in einer Zweigstelle eine Replikation über eine langsame Verbindung zu einem alternativen DFS-Datenträger durchführt, gelangen Sie unter Umständen zu der Entscheidung, die Verbindung zu aktualisieren, um die Bandbreite zu verbessern, oder den alternativen Datenträger in der Zweigstelle zu platzieren, um den Netzwerkverkehr über die langsame Verbindung zu reduzieren. Für einige Funktionen von Windows 2000 ist eine besondere Konfiguration erforderlich. Dies gilt z. B., wenn Sie als Teil einer sicheren VPN-Verbindungeinen VPN-Server an einem Ende einer WAN-Verbindung platzieren. Sie müssen Konfigurationsgesichtspunkte in Ihre Planungen aufnehmen, z. B., wie Sie die Integration des VPN-Servers mit den Proxyservern planen. Betrachten Sie die vorhandene Infrastruktur Ihres Netzwerks und die Vorteile und Funktionen, z. B. sichere WAN-Verbindungen mit VPN, die Sie mit der Einrichtung von Windows 2000 erwarten. Weitere Informationen zur Konfiguration im Rahmen der Windows 2000Sicherheitsstrategie finden Sie unter „Bestimmen der Strategien für die Netzwerksicherheit von Windows 2000“ in dieser Dokumentation. Weitere Informationen zur Sicherheit finden Sie unter „Planen der verteilten Sicherheit“ in dieser Dokumentation.
Kapitel 6 Vorbereiten der Netzwerkinfrastruktur für Windows 2000
159
Überprüfen Sie, ob Ihre Netzwerkgeräte mit Windows 2000 kompatibel sind. Suchen Sie in der Hardwarekompatibilitätsliste nach Netzwerkkarten, Modems und bestimmten Arten von Hubs. So kann Windows 2000 z. B. die Berechnung von TCP-Prüfsummen Netzwerkadaptern übertragen, die diese Windows 2000Funktion unterstützen, und so die Netzwerkleistung verbessern. Weitere Informationen zu den genehmigten Systemen und Geräten in der HCL finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft Windows Hardware Compatibility List“ klicken. Windows 2000 unterstützt Asynchronous Transfer Mode (ATM) und bietet mit den LAN-Emulationsdiensten (LANE) einen zusätzlichen Migrationspfad von traditionellen Netzwerken mit gemeinsam genutzten Medien in ATM. Windows 2000 unterstützt darüber hinaus IP über ATM. Wenn Sie den Einsatz von Windows 2000 ATM planen oder derzeit Windows NT 4.0 ATM nutzen, vergewissern Sie sich, dass Ihr ATM-Händler aktualisierte Treiber für Windows 2000 liefert. Stellen Sie sicher, dass Ihre ATM-Adapter in der HCL aufgelistet sind.
Vorbereiten der Server Sie setzen Windows 2000 unter Umständen in einer Umgebung im gemischten Modus ein oder wechseln zum Abschluss in ein einheitliches Windows 2000Netzwerk. Ihre Planungen in „Entwerfen der Active Directory-Struktur“ und „Bestimmen der Strategien für die Domänenmigration“ weiter unten in diesem Buch werden z. B. hilfreich sein, wenn Sie Ihren IP -Adressierungsplan im Zusammenhang mit Ihrer Active Directory-Planung implementieren oder aktualisieren. Sie haben bereits die Infrastrukturserver ermittelt – die primären und die Reservedomänencontroller, DNS-, DHCP-, WINS- und weitere Server, die die Infrastruktur bilden. Überprüfen Sie, ob Ihre Hardwaretreiber für Windows 2000 verfügbar sind. Wenn die von Ihnen eingesetzten Treiber oder Ausrüstungskomponenten nicht in der HCL aufgeführt sind, setzen Sie sich mit dem Hersteller in Verbindung, um aktualisierte Treiber zu erhalten, oder testen Sie sie selbst, um ihre KompatibilitätmitWindows 2000 zu ermitteln. Vorhergehende Versionen von Windows NT und zahlreiche DNS-Server von Fremdanbietern können keine dynamische Synchronisation mit DHCP durchführen und daher die Verknüpfungen zwischen Namen und IP-Adressen nicht kontinuierlich aktualisieren. Ziehen Sie aus diesem Grund in Betracht, Ihre DNS-Dienste auf Windows 2000-kompatible DNS-Dienste zu aktualisieren. Windows 2000 DNS aktualisiert DNS-Datensatzfelder automatisch und verringert so den bisher erforderlichen Aufwand für die manuelle Aktualisierung. Berücksichtigen Sie bei der Aktualisierung des Netzwerks die Platzierung der DHCP-Server im Verhältnis zu Anzahl und Größe der geographischen Standorte im Netzwerk und zu Geschwindigkeit und Zuverlässigkeit der WAN-Verbindungen. DHCP-Verkehr zwischen Remotestandorten erfordert verbesserte Bandbreiten und erhöhte Zuverlässigkeit der Verbindungen zwischen den Standorten. Weitere Informationen zu diesem Thema finden Sie unter „Festlegen von Strategien für Netzwerkverbindungen“ in diesem Buch.
160
Teil II
Netzwerkinfrastruktur
Wenn Sie die Unterstützung von Clients planen, die IP-Adressen mit NetBIOSAnforderungen auflösen, müssen Sie weiterhin mit WINS arbeiten, um Computernamen in IP-Adressen aufzulösen. Im Allgemeinen verwenden Systeme mit MS-DOS®, Windows 3.2x und früheren Versionen, Windows 95, Windows 98 und Windows NT NetBIOS zur Auflösung von IP-Adressen. Dies ist nun ein guter Zeitpunkt, um mit der Entfernung von WINS aus dem Netzwerk zu beginnen. Windows 2000 DHCP bietet Multimediaunterstützung durch erweiterte Überwachung, ein Management-Snap-In und Unterstützung von Multicasting. Windows 2000 DHCP ist darüber hinaus zur Unterstützung von Active Directory dynamisch mit Windows 2000 DNS integriert. Ältere Versionen von DNS bieten diese Unterstützung nicht, und Sie sollten eine Aktualisierung in Betracht ziehen, wenn Sie den Einsatz von Active Directory planen oder mit Netzwerklastenausgleich die Belastung der DHCP-Server ausgleichen möchten. Für LAN-zu-LAN- und sichere VPN-Verbindungen und für den Remotezugriff ist die Installation von Windows 2000-Routing- und -RAS-Servern erforderlich. Routing und RAS sind in Windows 2000 integriert und unterstützen eine Vielzahl anderer Protokolle, z. B. IPX/SPX und AppleTalk. Wenn Sie Windows 2000 in einer gemischten Umgebung mit UNIX-Systemen einsetzen, achten Sie auf die BIND-Version, die sich auf Ihrem System befindet. Windows 2000 ist zwar mit früheren Versionen von BIND voll kompatibel, bietet aber mit den BIND-Versionen 4.9.4 und höher eine verbesserte DNSFunktionalität.
Vorbereiten der Domänencontroller Einige Unternehmen werden die inkrementelle Einrichtung von Windows 2000 in ihrer Produktionsumgebung planen, andere werden eine vollständige Migration in das neue System planen. Wenn Sie Windows 2000 auf wenigen Servern in Ihrer Organisation installieren, können Sie im Rahmen der Windows 2000-Domäne die vorhandene Windows NT 4.0-Domäne und die vorhandenen Vertrauensstellungen beibehalten und dem Unternehmen die Zeit geben, sich mit den Betriebsabläufen und Konzepten von Windows 2000 vertraut zu machen. Weitere Informationen zu Migrationsstrategien finden Sie unter „Bestimmen der Strategien für die Domänenmigration“in diesem Buch. Windows 2000 ist für den Einsatz in einem Windows NT 4.0-Netzwerk konzipiert. Windows NT 4.0-Arbeitsstationen können mit dem NTLM-Protokoll Netzwerkauthentifizierungsanforderungen an jeden Windows 2000Domänencontroller senden, der in einer Windows NT-Domäne als Domänencontroller fungiert. Vertrauensstellungen zwischen Windows 2000- und Windows NT 4.0-Domänen werden auf einfache Weise eingerichtet und unterstützen die Authentifizierung zwischen Domänen. Bei der Einrichtung von Windows 2000 ist es nicht notwendig, alle Windows NT 4.0-Domänengleichzeitig in Windows 2000 zu migrieren. Wenn Sie eine Domäne auf Windows 2000 aktualisieren, müssen Sie zuerst den primären Domänencontroller aktualisieren. Aktualisieren Sie dann die Reservedomänencontroller in dieser Domäne in dem von Ihnen gewünschten Zeitraum auf Windows 2000-Domänencontroller. Nehmen Sie anschließend die Domäne in die Active Directory-Struktur auf. Sie können Mitgliedsserver und Clientcomputer unabhängig von Ihrer Strategie für die Domänenaktualisierung aktualisieren, wenn
Kapitel 6 Vorbereiten der Netzwerkinfrastruktur für Windows 2000
161
aber kein Windows 2000-Domänencontroller installiert ist, haben diese Computer keinen Zugriff auf Active Directory oder andere erweiterte Funktionen. Stellen Sie für die Aktualisierung von Domänencontrollern, wie für die meisten Netzwerkoperationen, einen Plan auf, nach dem Sie Ihre Änderungen rückgängig machen, wenn Fehler auftreten. Einer der Tasks, die Sie zur Vorbereitung einer Aktualisierung von Domänencontrollern durchführen sollten, ist die Aktualisierung und Isolierung eines Reservedomänencontrollers, damit er im Notfall als Domänencontroller eingesetzt werden kann. Weitere Informationen zum Vorbereiten eines Domänencontrollers für Notfälle finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in diesem Buch. Wenn ein Windows 2000-Domänencontroller in einer Domäne mit Windows NTReservedomänencontrollern eingesetzt wird, sollte die Gesamtzahl der Objekte (Benutzer, Benutzergruppen und Computer) in dieser Domäne nicht die für Windows NT-Domänen empfohlene Obergrenze von 40.000 überschreiten.
Vorbereiten der Mitgliedsserver Ein Mitgliedsserver ist ein Server, der zu einer Windows NT- oder Windows 2000-Domäne gehört, aber nicht die Rolle des Domänencontrollers einnimmt. Mitgliedsserver nehmen u. a. folgende Rollen ein: ? Datei-, Anwendungs- und Druckserver ? Web-, Proxy- und RAS-Server ? Datenbankserver ? Zertifikatsserver
Durch Installation von Windows 2000 auf den Mitgliedsservern kann die Funktionalität in allen Mitgliedsserverrollen verbessert werden. Denken Sie bei der Bewertung der Hardwarekompatibilität eines Computers daran, seine Rolle nach der Aktualisierung zu berücksichtigen. Für Einschätzungen, welche Hardwarekomponenten für eine bestimmte Funktion erforderlich sind, gibt es keine festen Spezifikationen. Sie müssen den Computer in seiner Rolle testen (vorzugsweise im Testlabor, nicht im Produktionsnetzwerk), um zu ermitteln, ob er im Hinblick auf CPU-Geschwindigkeit, RAM und Festplattenplatz seiner Rolle gerecht wird und ob seine Leistung bei der Ausführung der Treiber, Anwendungen und Protokolle für seine vorgesehene Rolle ausreicht. Weitere Informationen zur Vorbereitung der Mitgliedsserver finden Sie unter „Aktualisieren und Installieren von Mitgliedsservern“ und „Automatisieren der Serverinstallation und der Aktualisierung “ in diesem Buch.
Vorbereiten der Sicherheitsinfrastruktur Microsoft Windows 2000 wurde mit dem Ziel konzipiert, sehr hohe Sicherheitsstufen bereitzustellen und der Administration gleichzeitig die Vorteile einer einfachen Implementierung und Verwaltung zu bieten. Neue Funktionen wie z. B. IPSec, Kerberos-Authentifizierung und öffentliche Schlüssel bieten eine höhere Sicherheit als vorhergehende Versionen von Windows NT.
162
Teil II
Netzwerkinfrastruktur
Da Windows 2000 für den Betrieb in einer vorhandenen Windows NT-Domänenstruktur entworfen wurde, können Sie Server, die auf Windows 2000 basieren, leicht in die vorhandene Netzwerksicherheitsstruktur einbinden. Wenn Sie aber das bestehende Windows NT-Netzwerk nach Windows 2000 migrieren oder es aktualisieren, wird Ihre Sicherheitsstrategie von den sicherheitsspezifischen Windows 2000-Funktionen beeinflusst, deren Einrichtung Sie planen. Setzen Sie z. B. derzeit Microsoft Proxy Server im Netzwerk ein, müssen Sie dieses Produkt für Windows 2000 aktualisieren und die entsprechende Clientsoftware installieren, um den Dienst nutzen zu können. Windows 2000 unterstützt die Infrastruktur für öffentliche Schlüssel (Public Key Infrastructure, PKI), eine Authentifizierungsmethode, für die Zertifikate, Zertifizierungsstellen und Software zur Verwaltung von Zertifikaten eingesetzt werden. Sie können die Authentifikation mit Zertifikaten zur Sicherung von E-Mail-Clients und der Kommunikation im Internet einsetzen (womit die Smartcardtechnologie unterstützt wird). Weiterhin kann sie über IPSec zur Sicherung der Kommunikation mit Clients eingesetzt werden, die nicht mit Kerberos arbeiten. Weitere Informationen zum Planen und Einrichten einer PKI finden Sie unter „Planen der Infrastruktur für öffentliche Schlüssel“ in diesem Buch. Wie Sie die PKI einrichten, wird im Einzelnen durch die von Ihnen eingesetzten spezifischen Zertifikatsdienste bestimmt – Sie können mit Microsoft Certificate Services oder Zertifikatsdiensten von Fremdanbietern arbeiten. Definieren Sie Ihre Anforderungen, Methoden und Strategien für Zertifikate. Wenn Sie die Implementierung einer PKI eines Fremdanbieters planen, stellen Sie sicher, dass sie mit Windows 2000 kompatibel ist. In diesem Fall bedeutet Kompatibilität die Unterstützung von Stammzertifizierungshierarchien, wie sie in Windows 2000 implementiert sind. Beachten Sie, dass die Windows 2000 PKI nicht die für Windows-Domänen vorhandenen Vertrauensstellungs- und Autorisierungsmechanismen, z. B. das Kerberos-Protokoll, ersetzt. Die PKI-Funktionen von Windows 2000 sind mit den Domänencontroller- und Kerberos-Authentifizierungsdiensten integriert. Sie können die PKI in Stufen implementieren, um je nach Ihren Prioritäten bestimmte Ziele, z. B. für E-Mail, oder die Authentifizierung in vorhandenen Systemen zu unterstützen. ? So implementieren Sie die PKI in Stufen 1. Installieren Sie für jede Windows 2000-Struktur in der Domänengesamtstruktur Stammzertifizierungsstellen in den übergeordneten Domänen. 2. Installieren Sie Zwischenzertifizierungsstellen in den Domänen der einzelnen Geschäftsbereiche. 3. Installieren und konfigurieren Sieausstellende Zertifizierungsstellen und Dienste in den Domänen für die einzelnen Benutzergruppen (je nach den Erfordernissen an den einzelnen Standorten).
Kapitel 6 Vorbereiten der Netzwerkinfrastruktur für Windows 2000
163
Vorbereiten der Clients Da Windows 2000 für Interoperabilität konzipiert wurde, können Clientcomputer, auf denen frühere Versionen von Windows ausgeführt werden, in einer Umgebung im gemischten Modus gemeinsam mit Windows 2000 eingesetzt werden. Durch die Aktualisierung der Clientcomputer auf Windows 2000 Professional erhalten Sie jedoch eine verbesserte Clientcomputer- und Benutzersicherheit, höhere Zuverlässigkeit und mehr Funktionalität. Nicht alle Versionen von Windows können auf Windows 2000 Professional aktualisiert werden. Die Aktualisierung ist möglich für folgende Versionen von Windows und Windows NT: Windows 95 Alle Versionen werden für die Aktualisierung unterstützt, einschließlich OSR2.x. Wenn aber die Clients Windows 95 von einem Server ausführen, müssen Sie es direkt auf den Computern installieren oder eine Neuinstallation von Windows 2000 Professional durchführen. Windows 98 Alle Versionen werden für die Aktualisierung unterstützt. Siehe „Überlegungen zur Aktualisierung auf Windows 2000 Professional“ weiter unten in diesem Kapitel. Windows NT Workstation 4.0 Alle Versionen werden für die Aktualisierung unterstützt. Siehe „Überlegungen zur Aktualisierung auf Windows 2000 Professional“ weiter unten in diesem Kapitel. Windows NT Workstation 3.51 Alle Versionen werden für die Aktualisierung unterstützt. Eine wichtige Anforderung für die Clientcomputer ist die Hardware- und Treiberkompatibilität mit Windows 2000.
Überlegungen zur Aktualisierung auf Windows 2000 Professional Bei einigen Anwendungen und Treibern, die mit dem vorhergehenden Betriebssystem eingesetzt werden konnten, werden bei der Ausführung in einer Windows 2000 Professional-Umgebung Probleme auftreten. In den folgenden Abschnitten werden die Schwierigkeiten beschrieben, die bei der Aktualisierung von Windows NT-, Windows 95- und Windows 98-Clients auftreten können. Anmerkung Windows 3.1 und frühere Versionen sind für die Aktualisierung nicht geeignet.
Aktualisieren von Windows NT-Clients Windows NT-Clients können im Allgemeinen leicht auf Windows 2000 Professional aktualisiert werden, wobei Folgendes zu berücksichtigen ist: ? Alle Anwendungen auf Clientebene, die auf Dateisystemfilter angewiesen sind,
z. B. Antivirenprogramme oder Software für Datenträgerkontingentierung, werden wegen der Änderungen im Dateisystemmodell von Windows 2000 nicht ordnungsgemäß ausgeführt.
164
Teil II
Netzwerkinfrastruktur ? Wenn auf den Clients Netzwerkprotokolle ausgeführt werden, für die im
Ordner I386\Winntupg auf der Betriebssystem-CD von Windows 2000 keine aktualisierte Version bereitgestellt wird, überdenken Sie die Verwendung dieser Protokolle oder besorgen Sie für die Aktualisierung neuere, mit Windows 2000 kompatibleVersionen. ? Wenn die Clients für die Energieverwaltung Tools von Fremdanbietern verwenden, ziehen Sie den Einsatz von Windows 2000 ACPI (Advanced Configuration and Power Interface) und APM (Advanced Power Management) in Betracht, um diese vorherigen Lösungen zu ersetzen. ? Entfernen Sie vor der Aktualisierung auf Windows 2000 Plug & Play-Treiber von Fremdanbietern.
Aktualisieren von Windows 95- und Windows 98-Clients Der Aktualisierungspfad für Windows 95- und Windows 98-Clients ist im Allgemeinen einfach. Wenn Sie die Aktualisierung dieser Clients in Betracht ziehen, vergessen Sie nicht folgende Vorsichtsmaßnahmen: ? Wie bereits erwähnt, werden alle Anwendungen auf Clientebene, die auf
frühere Dateisysteme angewiesen sind, nicht ordnungsgemäß ausgeführt. So können z. B. keine Dienstprogramme zur Datenträgerkomprimierung eingesetzt werden; das Gleiche gilt für Tools wie z. B. Defragmentierungsprogramme. Antivirusanwendungen müssen mit Windows 2000 kompatibel sein, damit sie ordnungsgemäß ausgeführt werden können. ? Anwendungen und Tools, die virtuelle Gerätetreiber (VxDs) und .386-Treiber einsetzen, werden nicht ordnungsgemäß ausgeführt. Bringen Sie bei den Herstellern dieser Anwendungen in Erfahrung, ob aktualisierte Treiber verfügbar sind. ? Auf vielen Clientcomputern sind Gerätetreiber von Fremdanbietern installiert. Mit diesen Treibern wird in manchen Fällen auch eine Anwendung in der Systemsteuerung installiert, die zusätzliche Funktionalität (z. B. Konfigurationssteuerung) bietet. Testen Sie diese Systemsteuerungsanwendungen in einer Windows 2000-Umgebung und erkundigen Sie sich beim Hersteller nach der Windows 2000-Kompatibilität. ? Auch für Windows 98- und Windows 95-Clients gelten die zuvor beschriebenen Vorsichtsmaßnahmen im Zusammenhang mit Netzwerkprotokollen sowie Energieverwaltungstools und Plug & Play-Treibern von Fremdanbietern.
Vorbereiten der Zusammenarbeit mit anderen Systemen Viele Organisationen arbeiten in einer heterogenen Umgebung mit verschiedenen Betriebssystemen. Windows 2000 Server bietet Gateway Services für andere Betriebssysteme, die Windows-Clients den Zugriff auf andere Betriebssysteme und Ressourcen ermöglichen. Wenn Sie z. B. Gateway Services für NetWare installieren, können Ihre Windows-Clients davon profitieren, sich in einem Windows 2000-Netzwerk zu befinden und gleichzeitig weiterhin in der Lage zu sein, sich in NDS-Hierarchien(Novell-Verzeichnisdienste) zu bewegen, Anmeldeskripts für Novell 4.x oder höher zu verwenden und sich bei einem Novell-Server zu authentifizieren.
Kapitel 6 Vorbereiten der Netzwerkinfrastruktur für Windows 2000
165
Taskliste für die Vorbereitung der Netzwerkinfrastruktur Tabelle 6.1 beschreibt die Tasks, die Sie durchführen müssen, um die vorhandene Netzwerkinfrastruktur für Windows 2000 vorzubereiten. Tabelle 6.1 Planungstaskliste für die Vorbereitung der Infrastruktur Task
Kapitelüberschrift
Ein Hardware- und Softwareinventar erstellen.
Hardware- und Softwareinventar
Bestätigen, dass die gesamte Hardware der HCL entspricht und für Ihre Einrichtungsplanung geeignet ist, und für jeden Computer einen spezifischen Plan für die Aktualisierung der Hardware aufstellen. Server- und Clientnetzwerkkonfigurationen dokumentieren. Infrastrukturserver dokumentieren.
Hardware- und Softwareinventar
Die Details der Netzwerkkonfiguration dokumentieren – die Dienste für die Namensauflösung, IP-Adressierung, Einzelheiten zu WAN-Verbindungen und physikalisches Layout. Ein physikalisches und logisches Netzwerkdiagrammerstellen. Die Konfiguration der Mitgliedsserver dokumentieren. Alle kritischen Anwendungen ermitteln und sie auf Windows 2000-Kompatibilität überprüfen. Die Domänenstruktur und das administrative Modell dokumentieren; hierzu gehören Vertrauensstellungen, Standorte primärer und Reservedomänencontroller und DNSNamespaces.
Netzwerkinfrastruktur
Details zur Netzwerksicherheit dokumentieren. Das Netzwerk stabilisieren.
Sicherheit Vorbereitende Schritte
Netzwerkprotokolle überprüfen. Die physikalische Infrastruktur vorbereiten. Netzwerkgeräte auf Windows 2000Kompatibilität überprüfen.
Vorbereitende Schritte Vorbereiten der physikalischen Infrastruktur Vorbereiten der physikalischen Infrastruktur
Infrastrukturserver vorbereiten. Domänencontroller aktualisieren.
Vorbereiten der Netzwerkinfrastruktur Vorbereiten der Domänencontroller
Netzwerkinfrastruktur
Netzwerkinfrastruktur Datei-, Druck- und Webserver Unternehmensanwendungen
Architektur der Domänendienste
166
Teil II
Netzwerkinfrastruktur
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
167
K A P I T E L
7
Festlegen von Strategien für Netzwerkverbindungen
Microsoft® Windows® 2000 Server verfügt über mehrere neue Funktionen, die Netzwerkadministratoren zur Erweiterung von neuen oder bereits bestehenden Netzwerkinfrastrukturen verwenden können. Dieses Kapitel enthält Informationen zu Netzwerkverbindungen, Zuordnungsadressen, TCP/IP und anderen Protokollen. Diese Informationen sollen Ihnen dabei helfen, die beste Strategie für die Netzwerkverbindung Ihrer Organisation festzulegen. Kenntnisse über Microsoft® Windows NT® und Netzwerke unter Windows NT sind hilfreich, um die Informationen dieses Kapitels optimal nutzen zu können. Sie sollten auch mit grundlegenden und fortgeschrittenen Netzwerkkonzepten, wie der TCP/IP-Adressierung, Routingprotokollen und RAS vertraut sein. Inhalt dieses Kapitels Netzwerkverbindung – Übersicht 168 Externe Verbindung innerhalb einer Organisation Windows 2000 TCP/IP 173 IP-Routinginfrastruktur 187 Windows 2000 DHCP 197 Windows 2000 ATM 201 QoS (Quality of Service) 205 Planungstaskliste für Netzwerkstrategien 206
171
Zielsetzungen Dieses Kapitel will bei der Entwicklung folgender Planungsdokumente Hilfestellung leisten: ? Einer Bewertung des aktuellen Netzwerks, seiner Protokolle und der
Routinginfrastruktur. ? Einer Netzwerkverbindungsstrategie. ? Einem Diagramm für einen physikalischen Netzwerkentwurf. ? Einem Netzwerkprotokoll und dem Entwurf einer Routinginfrastruktur. `
Weiterführende Informationen in der technischen Referenz ? Weitere Informationen zu Windows 2000 TCP/IP finden Sie in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke.
168
Teil II
Netzwerkinfrastruktur ? Weitere Informationen zu Windows 2000 Routing und RAS finden Sie in
Microsoft® Windows® 2000 Server – Die technische Referenz: Internetworking. ? Weitere Informationen zur Sicherheit innerhalb einer Windows 2000-
Infrastruktur finden Sie im Abschnitt „Bestimmen der Strategien für die Netzwerksicherheit von Windows 2000“ in diesem Buch.
Netzwerkverbindung – Übersicht Bei der Implementierung oder Aktualisierung Ihres Netzwerks auf Windows 2000 sind mehrere Punkte zu berücksichtigen. Falls ein Netzwerkdiagramm Ihres aktuellen Netzwerks vorhanden ist, ziehen Sie dieses Diagramm heran, um festzulegen, an welcher strategisch günstigen Stelle die neuen Funktionen von Windows 2000 implementiert werden sollen. Sie müssen z. B. Clients, Server, Switches und Router prüfen, um festzustellen, ob sie aktuell Dienste wie QoS (Quality of Service), ATM (Asynchronous Transfer Mode) oder Routingprotokolle verwenden. Prüfen und ändern Sie, falls nötig, auch die TCP/IP-Adressierungsschemas, um die neuen Optionen des Windows 2000-DHCP-Clientdienstes (Dynamic Host Configuration Protocol) nutzen zu können. Falls Sie dies nicht bereits getan haben, erstellen Sie physikalische und logische Diagramme, die die Anforderungen an Ihr Netzwerk veranschaulichen. Dies ist von elementarer Bedeutung, da die Diagramme einen Gesamtüberblick über die Infrastruktur geben, bevor irgendwelche konkreten Schritte zum Aufbau des Netzwerks unternommen werden. Darüber hinaus wird so die Zusammenarbeit von Entwicklern und Administratoren bei der Implementierung von Netzwerksystemen und Geräten ermöglicht. Die folgenden Abschnitte beschreiben, was Sie in das Diagramm aufnehmen können:
Standorte Zeigen Sie in einer grafischen Abbildung an, wo Standorte im Diagramm positioniert sind. Dies hilft Ihnen beim Festlegen von Methoden für die WAN- und Remotestandortverbindungen. Sie müssen die Standorte entsprechend geographischer und/oder administrativer Grenzen implementieren.
Remoteverbindungsmethoden Fügen Sie auch Medien für die Verbindung von Remotestandorten zu dem zentralen Standort in Ihr Diagramm ein. Dies können T1, E1, Frame Relay, ISDN oder das analoge Telefonwählnetz sein. Sie können das Diagramm auch dazu verwenden, die Routertypen anzuzeigen, die die Standorte mit dem WANBackbone verbinden. Diese Router können Windows 2000-Router oder Router eines beliebigen Fremdanbieters sein. Zeigen Sie die Verbindungsmethoden für Remotebenutzer zu den Standorten an, die Technologien wie direkten DFÜ-Zugriff oder ein VPN (Virtuelles privates Netzwerk) verwenden.
Interne LAN-Verbindung innerhalb von Standorten Erstellen Sie ein Diagramm der internen Netzwerke der Standorte, um die neuen Funktionen von Windows 2000 möglichst effektiv zu nutzen. Berücksichtigen Sie dabei folgende Informationen:
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
169
Netzwerkmedium Beziehen Sie die Infrastruktur, die Sie verwenden möchten, mit ein, wie z. B. eine 10- oder 100BaseT-Verbindung, ATM oder Gigabit-Ethernet. Wenn Sie ATM verwenden möchten, legen Sie fest, welche Abschnitte des Netzwerks direkt mit ATM verbunden werden sollen, indem Sie IP-über-ATM oder eine LAN-Emulation (LANE) verwenden. Routing- und Switchinginfrastruktur Legen Sie fest, wo Sie Router und Switches positionieren möchten. Dies ist wichtig, um die Bandbreite des Netzwerks zu erhalten und Engpässe zu minimieren. Vergewissern Sie sich auch, dass die Routing- und Switchinghardware, die Sie verwenden möchten, Technologien wie QoS unterstützt. Protokolle Wenn Sie TCP/IP verwenden möchten, verdeutlichen Sie das IP-Adressierungsschema für jedes Subnetz innerhalb des Standorts. Wenn Sie andere Protokolle wie IPX, AppleTalk oder NetBEUI (NetBIOS Enhanced User Interface) verwenden möchten, zeigen Sie auch diese an. Denken Sie auch an Routingprotokolle wie OSPF oder RIP, die Sie möglicherweise für die Verbindung Ihrer Netzwerke verwenden möchten. Weitere Informationen über die Verwendung von TCP/IP finden Sie in Microsoft® Windows® 2000 Server - Die technische Referenz: TCP/IP-Netzwerke. Siehe auch die Abschnitte „ IPUnicastrouting“, „IPX-Routing“ und „Services für Macintosh“ in Microsoft Windows 2000 Server – Die technische Referenz: Internetworking. DNS- und Active Directory-Struktur Entwerfen Sie die Struktur für die Dienste DNS- und Active Directory™ in Ihrem Netzwerk. Fügen Sie zu Ihrem Netzwerkdiagramm ein logisches Domänendiagramm hinzu, das die Domänen und Gesamtstrukturen in Ihrem Unternehmen anzeigt. Weitere Informationen über Active Directory finden Sie im Abschnitt „Entwerfen der Active Directory-Struktur“ in diesem Buch. Serverinfrastruktur Zeigen Sie die Platzierung von DNS-, DHCP- und WINS-Servern in Ihrem Diagramm. Remoteverbindungsmethoden Zeigen Sie in Ihrem Diagramm, wie Remoteclients und Remotenetzwerke mit dem Firmennetzwerk verbunden werden. Die folgenden Abschnitte erörtern den Entwurf eines Netzwerks, das die Funktionen von Windows 2000 Server am besten in Ihre Organisation einbindet und umreißen die Schritte zur Festlegung einer Netzwerkverbindungsstrategie. Abbildung 7.1 zeigt die ersten Schritte zur Festlegung Ihrer Netzwerkverbindungsstrategie.
170
Teil II
Netzwerkinfrastruktur
Abbildung 7.1 Vorgang bei der Festlegung von Netzwerkverbindungsstrategien
Der Entwurf eines Netzwerks für Windows 2000 besteht zuerst aus dem Bilden von vielen kleinen Netzwerkteilen, die dann zur Gesamtinfrastruktur zusammen gesetzt werden. Die folgenden Abschnitte beschreiben die unterschiedlichen Aspekte eines WAN-Netzwerks (Wide Area Network) und einige damit verbundene Vorgänge und Entwurfsüberlegungen. Die externen WAN-Aspekte eines Firmennetzwerks, wie DMZs (Demilitarized Zones), Standortimplementierung und RASVerbindung werden behandelt. Die internen Aspekte des Netzwerks, wie Protokolle, Sicherheit und Methoden der LAN-Verbindung werden ebenfalls geprüft.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
171
Externe Verbindung innerhalb einer Organisation Sie benötigen eine Verbindungsmethode, die Verbindungen von Standort-zuStandort und zu den Remoteclients zulässt, um Remotebenutzern Zugang zum zentralen Standort zu ermöglichen. Der zentrale Standort Ihrer Organisation benötigt ein Netzwerk, das diesen anderen Standorten und Remoteclients einen Zugriff auf die interne Netzwerkstruktur des zentralen Standorts erlaubt. Die folgenden Abschnitte beschreiben, was in eine externe Verbindungsstrategie aufzunehmen ist:
Entwerfen der DMZ (Demilitarized Zone) Ein wichtiger Teil eines großen Firmennetzwerks ist die DMZ. Dieser Abschnitt beschreibt, wofür eine DMZ verwendet wird. Spätere Abschnitte enthalten Beispiele dafür, wie eine DMZ eingesetzt wird. Eine DMZ (demilitarized Zone) ist ein Netzwerk, das die Einbeziehung des Internets in ein privates Netzwerk erlaubt, dabei jedoch immer die Sicherheit dieses Netzwerks gewährt. Die DMZ ermöglicht einem Unternehmen die Nutzung des Internets als kostensparendes Medium und erlaubt ihm zugleich, sich im Internet zu präsentieren. Die DMZ spart nicht nur durch die Verwendung der vorhandenen Infrastrukturen des Internet mit VPNs Geld. Sie erspart auch WAN-Verbindungskosten für das Mieten von Leitungen. Grundsätzlich ist eine DMZ ein Netzwerk, das sich zwischen einem privaten Netzwerk und dem Internet befindet. Die DMZ enthält Geräte wie Server, Router und Switches, die das interne Netzwerk vor einer Exponierung im Internet schützen. Die Server, die sich innerhalb einer DMZ befinden, bestehen gewöhnlich aus Proxyserver-Arrays, die das Netzwerk zum Erteilen eines Webzugangs für interne Benutzer verwendet, externen Internet-Informationsdiensten (IIS), die eine Organisation für ihre Präsentierung im Internet verwenden kann, sowie einigen VPN-Servern, die sichere Verbindungen für Remoteclients zur Verfügung stellen. Weitere Informationen zu VPNs finden Sie unter „VPN-Sicherheit“ und „VPNs mit L2TP-über-IPSec“ weiter unten in diesem Kapitel. In Abbildung 7.2 wird ein Beispiel einer DMZ gezeigt. Das Gerät an der Schwelle einer DMZ ist ein Router. Die optimale Geschwindigkeit einer Verbindung zum Internet für ein großes Unternehmen entspricht mindestens DS3, also 45 Megabit pro Sekunde (Mbps). Die Verbindung zwischen dem Router und den Servern in der DMZ kann jedes Hochgeschwindigkeits-LAN bilden, empfehlenswert ist jedoch ein Gigabit-Ethernet oder ATM, wenn Sie starken Internet-Datenverkehr erwarten. Sie können für ein kleines bis mittleres Netzwerk einen Windows 2000 Routingund RAS-Router an einer DMZ-Schnittstelle verwenden. An der Internetschnittstelle kann Paketfilterung aktiviert werden, als Schutz gegen ungewünschten Datenverkehr und zur allgemeinen Sicherheit.
172
Teil II
Netzwerkinfrastruktur
Standortverbindung für eine Organisation Viele große Unternehmen haben Büros, die auf unterschiedliche geographische Standorte verteilt sind. Diese Büros müssen mit dem Hauptsitz oder Zentralbüro verbunden werden und verbunden bleiben. Weltweit werden die unterschiedlichsten WAN-Verbindungsmedien verwendet. Tabelle 7.1 beschreibt die verschiedenen WAN-Technologien und ihre Einsatzmöglichkeiten. Tabelle 7.1 WAN-Technologien WAN-Technologie
Beschreibung
T1
Die Übertragung erfolgt mit einer Geschwindigkeit von 1,544 Mbps über 23 B-Kanäle für Daten und einen D-Kanal für die Taktrate. T1 kann auch in separate Segmente von 64 Kilo Bytes pro Sekunde (KBps) unterteilt werden. Wird vorwiegend in Europa verwendet. Die Übertragungsgeschwindigkeit beträgt 2,048 Mbps. Überträgt DS3-Daten bei 44,736 Mbps.
E1 T3 Frame Relay
Digital Subscriber Line (DSL – Digitaler Teilnehmeranschluss)
Paketweise geschaltete Technologie, die als Ersatz für das Protokoll X.25 gilt. Die Geschwindigkeiten sind in etwa die gleichen wie bei T1. DSL besteht aus einem asymmetrischen digitalen Teilnehmeranschluss (ADSL), einem digitalen Teilnehmeranschluss mit hoher Datenrate (HighData-Rate Digital Subscriber Line, HDSL), einem digitalen Teilnehmeranschluss über nur eine Leitung (Single-Line Digital Subscriber Line, SDSL) sowie einem digitalen Teilnehmeranschluss mit sehr hoher Datenrate (Very-High-Data-Rate Digital Subscriber Line,VDSL).
Für Verbindungen mit niedrigen Übertragungsraten oder zu Sicherungszwecken kann die Standortverbindung auch andere DFÜ-Medien verwenden, wie beispielsweise ISDN oder analoge Telefonleitungen. So kann eine Organisation beispielsweise über einen kleinen Standort verfügen, der normalerweise über eine segmentierte T1-Leitung angeschlossen ist. Falls jedoch der WAN-Provider ausfallen sollte, kann zu Sicherungszwecken auch die Telefonleitung verwendet werden. Normalerweise werden mehrere Standorte innerhalb einer Organisation durch Router verbunden. Windows 2000 Routing- und RAS-Dienste bietet Routingdienste, die es einer Organisation ermöglichen, kosteneffektiv Remotestandorte mit dem zentralen Unternehmensstandort zu verbinden. Über das Internet können Standorte mit Hilfe von VPNs verbunden werden - eine kostengünstige Alternative für Ihre Organisation. Wenn ein Standort nicht rund um die Uhr mit der Zentrale verbunden sein muss, kann eine Router-zu-Router-Verbindung für Wählen bei Bedarf eingerichtet werden. Dies spart WAN-Verbindungskosten.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
173
Remoteclientverbindungen Die Effektvität einer Organisation beruht unter anderem auf der Möglichkeit für ihre Benutzer, jederzeit auf die Unternehmensressourcen zuzugreifen, ob sie sich zu Hause oder auf Reisen befinden. Viele Unternehmen haben begonnen, vermehrt Telearbeit einzusetzen. Diese Strategie erspart den Mitarbeitern aufwendige Fahrten zum Arbeitsplatz, und ermöglicht gleichzeitig dem Unternehmen die kosteneffektive Verwaltung von Büroräumen bei steigenden Beschäftigtenzahlen. Ein weiterer Vorteil von Remoteclientverbindungen ist die Möglichkeit für Außendienst- und Service-Mitarbeiter, über eine Einwählverbindung auf Dateien und E-Mail zuzugreifen. In jedem Fall benötigen Benutzer auch außerhalb des Büros Zugangsmöglichkeiten zu ihren Mail- und Dateiservern, die sich innerhalb der Infrastruktur des Unternehmensnetzwerks befinden. Windows 2000 Routing und RAS ermöglicht diesen Zugang durch den Empfang eingehender Remote-Zugriffsverbindungen und ihre anschließende Weiterleitung an das angegebene Ziel. Die Routing- und RASDienste können auch für den Empfang eingehender VPN-Verbindungen verwendet werden und bieten somit eine sichere Übertragungsmethode für Daten über das Internet. Weitere Informationen zu VPNs finden Sie unter „VPN-Sicherheit“ und „VPNs mit L2TP-über-IPSec“ an späterer Stelle in diesem Kapitel. Der Zugang zu einer Unternehmensinfrastruktur über Remoteclients beschränkt sich nicht nur auf IP-Clients (Internet Procotcol). Über seine Multiprotokollfunktion ermöglicht Windows 2000 Routing und RAS den Remotezugriff auch für andere Clients, wie zum Beispiel Macintosh-, UNIX- oder NetWare-Clients. Auch die in Windows 2000 unterstützten VPN-Protokolle (PPTP und das Layer-2Tunneling-Protokoll, L2TP) unterstützen Multiprotokollverbindungen über das Internet.
Windows 2000 TCP/IP In modernen Organisationen erfordern Netzwerke heute ein leistungsfähiges Protokoll mit größtmöglicher Skalierbarkeit, das darüber hinaus zur Interoperabilität mit dem Internet fähig ist. Das TCP/IP-Protokoll ist eine Protokollsammlung nach Industriestandard und die Grundlage für große übergreifende Netzwerke, die LAN- und WAN-Netze umfassen. Es wird sowohl für Intranets als auch für das Internet rasch das führende Protokoll werden. Windows 2000 TCP/IP ist: ? Ein auf Industriestandards basierendes Netzwerkprotokoll. ? Ein routbares Netzwerkprotokoll, das die Verbindung von Windows-basierten
Servern und Clients mit LANs und WANs unterstützt. ? Ein skalierbares Protokoll zur Integration von Windows-basierten Servern und Arbeitsstationen in heterogene Systeme. ? Die Grundlage für den Zugang zu globalen Internetdiensten. Microsoft-TCP/IP bietet grundlegende und fortgeschrittene Funktionen, die es einem Computer unter Windows 2000 ermöglichen, Verbindungen zu anderen Betriebssystemen wie z. B. UNIX aufzubauen und Informationen mit diesen auszutauschen.
174
Teil II
Netzwerkinfrastruktur
Neue Funktionen in der Windows 2000-TCP/IP-Protokollfamilie Die neue Microsoft-TCP/IP-Protokollfamilie kann sich selbst anpassen, um unveränderte Zuverlässigkeit und Leistung zu gewährleisten. Die folgenden vier Abschnitte behandeln die neuen Funktionen in der TCP/IP-Protokollfamilie.
APIPA (Automatic Private IP Addressing) -Konfiguration Die Konfiguration der automatischen privaten IP-Adressvergabe (APIPA, Automatic Private IP Addressing) besteht in der automatischen Zuweisung einer eindeutigen Adresse im Bereich von 169.254.0.1 bis 169.254.255.254 mit einer Subnetzmaske von 255.255.0.0, wenn kein DHCP-Server vorhanden ist. APIPA wird bei einzelnen Subnetzen (Single Subnet Networks) wie beispielsweise SOHONetzwerken verwendet, die zu klein sind, um einen eigenen DHCP-Server zu rechtfertigen. Wenn Sie beispielsweise ein Büro zu Hause haben und den internen Windows 2000-Servern und -Clients IP-Adressen zuweisen möchten, ist lediglich die Verbindung der Systeme durch ein Netzwerkmedium erforderlich. Die einzelnen Windows 2000-Computer weisen sich dann selbst eine Adresse aus dem mit APIPA definierten Adressbereich zu.
Unterstützung großer Empfangsfenster Die Unterstützung großer Empfangsfenster erhöht die Datenmengen, die gleichzeitig pro Verbindung gepuffert werden können, reduziert den Netzwerkverkehr und beschleunigt die Datenübertragung. Anmerkung Die Unterstützung großer Empfangsfenster ist nicht standardmäßig aktiviert. Standardmäßig beträgt die Fenstergröße etwa 16 Kilobyte (KB); dies ist das Doppelte der Fenstergröße in Windows NT 4.0.
Selektive Bestätigung Selektive Bestätigungen ermöglichen es dem Empfänger, den Sender zu informieren, dass anstelle ganzer Datenblöcke nur die noch nicht empfangenen Daten erneut übertragen werden sollen. Dies bewirkt eine effizientere Auslastung der Netzwerkbandbreite.
Verbesserte Schätzung der Umlaufzeiten TCP verwendet die Umlaufzeit (Round Trip Time, RTT), um die Zeitverzögerung bei der Kommunikation zwischen Sender und Empfänger zu schätzen. Windows 2000 TCP liefert verbesserte Schätzwerte durch den Einsatz von Übertragungszeitgebern und bietet damit eine allgemein verbesserte TCP-Leistung. Diese Verbesserung in TCP ist vor allem in WANs von Vorteil, die große Distanzen überwinden müssen, oder nur langsame Verbindungen wie z. B. Satellitenkommunikation nutzen können.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
175
Planungsüberlegungen für Microsoft-TCP/IP Wenn Ihr Netzwerk nicht bereits TCP/IP verwendet, müssen Sie einen umfassenden IP-Adressierungsplan entwickeln. Bei der Planung der IP-Infrastruktur sind IP-Netzwerkkennungen und Subnetzmasken einzubeziehen. Mit Hilfe der Informationen in den folgenden Abschnitten können Sie einen funktionsfähigen Plan aufstellen.
IP-Adressklassen Welche Adressklasse verwendet werden soll, hängt davon ab, ob es sich um ein privates oder ein Netzwerk mit Internetanbindung handelt. Die Netzwerkadressierung wird auch durch die Größe der Infrastruktur bestimmt. Sie hängt direkt damit zusammen, welcher Adressbereich verwendet wird. Bei der Planung der IP-Adressen für Ihr Netzwerk sollten Sie Folgendes beachten: Inventar der physikalischen Subnetze und Hosts Zählen Sie die Subnetze und Hosts in Ihrem derzeitigen Netzwerk, und legen Sie anschließend fest, wie viele Sie in Ihrem neuen Netz benötigen werden, indem Sie den IP-Adressbereich in Subnetze unterteilen. Planen Sie hierbei mindestens fünf Jahre voraus, so dass Ihnen die IP-Adressen oder Subnetze nicht vorzeitig ausgehen. Wenn das Netzwerk direkt mit dem Internet verbunden ist, benötigen Sie einen IP-Adressbereich, der von Ihrem Internetdienstanbieter (ISP) zugewiesen wird. Weitere Informationen zur Unterteilung von IP-Adressbereichen in Subnetze finden Sie unter „Internetprotokollsicherheit“ in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke. Anmerkung Ein Netzwerk sollte nur wenige TCP/IP-Systeme besitzen, die direkt mit dem Internet verbunden sind, wie die DMZ. Je weniger Systeme vom Internet aus zugänglich sind, desto sicherer ist Ihr Netzwerk vor unbefugten Zugriffen. Private Netzwerke mit oder ohne Proxyverbindung zum Internet Sie können für private TCP/IP-Netzwerke, die nicht mit dem Internet oder durch einen Proxyserver mit dem Internet verbunden sind, jeden Bereich von gültigen IPAdressen der Klasse A, B oder C verwenden. Es wird jedoch empfohlen, private Adressen zu verwenden, um eine Neunummerierung Ihres Netzwerks zu verhindern, wenn Sie eine Verbindung mit dem Internet herstellen. Der private IPAdressraum ist in drei Arten von IP-Adressen definiert, die von der IANA (Internet Assigned Numbers Authority) reserviert wurden. Dies sind die reservierten IP-Bereiche: ? 10.0.0.1/8 bis 10.255.255.254/8 ? 172.16.0.1/12 bis 172.31.255.254/12 ? 192.168.0.1/16 bis 192.168.255.254/16
176
Teil II
Netzwerkinfrastruktur
Anmerkung Weitere Informationen über private Adressierung erhalten Sie in RFC 1918. Der hier gezeigte private Adressbereich verwendet eine NetzwerkPräfixnotation, auch bekannt als CIDR-Notation (Classless Interdomain Routing – klassenloses Interdomänen-Routing) zur Definition von Subnetzmasken.
Subnetzmasken und benutzerdefinierteTeilvernetzung Da öffentliche IP-Adressen knapp sind, können Sie zur Implementierung von IPSubnetzen benutzerdefinierte Subnetzmasken verwenden. Benutzerdefinierte Teilvernetzung ist entweder definiert als Teilvernetzung, CIDR (Classless Interdomain Routing) oder als VLSM (Variable Length Subnet Mask) Mit einer benutzerdefinierten IP-Teilvernetzung können Sie die Einschränkungen der Standardsubnetzmasken umgehen und Ihren IP-Adressbereich effektiver nutzen. Durch die benutzerdefinierte Anpassung der Länge der Subnetzmaske können Sie die Anzahl der Bits reduzieren, die für die aktuelle Hostkennung verwendet werden. In manchen Fällen können Sie Standardsubnetzmasken für Standardnetzwerke der Klassen A, B und C einsetzen. Standardsubnetzmasken sind durch Punkte getrennte Dezimalwerte, die die Netzwerkkennung von der Hostkennung einer IP-Adresse trennen. Wenn Sie z. B. für ein Netzwerksegment den IPAdressbereich der Klasse A von 10.0.0.0 an verwenden, lautet die Standardsubnetzmaske 255.0.0.0. Normalerweise eignen sich Standardsubnetzmasken für Netzwerke ohne besondere Anforderungen, bei denen jedes IP-Netzwerksegment einem einzelnen physikalischen Netzwerk entspricht. Anmerkung Vergewissern Sie sich, dass alle TCP/IP-Computer eines Netzwerksegments dieselbe Subnetzmaske verwenden, um Adressierungs- und Routingprobleme zu verhindern. Sie können Subnetzmasken mit Ihren IP-Adressen auch anzeigen, indem Sie eine Netzwerk-Präfixnotation verwenden. Diese Option gestattet Ihnen, eine verkürzte Version der Subnetzmaske anzuzeigen, während ihr Wert bestehen bleibt. Die Tabelle 7.2 beschreibt diesen Vorgang. Die unterstrichenen Bits in Tabelle 7.2 bilden das Netzwerkpräfix. Tabelle 7.2 Netzwerkpräfix und Länge der Subnetzmaske Adressklasse
Subnetzmaske(binär)]
Netzwerkpräfixmit entsprechendem Dezimalwert
Klasse A Klasse B
11111111 000000000000000000000000 11111111111111110000000000000000
/8 = 255.0.0.0 /16=255.255.0.0
Klasse C
111111111111111111111111 00000000
/24=255.255.255.0
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
177
TCP/IP und WINS (Windows Internet Name Service) WINS (Windows Internet Name Service) ist ein Dienst, der NetBIOS-Namen (Network Basic Input/Output System) IP-Adressen zuordnet. In Versionen von Windows vor Windows 2000 wurde WINS in Verbindung mit DHCP dazu verwendet, um NetBIOS-Namen und dynamisch zugewiesene IP-Adressen bei der WINS-Datenbank zu registrieren. In diesem Fall fragt ein DHCP-fähiger Host einen DHCP-Server nach einer IP-Adresse und der DHCP-Server weist dann dem DHCP-Client einen WINS-Server als DHCP-Option zu. Nach Abschluss des DHCP-Zuweisungsvorgangs werden der NetBIOS-Name und die zugehörige IPAdresse in der WINS-Datenbank durch den DHCP-Client registriert. Windows 2000 bietet die Integration von DNS und WINS. Wenn ein Windows 2000-DNS-Server einen vollqualifizierten Domänennamen (FQDN) nicht auflösen kann, wandelt es den FQDN in einen NetBIOS-Namen um und fragt einen konfigurierten WINS-Server ab. Die vom WINS-Server erhaltene IPAdresse wird an den DNS-Client weitergeleitet. In Windows 2000 ist WINS und NetBIOS über TCP/IP nicht erforderlich, wenn Sie nur Windows 2000-Server und -Clients verwenden. Wenn Sie jedoch Systeme wie Windows NT, Version 3.5x, Windows NT 4.0, Windows 95, Windows 98 oder Windows 3.x verwenden, ist WINS immer noch erforderlich, da diese Betriebssysteme NetBIOS-Namensauflösungen und NetBIOS-Sitzungen verwenden, um Datei- und Druckfreigabenverbindungen zu erstellen.
Überlegungen zum WINS-Entwurf Wenn NetBIOS-Namensauflösung erforderlich ist, müssen Sie zunächst die erforderliche Anzahl von WINS-Servern bestimmen. Beachten Sie dabei den Standort der Router auf Ihrem Netzwerk und die Verteilung der Clients in jedem Subnetz. In einem kleineren Netzwerk kann ein einzelner WINS-Server zuverlässig bis zu 10.000 Clients für NetBIOS-Namenauflösungsanforderungen bewältigen. In größeren Netzwerken sind je nach Anzahl von Clientverbindungen pro Server mehrere WINS-Server erforderlich.. Sie können den WINS-Server entweder auf demselben System wie den DNS-Server oder separat installieren. Sie müssen an einer anderen Stelle des Netzwerks auch einen WINS-Server für Sicherungszwecke installieren. Sie können diesen Sicherungs-WINS-Server entweder auf demselben System wie den Windows 2000-Domänencontroller oder separat installieren.
Routing und RAS Beim Routing werden Adressierungsdaten eines Netzwerkpakets verwendet, um den optimalen Pfad festzulegen, auf dem das Paket sein Ziel erreichen kann. Routing ist erforderlich, wenn sich der Quellhost und der Zielhost in verschiedenen logischen Netzwerken befinden. Routing ist ebenfalls in größeren Netzwerkinfrastrukturen erforderlich, da es unpraktisch ist, nur einen Adressensatz für ein ganzes Netzwerk zu verwenden. Denn wenn ein Netzwerk an Größe zunimmt, wächst gleichzeitig die Adressierungskomplexität. Zudem ist es nicht praktikabel, alle Systeme eines großen Netzwerks in demselben logischen Netzwerk zu platzieren. Dies erhöht den Netzwerkverkehr erheblich. Sie können ein TCP/IP-Netzwerk segmentieren, indem Sie den IP-Adressbereich in Subnetze aufteilen. Sobald die IP-Adressen aufgeteilt wurden, verwenden die neu gebildeten Subnetze Router, um die Daten von einem Subnetz zum anderen weiterzuleiten. Sie können Routing auch verwenden, um ungleiche Netzwerke wie Ethernet, ATM und Token Ring zu verbinden.
178
Teil II
Netzwerkinfrastruktur
Routingtabellen werden dazu verwendet, die Routen zwischen den Hosts unterschiedlicher Subnetze zu überwachen. Die Anzahl der Router innerhalb einer Infrastruktur und die Größe der Routingtabellen nehmen entsprechend der Größe eines Netzwerks zu. Wenn Administratoren diese Routen überwachen müssten, müssten sie permanent das Netzwerk nach Routern absuchen, die offline geschaltet sind oder nach zeitweise ausgefallenen Verbindungen, um diese Informationen dann manuell in die Routingtabellen einzutragen. Router verwenden Routingprotokolle nach Industriestandard, um die Routingtabellen den Netzwerkveränderungen entsprechend dynamisch zu aktualisieren. Windows 2000 Server versorgt Firmen mit LAN-zu-LAN-Routing und bietet eine Alternative zum Kauf spezieller Routerhardware, da Routing und RAS in Windows 2000 Server integriert ist. Dieser Service unterstützt die Fähigkeit TCP/IP-, IPX- (Internetwork Packet Exchange) und AppleTalk-Datenverkehr durch die Verwendung von integrierten Routingprotokollen dynamisch weiterzuleiten. Routing und RAS können auch Remoteoffice-Verbindungen bieten, indem sie WAN-Verbindungen unterstützen.
Neue Funktionen von Windows 2000 Routing und RAS Dieser Abschnitt stellt die neuen Funktionen von Windows 2000 Routing und RAS vor, die es Firmen und ihren angeschlossenen RAS-Clients durch die Nutzung des Internets als Datenpfad erlauben, Daten sicherer zu senden und zu empfangen. Clients innerhalb der Windows 2000-Netzwerkstruktur können die Vorzüge des Zugriffs auf Multicastdaten aus dem Internet nutzen. Tabelle 7.3 beschreibt die neuen Funktionen von Windows 2000 Routing und RAS. Tabelle 7.3 Neue Funktionen von Windows 2000 Routing und RAS. Funktion
Beschreibung
Windows 2000 Active Directory-Integration
Erlaubt das Durchsuchen und Verwalten von RASServern mit auf Active Directory basierenden Tools wie dem Verwaltungsprogramm „Routing und RAS“. Sorgfältige Überprüfung von Anmeldeinformationen und Generierung von Verschlüsselungsschlüsseln. Dieses Protokoll wurde speziell für die Authentifizierung von VPN-Verbindungen entwickelt, die das PPTPProtokoll verwenden.
Microsoft Challenge Handshake Authentication-Protokoll (CHAP), Version 2 Extensible AuthenticationProtokoll (EAP)
Erlaubt die Einbindung von Authentifizierungsmethoden von Fremdanbietern in die Implementation des Windows 2000-Point-to-PointProtokolls (PPP). Die interne Methode EAP/Transport Layer Security (TLS) unterstützt den Gebrauch von Smartcards zur Authentifizierung und der leistungsfähigen Generierung von Verschlüsselungsschlüsseln.
Bandwidth AllocationProtokoll
Erlaubt eine effektivere Multilink-PPP-Verbindung durch dynamisches Hinzufügen und Löschen von Verbindungen entsprechend den Änderungen im Verkehrsfluss. Dies ist nützlich für Netzwerke, deren Gebühren sich nach der beanspruchten Bandbreite richten. Das Gleiche gilt für ISDN-Leitungen und
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
179
ähnliche Kommunikationstechnologien. (Fortsetzung) Funktion
Beschreibung
RAS-Richtlinien
Geben Administratoren die Möglichkeit, Verbindungen anhand der Tageszeit, der Gruppenmitgliedschaft, der Verbindungsart und anderen Kriterien zu kontrollieren. Bietet Client-zu-Gateway und Gateway-zu-GatewayVPN-Verbindungen, gesichert durch IPSec (Internet Protocol Security).
Layer-2-TunnelingProtokoll(L2TP) IP-Multicastunterstützung
Netzwerkadressübersetzun g (NAT)
Gemeinsame Nutzung der Internetverbindung (ICS)
Unterstützt IGMP (Internet Group Membership Protocol), Version 2 und fungiert als ein MulticastWeiterleitungsrouter, der die Weiterleitung von IPMulitcast-Datenverkehr zwischen verbundenen Clients und demInternet oder einem Firmennetzwerk ermöglicht. Bietet ein kleines bis mittleres Netzwerk mit nur einer Schnittstelle, die eine Verbindung mit dem Internet herstellt und einen Übersetzungsdienst für IP-Adressen zwischen öffentlichen und privaten IP-Adressen bietet. Bietet darüberhinaus IP-Adresszuweisung und DNSProxynamensauflösung für interne Netzwerkclients. Bietet ein kleines Netzwerk mit einer leicht zu konfigurierenden, aber begrenzten Schnittstelle, die SOHOClients mit dem Internet verbindet. ICS bietet DNSNamensauflösung, automatische Adresszuweisung und einen einzigen IP-Adressbereich zur IPAdressverteilung.
RAS-Richtlinie In den Windows NT Versionen 3.5x und 4.0 basierte die RAS-Autorisierung auf der einfachen Option Dem Benutzer Einwählrechte erteilen im Benutzer-Manager oder dem RAS-Verwaltungsprogramm. Rückrufoptionen wurden ebenfalls auf Einzelbenutzerbasis konfiguriert. In Windows 2000 wird die Autorisation basierend auf den DFÜ-Eigenschaften eines Benutzerkontos und den RAS-Richtlinien erteilt. Bei den RAS-Richtlinien handelt es sich um eine Gruppe von Bedingungen und Verbindungseinstellungen, die Netzwerkadministratoren bei der Autorisierung von Verbindungsversuchen mehr Flexibilität gewähren. Windows 2000 Routing und RAS und der Windows 2000-Internetauthentifizierungsdienst (IAS) verwenden RAS-Richtlinien, um festzulegen, ob Verbindungsversuche angenommen oder zurückgewiesen werden. In beiden Fällen werden die RAS-Richtlinien lokal gespeichert. Die Richtlinie wird nun auf Einzelanrufbasis vorgeschrieben. Mit Hilfe von RAS-Richtlinien können Autorisierungen nach bestimmten Uhrzeiten oder Wochentagen, nach der Windows 2000-Gruppe, der der RAS-Benutzer angehört, nach Art der angeforderten Verbindung (DFÜ-Netzwerk- oder VPNVerbindung) usw. gewährt oder verweigert werden. Sie können die Einstellungen unterschiedlich konfigurieren und z. B. die maximale Sitzungslänge beschränken, Kriterien für die Authentifizierung und Verschlüsselung definieren, Richtlinien für das Bandwidth Allocation Protocol (BAP) festlegen und so weiter.
180
Teil II
Netzwerkinfrastruktur
In jedem Fall ist zu beachten, dass eine Verbindung bei der Verwendung von RASRichtlinien nur autorisiert ist, wenn die Verbindungseinstellungen mindestens eine der RAS-Richtlinien erfüllen (abhängig von den Bedingungen der DFÜEigenschaften des Benutzerkontos und den Profileigenschaften der RAS-Richtlinie). Wenn die Verbindungseinstellungen nicht mindestens eine der RAS-Richtlinien erfüllen, wird der Verbindungsversuch ungeachtet der DFÜ-Eigenschaften des Benutzerkontos verweigert.
Überlegungen zum RAS-Entwurf Die folgenden Überlegungen behandeln den Entwurf von RAS-Schemas. ? Ist ein DHCP-Server installiert, konfigurieren Sie den Routing- und RAS-Server
für die Verwendung von DHCP, um IP-Adressen für die RAS-Clients zu erhalten. ? Ist kein DHCP-Server installiert, konfigurieren Sie den Routing- und RAS-
Server mit einem statischen IP-Adresspool. Dieser ist ein Teil der Adressen des Subnetzes, an das der RAS-Server angeschlossen ist. ? Beim Konfigurieren von IPX sollte der RAS-Server so eingerichtet werden, dass er allen RAS-Clients automatisch dieselbe Netzwerkkennung zuweist.
VPN-Sicherheit Die Netzwerksicherheit spielt in den meisten Organisationen eine wichtige Rolle. Zwei Protokolle, die Windows 2000-Netzwerke verwenden, um sichere Verbindungen über das Internet zu gewährleisten, sind das Point-to-Point-TunnelingProtokoll (PPTP) und L2TP, das in Verbindung mit der Funktion Internet Protocol Security (IPSec) verwendet wird. Microsoft TCP/IP, PPTP und L2TP/IPSec bieten maximale Sicherheit und schützen die Pfade zwischen Hosts und Gateways.
Vorteile virtueller privater Netzwerke Die folgende Liste zeigt die Vorteile von VPN-Verbindungen gegenüber direkten DFÜ-Fernverbindungen. Reduzierter Kostenaufwand Zu den wichtigsten Anliegen einer Organisation gehört der Kostenaufwand – und Telefonkosten sind eine der größten Ausgabenpositionen eines Unternehmens. Die Verwendung des Internets als Verbindungsmedium anstelle von Telefonverbindungen reduziert die Telefonkosten erheblich und verringert darüber hinaus den erforderlichen Hardwareaufwand. So muss sich der Client z. B. lediglich beim lokalen ISP einwählen. Mit Hilfe von L2TP und IPSec können Benutzer dann sichere Verbindungen zu Windows 2000-VPN-Servern aufbauen, die mit dem Internet verbunden sind und auf denen Routing und RAS läuft. Reduzierter Verwaltungsaufwand Da die örtliche Telefongesellschaft die Leitungen für Ihre VPN-Verbindungen besitzt und wartet, ist der Verwaltungsaufwand für Ihre Netzwerkadministratoren geringer.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
181
Zusätzliche Sicherheit Windows 2000 verwendet standardisierte interoperable Authentifizierungs- und Verschlüsselungsprotokolle, welche die Daten vor der ungesicherten Internetumgebung verbergen, den Zugriff darauf für Benutzer des Unternehmens über ein VPN jedoch weiterhin ermöglichen. Wenn der VPN-Tunnel also mit Hilfe von IPSec verschlüsselt wird, sieht das Internet lediglich die externen IP-Adressen, während die internen Adressen geschützt sind. Daher ist es für Hacker außerordentlich schwierig, die durch einen VPN-Tunnel gesendeten Daten zu interpretieren.
VPNs mit PPTP (Point-to-Point Tunneling Protocol) PPTP ist eine hervorragende Lösung für die Anforderungen von Clients an das „Tunneln“. Verglichen mit L2TP/IPSec ist es relativ leicht einzurichten und bietet einen guten Sicherheitsschutz bei der Verwendung mit einer Kombination aus Benutzername und Kennwort. PPTP ist ein Protokoll nach Industriestandard, das zuerst in Windows NT 4.0 unterstützt wurde. Dieses Protokoll nutzt die Authentifizierung, Datenkompression und die Verschlüsselungstechnik von PPP. PPTP wird auch heute noch in zahlreichen Netzwerken eingesetzt. Da L2TP gemeinsam mit der IPSec-Verschlüsselung mehr Sicherheit bietet, werden diese beiden Funktionen in diesem Kapitel ausführlicher behandelt.
VPNs mit L2TP über IPSec VPNs mit L2TP über IPSec ermöglichen den Transport von Daten über das Internet unter Beibehaltung eines hohen Sicherheitsniveaus zum Schutz dieser Daten. Dieser Typ einer sicheren Verbindung eignet sich besonders für Clients in kleinen oder entfernten Büros, die Zugang zum Unternehmensnetzwerk benötigen. VPNs mit L2TP über IPSec können auch für Router an entfernten Standorten eingesetzt werden. Hierbei wird der lokale ISP verwendet und eine bei Bedarf herzustellende Verbindung zu dem Hauptsitz des Unternehmens aufgebaut. Bei der Planung von L2TP über IPSec-Verbindungen sollten Sie darauf achten, dass der VPN-Server am Zugangspunkt zum Internet oder in der DMZ des Netzwerks installiert wird. Der VPN-Server ist für die Durchsetzung von Zugriffsrichtlinien von Benutzern verantwortlich, die im Benutzerkonto des Windows 2000-Domänencontrollers, in den RAS-Richtlinien und den DFÜBenutzerprofilen auf dem VPN-Server oder im IAS definiert wurden. L2TP erzeugt die erforderlichen IPSec-Sicherheitsrichtlinien für einen sicheren Tunnelverkehr. Es ist nicht nötig, jedem Computer eigene IPSec-Richtlinien zuzuweisen oder diese auf ihnen zu aktivieren. Ist auf einem Computer bereits eine IPSec-Richtlinie aktiv, fügt L2TP zu dieser Richtlinie einfach eine Sicherheitsregel hinzu, um den L2TP-Tunnelverkehr zu sichern.
182
Teil II
Netzwerkinfrastruktur
Überlegungen zum Einsatz von L2TP Für eine L2TP über IPSec-Verbindung müssen Sie auf dem VPN-Client und dem VPN-Server Computerzertifikate installieren. Nachdem ein Client eine VPNVerbindung angefordert hat, wird der VPN-Zugang durch die Kombination der DFÜ-Eigenschaften im Benutzerkonto mit den RAS-Richtlinien gewährleistet. In Windows NT 4.0 musste der Administrator lediglich die Option Dem Benutzer Einwählrechte erteilen in den DFÜ-Eigenschaften im Benutzer-Manager oder Benutzer-Manager für Domänen auswählen, um den RAS-Zugriff zu ermöglichen. In Windows 2000 kann der Administrator den RAS-Zugriff auf das Unternehmensnetzwerk mit Hilfe von RAS-Richtlinien auf dem VPN-Server und in IAS gewähren oder verweigern. Dies ermöglicht eine bessere Einrichtung der Sicherheitseinstellungen. Bei der Verwendung von RAS-Richtlinien wird eine Verbindung nur zugelassen, wenn ihre Einstellungen mindestens eine der Richtlinien erfüllen. Ist dies nicht der Fall, wird die Verbindung abgelehnt. Für den Einsatz großer VPNs mit RAS-Zugriff können Sie den VerbindungsManager und das Verbindungs-Manager-Verwaltungskit verwenden, um eine benutzerdefinierte Wählhilfe mit vordefinierten VPN-Verbindungen zu allen RASClients in Ihrem Unternehmen einzurichten. Diese Programme erzeugen eine DFÜund VPN-Verbindung für Benutzer, die mit einem Mausklick aufgebaut werden kann, und verbinden damit zwei oder sogar drei Arbeitsschritte in einem einzigen.
L2TP-Beispiele Nachstehend finden Sie einige Beispielsituationen für die Verwendung von L2TP: Permanente Verbindung über Router-to-Router-VPN Ein Router-to-Router-VPN wird normalerweise verwendet, um entfernte Büros zu verbinden, wobei beide Router über eine permanente WAN-Verbindung wie z. B. T1, T3, Frame-Relay und Kabelmodem mit dem Internet verbunden sind. Bei diesem Konfigurationstyp müssen Sie an jedem Router nur eine einzige Schnittstelle für Wählen bei Bedarf konfigurieren. Permanente Verbindungen können nach dem Aufbau 24 Stunden am Tag bestehen bleiben. Abbildung 7.2 zeigt ein Routerto-Router-VPN.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
183
Abbildung 7.2 Router-to-Router-VPN
Router-to-Router-VPN bei Bedarf Ist es aufgrund des Standorts oder des Kostenaufwands nicht möglich oder praktikabel, eine permanente WAN-Verbindung einzurichten, können Sie eine Router-to-Router-VPN-Verbindung bei Bedarf konfigurieren. Hierzu müssen Sie den antwortenden Router permanent mit dem Internet verbinden. Der anrufende Router wird mit Hilfe einer DFÜ-Verbindung, z. B. über eine analoge Telefonoder ISDN-Leitung mit dem Internet verbunden. So müssen Sie beim antwortenden Router nur eine einzige Schnittstelle für Wählen bei Bedarf konfigurieren.
184
Teil II
Netzwerkinfrastruktur
VPN-Sicherheit mit IPSec IPSec muss auf dem VPN-Server eingesetzt werden, der sich in der DMZ des Unternehmens befindet. Der Entwurf in Abbildung 7.3 zeigt den VPN-Server in einer Kombination mit einem Multiprotokoll-RAS-Server. Diese Kombination hält den RAS-Teil des Netzwerks auf effektive Weise zusammen und vereinfacht somit Verwaltung und Sicherheit. Wenn sich ein Client im Unternehmensnetzwerk einwählt, das ein VPN mit IPSec einsetzt, bestimmt er selbst, welche Art von IPSecSicherheitsrichtlinie verwendet wird, sowie den RAS-Server, auf dem IPSec installiert ist. Dann richtet er automatisch den Tunnel ein, wie er vom Client definiert wurde.
Abbildung 7.3 Routing- und RAS-Clientverbindung über einen L2TP/IPSec-Tunnel
In diesem Beispiel verfügt der VPN-Server über drei Schnittstellen: eine in der DMZ, eine Schnittstelle mit Verbindung zu einem Router im internen Netzwerk und eine RAS-Schnittstelle. Die unsicherste Schnittstelle ist die Schnittstelle in der DMZ. Die DMZ ist ein Bereich, in dem, wie oben erläutert, das Internet auf das interne, private Netzwerk trifft, und der alle Server enthalten muss, die im Internet nach außen präsent sind. Die Windows 2000-Implementierung von IPSec basiert auf Industriestandards, die derzeit von der IPSec-Arbeitsgruppe der IETF entwickelt werden. Datenverschlüsselung ermöglicht es Firmen, das Internet als sichere, kostengünstige Lösung zur Übermittlung von Informationen von einem entfernten Standort oder Benutzer in die Infrastruktur des Unternehmens zu nutzen. Diese Strategie ist kostengünstig, da das bereits vorhandene Medium Internet verwendet wird. Für die Sicherheit sorgt IPSec. Im Internet stellt L2TP die Daten in einen Tunnel. IPSec bietet Sicherheit für den Tunnel, in dem die Daten geschützt sind. Was aber ist mit der ausgesetzten Schnittstelle? Sie können eine Schnittstelle zum Internet auf dem VPN-Server mit folgenden Mitteln vor Angreifern schützen:
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
185
? Beim erstmaligen Einrichten des VPN-Servers ist sicherzustellen, dass sich in
der Schnittstelle in der DMZ kein Routingprotokoll befindet. Die Schnittstelle muss stattdessen über eine Anzahl zusammengefasster statischer Routen in das private Unternehmensnetzwerk zeigen. ? Auf der Schnittstelle des privaten Netzwerks sollte ein Routingprotokoll aktiviert sein. ? Verwenden Sie Routing und RAS-Filter (keinen IPSec-Filter) an der Internetschnittstelle, um Ein- und Ausgabefilter für L2TP einzurichten, das den UDPPort (User Datagram Protocol) „Any“ und den Zielport 1701 verwendet. Richten Sie auch die Ein- und Ausgabefilter für Routing und RAS für das Internetschlüsselaustauschprotokoll (IKE-Protokoll) ein, das den UDP-Quellport „Any“ und den Zielport 500 verwendet. Damit wird Datenverkehr ausschließlich über L2TP-über-IPSec zugelassen. Konfigurieren Sie anschließend die Paketfilterung im RAS-Richtlinienprofil für Benutzergruppen und damit die Zulassung oder Verweigerung bestimmter Arten von IP-Datenverkehr. Die Handhabung für die Benutzer wird vereinfacht, wenn bei der Filterkonfiguration der Setup-Assistent für den Routing- und RAS-Server verwendet wird. Dann ist keine Konfiguration durch die Benutzer mehr erforderlich. Bei L2TP über IPSec-Verbindungen verwendet die IPSec-Sicherheitsaushandlung (IKE) eine auf Zertifikaten basierende Authentifizierungsmethode für die Computer selbst. L2TP führt die Benutzerauthentifizierung entweder unter Verwendung einer Kombination aus Domänen-/Benutzer-ID und Kennwort durch oder mit Hilfe einer Smartcard, eines Zertifikats oder einer Token-Card mit dem Extensible Authentication-Protokoll (EAP). Weitere Informationen über das Überschreiben dieser Standardeinstellungen und die Verwendung einer Authentifizierung mit vorinstallierten Schlüsseln finden Sie unter „Virtuelle Private Netzwerke“ in Microsoft Windows 2000 Server – Die technische Referenz: Internetworking. IPSec erfordert die Einrichtung der Vertrauensstellungen mit Hilfe von Zertifikaten, die für jeden Computer ausgestellt werden. Ein Verkaufsrepräsentant aus der Domäne domain.com führt regelmäßig Transaktionen mit reskit.com durch. Zur Entgegennahme der Bestellungen wählt sich der Verkaufsrepräsentant wöchentlich ein, um das Auftragsformular von der Abteilung für Betriebsmittel herunterzuladen. Um sicherzustellen, dass alle Transaktionen vor Mitbewerbern von domain.com gesichert sind, erfolgt die Einwahl bei reskit.com über einen ISP unter Verwendung eines VPN mit L2TP über IPSec. Sowohl der Remoteclient als auch der VPN-Server müssen ein Zertifikat besitzen und dem Zertifikat des jeweils anderen Computers vertrauen. Der Computer des Verkaufsrepräsentanten benötigt ein Computerzertifikat, um eine Vertrauensstellung mit dem VPN-Server von reskit.com auszuhandeln. Normalerweise wurde diesem Computer beim Anschluss an domain.com durch einen Windows 2000-Zertifikatserver ein Zertifikat ausgestellt. Der Computer erhielt eine Gruppenrichtlinieneinstellung mit Anweisungen für die Registrierung beim Zertifikatserver von domain.com, eine sogenannte Richtlinie für die automatische Zertifikatseinschreibung. Die Richtlinie für die Infrastruktur für öffentliche Schlüssel (PKI) für Zertifikate gibt darüber hinaus an, dass der Client dem Zertifikatserver, der dem VPN-Server das Zertifikat ausgestellt hat (vermutlich der Zertifikatserver von reskit.com), vertrauen kann. Der VPN-Server ist so konfiguriert, dass er dem Zertifikatserver von domain.com vertraut und akzeptiert daher das Zertifikat, das der Client vorweist.
186
Teil II
Netzwerkinfrastruktur
Nach erfolgter IPSec-Sicherheitszuordnung für L2TP wird die RAS-Richtlinie des Verkaufsrepräsentanten überprüft. Diese Eigenschaft ermöglicht dem Benutzerkonto in der Domäne den Remotezugriff. Benutzerzugriffe können detaillierter gesteuert werden, wenn der Internetauthentifizierungsdienst (IAS) verwendet wird, ein Server, der die Zugriffsrichtlinien über das RADIUS-Protokoll mitteilt. Sie können IPSec auch verwenden, um sicherzustellen, dass nur bestimmte Computer mit den entsprechenden Zertifikaten und Referenzen mit anderen Computern verbunden werden. Die Windows 2000-Benutzerkennungen und -gruppen, die in Zugriffssteuerungslisten (ACLs) definiert wurden, kontrollieren, wer Zugang zu bestimmten Freigaben besitzt. Anmerkung IPSec kann auch in einem Unternehmensnetzwerk verwendet werden, um Daten bei der Übertragung von Client zu Client oder von Client zu Server zu verschlüsseln. Weitere Informationen zu IPSec finden Sie unter „Internetprotokollsicherheit“ in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke.
Internetauthentifizierungsdienst (IAS) und zentralisierte Verwaltung In großen Unternehmensnetzwerken können Verwaltungsrichtlinien auf mehreren RAS-Servern sehr aufgabenintensiv sein. IAS unterstützt Netzwerkadministratoren bei der Verwaltung geographisch verteilter RAS-Server von einem zentralen Standort aus. IAS bietet folgende Funktionen: ZentraleBenutzerauthentifizierung IAS unterstützt die Fähigkeit zur zentralen Verwaltung von Benutzerrichtlinien durch die Authentifizierung von Benutzern, die in Windows NT 4.0- und Windows 2000-Domänen angemeldet sind. Hierzu unterstützt IAS eine Vielzahl unterschiedlicher Authentifizierungsprotokolle. Dazu gehören: ? Password Authentication-Protokoll (PAP) ? ChallengeHandshake-Protokoll (CHAP) ? Microsoft Challenge Handshake-Protokoll (MS-CHAP) ? Extensible Authentication-Protokoll (EAP)
Auslagern der RAS-Dienste Dies ermöglicht die Verwendung des Netzwerks eines lokalen ISP und erlaubt den Mitarbeitern die Verbindung mit dem Unternehmensnetzwerk durch einen VPNTunnel. IAS ermöglicht die Nachverfolgung sowohl von Telefonkosten als auch von Benutzern, die sich mit dem ISP verbinden. Sie zahlen dem ISP nur die tatsächlich genutzten Dienstleistungen. So kann der Kostenaufwand für die ganze Organisation reduziert werden.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
187
Zentrale Verwaltung von RAS-Servern IAS ermöglicht es Netzwerkadministratoren, die RAS-Richtlinien auf nur einem RAS-Server zu konfigurieren. Die übrigen RAS-Server fungieren dann als RADIUS-Clients und erhalten ihre Richtlinien vom IAS-Server. Skalierbarkeit Kleine und mittlere Netzwerke in großen Unternehmen und ISPs können ebenfalls IAS verwenden. Remote-Überwachung Mit Hilfe der Ereignisanzeige, des Netzwerkmonitors oder durch Installation von SNMP (Simple Network Management Protocol) können Netzwerkadministratoren die IAS-Server von einem beliebigen Standort im Netz aus überwachen. Import/Export der IAS-Konfiguration Netzwerkadministratoren können IAS-Konfigurationen auch über ein befehlszeilenorientiertes Programm importieren oder exportieren. Weitere Informationen zu IAS finden Sie unter „Internetauthentifizierungsdienst“ in Microsoft® Windows® 2000 Server – Die technische Referenz: Internetworking.
Mehrfachvernetzung Ein Computer, der mit mehreren IP-Adressen konfiguriert wurde, wird als mehrfach vernetztes System („multihomed system“) bezeichnet. Mehrfach vernetzte Systeme können, entsprechend den individuellen Anforderungen, auf unterschiedliche Arten genutzt werden. Mit mehrfach vernetzten DHCP-Servern können mehrere Subnetze versorgt werden. DNS kann ebenfalls von der Mehrfachvernetzung profitieren, da der DNS-Dienst auf einzelnen Schnittstellen individuell aktiviert und nur an bestimmte, festgelegte IP-Adressen gebunden werden kann. Standardmäßig erfolgt die Bindung mit DNS an allen auf dem Computer konfigurierten Schnittstellen. Mehrfachvernetzung wird auf unterschiedliche Arten unterstützt. ? Mehrere IP-Adressen für jeden Netzwerkadapter ? Mehrere Netzwerkadapter
IP-Routinginfrastruktur Damit Benutzer und Administratoren den vollen Funktionsumfang von Windows 2000 Server als Router nutzen können, müssen Sie die Netzwerkstruktur analysieren und entscheiden, welche Art von Routinginfrastruktur die Anforderungen Ihrer Organisation am besten erfüllt. Tabelle 7.4 beschreibt die verschiedenen Routingkonfigurationen und ihre Einsatzmöglichkeiten.
188
Teil II
Netzwerkinfrastruktur Tabelle 7.4 Routingkonfigurationen Routingkonfiguration
Beschreibung
Statisch geroutetes Netzwerk
Verwendet manuell hinzugefügte Routen zur Weiterleitung des Netzwerkverkehrs. VerwendetRIP-für-IP zur dynamischen Weiterleitung von Routinginformationen zwischen Routern. Verwendet das OSPF-Routingprotokoll zur dynamischen Weiterleitung von Routinginformationen zwischen Routern.
Routing Information-Protokoll (RIP) für IP-Netzwerke OSPF- (Open Shortest Path First)Netzwerk
Statisch geroutete Netzwerke Ein statisch geroutetes IP-Netzwerk verwendet keine Routingprotokolle wie z. B. RIP-für-IP oder OSPF für die Weiterleitung von Routinginformationen zwischen Routern. Alle Routinginformationen werden in einer Routingtabelle auf jedem Router gespeichert. Wenn Sie statisches Routing einsetzen möchten, sollten Sie sicherstellen, dass jeder Router die entsprechenden Routen in seiner Tabelle hat, so dass der Datenverkehr zwischen zwei beliebigen Endpunkten im IP-Netzwerk problemlos fließen kann. Mit Hilfe des zu Beginn des Kapitels beschriebenen Netzwerkdiagramms können Sie alle statischen Routen in einer Netzwerkinfrastruktur dokumentieren. Es bietet eine ideale Möglichkeit, die Routen für künftige Referenzen zu organisieren. Das Eintragen von statischen Routen in die Routingtabelle in einem Windows 2000Router kann über die Routing- und RAS-Verwaltungskonsole erfolgen. Weitere Informationen über das Hinzufügen statischer Routen finden Sie unter „ IP-Unicastrouting“ in Microsoft® Windows® 2000 Server - Die technische Referenz: Internetworking. Bevor Sie diesen Routingdienst nutzen können, müssen Sie ihn von der Verwaltungskonsole aus konfigurieren und aktivieren. Weitere Informationen über das Starten und Konfigurieren von Windows 2000 Routing und RAS finden Sie in der Onlinehilfe zu Windows 2000 Server. Weitere Informationen über das Installieren und Aktualisieren von Windows 2000-Mitgliedsservern finden Sie unter „Aktualisieren und Installieren von Mitgliedsservern“ in diesem Buch. Sie können statische Routen in kleinen Netzwerken implementieren, die nur einen geringen Administrationsaufwand erfordern und in der näheren Zukunft keine große Ausdehnung erwarten lassen, wie beispielsweise in kleinen Firmen mit weniger als zehn Netzwerksegmenten. Da dennoch Verwaltungsaufwand erforderlich ist, können sie auch als unpraktisch angesehen werden, besonders angesichts der Fähigkeit des Windows 2000-Routing- und RAS-Dienstes, mit Hilfe von OSPF oder RIP-für-IP dynamisch Routinginformationstabellen für kleine zu großen Netzwerken zu erstellen.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
189
Entwurf eines RIP-für-IP-Netzwerks RIP für IP ist ein Distanzvektor-Routingprotokoll, das Routinginformationen zwischen benachbarten Routern dynamisch austauscht, wobei es je nach Bedarf Routen hinzufügt oder entfernt. Die Anzahl der Abschnitte ist bei RIP auf 16 begrenzt. Alle Ziele, die 16 und mehr Abschnitte entfernt sind, werden als nicht erreichbar angesehen. RIP-Netzwerke eignen sich am besten für kleine bis mittelgroße Infrastrukturen wie mittlere Unternehmen oder Zweigstellen. Weiter ist bei der Implementierung von RIP-für-IP in einem Netzwerk Folgendes zu beachten: ? RIP-für-IP verwendet eine Abschnittszählung als Kriterium für die optimale
Route. Wenn ein Standort z. B. über eine T1-Verbindung und eine Satellitensicherungsverbindung verfügt, und die Kosten für beide Verbindungen identisch sind, steht RIP-für-IP die Wahl zwischen beiden Verbindungen frei. Um dieses Problem zu umgehen, können Sie die langsamere Verbindung (über Satellit) mit den doppelten Kosten konfigurieren. Dies zwingt den Router, die T1-Verbindung als primäre Verbindung auszuwählen. ? Darüber hinaus ist der Bandbreitenverbrauch zu berücksichtigen, da RIP-
Router alle 30 Sekunden ihre Listen erreichbarer Netzwerke ankündigen. Je nach der Größe des Netzwerks können diese Ankündigungen kostbare WANBandbreiten verbrauchen. Bei wachsender Netzwerkgröße steigt überdies die Gefahr möglicher Engpässe. Mit Hilfe autostatischer RIP-Aktualisierungen können Sie die durch das Routingprotokoll genutzte Bandbreite reduzieren. Der Windows 2000-Routing- und RAS-Dienst unterstützt die Versionen 1 und 2 von RIP-für-IP. Die Version 1 von RIP wurde für Klassenumgebungen entworfen und meldet nicht die Subnetzmaske für jede Route. Wenn sich in Ihrem Netzwerk Router befinden, die nur die Version 1 von RIP unterstützen und Sie klassenloses Interdomänen-Routing (CIDR - Classless Interdomain Routing) oder VLSM (Variable Length Subnet Mask) verwenden, aktualisieren Sie die Router für die Unterstützung der Version 2 von RIP oder überspringen Sie RIP ganz und setzen Sie OSPF ein. Sie können RIP-für-IP wie folgt implementieren: 1. Konsultieren Sie Ihr Netzwerkdiagramm und finden Sie heraus, wo die RIPRouter platziert werden sollen. Falls Sie kein aktuelles Diagramm besitzen, sollten Sie sich die Anfertigung eines Entwurfs vor Beginn überlegen. Denken Sie daran, die Router in ein Netzwerk mit großer Bandbreite zu stellen, um Engpässe auf ein Minimum zu reduzieren. 2. Legen Sie fest, welches IP-Adressschema verwendet werden soll. Schreiben Sie auf, welche Adressen für Router, welche für Server und welche für Clients verwendet werden sollen. Wenn Sie z. B. den privaten Adressbereich von 172.16 0.0/22 benutzen, können Sie dem in Tabelle 7.5 gezeigten Format folgen. Tabelle 7.5 IP-Adressschemas Router
Adresse
Schnittstelle auf Router1 des Netzwerks 172.16.4.0/22
172.16.4.1
Schnittstelle auf Router2 des Netzwerks 172.16.8.0/22 Domänencontroller auf Netzwerk 172.16.4.0/22
172.16.8.1 172.16.4.10
190
Teil II
Netzwerkinfrastruktur (Fortsetzung) Router
Adresse
DomänencontrollerimNetzwerk172.16.8.0/22 ClientimNetzwerk172.16.4.0/22 ClientimNetzwerk172.16.8.0/22
172.16.8.10 172.16.4.20 172.16.8.20
3. Legen Sie nun fest, welche RIP-Version an jeder Schnittstelle verwendet werden soll. Wenn Sie ein neues Netzwerk einrichten, ziehen Sie in Erwägung, nur die Version 2 von RIP zu verwenden, da diese Version CIDR und VLSM unterstützt. Bei einem bereits vorhandenen Netzwerk, das die Version 1 von RIP verwendet, ziehen Sie eine Aktualisierung auf Version 2 von RIP in Erwägung.
OSPF-Netzwerkentwurf RIP-für-IP bietet eine einfache Möglichkeit, ein Routingprotokoll in Ihre kleine bis mittlere Netzwerkumgebung zu integrieren. Bei der Implementierung eines größeren Netzwerks könnte RIP-für-IP jedoch nicht ausreichen. Ein anderes vom Windows 2000 Routing- und RAS-Dienst unterstütztes Routingprotokoll heißt OSPF (Open Shortest Path First). Ein OSPF-Netzwerk ist am besten geeignet für eine große Infrastruktur mit mehr als 50 Netzwerken. OSPF ist ein Verbindungsstatus-Routingprotokoll, das die Einträge von Routingtabellen durch den Aufbau einer Struktur des kürzesten Pfads kalkuliert. Es ist ein effizienteres Protokoll als RIP ohne das einschränkende Problem der Anzahl von 16 Abschnitten, wodurch Daten nach dem 16. Abschnitt gelöscht werden. Ein OSPF-Netzwerk kann einen akkumulierten Pfadkostenwert von 65.535 haben, wodurch Sie sehr große Netzwerke (innerhalb der maximalen Lebensdauer von 255) aufbauen und einen großen Kostenbereich zuordnen können. OSPF unterstützt außerdem dedizierte Punkt-zu-Punkt-Verbindungen, Broadcast-Netzwerke wie Ethernet und Non-Broadcast-Netzwerke wie Frame Relay. Ein Nachteil von OSPF liegt in der Konfiguration, die komplexer ist als bei anderen Routingprotokollen, wie etwa RIP. Sie können dieses Netzwerk hierarchisch strukturieren. Die folgenden Abschnitte beschreiben OSPF ausführlich.
Autonome Systeme Ein autonomes System (AS) ist eine Ansammlung von Netzwerken, die sich eine gemeinsame Administrierungsautorität teilen. Die Berücksichtigung folgender Richtlinien wird für den Entwurf eines OSPF-AS empfohlen: ? Unterteilen Sie das AS in OSPF-Bereiche.
Partitionieren Sie ein AS in Bereiche, so dass OSPF den Datenverkehr kontrollieren kann, um seine Fähigkeit, nur bereichsinternen Verkehr weiterzuleiten, optimal einzusetzen. Dabei wird die Kommunikation mit anderen Bereichen innerhalb des AS auf ein Minimum beschränkt. ? Bestimmen Sie den Backbone-Bereich als ein Netzwerk mit großer Bandbreite. Erstellen Sie ein Backbone, das hohe Kapazitäten verarbeiten kann, um Engpässe zwischen den Bereichen auf ein Minimum zu reduzieren.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
191
? Stellen Sie sicher, dass jeder Verkehr zwischen den Bereichen das Backbone
durchquert. Vermeiden Sie das Erstellen von virtuellen Verknüpfungen, die neue oder wechselnde Bereiche mit dem Backbone verbinden. Abbildung 7.4 zeigt ein AS.
Abbildung 7.4 Ein Autonomes System
OSPF-Bereichsentwurf OSPF-Bereiche sind Unterteilungen eines OSPF-AS, die eine Anzahl von benachbarten Subnetzen enthalten. Bereiche sind Administrierungsgrenzen, die Sie zur Trennung von Standorten, Domänen oder Gruppen verwenden können. Innerhalb dieser Bereiche befinden sich Netzwerke, die, wenn sie durch ein Backbone zusammengefügt werden, ein AS bilden. Konfigurieren Sie in einem internen Netzwerk diese Bereiche so, dass die Kommunikation zwischen den Bereichen auf ein Minimum reduziert wird. Dies kann auch DNS-Namensauflösungs- und Active Directory-Replikationsaktivität einschließen.
192
Teil II
Netzwerkinfrastruktur
Eine Möglichkeit für das Eintreten und Verlassen des Datenverkehrs in einen OSPF-Bereich bietet die Verwendung eines ABR (Area Border Router) genannten Routers. Dieser Router ist mit einem Backbone verbunden, das Bereich 0.0.0.0. genannt wird. Dieses Backbone verbindet dann die OSPF-Bereiche. ABRs haben in der Regel eine Schnittstelle in einem Backbone-Bereichsnetzwerk. Es gibt jedoch Situationen, in denen ein ABR physikalisch nicht mit einem BackboneNetzwerksegment verbunden werden kann. In diesem Fall können Sie die neuen OSPF-Bereiche durch eine virtuelle Verknüpfung mit dem Backbone verbinden. Obwohl diese Methode funktioniert, ist sie nicht zu empfehlen, da sie sehr kompliziert einzurichten und für Fehler anfällig ist. Abbildung 7.5 zeigt das Backbone, die Bereiche und eine virtuelle Verknüpfung.
Abbildung 7.5 Ein OSPF-Bereichsentwurf
Berücksichtigen Sie beim Entwerfen eines OSPF-Bereichs folgende Richtlinien: ? Das Zuweisen der IP-Adressen in fortlaufender Reihe erlaubt, dass sie zu-
sammengefasst werden können. Routezusammenfassung ist der Vorgang der Bereichsverschmelzung von IP-Adressen. Im Idealfall fasst der ABR für einen Bereich alle seine Netzwerk-IP-Adressen in eine zusammen. Dieses Verfahren verringert die Routinginformationen, reduziert die Arbeitsauslastung auf den ABRs und die Anzahl der OSPF-Routingtabelleneinträge. ? Erstellen Sie wann immer möglich Stubbereiche. Berücksichtigen Sie dabei Folgendes: ? Stubbereiche können so konfiguriert werden, dass alle externen Routen und Routen, die aus dem OSPF-AS nach außen gehen, in einer einzigen statischen Standardroute zusammengefasst werden. ? Routen, die sich außerhalb eines AS befinden (externe Routen), können von einem Stubbereich nicht erfasst werden, ebenso Routen, die andere Routingprotokolle verwenden. Dies bedeutet, dass Stubbereiche keine ASBRs (Autonome Systemgrenzrouter) verwenden können.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
193
? Vermeiden Sie die Erstellung von virtuellen Verknüpfungen. Virtuelle Ver-
knüpfungen werden eingesetzt, um neue Bereiche in einem AS mit dem Backbone zu verbinden. Virtuelle Verknüpfungen können u. a. Routingprobleme verursachen und schwer zu konfigurieren sein. Bemühen Sie sich immer, neue Bereiche in Ihrem AS direkt mit dem Backbone zu verbinden. Vergewissern Sie sich dessen bei der Planung, bevor Ihr AS implementiert ist.
IPX-Routingstruktur NetWare-Server und Windows 2000-Systeme eines Netzwerks werden durch die Verwendung von NWLink, Microsoft Client Service für NetWare und Gateway Service für NetWare interoperabel gemacht. Windows 2000 Server bietet Dienste, die zusammen mit Novell NetWare-Netzwerken und -Servern eingesetzt werden können und interoperabel sind. Das kompatible NWLink IPX/SPX/NetBIOS-Übertragungsprotokoll (NWLink) ist in Windows 2000 enthalten. Dieses Protokoll sorgt für die Konnektivität zwischen Windows 2000 und Novell NetWare-Systemen. Folgende Gründe sprechen für die Verwendung von IPX/SPX in einer gemischten Umgebung und die Aktivierung von IPX-Routing: ? Windows 2000-Router könnten für das Routen von Datenverkehr zwischen
NetWare-Clients und -Servern erforderlich sein. ? Windows 2000-Clients könnten Zugang zu Diensten auf NetWare-Servern
benötigen. Windows 2000 Routing unterstützt RIP-für-IPX, das in seiner Funktionalität sehr ähnlich dem RIP-für-IP und SAP- (Service Advertising Protocol) für-IPX ist, einem Protokoll, das Knoten wie Dateiservern und Druckservern die Möglichkeit gibt, ihre Dienstnamen und IPX-Adressen anzuzeigen. Server, die als Hosts Dienste zur Verfügung stellen, senden regelmäßig SAP-Broadcasts. IPX-Router und SAP-Server empfangen diese Broadcasts und leiten die Dienstinformation durch SAP-Ankündigungen weiter, die alle 60 Sekunden gesendet werden.
IPX-Netzwerkentwurf Die IPX-Netzwerkkennung ist eine 4-Byte-Kennung, die als achtstellige Hexadezimalzahl ausgedrückt wird. Diese Netzwerkkennung muss eindeutig sein, sonst können für NetWare-Clients Netzwerkverbindungsprobleme auftreten. Die 4-ByteIPX-Netzwerkkennung ist ein Adressraum, den Sie zur Gruppierung von IPXNetzwerken folgender Art verwenden können: Interne oder externe Netzwerke Interne Netzwerke sind virtuelle Netzwerke innerhalb von Novell NetWareServern, Windows 2000-Routern und anderen IPX-Routern, die auch als Hosts Dienste anbieten. Die Bestimmung eines internen Netzwerks gewährleistet ein korrektes Routing zu diesen Diensten. Netzwerke für verschiedene Ethernet-Rahmentypen Bei IPX-Umgebungen, die mehrere Ethernet-Rahmentypen unterstützen müssen, müssen Sie jeden Ethernet-Rahmentyp mit einer eigenen IPX-Netzwerkkennung konfigurieren.
194
Teil II
Netzwerkinfrastruktur
RAS-Netzwerke Wenn Sie einen Computer, auf dem Windows 2000 läuft, als RAS-Server verwenden, wird RAS-Clients eine IPX-Netzwerkkennung zugewiesen. Standardmäßig wählt der RAS-Server eine eindeutige IPX-Netzwerkkennung. Sie können eine IPX-Netzwerkkennung oder einen IPX-Netzwerkkennungsbereich festlegen, so dass der RAS-IPX-Datenverkehr durch seine Quell-IPX-Netzwerkadresse identifiziert wird. Abteilung oder geographischer Standort Sie können Teile des IPX-Adressraums geographischen Gegebenheiten (Gebäuden oder Standorten) oder Abteilungen (wie Vertrieb oder Forschung) zuweisen. So könnten z. B. in einer großen Universitätsumgebung alle IPX-Netzwerke in Gebäude 5 die 5 als erste Ziffer ihrer Adressen verwenden. Maximaldurchmesser Der Maximaldurchmesser von RIP- und SAP-für-IPX beträgt 16 Abschnitte, genau wie bei RIP-für-IP. Durchmesser ist ein Größenmaß für Netzwerke, das die Anzahl der Router anzeigt, die ein Paket durchqueren muss, um sein Ziel zu erreichen. Netzwerke und Dienste, die weiter als 16 Abschnitte entfernt sind, gelten als unerreichbar. Beschränken und Leiten von NetBIOS-über-IPX-Datenverkehr Sie können NetBIOS-über-IPX-Datenverkehr dadurch kontrollieren, dass Sie die Weiterleitung von NetBIOS-über-IPX-Broadcasts an spezifische Schnittstellen deaktivieren und statische NetBIOS-Namen konfigurieren. Wenn z. B. ein spezifisches IPX-Netzwerk keinen Knoten enthält, der NetBIOS über IPX verwendet, können Sie die NetBIOS-über-IPX-Broadcastweiterleitung an alle mit diesem Netzwerk verbundenen Routerschnittstellen deaktivieren. Verhindern der Weiterleitung von SAP-Broadcasts Das Protokoll SAP (Service Advertising Protocol) wird auf IPX-Netzwerken dazu verwendet, Netzwerkclients über verfügbare Netzwerkressourcen und Dienste zu informieren. Wenn es SAP-Broadcasts gibt, die nicht durch das gesamte Netzwerk weitergeleitet werden müssen, können Sie die SAP-Filterung verwenden, um die Ankündigung von IPX-Diensten außerhalb einer Gruppe von IPX-Netzwerken zu verhindern. Wenn Sie z. B. die Dateiserver in der Personalabteilung verbergen möchten, können Sie die Router, die mit dem Netzwerk der Personalabteilung verbunden sind, so konfigurieren, dass sie SAP-Broadcasts filtern, die den Dateiund Druckfreigabediensten der Dateiserver der Personalabteilung entsprechen. Ein weiterer Grund ist die Reduktion von Datenverkehr zu Subnetzen, die keine SAPDienste benötigen.
Apple Talk-Routingstruktur Der Netzwerkbetrieb auf der Macintosh-Plattform beruht auf der AppleTalkProtokollsammlung. Diese Protokolle beinhalten integrierte Routingfunktionen, die zur Einrichtung von Routern in einem AppleTalk-Netzwerk aktiviert werden können.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
195
Multicastunterstützung Mediendienste werden im Internet und auf privaten Netzwerken immer häufiger. Windows 2000 TCP/IP unterstützt die Weiterleitung des dabei entstehenden Multicastverkehrs. Windows 2000 Routing und RAS unterstützt IGMP (Internet Group Management Protocol) als Router. IGMP wird von Hosts für die Verbindung zu Multicastgruppen verwendet. Routing- und RAS-IGMP-fähige Schnittstellen können in einem der beiden folgenden Modi betrieben werden: ? IGMP-Proxymodus-Schnittstellen leiten IGMP-Berichte und Multicastverkehr
von anderen Schnittstellen weiter, die im IGMP-Routermodus betrieben werden. ? IGMP-Routermodus-Schnittstellen überwachen den IGMP-Datenverkehr der Hosts, aktualisieren entsprechend die TCP/IP-Multicast-Weiterleitungstabelle und senden IGMP-Abfragen. Der mit Windows 2000 Server ausgestattete IGMP-Proxy-Server wurde dafür entwickelt, Pakete mit IGMP-Mitgliedschaftsberichten von einem einzelnen Intranet zu einem multicastfähigen Teil des Internets weiterzugeben. Sie können den IGMP-Proxyrouter in der DMZ einer Firmeninfrastruktur positionieren, um für interne Netzwerkhosts Video- und Audio-Datenverkehr aus dem Internet bereitzustellen. Vergewissern Sie sich, dass der IGMP-Router sich auf einem Netzwerk mit großer Bandbreite und schnellen Switches befindet, um Engpässe auf ein Minimum zu reduzieren. Der VPN-Server in der DMZ kann auch als IGMP-Router verwendet werden. Dies funktioniert jedoch nur in kleineren Netzwerkstrukturen, in denen der Server nicht mit RAS- und Multicastverkehr überlastet wird. Wenn Sie die IGMP-Schnittstellen konfigurieren, befasst sich die Schnittstelle im Proxymodus mit dem multicastfähigen Internet und die Schittstelle im Routermodus mit dem internen Netzwerk. Abbildung 7.6 zeigt ein Beispiel.
Abbildung 7.6 IGMP-Schnittstelle im Proxymodus
Anmerkung Das Beispiel in Abbildung 7.6 funktioniert nur, wenn der Hardware-
196
Teil II
Netzwerkinfrastruktur
router, der den Windows 2000-IGMP-Router mit dem Internet verbindet, multicastfähig ist, und der ISP sich auf dem Multicast-Backbone befindet.
Netzwerkadressübersetzung Windows 2000 Netzwerkadressübersetzung (NAT) ermöglicht Computern in einem kleinen Netzwerk, beispielsweise in einem kleinen oder Heimbüro (SOHO), die gemeinsame Nutzung eines einzigen Internetanschlusses. Der Computer, auf dem NAT installiert ist, kann als Netzwerkadressübersetzer, vereinfachter DHCPServer, DNS-Proxy und WINS-Proxy fungieren. NAT ermöglicht Hostcomputern die gemeinsame Nutzung einer oder mehrerer öffentlich registrierter IP-Adressen und spart damit öffentlichen Adressraum. Es gibt zwei Arten von Verbindungen mit dem Internet: geroutete und übersetzte Verbindungen. Bei der Planung einer gerouteten Verbindung benötigen Sie einen Bereich von IP-Adressen von Ihrem ISP für die Verwendung im internen Teil des Netzwerks. Der ISP liefert Ihnen auch die IP-Adresse des DNS-Servers, den Sie verwenden werden. Sie können die IP-Adressenkonfiguration jedes SOHOComputers statisch konfigurieren oder einen DHCP-Server verwenden. Der Windows 2000-Router muss mit einem Netzwerkadapter für das interne Netzwerk konfiguriert werden (z. B. 10- oder 100BaseT Ethernet). Er muss darüber hinaus mit einer Internetverbindung wie beispielsweise einem analogen oder ISDNModem, xDSL-Modem, Kabelmodem oder einer segmentierten T1-Leitung konfiguriert werden. Die übersetzte Verbindung (NAT) bietet mehr Sicherheit für Ihr Netzwerk, da die Adressen des privaten Netzwerks vor dem Internet vollständig verborgen werden. Der gemeinsame Verbindungscomputer, auf dem NAT läuft, führt alle Übersetzungen von Internetadressen für Ihr privates Netzwerk und umgekehrt aus. Beachten Sie jedoch, dass der NAT-Computer nicht alle Nutzlasten übersetzen kann. Der Grund hierfür ist, dass manche Anwendungen die IP-Adressen in anderen Feldern verwenden als in den standardmäßigen TCP/IP-Vorspannfeldern. Folgende Protokolle arbeiten nicht mit NAT zusammen: ? Kerberos ? IPSec
Die DHCP-Zuordnungsfunktionalität in NAT ermöglicht allen DHCP-Clients im SOHO-Netzwerk, automatisch eine IP-Adresse, eine Subnetzmaske, ein StandardGateway und eine DNS-Serveradresse vom NAT-Computer zu erhalten. Wenn sich im Netzwerk auch einige nicht DHCP-fähige Computer befinden, sollten Sie deren IP-Adressen statisch konfigurieren. In einem SOHO-Netzwerk wird nur ein Windows 2000-Server benötigt. So bleibt der Ressourcenaufwand minimal. Abhängig davon, ob Sie eine übersetzte oder geroutete Verbindung verwenden, kann dieser Server für NAT, APIPA, Routing und RAS oder DHCP eingesetzt werden. Weitere Informationen zu NAT und der Konfiguration finden Sie in der Onlinehilfe zu Windows 2000 Server.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
197
Windows 2000 DHCP Jeder Computer in einem TCP/IP-Netzwerk benötigt einen eindeutigen Namen und eine IP-Adresse. Das Protokoll Windows 2000 DHCP (Dynamic Host Control Protocol) bietet eine Möglichkeit, diesen Vorgang zu vereinfachen und zu automatisieren: die IP-Adressen werden den Clients im Netzwerk dynamisch zugewiesen, ungeachtet dessen, wo sie sich befinden und wie oft sie verlegt werden. Dies reduziert den Verwaltungsaufwand für den Administrator erheblich.
Die Vorteile von DHCP DHCP erlaubt eine zuverlässige Zuweisung von IP-Adressen in einem Netzwerk und reduziert dabei die Notwendigkeit, jedem Host manuell Adressen zuzuweisen. Dadurch werden IP-Konflikte verhindert, die ein Netzwerk funktionsunfähig machen können. Mobile Benutzer profitieren stark von den Vorzügen von DHCP. Es erlaubt ihnen, sich beliebig innerhalb des Netzwerks zu bewegen und automatisch IP-Adressen zu empfangen, wenn sie die Verbindung zum Netzwerk wiederherstellen. Interoperabilität mit DNS-Servern bietet die Namensauflösung für Netzwerkressourcen. Dies ermöglicht DHCP-Servern und DHCP-Clients die Registrierung mit DNS.
Neue Funktionen von Windows 2000 DHCP Die neuen Funktionen von Windows 2000 DHCP ermöglichen eine flexiblere und erweiterungsfähige Form, einem Host IP-Adressen zuzuweisen. Diese neuen Funktionen werden in den folgenden Abschnitten beschrieben.
Erweiterte Serverberichte Der allgemeine Status von DHCP-Servern, -Bereichen und -Clients oder Mitgliedselementen („member items“) kann grafisch durch die Verwendung der im DHCPManager angezeigten Symbole überwacht werden. Weitere Informationen zu diesem Thema finden Sie in der Onlinehilfe zu DHCP-Manager.
Zusätzliche Bereichsunterstützung Eine Erweiterung des Windows 2000-DHCP-Protokollstandard unterstützt die Zuweisung von IP-Multicastadressen, die in derselben Weise verteilt werden wie Einzelsendungsadressen. In Multicast-DHCP sind Multicastbereiche in der gleichen Weise konfiguriert wie reguläre DHCP-Bereiche. Statt der Verwendung der Klasse A-, B-, oder C-Adressen, verwendet der Klasse D-Bereich jedoch einen Bereich von 224.0.0.0 bis 239.255.255.255. Typische Anwendungen für Multicast sind Video- und Audiokonferenzen, die von den Benutzern gewöhnlich die Konfigurierung spezieller Multicastadressen erfordern. Eine Multicastadresse ist, anders als IP-Broadcasts, die für alle Computer eines Netzwerks lesbar sein müssen, eine Gruppe von Computern, die eine Gruppenmitgliedschaft verwendet, um den Empfänger einer Nachricht zu ermitteln.
198
Teil II
Netzwerkinfrastruktur
Die Funktion zur Multicastadresszuweisung besteht aus zwei Teilen: dem Server, der Multicastadressen vergibt, und der Schnittstelle für Anwendungsprogrammierung (API) des Clients, die Multicastadressen anfordert, erneuert und freigibt. Wenn Sie diese Funktion zu verwenden möchten, müssen Sie über das DHCPSnap-In zunächst die Multicastbereiche und die entsprechenden Multicast-IPBereiche auf dem Server konfigurieren. Die Multicastadressen werden dann wie normale IP-Adressen verwaltet, und der Client kann die APIs anrufen, um eine Multicastadresse für einen Bereich anzufordern.
DHCP- und DNS-Integration DNS-Server bieten die Namensauflösung für Netzwerkressourcen an und sind eng mit DHCP-Diensten verbunden. In Windows 2000 können DHCP-Server und -Clients mit dem Windows 2000-Protokoll für die dynamische DNS-Aktualisierung registriert werden. Die Integration von DHCP und DNS ermöglicht die Registrierung beider Datensatztypen: A (Name-zu-Adresse) und PTR (Pointer) oder Adresse-zu-Name. Dies ermöglicht die Einrichtung des DHCP-Servers als Proxyserver für Windows 95- und Windows NT 4.0-Workstation-Clients zur dynamischen DNS-Aktualisierung im Active Directory.
Überlegungen zum Entwurf der DHCP- und DNS-Integration Wenn Sie DHCP und DNS gemeinsam in einem Netzwerk einsetzen, sollten Sie überlegen, ob Sie noch ältere, statische DNS-Server verwenden. Statische DNSServer können mit DHCP nicht dynamisch interagieren und synchronisieren auch weiterhin die Zuordnungsinformationen von Namen zu Adressen, wenn sich die Konfigurationen der DHCP-Clients ändern, wie etwa bei mobilen Benutzern, die innerhalb eines Intranets von Subnetz zu Subnetz wechseln. In dieser Situation ist es am besten, alle statischen DNS-Server auf DNS-Server unter Windows 2000 zu aktualisieren.
Erkennung von nicht autorisierten DHCP-Servern Der DHCP-Dienst für Windows 2000 soll verhindern, dass bei der Zuweisung von Adressen durch nicht autorisierte DHCP-Server Konflikte entstehen. Dies löst die Probleme, die entstehen würden, wenn Benutzer nicht autorisierte DHCP-Server erstellen, die anderen Clients im Netzwerk ungültige IP-Adressen zuweisen könnten. Ein Benutzer könnte beispielsweise in der Absicht, einen lokalen DHCPServer zu erzeugen, Adressen verwenden, die nicht eindeutig sind. Der lokale DHCP-Server wiederum könnte diese Adressen unbeabsichtigt an nicht befugte Clients weiterleiten, die von anderen Netzwerkstandorten aus Adressen anfordern. Die Verwaltungsfunktionen des DHCP-Servers für Windows 2000 verhindern den nicht autorisierten Einsatz von Servern und erkennen vorhandene, nicht autorisierte DHCP-Server. In der Vergangenheit konnten DHCP-Server in einem Netzwerk von jedem beliebigen Benutzer erzeugt werden, heute ist dazu eine Autorisierung erforderlich. Zu den autorisierten Personen gehören normalerweise der Administrator der Domäne, zu der die Windows 2000-Serverplattform gehört oder jemand, der für die Verwaltung der DHCP-Server verantwortlich ist.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
199
Dynamische Unterstützung für BOOTP-Clients DHCP-Server reagieren sowohl auf BOOTP- (Bootstrap protocol) als auch auf DHCP-Anforderungen. BOOTP ist ein bewährter TCP/IP-Standard [RFC 951] zur Hostkonfiguration, die DHCP vorausgeht. BOOTP wurde ursprünglich entworfen, um eine Startkonfiguration für laufwerkslose Arbeitsstationen zu ermöglichen. Diese Arbeitsstationen haben nur eine beschränkte Fähigkeit, IP-Adressen und andere konfigurierbare Daten, die während des Startvorgangs für die Verbindung zu einem TCP/IP-basierten Netzwerk benötigt werden, zu speichern und lokal abzurufen. Mit der neuen Unterstützung für dynamisches BOOTP kann ein Adresspool für BOOTP-Clients (Bootstrap Protocol) in der gleichen Weise festgelegt werden, in der ein Bereich für DHCP-Clients verwendet wird. Dies gestattet, IP-Adressen für die Verteilung an BOOTP-Clients dynamisch zu verwalten. Zudem kann der DHCP-Dienst im dynamischen BOOTP-Adresspool verwendete IP-Adressen zurückfordern, nachdem er zuerst sicherstellt, dass eine festgelegte Leasedauer verstrichen ist und jede Adresse immer noch durch den BOOTP-Client verwendet wird.
Schreibgeschützter Konsolenzugriff auf DHCP-Manager Diese Funktion bietet eine spezielle lokale Benutzergruppe, die DHCP-Benutzergruppe, die hinzugefügt wird, wenn Sie den DHCP-Dienst installieren. Indem Sie mit der DHCP-Managerkonsole Mitglieder zu dieser Gruppe hinzufügen, können Sie für Nichtadministratoren schreibgeschützten Zugriff auf Informationen zu DHCP-Diensten auf einem Servercomputer anbieten. Dies ermöglicht einem Benutzer, der Mitglied dieser lokalen Gruppe ist, Informationen und Eigenschaften, die auf einem festgelegten DHCP-Server gespeichert sind, anzusehen, nicht aber zu ändern. Diese Funktion ist nützlich für Helpdesks, wenn sie DHCP-Statusberichte herunterladen müssen. Lese/Schreibzugriff kann nur über die Mitgliedschaft in der DHCP-Administratorengruppe gewährt werden.
DHCP-Entwurf für Ihr Netzwerk Wenn Sie Ihr Netzwerk entwerfen oder aktualisieren, können Sie DHCP mit einer zentralisierten oder verteilten Methode implementieren. (Siehe Abbildungen 7.7 und 7.8.) In einer zentralisierten Umgebung werden IP-Adressen zentral an den DHCPServer verteilt. Dabei ist ein DHCP-Server verantwortlich für die Verteilung der Adressen an sein zugehöriges Subnetz oder seinen Standort. In einer verteilten Umgebung kann ein DHCP-Server für den Standort, in dem er sich befindet, und für jeden anderen lokalen oder entfernten Standort, der sich in einer gegebenen Firmenstruktur befindet, verantwortlich sein. Berücksichtigen Sie die in den folgenden Abschnitten erörterten Punkte, um effektiv zu planen, welches Adressverteilungsschema Sie verwenden möchten.
Größe der Netzwerkinfrastruktur Wie viele Standorte weist Ihre Domänenstruktur auf? Wenn Sie nur einen zentralen Standort und zwei Remotestandorte haben, ist die Implementierung eines verteilten DHCP ideal. Eine Domänenstruktur mit drei oder mehr Standorten erfordert eine zentralisierte DHCP-Struktur, in der die DHCP-Server den vorhandenen Standorten IP-Adressen zuweisen.
200
Teil II
Netzwerkinfrastruktur
Die Abbildungen 7.7 und 7.8 zeigen Beispiele für zentralisierte und verteilte DHCPUmgebungen. Eine verteilte Umgebung wird dazu verwendet, IP-Adressen an Remotestandorte zu verteilen. Eine zentralisierte Umgebung wird dazu verwendet, IPAdressen innerhalb eines Standorts zu verteilen. Da Windows Clustering mit allen clusteringfähigen Windows-Diensten arbeitet, können andere clusteringfähige Dienste auf demselben Server laufen, auf dem clusteringfähige DHCP-Dienste arbeiten. Abbildung 7.7 zeigt zwei Standorte: einen Haupt- oder Zentralstandort und einen Remotestandort. Beide Seiten verfügen über ein DHCP-Cluster, das an seinem jeweiligen Standort IP-Adressen vergibt. Es fließt kein DHCP -Verkehr über die WAN-Verbindung.
Abbildung 7.7 Zentralisierte DHCP-Umgebung
Abbildung 7.8 zeigt wiederum zwei Standorte, einen zentralen und einen Remotestandort. In dieser Umgebung ist jedoch der zentrale Standort für die Verteilung von IP-Adressen am eigenen und am Remotestandort verantwortlich. Beachten Sie, dass der Remotestandort einen Backup-DHCP-Clusterserver besitzt, der bei einem Ausfall der WAN-Verbindung oder anderen Problemen den DHCP-Verkehr übernimmt.
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
201
Abbildung 7.8 Verteilte DHCP-Umgebung
Weitere Informationen zu DHCP finden Sie in der Windows 2000-Hilfe und in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke.
Windows 2000 ATM Windows 2000 ATM bietet eine flexible, skalierbare Hochgeschwindigkeitslösung für die steigenden Anforderungen an die Qualität der Dienste in Netzwerken, die unterschiedliche Informationsarten, wie beispielsweise Daten, Sprache und Echtzeit-Video-Daten und Echtzeit-Audio-Daten unterstützen. Mit Hilfe von ATM können alle diese unterschiedlichen Daten über eine einzige Netzwerkverbindung übertragen werden. Windows 2000 ATM-Dienste ermöglichen die nahtlose Migration bestehender Netzwerk-Backbones zu ATM sowie die Anbindung an traditionelle LANs mit Hilfe von Windows 2000 LAN Emulation (LANE). Weitere Informationen über LANE finden Sie unter „Funktionen von Windows 2000 ATM“ an späterer Stelle in diesem Kapitel.
Die Vorteile von Windows 2000 ATM Windows 2000 ATM bietet folgende Vorteile: ? Kommunikation mit hoher Geschwindigkeit. ? Verbindungsorientierte Dienste, ähnlich der traditionellenTelefonie. ? Schnelles hardwarebasiertes Umschalten. ? Einzelner, universeller und interoperabler Netzwerktransport. ? Eine einzige Netzwerkverbindung, die zuverlässig Sprache, Video und Daten mischen kann. ? Flexible und effiziente Zuweisung der Netzwerkbandbreite. ? Unterstützung von QoS (Quality of Service), das es Administratoren ermöglicht, die Netzwerkbandbreite basierend auf verschiedenen Parametern zur Verfügung zu stellen. Zu diesen Parametern gehören u. a.: wer die Anforderung eingeleitet hat, der gesendete Datentyp (wie Videostreaming) oder das Datenziel. Weitere Informationen zu QoS finden Sie in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke.
Funktionen von Windows 2000 ATM Die neuen Funktionen von Windows 2000 lassen ein erweiterungsfähigeres, skalierbares Framework zu, in das verschiedene Netzwerkstrukturen wie ATM integriert werden können. Die folgenden Abschnitte beschreiben die neuen, in Windows 2000 ATM enthaltenen Funktionen.
ATM-UNI-Anruf-Manager Windows 2000 enthält einen Anruf-Manager, der Anrufe bei einem ATM-Netzwerk unterstützt und verwaltet. Er entspricht den Wählspezifikationen von ATM Forum UNI Version 3.1 und unterstützt die Erstellung von SVCs (Switched Virtual Circuits) und PVCs (Permanent Virtual Circuits).
202
Teil II
Netzwerkinfrastruktur
Aktualisierte NDIS- und ATM-Hardwareunterstützung NDIS Version 5 unterstützt ATM-Netzwerkadapter direkt. Dies erlaubt Herstellern von ATM-Adaptern, ihre Hardware mit Hilfe von ATM-Miniport-Gerätetreibern, die die Schnittstelle zu Windows 2000 bilden, effektiver zu verwenden. Die Treiber für die meisten Hersteller von ATM-Netzwerkadaptern sind nun in Windows 2000 enthalten.
ATM-LAN-Emulation ATM-LAN-Emulation (LANE)-Dienste werden benötigt, um Interoperabilität zwischen ATM- und traditionellen LAN-Umgebungen zu bieten. LANE erlaubt eine einfachere Migration und Integration mit traditionellen LAN-Netzwerktechnologien wie Ethernet oder Token Ring durch Emulieren dieser LANs auf ATM-Netzwerke. Windows 2000 unterstützt die ATM-LAN-Emulation und kann sich als ein LAN-Emulationsclient (LEC) an einem emulierten LAN (ELAN) beteiligen. Der Windows 2000-LAN-Emulationsclient kann die LAN-Emulationsdienste verwenden, die ATM-Hersteller mit ihren Netzwerkswitches liefern. Windows 2000 installiert den LAN-Emulationsclient standardmäßig, wenn es entdeckt, dass ein ATM-Netzwerkadapter installiert wurde. Der LEC versucht ebenfalls standardmäßig an einem unspezifizierten Standard-ELANteilzuhaben. Ihre LAN-Emulationsdienste müssen für dieses Standard-ELAN konfiguriert sein. Abbildung 7.9 zeigt ein LANE-Netzwerk.
Abbildung 7.9 LANE-Netzwerk
IP über ATM IP über ATM ermöglicht es TCP/IP, die Funktionen von ATM-Netzwerken direkt zu verwenden. Windows 2000 enthält IP über ATM-Unterstützung. Durch diese Unterstützung können Anwendungen, die für die Verwendung von TCP/IP geschrieben wurden, direkt auf ATM-Netzwerke zugreifen. Ebenso können Anwendungen, die für die Verwendung von Generic QoS (Quality of Service) unter Windows Sockets geschrieben wurden, direkt von den inhärenten QoSFähigkeiten eines ATM-Netzwerks profitieren. IP über ATM ist eine Gruppe von Diensten für die Kommunikation über ein ATMNetzwerk, die als Alternative zu einer ATM-LAN-Emulation verwendet werden
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
203
kann. IP über ATM wird von zwei Hauptkomponenten gesteuert: dem IP/ATMClient und dem IP/ATM-Server. Der IP/ATM-Server enthält einen ATM-ARPServer und einen MARS (Multicast Address Resolution Server). Die IP/ATMServerkomponenten können sich auf einem Windows 2000-Server oder einem ATM-Switch befinden. Der Hauptvorteil bei der Verwendung von IP über ATM ist, dass es schneller als LANE ist, da mit IP über ATM den Paketen auf ihrem Weg durch den Protokollstapel keine zusätzlichen Vorspanninformationen hinzugefügt werden. Sobald ein IP/ATM-Client eine Verbindung eingerichtet hat, können Daten ohne Änderung übertragen werden. Mit IP über ATM können Sie entweder eine statische IP-Adresse einsetzen oder das TCP/IP-Profil für die Verwendung eines DHCP-Server konfigurieren. Abbildung 7.10 zeigt ein IP-über-ATM-Netzwerk.
Abbildung 7.10 IP über ATM
MARS (Multicast and Address Resolution Service) Windows 2000 enthält MARS (Multicast and Address Resolution Service) um die Verwendung von IP über ATM zu unterstützen. Dieser Dienst unterstützt das IP/ATM-ARP und ermöglicht die effiziente Verwendung von Multicasting mit ATM-Netzwerken.
PPP über ATM Mit dem Auftreten von xDSL- (Digital Subscriber Line - DigitalerTeilnehmeranschluss) Technologien wurden Hochgeschwindigkeitszugriffe auf Netzwerke von Home- und Small-Office-Umgebungen weiter verbreitet. In diesen Bereichen gibt es verschiedene Standards, darunter die unsymmetrische digitale Teilnehmerleitung (ADSL) und universelle ADSL (UADSL oder DSL Lite). Diese Technologien operieren über die lokale Schleife (das letzte Stück Kupferdraht zwischen dem Telefonnetzwerk und dem Standort). In den meisten Gebieten der USA ist diese lokale Schleife mit einem ATM-Kernnetzwerk verbunden.
204
Teil II
Netzwerkinfrastruktur
ATM über dem xDSL-Dienst behält die Hochgeschwindigkeitsmerkmale bei und QoS garantiert die Verfügbarkeit auf Kernnetzwerkebene, ohne die Protokolle zu wechseln. Dies erzeugt das Potential für ein End-to-End-ATM-Netzwerk zur Wohnung oder einem kleinen Büro. Dieses Netzwerkmodell bietet verschiedene Vorteile, wie beispielsweise folgende: ? Protokolltransparenz ? Unterstützung für mehrere Klassen von QoS mit Garantien ? Skalierbarkeit der Bandbreite ? Mögliche Weiterentwicklung zu neueren DSL-Technologien
Das Hinzufügen von PPP (Point-to-Point-Protocol) über diese End-to-EndArchitektur erhöht noch den Nutzen und die Funktionalität. PPP bietet die folgenden, zusätzlichen Vorteile: ? Authentifizierung einer Verbindung auf Benutzerebene ? Adresszuweisung auf Schicht 3 ? Mehrere parallele Sitzungen zu unterschiedlichen Zielen ? Protokolltransparenz auf Schicht 3 ? Verschlüsselung und Komprimierung
Wenn jeder VC (Virtual Circuit) nur eine PPP-Sitzung weiterleitet, besitzt jedes Ziel seine eigene authentifizierte PPP-Sitzung. Dies bietet die Authentifizierung für jeden VC. So wird ein zusätzliches Maß an Sicherheit und eine garantierte Bandbreite gewährleistet, ähnlich wie bei einer dedizierten Leitung. Die Verwendung von Null Encapsulation over AAL5 (keine Einkapselung über Aal5, da PPP Protokollmultiplexing bietet) kann den Aufwand weiter reduzieren.
Überlegungen zum ATM-Entwurf ATM-Netzwerke bestehen aus drei charakteristischen Komponenten: Endpunktelemente (Benutzer), ATM-Switches und Schnittstellen. Berücksichtigen Sie die in den folgenden Abschnitten erörterten Richtlinien, wenn Sie ein ATM-Netzwerk entwerfen. Verwenden Sie das Standard-ELAN Windows 2000 ATM ist ursprünglich mit einem standardmäßig unspezifizierten ELAN-Namen konfiguriert. Wenn Sie nur eine kleine LAN-Emulation implementieren möchten, wird empfohlen, diese vorkonfigurierte, standardmäßig unspezifizierte ELAN zu verwenden. Wenn Sie ein größeres ATM-Netzwerk implementieren möchten, sind mehrfache ELANs besser zu verwalten und sicherer. Beim Einkauf eines ATM-Switches sollten Sie in der Produktspezifizierung prüfen, ob er mit einem ELAN vorkonfiguriert ist, das den standardmäßig unspezifizierten ELAN-Namen verwendet. Switches, die mit einem Standard-ELAN vorkonfiguriert sind, erlauben eine problemlosere Einrichtung in einer kleinen ATM-Umgebung. Verwenden von unterstützten ATM-Adaptern Bevor Sie einen ATM-Adapter für den Einsatz unter Windows 2000 kaufen, vergewissern Sie sich, dass er sich auf der Windows 2000-Hardwarekompatibilitäts-
Kapitel 7 Festlegen von Strategien für Netzwerkverbindungen
205
liste befindet. Weitere Informationen hierzu finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Hardware Compatibility List“ klicken. Notieren der Konfigurationen vorder Aktualisierung Bevor Sie Windows NT 4.0 zu Windows 2000 aktualisieren, notieren Sie die folgenden Konfigurationsinformationen für jeden der zur Aktualisierung anstehenden LAN-Emulationsclients: ? den ELAN-Namen ? den auf dem LAN emulierten Medientyp ? die ATM-Adressen für den LES (LAN Emulation Server) und BUS (Broadcast
and Unknown Server), die mit dem ELAN verbunden sind. Konfigurieren der ELANs Verwenden Sie, nachdem Sie diese Konfigurationsparameter notiert haben, die Konfigurationsschnittstelle Ihres ATM-Switches, um den LECS (LAN Emulation Configuration Service), den LES (LAN Emulation Service) und den BUS (Broadcast and Unknown Service) zu konfigurieren und die ELANs und ihre zugehörigen Parameter zu unterstützen. Installieren Sie dann Windows 2000 und konfigurieren Sie den ELAN-Namen für jeden LEC. Verwenden von nur einem ATM-ARP/MARS für jedes logische IP-Subnetz Wenn Ihr Netzwerk IP über ATM verwendet, wird empfohlen, dass Sie nur einen ATM-ARP/MARS für jedes logische IP-Subnetz auf Ihrem Netzwerk konfigurieren. Wenn Sie mehrere ARP-Server auf demselben Netzwerksegment haben, und Ihr ARP-Client mit den Adressen für diese Server konfiguriert wurde, könnte es sein, dass die ARP-Caches nicht mehr übereinstimmen. Dadurch können Teile des Netzwerks unerreichbar werden.
QoS (Quality of Service) Windows 2000 Quality of Service (QoS) ist eine Gruppe von Komponenten und Technologien, die es einem Netzwerkadministrator ermöglichen, End-to-EndNetzwerkressourcen zuzuweisen und zu verwalten. QoS ermöglicht konsistente Bandbreitenresultate für Netzwerkverkehr, wie Video-, Audio- und ERP-Anwendungen, die normalerweise eine große Netzwerkbandbreite beanspruchen. Mit QoS können Netzwerke ihren Datenverkehr effizient steuern, wodurch möglicherweise Gelder für neue Hardwareressourcen eingespart werden können. Die Verwaltung wird mit dem Zugangssteuerungsdienst, einer Verwaltungsschnittstelle von QoS, leichter, da es eine zentralisierte Verwaltung von QoS-Richtlinien zulässt. Diese Richtlinien, die Sie den Anforderungen von Benutzern, Programmen oder physikalischen Standorten entsprechend konfigurieren können, legen fest, wie Sie Bandbreitenprioritäten reservieren und zuweisen können. In der Vergangenheit wurde QoS in die Router- und Switchhardware integriert. Heute ist es als Teil von Windows 2000 verfügbar. Damit ist nun eine neue Steuerungsebene quer durch das ganze Unternehmen auf dem Desktop erreichbar. Windows 2000 QoS bietet Ihnen folgende Vorteile: ? ZentralisierteRichtlinien- und Subnetzkonfiguration durch die QoS-Zugangs-
steuerungsdienstverwaltung.
206
Teil II
Netzwerkinfrastruktur ? Die Verwendung von Unternehmens-, Subnetz- und Benutzerkennungen als
Kriterien für die Reservierung von Netzwerkressourcen und Festlegung von Richtlinien. ? Sicherstellung der Reservierung von Bandbreitenprioritäten, die für den Benutzer transparent ist und keine besondere Schulung erfordert. ? Ermöglicht es einem Netzwerkadministrator, dem Datenverkehr mit Prioriät Netzwerkressourcen zuzuweisen. ? Schutzvorkehrungen für End-to-End-Lieferdienste mit garantiert niedrigen Verzögerungen. ? Interoperabilität mit LAN-, WAN-, ATM-, Ethernet-, und Token Ring-
Konfigurationen. ? Unterstützung von Multicastübertragung von
Bandbreitenreservierungsmeldungen. ? Die Windows 2000-QoS-Zugangssteuerung vereinfacht die Verwaltung von Bandbreitenprioriäten bei niedrigen Betriebskosten. Die niedrigen Betriebskosten kommen in diesem Fall der Kostenersparnis gleich, die erzielt wird, wenn keine Netzwerkmedien ausgetauscht werden müssen, um höhere Bandbreiten zu erzielen. Weitere Informationen zu QoS finden Sie in der Windows 2000-Hilfe und in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke.
Planungstaskliste für Netzwerkstrategien Tabelle 7.6 beschreibt die Aufgaben, die bei der Planung von Netzwerkverbindungsstrategien durchzuführen sind. Tabelle 7.6
Planungstaskliste für Netzwerkstrategien
Aufgabe
Kapitelabschnitt
Untersuchen Sie die Verbindungsstruktur Ihres aktuellen Netzwerkdiagramms. Liegt noch kein Diagramm vor, entwerfen Sie eines. Untersuchen Sie die TCP/IP-Struktur.
Netzwerkverbindung - eine Übersicht
Legen Sie die Verbindungsmethoden für Internet und Routing und RAS fest.
Routing und RAS
Bestimmen Sie die Anforderungen an WINS.
TCP/IP und WINS (Windows Internet Name Service)
Prüfen Sie die Überlegungen zu Routing und RAS. Prüfen Sie die Überlegungen zur Datensicherheit.
Routing und RAS
Windows 2000TCP/IP
Untersuchen Sie die IP-Routingstruktur.
VPN-Sicherheit und VPNs mit L2TP-über-IPSec IP-Routinginfrastruktur
Bestimmen Sie die Multicastanforderungen. Legen Sie die DHCP-Anforderungen fest.
Multicastunterstützung Windows 2000DHCP
Prüfen Sie alle QoS-relevanten Aspekte.
QoS (Quality of Service)
207
K A P I T E L
8
Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur Netzwerkadministratoren können Microsoft ® Systems Management Server (SMS) verwenden, um eine Vielzahl von Microsoft ® Windows® 2000-Einrichtungstasks auszuführen, u. a. die Erfassung von Planungsdetails, die Vorbereitung der Computer, das Einrichten von Windows 2000 und die Überwachung des Einrichtungsvorgangs. Dieses Kapitel konzentriert sich auf die SMS-Funktionen, die Sie für die Analyse Ihrer Netzwerkstruktur verwenden können. Das Ergebnis dieser Analyse hilft Ihnen beim Festlegen der Änderungen der Netzwerkstruktur, die Sie für die Vorbereitung des Einsatzes von Windows 2000 durchführen müssen. Durch die Verwendung von SMS können Sie die Einrichtung auf Unternehmensebene kostensparend durchführen. Für das Verständnis der in diesem Kapitel vorgestellten Konzepte und Vorgänge benötigen Sie keine weiteren Erfahrungen mit SMS. Das Kapitel enthält jedoch keine Verfahren für den Einsatz und die Verwendung von SMS. Ziehen Sie für diese Details die SMS-Dokumentation heran. Für einen gut geplanten, richtigen Einsatz und Gebrauch von SMS benötigen Sie geschulte Mitarbeiter. Weitere Informationen über Ressourcen, die Ihnen Kenntnisse über SMS vermitteln können, finden Sie im Abschnitt „Zusätzliche Ressourcen“ am Ende dieses Kapitels. Inhalt dieses Kapitels Analysieren der Netzwerkinfrastruktur 208 Erfassen von Inventar 212 Verwenden des Inventars für die Vorbereitung der Netzwerkinfrastruktur Überwachen des Netzwerks 222 Sicherstellen der Anwendungskompatibilität 224 Planungstaskliste zur Netzwerkanalyse 225 Zusätzliche Ressourcen 225
216
Zielsetzungen Dieses Kapitel unterstützt Sie bei der Entwicklung folgender Planungsdokumente: ? Analyse der Netzwerkinfrastruktur mit Hilfe von SMS ? detaillierte Berichte über die vorhandene Netzwerkinfrastruktur, einschießlich
der verwendeten Hard- und Software
208
Teil II
Netzwerkinfrastruktur
Weiterführende Informationen in der technischen Referenz ? Weitere Informationen über den Einsatz von Windows 2000 mit SMS finden Sie im Kapitel „Verwenden von Systems Management Server zum Einrichten von Windows 2000“ in diesem Buch. ? Weitere Informationen über das Prüfen der Windows 2000-Kompatibilität von
Anwendungen finden Sie im Kapitel “Testen der Anwendungskompatibilität mit Windows 2000” in diesem Buch.
Analysieren der Netzwerkinfrastruktur Ein kritischer Schritt bei der Einrichtung von Windows 2000 ist die Vorbereitung Ihrer Netzwerkinfrastruktur. Um Ihr Netzwerk für den Einsatz vorzubereiten, müssen Sie eine Reihe von Tasks durchführen. Sie beginnen mit einer Analyse des aktuellen Zustands Ihrer Netzwerkinfrastruktur. Die ersten Tasks, die Sie zur Analyse und Vorbereitung Ihres Netzwerks für die Einrichtung von Windows 2000 durchführen müssen, umfassen folgende Schritte: ? Identifizieren von Computern, die über keine ausreichende oder kompatible
Hardware verfügen. ? Aktualisieren der Hardware. ? Identifizieren von Computern, deren Software nicht kompatibel ist oder mit
Windows 2000 nicht fehlerfrei zusammenarbeitet. ? Identifizieren der am häufigsten verwendeten Anwendungen, so dass alle wichtigen Anwendungen einer Kompatibilitätsprüfung unterzogen werden können. ? Analysieren der Netzwerkauslastung, um die verfügbare Kapazität des Netzwerks, die verwendeten Protokolle und die Verwendung von Computern als Server festzustellen. ? Aktualisieren nicht kompatibler Anwendungen. ? Sicherstellen, dass nicht kompatible Anwendungen nicht verwendet werden.
Systems Management Server (SMS) liefert Ihnen die Tools, die Sie zu einer effizienten Durchführung dieser Tasks in einer Unternehmensumgebung benötigen.
Verwenden von SMS (Systems Management Server) SMS ist ein extrem skalierbares System, das Sie für eine Vielzahl von Tasks für die Computeradministration verwenden können. Beim Einrichten von Windows 2000 können Sie durch die Verwendung von SMS die Leistung vieler, sich wiederholender Tasks erhöhen. Abbildung 8.1 zeigt die Tasks zur Einsatzplanung der Netzwerkanalyse und -vorbereitung. Anmerkung In diesem Kapitel wird die Netzwerkinfrastruktur definiert, um alle SMS-kompatiblen Computer Ihres Netzwerks zu berücksichtigen. Hierzu gehören Computer, auf denen Windows 2000, Windows NT Server, Windows NT Workstation, Windows 95, Windows 98, Windows 3.1 oder Windows für Workgroups ausgeführt werden.
Kapitel 8 Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur
Abbildung 8.1
209
Prozessablauf für die Analyse Ihrer Netzwerkinfrastruktur mit SMS
Die Verwendung von SMS für die Planungs- und Einsatzprozesse von Windows 2000 erfordert zusätzliche Ressourcen. Die Kosten, die Sie für die Planung und Verwendung von SMS aufbringen müssen, werden jedoch durch die Möglichkeit der Automatisierung der Einrichtungstasks für Windows 2000 irrelevant.
210
Teil II
Netzwerkinfrastruktur
Mit Hilfe von SMS können Sie Tasks zur Einrichtung von Windows 2000 für viele Endbenutzer gleichzeitig automatisieren. Die Tasks und selbst die anfängliche Einbeziehung von Computern in SMS können durchgeführt werden, ohne dass technisches Servicepersonal vor Ort benötigt wird. Die automatisierten Tasks bieten folgende Vorteile: ? Starke Reduktion von manueller Arbeit und Standortbesuchen. ? Verteilung über einen großen geographischen Bereich. ? Angemessene Wiederherstellung im Fehlerfall. ? Flexible Planung. ? Statusaktualisierungen auf Tagesbasis (oder häufiger).
Anmerkung SMS ist von Softwarekomponenten abhängig, die auf einem Client betrieben werden, und (zumindest gelegentlich) über ein Netzwerk mit der SMS-Infrastruktur verbunden sind. Daher können Sie SMS nicht verwenden, um Windows 2000 auf neuen Computern zu installieren, die noch kein Betriebssystem und keinen Netzwerkclient haben. Das Kapitel „Automatisieren der Clientinstallation und der Aktualisierung“ in diesem Buch empfiehlt Methoden, die Sie für die Einrichtung neuer Computer mit Windows 2000 verwenden können.
Wie SMS die Einrichtung von Windows 2000 unterstützt SMS kann Ihnen beim Planen der Einrichtung von Windows 2000 durch die Beantwortung einer Reihe wichtiger Fragen behilflich sein. Es kann Ihnen beim Einrichten von Windows 2000 folgendermaßen behilflich sein: ? Bei der Vorbereitung Ihrer Computer. ? Bei der Verteilung der Windows 2000-Quelldateien an die Benutzercomputer. ? Bei der Initialisierung von Windows 2000-Aktualisierungen auf eine gesteuerte,
sichere Weise. ? Bei der Erstellung von Berichten über den Stand der Einrichtung. SMS unterstützt Sie auch bei der Lösung von Problemen, die bei der Einrichtung auftreten, und bei der Einrichtung einer Vor-Ort-Verwaltungsstruktur für die Windows 2000-Infrastruktur. Dieses Kapitel behandelt die Verwendung von SMS für das Erfassen von Details der Netzwerkinfrastruktur, die Sie für die Einrichtung von Windows 2000 benötigen. Sie können eine Vielzahl von Berichtsprogrammen für das Formatieren von Daten in benutzerfreundlichen Berichten verwenden. Sie können für weitere Analysen Daten in andere Programme importieren, wie z. B. in Microsoft® Excel. Darüber hinaus können Sie die erfassten Informationen für die Automatisierung von Einrichtungstasks verwenden.
Kapitel 8 Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur
211
Die von Ihnen erfassten Informationen helfen Ihnen bei der Beantwortung einer Vielzahl von wichtigen Fragen der Einsatzplanung: ? Wie viele Computer besitzen Sie? Wo befinden sie sich? Verfügen Sie über
Hardware, die den Anforderungen von Windows 2000 entspricht? Welche Computer verfügen nicht über eine Windows 2000-kompatible Hardware? ? Welche Software ist auf den Computern Ihrer Benutzer installiert? Welche Software verwenden Sie gerade? Welche Computer verfügen über Software, die nicht mit Windows 2000 kompatibel ist? ? Wie hoch ist die Kapazität Ihrer Netzwerkverbindungen? Welche Protokolle werden auf Ihrem Netzwerk verwendet? Sie werden auch lernen, wie Ihnen SMS bei potentiellen Anwendungsinkompatibilitäten helfen kann. Anmerkung Ein anderer wichtiger Vorteil der Verwendung von SMS bei der Einrichtung von Windows 2000 ist seine Fähigkeit, Windows 2000 an Computer zu verteilen, die verlegt werden sollen, anschließend die Aktualisierung zu initialisieren und den neuen Status zu melden. Diese Themen werden ausführlich im Kapitel „Verwenden von Systems Management Server zum Einrichten von Windows 2000“ in diesem Buch erörtert.
Unterschiede zu SMS 1.2 SMS 2.0 unterscheidet sich wesentlich von seinem Vorläufer, SMS 1.2. Beide Versionen haben ähnliche Gesamtfunktionen, erzielen diese Funktionen jedoch durch die Verwendung völlig unterschiedlicher Techniken. Wenn Sie vorhaben, SMS 1.2 für die Netzwerkanalyse und die Einrichtung von Windows 2000 zu verwenden, müssen Sie die folgenden Unterschiede zwischen dieser Version und SMS 2.0 berücksichtigen: ? das Softwareinventar basiert auf vordefinierten Anwendungsdefinitionen.
Daher müssen Sie prüfen, welche Anwendungen möglicherweise in Ihrer Organisation verwendet werden, und sicherstellen, dass diese Anwendungen für SMS definiert sind. Während SMS eine große Anzahl vordefinierter Anwendungen enthält, müssen die meisten Organisationen für die Erfassung eines SMS 1.2-Softwareinventars weit mehr definieren, um ihren Bedürfnissen gerecht zu werden. Solche Definitionen sind auch bei Beratern, im Internet und bei unabhängigen Softwarehändlern erhältlich. ? Das Hardwareinventar ist nicht so umfassend, daher kann es Schwierigkeiten bereiten, alle erforderlichen Hardwaredetails zu erhalten. Erstrangige Computerhersteller verfügen über Computermanagement-Agenten von DMI (Desktop Management Interface), die ausführliche Informationen zum Hardwareinventar bieten, die SMS 1.2 erfassen kann. Die verschiedenen Hersteller bieten jedoch unterschiedliche Lösungen, so dass diese Agenten in einer gemischten Umgebung schwer einzusetzen sind. Unabhängige Softwarevertreiber bieten Lösungen, die die Hardwareinventare verbessern können. ? Die Softwareverteilung ist nicht so flexibel, sowohl hinsichtlich der Zielerfassung als auch der Ausführung.
212
Teil II
Netzwerkinfrastruktur ? Das Hardwareinventar ist für alle Clients erforderlich. Es gibt keine Entspre-
chung zum SMS 2.0-Clienterkennungsprozess. Daher kann SMS 1.2. nicht mit Clients arbeiten, solange sie nicht über ein Hardwareinventar gemeldet wurden. ? Es gibt kein Verfahren zur Softwaremessung. Daher kann SMS 1.2. Benutzer nicht davor schützen, inkompatible Anwendungen zu betreiben. Es sind jedoch Anwendungen zur Softwaremessung von Drittanbietern verfügbar, von denen viele SMS 1.2 in unterschiedlicher Weise integrieren. ? Es gibt keine Produktkompatibilitätsdatenbank Ein entsprechendes System kann jedoch eingerichtet werden, indem eine vergleichbare Datenbanktabelle definiert wird. ? Es gibt kein Tool zur Steuerung des Netzwerkmonitors und keine Netzwerkmonitorexperten, die Erweiterungen des Netzwerkmonitors sind (siehe später in diesem Kapitel). ? SMS 1.2 basiert auf der Windows NT-Replikation zwischen Domänen-
controllern für die Weiterleitung der SMS-Anmeldeskripts und ihrer ggf. verwendeten Komponenten.
Erfassen von Inventar Sie beginnen die Analyse Ihrer Netzwerkinfrastruktur mit der Erfassung des Hardware- und Softwareinventars. Diese Daten sind für die Einrichtung von Windows 2000 von wesentlicher Bedeutung.
Bewerten des aktuellen Stands Ihrer Hardware Windows 2000 wurde für den Betrieb auf einer Vielzahl unterschiedlicher Computer entwickelt. In den letzten Jahren wurden jedoch so viele verschiedene Computermodelle und -komponenten hergestellt, dass möglicherweise nicht alle Computer für die Verwendung von Windows 2000 bereit sind. SMS kann Sie bei der Ermittlung solcher Computer unterstützen.
Hardwarekapazität In jüngerer Zeit gekaufte Computermodelle verfügen wahrscheinlich über ausreichende Kapazitäten für Windows 2000. Ältere Computer haben jedoch möglicherweise nicht die erforderlichen Ressourcen. Unzureichende Ressourcen sind vor allem zu geringer Arbeitsspeicher, nicht ausreichender Festplattenspeicherplatz, ein sehr langsamer Prozessor, das Fehlen eines CD-ROMLaufwerks oder ein besonders alter Prozessor. Sie müssen die Computer mit mangelnden Ressourcen ausfindig machen, um sie zu aktualisieren oder zu ersetzen. Der Aktualisierungsprozess für die Computer wird jedoch weit effizienter, wenn Sie Ihre Verteilung vorausplanen und genau wissen, wo sich die Computer befinden, die aktualisiert werden müssen. Wenn Sie dann an einem Standort eintreffen, kennen Sie bereits die korrekten Komponenten und können direkt an die zu bearbeitenden Computer herangehen.
Kapitel 8 Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur
Hardwarekompatibilität Ein Vielzahl von Hardwaredetails kann für Ihre Aktualisierungsplanung von Bedeutung sein. Zusätzlich zu den üblichen Punkten wie Speicherplatz, Arbeitsspeicher und Prozessorgeschwindigkeit sollten Sie folgende Komponenten berücksichtigen: ? BIOS ? Grafikkarte ? Netzwerkkarte ? Festplattencontroller ? Energieverwaltung ? Andere Hardware wie z. B. der CPU-Chipsatz
Es ist nicht wahrscheinlich, dass diese Komponenten nicht mit Windows 2000 kompatibel sind, aber es ist möglich. Wenn Sie Computer gekauft haben, die vom Verkäufer als Windows 2000-kompatibel zertifiziert wurden, oder sich auf der Windows 2000 Hardwarekompatibilitätsliste befinden, bereiten sie Ihnen wahrscheinlich keine Probleme. Die Hardwarekompatibilitätsliste können Sie über eine Suche nach dem Schlüsselwort „HCL“ auf der Webseite http://www.microsoft.com finden. Andernfalls sollten Sie einen Kontrolltest durchführen, um solche Modelle zu entdecken. Ein Kontrolltest umfasst das Testen einer relevanten Anzahl von jedem Computermodell, das Ihr Unternehmen verwendet, vor der Aktualisierung der betreffenden Benutzer. Wenn Sie die nicht-kompatiblen Modelle oder Komponenten identifiziert haben, können Sie mit der Inventarfunktion von SMS alle anderen Computer Ihres Unternehmens suchen, die dasselbe Problem haben. Durch die Prüfung der Details des SMS-Hardwareinventars für die Komponenten, die unter Windows 2000 Probleme verursachen, können Sie Merkmale auswählen, die speziell diese fehlerverursachenden Komponenten und die Computer, die sie verwenden, identifizieren. Sie können dann Ihre Hardwareberichte so anpassen, dass Sie andere Computer mit denselben Problemen finden. Es wird empfohlen, einen weiteren Test durchzuführen, um zu überprüfen, dass alle auf diese Weise identifizierten Computer tatsächlich Probleme bereiten und dass alle Probleme gefunden wurden. Mit zunehmendem Vertrauen in diese Tests und ihre Resultate haben Sie eine größere Gewissheit, dass die auf der Basis dieser Berichte vorgenommenen Aktualisierungen erfolgreich sind.
Verwenden des Hardwareinventars von SMS (Systems Management Server) Wenn Sie SMS in Ihrem Unternehmen eingerichtet haben, ist die Aktivierung von SMS-Hardwareinventar relativ problemlos. Die SMS-Clientsoftware, die Hardwareinventardetails erfasst, arbeitet bei der Durchsuchung des Computers nach Hardwaredetails mit WMI-Komponenten (Windows Management Instrumentation). WMI ist ein Teil von SMS und aus anderen Quellen verfügbar. Die Clientcomputer übergeben die Hardwareinventardetails automatisch an die SMS-Server, und die Daten werden in der Hierarchie nach oben übertragen. Sie können dann von einem zentralen Standort auf die Daten zugreifen. Standardmäßig werden die Daten einmal wöchentlich aktualisiert, Sie können diese Frequenz jedoch ändern.
213
214
Teil II
Netzwerkinfrastruktur
Anmerkung SMS sucht Computer über Prozesse, die Erkennungsmethoden genannt werden. Die Erkennung liefert einige Basisinformation über Ihre Computer, u. a. die Bestätigung, dass sie überhaupt vorhanden sind, ihre Namen, ihre Netzwerkadressen, und wo sie aufgestellt sind. Dies kann für einige Typen von Hardwareinventarabfragen und -berichte ausreichen. Die Erkennung bietet den Vorteil, dass sie weniger Ressourcen benötigt als das Hardwareinventar. Die Ressourcenunterschiede sind jedoch oft nicht ausschlaggebend. SMS erfasst eine sehr umfangreichen Satz von Hardwareinventardetails, der die meisten von Ihnen benötigten Informationen enthält. Das SMS-Hardwareinventar kann leicht erweitert werden, wenn Sie zusätzliche Details benötigen. Eine typische Erweiterung ist die Frage an die Benutzer, auf welchem Stockwerk sie sich befinden, in welchem Büro usw. Eine andere typische Erweiterung ist die Erfassung von händlerspezifischen Informationen, die im BIOS enthalten sein können, wie die Serien- oder Modellnummer. Diese Art von Daten ist elektronisch oft nur schwer erfassbar, da sie bei der Verwendung standardisierter Techniken nicht verfügbar sind oder von subjektiven Vorgaben abhängen. Daher sind kundenspezifische Erweiterungen erforderlich. Diese Erweiterungen sind jedoch, wie in der SMS-Dokumentation beschrieben, leicht zu implementieren. Tabelle 8.1 enthält hypothetische Beispiele für Hardwarekomponenten, die möglicherweise Kapazitäts- oder Kompatibilitätsprobleme mit Windows 2000 aufweisen. Sie enthält die SMS-Klasse und Eigenschaften, die für ihre Überprüfung verwendet werden. Die Verwendung der Klassen und Werte wird im folgenden Abschnitt über das Berichten, Analysieren und Verwenden der erfassten Daten erörtert. Tabelle 8.1 Beispiel: Windows 2000-Hardwareanforderungen Ressource
Professional
Server
SMS-Klasse
SMS-Eigenschaft
Speicher Festplatten -speicher Prozessor
90 MB 1GB
128 MB 1GB
SMS_G_System_X86_PC_MEMORY SMS_G_System_Logical_Disk
TotalPhysicalMemory FreeSpace
Pentium
Pentium II
SMS_G_System_PROCESSOR
Name
Grafikkarte
nicht identifiziert
nicht identifiziert
MS_G_System_VIDEO
AdapterChipType
Die in der Tabelle als Anforderungen aufgelisteten Werte sind nur hypothetische Werte, wie sie in manchen Firmen verwendet werden. Die Anforderungen variieren entsprechend den unterschiedlichen Benutzertypen und Aktualisierungspfaden. Selbst ähnliche Computerkonfigurationen arbeiten unterschiedlich. Daher ist es wichtig, dass Sie hinsichtlich der Mindestanforderungen für Windows 2000 Ihre eigene Einschätzung vornehmen. Auch haben Grafikkarten normalerweise keine Kompatibilitätsprobleme mit Windows 2000. Die Auswahl von Systemen zur Aktualisierung, die darauf basiert, ob Ihre Grafikkarten von SMS identifziert wurden oder nicht, wurde nur als ein Beispiel für ein Hardwarekompatibilitätskriterium verwendet – möglicherweise finden Sie heraus, dass Sie Computer aufgrund eines bestimmten Grafikkartenchips oder einer beliebigen Anzahl anderer Hardwaredetails, für die SMS Daten liefern kann, ausschließen müssen.
Kapitel 8 Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur
215
Bewerten des aktuellen Stands Ihrer Software Windows 2000 enthält dieselben Programmschnittstellen und Funktionen, die in vorhergehenden Versionen von Windows verfügbar waren. Bewährte Funktionen verhalten sich jedoch nicht immer in der gleichen Weise. Potentielle Inkompatibilitäten werden gewöhnlich durch verschiedene Programmierungsstandards immer unwahrscheinlicher, es wurden jedoch nicht alle Anwendungen unter strikter Einhaltung dieser Standards entwickelt. Aus diesen und ähnlichen Gründen kann Software, die für die verschiedenen Versionen von Windows entworfen wurde, mit Windows 2000 inkompatibel sein. Das Kapitel „Testen der Anwendungskompatibilität mit Windows 2000“ erörtert ausführlich mögliche Softwareinkompatibilitäten und liefert Details, wie Sie herausfinden, welche Ihrer Anwendungen Windows 2000-kompatibel sind. Dennoch sehen Sie sich weiterhin mit zwei wichtigen Fragen konfrontiert: „Welche Softwareanwendungen verwendet Ihr Unternehmen?“ und „Auf welchen Computern sind diese Anwendungen installiert oder welche Computer verwenden sie?“ SMS bietet Ihnen die Antworten auf diese Fragen. Sie aktivieren und verwenden das SMS-Softwareinventar ähnlich wie das SMSHardwareinventar. Die von SMS verwendete Methode zur Datenerfassung unterscheidet sich jedoch. Die Festplatte jedes Clientcomputers wird nach Dateien mit der Namenerweiterung .exe durchsucht. Diese Dateien werden dann auf die Verfügbarkeit von zusätzlichen Details hin untersucht, und diese Information wird an die SMS-Standortserver gemeldet. Sie können das SMS-Softwareinventar erweitern, indem Sie SMS so konfigurieren, dass auch andere Erweiterungen als .exe, wie .dll oder .com, gesucht werden. Da das SMS-Softwareinventar Details über alle ausführbaren Programme auf jedem Computer erfasst, können Sie sicher sein, dass jede Software, die auf einem Computer Ihrer Organisation installiert ist, identifiziert wird. Das SMS-Softwareinventar versucht auch, aus jedem Programm die Vorspanndaten zu extrahieren. Vorspanndaten sind Informationen über die Software, die in den ausführbaren Dateien enthalten sind. Diese Daten sind in den meisten in jüngerer Zeit entwickelten Programmen enthalten. Meist weisen Computer jedoch auch einige ältere Programme auf. Die extrahierten Programmvorspanndaten enthalten anstelle der oftmals kryptischen Programmdateinamen oft beschreibende Namen. Tabelle 8.2 enthält verschiedene Eigenschaften, die Sie für die Arbeit mit den Daten aus dem SMS-Softwareinventar benötigen. Die Eigenschaften für Software mit Vorspanndaten stammen aus der Klasse SMS_G_System_SoftwareProduct. Die Eigenschaften für Software ohne Vorspanndaten stammen aus der Klasse SMS_G_System_UnknownFile. Tabelle 8.2 Softwaredaten Daten
Softwaremit Vorspanndaten
Software ohne Vorspanndaten
Dateiname
FileName
FileName
Dateigröße Produktname
FileSize ProductName
FileSize N/A
Produktversion Produktsprache
ProductVersion ProductLanguage
N/A N/A
216
Teil II
Netzwerkinfrastruktur
Das SMS-Softwareinventar kann die gesamte Software, die auf Ihren Computern installiert ist, identifizieren, es kann Ihnen jedoch nicht sagen, welche Software gerade verwendet wird. Wenn Software nicht mehr benutzt wird, ist es nicht nötig, die Kosten für eine Aktualisierung dieser Anwendungen aufzubringen. Das SMS-Softwareinventar kann Dateien von Ihren Clientcomputern erfassen. Wenn Sie viele Clientcomputer mit großen Dateien haben, kann dies eine ziemliche Auslastung Ihres Netzwerks und des Speicherplatzes auf Ihren Standortservern nach sich ziehen. Sparsam eingesetzt kann das Softwareinventar jedoch ein leistungsfähiges Tool sein. Sie können z. B. die Windows 2000-Aktualisierung auf Computern mit Windows 95 oder Windows 98 in einer Weise durchführen, dass nur ein Aktualisierungsbericht erstellt wird (Upgrade.txt im Windows-Verzeichnis). Verwenden Sie den Befehl Winnt32 /checkupgradeonly oder eine entsprechende Antwortdatei sowie die im Abschnitt „Verwenden von Systems Management Server zum Einrichten von Windows 2000“ beschriebenen Verfahren, um einen Aktualisierungsbericht zu erstellen. Das SMS-Softwareinventar kann dann diese Datei für jeden Computer erfassen und zentral speichern, so dass sie Ihnen bei Bedarf zur Verfügung steht. Die Aktualisierungsberichte können auf Hardwareoder Softwareprobleme hinweisen, die gelöst werden müssen, bevor ein Versuch zur Aktualisierung der Computer unternommen werden kann. SMS enthält die Funktion Softwaremessung, die Berichte über die aktuelle Verwendung von Software erstellt. Die Softwaremessung zeichnet den Aufruf jedes Programms auf und leitet diese Daten an die SMS-Standortdatenbank weiter. Programme, die mit dem Betriebssystem geliefert werden, wie z. B. Notepad, werden oft aus dieser Datenerfassung ausgeschlossen. Das Kapitel „Messen von Software“ im Microsoft® Systems Management Server Administratorhandbuch beschreibt, wie Sie die Softwaremessung in SMS verwenden und auf diesen Daten basierende Berichte erstellen können. Erwägen Sie die Verwendung des Offlinemodus, der dieselben Daten erfasst, jedoch seltener Berichte weiterleitet. Dies bedeutet eine deutliche Reduzierung der Netzwerk-, Client- und Serverauslastung.
Verwenden des Inventars für die Vorbereitung der Netzwerkinfrastruktur Wenn Sie alle Daten erfasst haben, können Sie sie zur Beantwortung der Fragen verwenden, die bei der Planung Ihrer Windows 2000-Einrichtung auftreten. Sie können mit diesen Daten auch den Einrichtungsprozess steuern.
Melden der erfassten Daten Hauptsächlich werden die SMS-Inventardaten dazu verwendet, Berichte zu generieren, die bestimmte Fragen beantworten. Weitere Informationen hierzu finden Sie auf der Seite für Webressourcen (http://windows.microsoft.com/windows2000/reskit/webresources), wenn Sie auf den Hyperlink „Microsoft Systems Management Server Technical Details“ klicken.
Kapitel 8 Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur
217
Für die Einrichtung von Windows 2000 können Sie folgende Berichte generieren: ? Computer mit der Kapazität für Windows 2000 ? Computer, die mit Windows 2000 kompatibel sind
Das technische Personal, das die Windows 2000-Aktualisierung durchführt, kann diese beiden Berichte verwenden, um die Computer zu identifizieren, die Hardwareaktualisierungen erfordern. Sie können auch eine Kombination aus diesen Berichten verwenden, da Sie in der Regel mit beiden Problemen konfrontiert sind. ? Computer, die eine Hardwareaktualisierung erfordern Dieser Bericht kann vom technischen Personal verwendet werden, das die Hardwareaktualisierungen durchführt. Damit kann es die passende Hardware bestellen und feststellen, für welche Computer eine Aktualisierung erforderlich ist. ? Computer, die eine Softwareaktualisierung erfordern Dieser Bericht kann vom technischen Personal verwendet werden, das die Softwareaktualisierungen durchführt. Damit kann es die passende Software bestellen und feststellen, für welche Computer eine Aktualisierung erforderlich ist. Jeder dieser Berichte kann nach Standorten oder in weitere Details unterteilt werden, je nachdem, wie Ihre Organisation die Informationen am besten verwenden kann.
Beispiel eines SMS-Berichts über Windows 2000-Fähigkeit Die folgende Abfrage verwendet die in Tabelle 8.1 aufgelisteten SMS-Klassen, um nach Computern zu suchen, die für die Aktualisierung mit Windows 2000 bereit sind. Die in diesem Fall verwendeten Kriterien sind, dass Laufwerk C: über 1 GB freien Speicherplatz verfügt, dass der Computer mindestens 90 MB Arbeitsspeicher und einen Pentium-Prozessor besitzt und die Grafikkarte nicht unidentifiziert (d. h. nicht gleich Null) ist. Diese Kriterien gehen davon aus, dass das Laufwerk C: die Benutzersystempartition ist. Der von dieser Beispielabfrage generierte Bericht wird in Abbildung 8.2 gezeigt.
Abbildung 8.2 Beispiel eines SMS-Berichts über Computer mit der Kapazität für Windows 2000.
218
Teil II
Netzwerkinfrastruktur
Viele Organisationen möchten vielleicht auch Computer aktualisieren, die weniger als 90 MB Arbeitsspeicher oder 1GB verfügbaren Festplattenspeicherplatz besitzen. Eine von SMS nicht identifizierte Grafikkarte ist nicht unbedingt inkompatibel zu Windows 2000. Wenn Sie eine Grafikkarte haben, von der Sie vermuten, dass sie zu Windows 2000 nicht kompatibel ist, können Sie den Nullstring der Karte durch ihren Chiptypwert ersetzen. Zusätzliche Kriterien können nach Bedarf hinzugefügt werden. Die Beispielabfrage lautet: SELECT DISTINCT SMS_G_System_LOGICAL_DISK.FreeSpace, SMS_G_System_PROCESSOR.Name, SMS_G_System_X86_PC_MEMORY.TotalPhysicalMemory, SMS_G_System_VIDEO.AdapterChipType, SMS_R_System.Name, SMS_R_System.SMSAssignedSites FROM (((SMS_R_System LEFT JOIN SMS_G_System_PROCESSOR ON SMS_R_System.ResourceId = SMS_G_System_PROCESSOR.ResourceID) LEFT JOIN SMS_G_System_VIDEO ON SMS_R_System.ResourceId = SMS_G_System_VIDEO.ResourceID) LEFT JOIN SMS_G_System_X86_PC_MEMORY ON SMS_R_System.ResourceId = SMS_G_System_X86_PC_MEMORY.ResourceID) LEFT JOIN SMS_G_System_LOGICAL_DISK ON SMS_R_System.ResourceId = SMS_G_System_LOGICAL_DISK.ResourceID WHERE (((SMS_G_System_LOGICAL_DISK.FreeSpace)>1000) AND ((SMS_G_System_X86_PC_MEMORY.TotalPhysicalMemory)>90000) AND ((SMS_G_System_VIDEO.AdapterChipType)'') AND ((SMS_G_System_LOGICAL_DISK.DeviceID)='C:') AND ((InStr(1,[SMS_G_System_PROCESSOR].[Name],"Pentium"))>0)) ORDER BY SMS_R_System.SMSAssignedSites;
Sie können diese Abfrage mit Microsoft Access verwenden. Wenn Sie diese Abfrage in der SMS-Administratorkonsole verwenden, kann sie danach über das Programm SMS Query Extract direkt in Microsoft Access verwendet werden. Dieses Programm befindet sich im Supportverzeichnis der SMS 2.0-CD und ist in Microsoft® BackOffice ® Resource Kit 4.5 enthalten. Weitere Informationen über die Generierung von SMS-Berichten mit Microsoft Access und mit oder ohne SMS Query Extract finden Sie auf der oben erwähnten Webseite der technischen Referenz.
Verwenden des Teilsystems zur Produktkompatibilität SMS verfügt über eine Produktkompatibilitätsdatenbank, die normalerweise verwendet wird, um die vom SMS-Teilsystem zum Softwareinventar gemeldete Software mit einer Liste von Software mit Problemen hinsichtlich der Jahr-2000Produktkompatibilität zu vergleichen. Sie können dieses Teilsystem auch zum Vergleich der Software mit einer Liste von Software mit bekannten Problemen mit dem Euro-Währungszeichen verwenden. Dasselbe kann auch für die Windows 2000-Kompatibilität durchgeführt werden. Sie können die Produktkompatibilitätsdatenbank in SMS-Berichten dazu verwenden, Computer mit Problemen bei der Kompatibilität mit Windows 2000-Anwendungen zu markieren. SMS enthält keine Liste von Softwareprodukten mit potentiellen Inkompatibilitäten zu Windows 2000. Das Kapitel „Testen der Anwendungskompatibilität mit Windows 2000“ in diesem Buch hilft Ihnen bei der Suche nach Anwendungen mit potentiellen Inkompatibilitäten in Ihrer Organisation.
Kapitel 8 Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur
219
Erweitern des Teilsystems zur Produktkompatibilität mit Informationen zur Hardware- oder Softwarekompatibilität von Windows 2000 Das Kapitel „Ermitteln der Produktkompatibilität“ im Microsoft® Systems Management Server Administratorhandbuch beschreibt das SMS-Teilsystem zur Produktkompatibilität. Es enthält Verfahren zum Hinzufügen neuer Produkte und für die Berichterstellung, die auf den Klassenfeldern zur Produktkompatibilität basiert. Sie fügen mit Hilfe der SMS-Administratorkonsole einen neuen Eintrag zur Produktkompatibilitätsdatenbank hinzu. Wählen Sie Produktkompatibilität. Wählen Sie anschließend im Menü Vorgang die Option Neu und dann Produktkompatibilität. Das Dialogfeld Eigenschaften von Produktkompatibilität wird geöffnet. Die Onlinehilfe beschreibt jedes einzelne Feld. Vorsicht Die Produktkompatibilitätsfelder müssen exakt den beim SMS-Softwareinventarvorgang gefundenen Feldern entsprechen. Verwenden Sie die Schaltfläche Durchsuchen, um eine bestimmte Version einer Datei zu suchen. So stellen Sie sicher, dass der Name und die Größe korrekt sind. Die Felder Produktname, Produktversion und Produktsprache bieten Dropdownlistenfelder, die Ihnen die Auswahl der exakten Werte, die das SMS-Softwareinventar gefunden hat, ermöglicht. Beachten Sie besonders die Felder Kompatibilitätstyp und Kompatibilitätslevel. Jedes Feld enthält ein Dropdownlistenfeld, das alle zuvor in diesem Feld verwendeten Werte anzeigt. Kompatibilitätstyp weist standardmäßig nur den Wert „Year 2000 Compliance“ auf. Sie können jedoch jeden beliebigen Wert eingeben. Vielleicht möchten Sie „Windows 2000-Kompat.“ verwenden. (Der Wert ist auf 20 Zeichen begrenzt). Das Listenfeld Kompatibilitätslevel bleibt leer, bis Sie einen Typ ausgewählt haben. Wenn Sie einen Kompatibilitätstyp ausgewählt haben, enthält das Listenfeld Kompatibilitätslevel alle Werte, die zuvor für diesen Typ verwendet wurden. Da zuvor noch keine Werte verwendet wurden, ist die Liste leer. Sie können jeden beliebigen Wert eingeben, wie „Kompatibel“, „Inkompatibel“, „Kompatibel mit kleineren Problemen“, oder „Kompatibel mit größeren Problemen“. Anmerkung Wenn Sie dieselben Kompatibilitätslevel für Windows 2000 verwenden möchten, wie sie für die Jahr-2000-Fähigkeit geliefert werden, dann wählen Sie als Typ vorübergehend „Jahr-2000-Kompatibilität“, wählen Sie anschließend die gewünschte Ebene, und kopieren Sie es in die Zwischenablage. Ändern Sie den Type in „Windows 2000“ und fügen Sie den kopierten Wert in das Feld Kompatibilitätslevel ein.
220
Teil II
Netzwerkinfrastruktur
Erstellen von Berichten mit dem Teilsystem zur Produktkompatibilität Sie verwenden die Datenbank des SMS-Standorts, um über die Windows 2000Kompatibilität zu berichten. Die Klasse SMS_G_System_SoftwareProduct enthält die Eigenschaften für alle Softwareprodukte, die während des SMS-Softwareinventarprozesses festgestellt wurden. SoftwareProductCompliance enthält die Eigenschaften der Produktkompatibilitätsdatenbank. Ein Vergleich der entsprechenden Eigenschaften der beiden Tabellen ermöglicht es Ihnen herauszufinden, ob ein Softwareprodukt für seine potentielle Inkompatibilität bekannt ist. Tabelle 8.3 enthält die von Ihnen benötigten Eigenschaften. Tabelle 8.3 Daten zur Produktkompatibilität Daten
Eigenschaft in SMSSoftwareinventar
Eigenschaft in SMSProduktkompatibilität
Dateiname Dateigröße
FileName FileSize
FileName FileSize
Produktname Produktversion
ProductName ProductVersion
ResProdName ResProdVer
Produktsprache Kompatibilitätstyp Kompatibilitätslevel
ProductLanguage N/A N/A
ResProdLangID Typ Kategorie
Die einfachste Art, das SMS-Teilsystem zur Produktkompatibilität für Berichte zur Windows 2000-Kompatibilität zu verwenden, ist das Kopieren der Abfrageanweisung einer bereits vorhandene Abfrage zur Jahr-2000-Fähigkeit. Erstellen Sie dann eine neue, leere Abfrage, und fügen Sie die Abfrageanweisung in diese ein. Ändern Sie den Wert für den Kompatibilitätstyp, und geben Sie den Rest der Abfragedetails ein. Die folgende Abfrage basiert z. B. auf der Standardabfrage „Jahr-2000-kompatible Software an diesem und untergeordneten Standorten“. Die Abfrage wurde nur an zwei Stellen geändert – anstelle von „Jahr-2000Kompatibilität“ wurde „Windows 2000-Kompatibilität“eingefügt. Die Beispielabfrage lautet: SELECT DISTINCT sys.Name, compl.Category, compl.ProdName, compl.ProdVer, compl.ProdCompany, compl.ProdLang, compl.URL, compl.Comment FROM SMS_SoftwareProductCompliance as compl INNER JOIN SMS_G_System_UnknownFile as unknownfile ON UPPER(unknownfile.FileName) = UPPER(compl.FileName) AND unknownfile.FileSize = compl.FileSize AND unknownfile.ProductId = 0 INNER JOIN SMS_R_System as sys ON unknownfile.ResourceID = sys.ResourceID WHERE compl.Category != "Kompatibel" AND compl.Type = "Windows 2000-Kompatibilität" UNION SELECT DISTINCT sys.Name, compl.Category, compl.ProdName, compl.ProdVer, compl.ProdCompany, compl.ProdLang, compl.URL, compl.Comment FROM SMS_SoftwareProductCompliance as compl INNER JOIN SMS_G_System_SoftwareProduct as prod ON compl.ResProdName = prod.ProductName AND compl.ResProdVer = prod.ProductVersion INNER JOIN SMS_G_System_SoftwareFile as prodfile ON UPPER(prodfile.FileName) = UPPER(compl.FileName) AND prodfile.FileSize = compl.FileSize INNER JOIN SMS_R_System as sys ON prod.ResourceID = sys.ResourceID WHERE compl.Category != "Kompatibel" AND compl.Type = "Windows 2000-Kompatibilität" AND (compl.ResProdLangID = prod.ProductLanguage OR compl.ResProdLangID = 65535) AND prod.ProductID = prodfile.ProductID
Kapitel 8 Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur
Diese Abfrage listet die inkompatible Software nach Standort auf. Sie können mit diesen Daten, wie in Abbildung 8.3 gezeigt, einen Microsoft Access-Bericht erstellen.
Abbildung 8.3 Beispiel für einen Bericht über Softwarekompatibilität
Die Administratoren der entsprechenden Standorte können dann benachrichtigt werden, dass sie diese Kompatibilitätsprobleme der Anwendungen an ihren Standorten lösen müssen. Die Computernamen oder andere Details können auf Wunsch einfach in den Bericht integriert werden. Die Abfrageergebnisse können auch als Basis für eine SMS-Erfassung verwendet werden, zu der ein SMS-Paket angewiesen werden kann, die Anwendung zu aktualisieren oder zu entfernen.
Analysieren und Verwenden der erfassten Daten Die Daten der Berichte werden häufig analysiert, um folgende Fragen zu beantworten: „Wie teuer wird es, Clientcomputer für Windows 2000 zu aktualisieren?“ oder „Wie hoch ist diese Kostenstelle zu veranschlagen?“. Es kann jedoch einfach zu arbeitsintensiv sein, eine solche Analyse manuell durchzuführen, wenn viele Standorte und Computer betroffen sind. Daher ist es besser, die Daten in ein Programm zu importieren, das Sie für die Durchführung dieser Analyse verwenden möchten. Sie können mit dem Programm SMS Query Extract die SMS-Daten, die Ihnen bei der Einrichtung von Windows 2000 behilflich sein können, ganz einfach in Programme wie Microsoft Excel oder Microsoft Access importieren. Sie finden dies ausführlich beschrieben im Kapitel „Reporting Options for SMS 2.0“ in dem Handbuch Microsoft® Systems Management Server Resource Guide, einem Bestandteil von Microsoft® BackOffice® Resource Kit 4.5. Ihr eigentliches Ziel ist es, Windows 2000 einzurichten. Mit den Daten, die SMS erfasst hat, können Sie diesen Prozess automatisieren. Dieselben Abfragen, die Daten für Berichte wie „Unsere zu Windows 2000 kompatiblen PCs“ liefern, können als Basis von Computererfassungen in der SMS-Datenbank dienen, für die Windows 2000 angezeigt ist. Ähnlich wie bei dem SMS-Teilsystem zur Produktkompatibilität angeführt, muss die Software einiger Computer aktualisiert werden, um Windows 2000-fähig zu sein. Die erfassten Softwareinventardaten können auch verwendet werden, um diese Computer für die entsprechenden Aktualisierungen zu ermitteln, die mittels SMS geliefert werden können.
221
222
Teil II
Netzwerkinfrastruktur
Vielleicht möchten Sie auch andere Tools als SMS verwenden, um Windows 2000 zu installieren oder Anwendungen zu aktualisieren. Diese Tools benötigen ebenfalls eine Computerliste für die Zielermittlung. Sie können die SMS-Daten für diesen Zweck verwenden. Die Daten können mit den zuvor genannten Techniken extrahiert und in andere Tools importiert werden. Weitere Informationen über den Einsatz von Windows 2000 mit SMS finden Sie im Kapitel „Verwenden von Systems Management Server zum Einrichten von Windows 2000“ in diesem Buch. Die Einrichtung Windows 2000-kompatibler Anwendungen erfolgt in ähnlicher Weise.
Überwachen des Netzwerks Ein wesentlicher Aspekt bei der Vorbereitung der Einrichtung von Windows 2000 ist die genaue Kenntnis Ihres Netzwerks. Sie sollten z. B. folgende Fragen beantworten können: ? Welche Netzwerkverbindungen und -segmente haben nur beschränkte
Kapazitäten? ? Welche Protokolle werden verwendet? ? Wo befinden sich die DHCP-, WINS- und ähnliche Server?
Die Übertragung der Windows 2000-Quelldateien zu Remotestandorten erfordert eine beachtliche Netzwerkkapazität. Zur Installation von Windows 2000 von freigegebenen Quellen aus wird noch mehr Kapazität benötigt, es muss jedoch auf LANs verfügbar sein. Wenn Sie prüfen, welche Protokolle verwendet werden und wo sich die einzelnen Netzwerkserver befinden, können Sie sichergehen, dass Ihre Planung alle relevanten Details berücksichtigt. SMS enthält den Netzwerkmonitor und verwandte Funktionen. Mit ihrer Hilfe können Sie Ihr Netzwerk analysieren und diese und ähnliche Fragen beantworten. Mit dem Netzwerkmonitor können Sie die Aktivitätsebenen in jedem Netzwerksegment anzeigen (siehe Abbildung 8.4). Der Netzwerkmonitor kann auch für die Erfassung von Netzwerkpaketen verwendet werden. Sie können diese Pakete dann anzeigen, um zu sehen, welche Protokolle verwendet werden und welche Computer Dienste anbieten. Der Netzwerkmonitor enthält eine Funktion namens Netzwerkmonitorexperten. Hiermit lässt sich eine Tabelle der Protokolle erstellen, die angibt, welchen Prozentsatz an Frames und Bytes jedes Protokoll verwendet.
Kapitel 8 Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur
223
Abbildung 8.4 SMS-Netzwerkmonitor
Sie können das Tool zur Steuerung des Netzwerkmonitors so konfigurieren, dass die Netzwerkaktivitäten nicht autorisierter DHCP- und WINS-Server fortlaufend überwacht werden. Sie übergeben dem Programm die Adressen der Ihnen bekannten DHCP- und WINS-Server, und das Programm zeigt die Adressen aller anderen DHCP- und WINS-Server an, für die es Pakete ermittelt. Das Kapitel „Verwenden von SMS für die Netzwerkverwaltung“ in Microsoft® Systems Management Server Administratorenhandbuch beschreibt den Netzwerkmonitor im Detail. Anmerkung Windows 2000 enthält eine Version des Netzwerkmonitors. Diese Version überwacht jedoch nur den Verkehr zu und von dem Computer, auf dem sie installiert ist, einschließlich Broadcastnachrichten. Die SMS-Version von Netzwerkmonitor überwacht den gesamten Netzwerkverkehr in den Segmenten, für deren Überwachung das Programm konfiguriert wurde. Die SMS 2.0-Version von Netzwerkmonitor beinhaltet darüber hinaus noch andere Erweiterungen, wie beispielsweise die Netzwerkmonitorexperten.
224
Teil II
Netzwerkinfrastruktur
Sicherstellen der Anwendungskompatibilität SMS kann Ihnen auf verschiedene Arten bei der Einrichtung von Windows 2000 behilflich sein. Eine wichtige Funktion von SMS ist es, die Verwendung von Windows 2000-kompatiblen Anwendungen zu erzwingen. Sie können SMS verwenden, um die geeigneten Computer für Softwareaktualisierungen zu ermitteln und die Software zu den Computern zu übermitteln. Die Aktualisierungen können automatisch oder mit Benutzereingaben erfolgen. Der Zeitpunkt für Aktualisierungen kann vom SMS-Administrator geplant werden. Die Benutzer können diesen Zeitplan individuell anpassen, so dass die Aktualisierung erfolgt, wenn die Benutzer bei einem Treffen sind, oder zu einem anderen geeigneten Zeitpunkt. Die Aktualisierung kann auch unter Verwendung besonderer Sicherheitsrechte durchgeführt werden, die SMS verliehen werden, so dass die Benutzer auf ihren Computern keine zusätzlichen Rechte erhalten, auch nicht für einen begrenzten Zeitraum. Einer der größten Vorteile bei der Verwendung der SMS-Softwareverteilung ist die Rückgabe von Statusmeldungen durch die Aktualisierungen. So können Sie jederzeit über den Stand der Aktualisierung berichten. SMS dient auch zur Sicherstellung der Anwendungskompatibilität mit Windows 2000, indem es Benutzern die Verwendung nicht kompatibler Anwendungen verbietet. Möglicherweise möchten Benutzer Anwendungen oder bestimmte Versionen von Anwendungen benutzen, mit denen sie vertraut sind, auch wenn die aktualisierten Versionen die unbestreitbaren Vorteile von Unternehmensstandards bieten oder neue Funktionen enthalten. Daher kann es erforderlich sein, die Erfüllung der vorgegebenen Anwendungsstandards zu erzwingen. Die unter „Testen der Anwendungskompatibilität mit Windows 2000“ in diesem Buch beschriebenen Verfahrensweisen sind erforderlich, um festzustellen, welche Anwendungen nicht mit Windows 2000 kompatibel sind. Ist die Kompatibilität festgestellt, können die Anwendungen für die SMS-Softwaremessung definiert, und die Anzahl der verfügbaren Lizenzen kann auf Null gesetzt werden. Dies verhindert, dass Benutzer alte Softwareversionen verwenden. Dieses Verfahren sollte von einem effektiven Kommunikations- und Schulungsplan begleitet werden, so dass die Benutzer die Notwendigkeit für die Verwendung autorisierter Anwendungen verstehen und den Übergang leichter bewältigen können. Anmerkung Die SMS-Softwaremessung kann in zwei Modi arbeiten: online oder offline. Im Onlinemodus führen die Clients bei jedem Programmaufruf eine Überprüfung beim Server durch. Dieser Modus ist bei der gemeinsamen Nutzung von Lizenzen erforderlich. Im Offlinemodus zeichnen die Clients alle Programmaufrufe auf und führen in unregelmäßigen Abständen einen Upload der Daten durch. Dies bewirkt eine deutliche Reduzierung der Netzwerk-, Client- und Serverauslastung. Im Offlinemodus kann die gemeinsame Nutzung von Lizenzen nicht erzwungen werden. Der Aufruf bestimmter Programme kann jedoch untersagt werden, indem die Anzahl der Lizenzen auf Null und der Zeitraum der Nichtverfügbarkeit dieser Programme auf 24 Stunden am Tag gesetzt wird. Die Erzwingung von Lizenzen darf nicht auf der Mitgliedschaft in einer Windows NTBenutzergruppe basieren.
Kapitel 8 Verwenden von SMS (Systems Management Server) für die Analyse der Netzwerkinfrastruktur
Weitere Informationen über die Softwareverteilung einschließlich der Prozesse für die Erstellung, Verteilung, Bekanntmachung und Messung eines SMS-Softwareverteilungspakets finden Sie im Kapitel „Verwenden von Systems Management Server zum Einrichten von Windows 2000“ in diesem Buch. Allgemeine Angaben zu den Themen SMS-Softwareverteilung und SMS-Softwareüberwachung finden Sie im Systems Management Server Administratorenhandbuch.
Planungstaskliste zur Netzwerkanalyse Mit Hilfe der Tabelle 8.4 können Sie sicherstellen, dass Sie alle notwendigen Schritte zur Vorbereitung Ihrer Netzwerkinfrastruktur durchführen. Tabelle 8.4
Planungstaskliste zur Netzwerkanalyse
Task
EntsprechendesKapitel
Erstellen eines Hardwareinventars Erstellen eines Softwareinventars
Bewerten des aktuellen Stands Ihrer Hardware
Erfassen von Daten zur Softwarenutzung
Bewerten des aktuellen Stands Ihrer Software
Berichte über die erfassten Daten Analyse der erfassten Daten Analyse der erfassten Daten anhand der Produktkompatibilitätsdatenbank
Melden der erfassten Daten Analysieren und Verwenden der erfassten Daten Melden der erfassten Daten
Überwachen des Netzwerks
Überwachen des Netzwerks
Bewerten des aktuellen Stands Ihrer Software
Zusätzliche Ressourcen ? Weitere Informationen zur Planung und Verwendung von SMS finden Sie im
Microsoft® Systems Management Server Administratorenhandbuch, das im Lieferumfang von SMS 2.0 enthalten ist. ? Weitere Informationen über SMS finden Sie auf der Website der technischen Referenz (http://windows.microsoft.com/windows2000/reskit/webresources) unter dem Hyperlink „Microsoft Systems Management Server“. ? Weitere Informationen über das Schreiben von Berichten anhand der von SMS erfassten Daten finden Sie auf der Website der technischen Referenz (http://windows.microsoft.com/windows2000/reskit/webresources) unter dem Hyperlink „Microsoft Systems Management Server Technical Details“. ? Weiterführende Informationen zu SMS finden Sie in der Dokumentation Microsoft® Systems Management Server Resource Guide in Microsoft BackOffice Resource Kit 4.5.
225
226
Teil II
Netzwerkinfrastruktur
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
T E I L
I I I
Active DirectoryInfrastruktur Die Planung für Microsoft® Active Directory™ erfordert ein umfangreiches Verständnis vieler Funktionen von Microsoft® Windows® 2000 und deren Zusammenwirken. Teil III liefert Informationen für die Entwicklung von Active Directory, Sicherheit und Domänenmigrationsplänen für Ihre Organisation. Kapitel in Teil III Entwerfen der Active Directory-Struktur 229 Bestimmen der Strategien für die Domänenmigration 289 Planen der verteilten Sicherheit 347 Planen der Infrastruktur für öffentliche Schlüssel 401
228
Teil 1 Planung
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
229
K A P I T E L
9
Entwerfen der Active DirectoryStruktur
Microsoft ® Windows® 2000 Server enthält einen Active Directory™ genannten Verzeichnisdienst. Die in diesem Kapitel vorgestellten Konzepte, Architekturelemente und Funktionen von Active Directory sind dem IT-Architekten und strategischen Planer Ihrer Organisation dabei behilflich, die für einen erfolgreichen Einsatz von Microsoft ® Windows® 2000 Active Directory wesentlichen Entwurfsdokumente herzustellen. Bevor Sie mit der Lektüre dieses Kapitels beginnen, sollten Sie sich detaillierte Kenntnisse über die IT-Verwaltungsgruppen, die Verwaltungshierarchie und die Netzwerktopologie Ihrer Organisation aneignen. Diese Kenntnisse werden Sie bei der Anwendung der Planungsrichtlinien dieses Kapitels auf Ihre eigene, individuelle Umgebung unterstützen. Inhalt dieses Kapitels Active Directory – eine Übersicht 230 Planen von Active Directory 233 Erstellen eines Gesamtstrukturplans 235 Erstellen eines Domänenplans 242 Erstellen eines Plans für Organisationseinheiten 267 Erstellen eines Standorttopologieplans 277 Planungstaskliste für das Entwerfen der Active Directory-Struktur
287
Zielsetzungen Dieses Kapitel unterstützt Sie bei der Entwicklung folgender Planungsdokumente: ? Gesamtstrukturplan ? Domänenplan für jede Gesamtstruktur ? Plan der Organisationseinheit (OE) für jede Domäne ? Standorttopologieplan für jede Gesamtstruktur
Weiterführende Informationen inder technischen Referenz ? Weitere Informationen über das Migrieren von Domänen zu Windows 2000 finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in diesem Buch. ? Weitere Informationen über Sicherheitsstandards von Windows 2000 wie beispielsweise das Kerberos-Protokoll finden Sie unter „Planen der verteilten Sicherheit“ in diesem Buch.
230
Teil III
Active Directory-Infrastruktur ? Weitere Informationen über fortgeschrittene Netzwerkkonzepte finden Sie
unter „Festlegen von Strategien für Netzwerkverbindungen“ in diesem Buch. ? Weitere Informationen über Microsoft ® IntelliMirror™ oder Gruppenrichtlinien finden Sie unter „Anwenden der Änderungs- und Konfigurationsverwaltung“ in diesem Buch. ? Weitere technische Informationen zu Active Directory finden Sie im Handbuch Microsoft® Windows® 2000 Server – Die technische Referenz: Verteilte Systeme. ? Weitere Informationen zu DNS (Domain Name System) finden Sie unter „Einführung in DNS“ im Handbuch Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke.
Active Directory – eine Übersicht Active Directory erfüllt viele Funktionen, vom Backbone für verteilte Sicherheit bis hin zum Anbieten eines Frameworks zur Veröffentlichung von Diensten. Active Directory bietet einen zentralen Dienst für Administratoren zur Organisation von Netzwerkressourcen, zur Verwaltung von Benutzern, Computern und Anwendungen und zur Sicherung von Netzwerkzugriffen auf das Intranet und Internet. Da eine zunehmende Anzahl verteilter Anwendungen die Vorteile von Active Directory nutzt, ersparen Sie sich die Implementierung und Verwaltung anwendungsspezifischer Verzeichnisdienste. Das Resultat ist die Einsparung von Verwaltungs- und Hardwarekosten. Anmerkung Sie können Windows 2000 Server und Microsoft ® Windows® 2000 Professional vor, parallel zu oder nach Active Directory einrichten. Es ist nicht nötig, Active Directory zuerst einzurichten. Sie können von vielen neuen Funktionen von Windows 2000 profitieren, indem Sie Mitgliedsserver und Clientcomputer sofort aktualisieren. Weitere Informationen über das Aktualisieren von Mitgliedsservern finden Sie unter „Aktualisieren und Installieren von Mitgliedsservern“ in dieser Dokumentation.
Primäre Funktionen von Active Directory Die Funktionen von Windows 2000 Active Directory bieten viele Vorteile für Ihr Netzwerk, wie beispielsweise die folgenden: Sicherheit Active Directory bietet die Infrastruktur für eine Vielzahl neuer Sicherheitsfunktionen. Durch gegenseitige Authentifizierung können Clients vor der Übertragung vertraulicher Daten nun die Identität eines Servers überprüfen. Aufgrund der Unterstützung von Sicherheitsprogrammen mit öffentlichen Schlüsseln können Benutzer sich mit Smartcards anstelle von Kennwörtern anmelden.
Kapitel 9 Entwerfen der Active Directory-Struktur
231
Vereinfachte und flexible Verwaltung Objekte in Active Directory haben eine attributorientierte Zugriffssteuerung, was eine sehr präzise Delegierung von Administrationsaufgaben erlaubt. Die Delegierung von Administrationsaufgaben ermöglicht Ihnen eine effizientere Zuordnung der administrativen Verantwortlichkeiten in Ihrer Organisation und reduziert die Anzahl der Benutzer, die über domänenweite Kontrollfunktionen verfügen müssen. Skalierbarkeit Active Directory verwendet DNS (Domain Name System) als Locator-Methode. DNS ist ein hierarchischer, verteilter, vielseitig skalierbarer Namespace, der im Internet verwendet wird, um Computer- und Dienstnamen in TCP/IP-Adressen (Transmission Control Protocol/Internet Protocol) aufzulösen. Das Verzeichnis speichert Informationen unter Verwendung von Domänen. Dies sind Partitionen, die die Verteilung des Verzeichnisses über ein großes Netzwerk von unterschiedlicher Geschwindigkeit und Zuverlässigkeit ermöglichen. Das Verzeichnis verwendet eine Datenbanktechnologie und wurde für die Annahme von Millionen von Objekten (Benutzer, Gruppe, Computer, freigegebene Dateiordner, Drucker u. a.) geprüft. Diese Kombination von skalierbarem Locator, Partitionierungsfunktionen und skalierbarem Speicher gewährleistet, dass das Verzeichnis mit Ihrer Organisation mitwachsen kann. Hohe Verfügbarkeit Herkömmliche Verzeichnisse mit einer Single Master-Replikation bieten zwar hohe Verfügbarkeit für Abfragen, nicht jedoch für Aktualisierungsoperationen. Active Directory mit Multimaster-Replikation bietet hohe Verfügbarkeit sowohl für Abfragen als auch für Aktualisierungsoperationen. Erweiterbarkeit Das Schema mit den Definitionen für jede Objektklasse, die in einem Verzeichnisdienst vorhanden sein kann, ist erweiterbar. Dies ermöglicht es Administratoren und Softwareentwicklern, das Verzeichnis nach ihren Bedürfnissen anzupassen. Unterstützungoffener Standards Active Directory greift auf standardbasierte Protokolle zurück, wie z. B.: ? DNS für die Installation von Servern mit Active Directory. ? LDAP (Lightweight Directory Access Protocol) als Abfrage- und
Aktualisierungsprotokoll. ? Das Protokoll Kerberos zur Anmeldung und Authentifizierung. Diese Unterstützung offener Standards ermöglicht es, unterschiedlichste Softwareprogramme mit Active Directory zu verwenden, wie z. B. LDAPbasierende Adressbuchclients.
232
Teil III
Active Directory-Infrastruktur
EinfacherProgrammierzugriff ADSI (Active Directory Service Interfaces) sind von einer Vielzahl von Programmierplattformen zugänglich, einschließlich Skriptsprachen, wie Visual Basic Script. Mit ADSI können Administratoren und Softwareentwickler schnell leistungs- und verzeichnisfähige Anwendungen erstellen. Ein Beispiel für eine verzeichnisfähige Anwendung ist eine Anwendung, die das Verzeichnis nach Daten oder Konfigurationsinformationen durchliest.
Grundlage für neue Technologien Zusätzlich zu den zuvor erörterten grundlegenden Vorteilen dient Active Directory bei unserer Windows 2000-Einrichtung als aktivierende Infrastruktur für andere neue Technologien und Funktionen, wie beispielsweise: IntelliMirror Windows 2000 bietet eine Vielzahl von Technologien zur Änderungs- und Konfigurationsverwaltung. IntelliMirror und ROSIM (Remote Operating System Installation Management) helfen Ihnen, den Arbeits- und Kostenaufwand bei der Verwaltung und Unterstützung von Clients zu reduzieren. Weitere Informationen über die Implementierung dieser Technologien finden Sie unter „Anwenden der Änderungs- und Konfigurationsverwaltung“ und „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ in diesem Buch. Verzeichniskonsolidierung Die Skalierbarkeit und Erweiterbarkeit von Active Directory macht es zu einem idealen Konsolidierungswerkzeug für Anwendungen auf Ihrem Netzwerk, die separate interne Verzeichnisse verwenden. Sie können z. B.: ? eine vollständige Verzeichniskonsolidierung durchführen, in der Produkte wie
Microsoft ® Exchange Server die eigenen Verzeichniskomponenten aufgeben und sich in Verwaltung und Betrieb nur auf Active Directory verlassen. ? die Verwaltung konsolidieren, indem Sie Verzeichnisinformationen in Active Directory verwalten und die Verzeichnissynchronisation dazu verwenden, Remoteverzeichnisse auf dem neuesten Stand zu halten. ? Ihre vorhandenen Microsoft ® Windows NT ®-Domänen konsolidieren und dabei möglicherweise die Gesamtzahl der in Ihrem Netzwerk verwalteten Objekte und Hardware reduzieren. ErweiterteNetzwerkkonzepte IPSec (Internet Protocol Security), die Netzwerkfunktionen von QoS (Quality of Service) und neue RAS-Funktionen sind Beispiele für erweiterte Netzwerkkonzeptfunktionen, die von Active Directory aktiviert werden.
Kapitel 9 Entwerfen der Active Directory-Struktur
233
Planen von Active Directory Bei der Planung und Einrichtung Ihres unternehmensweiten Active Directory definieren Sie einen wesentlichen Teil der Netzwerkinfrastruktur Ihrer Organisation. In diesem Plan erstellen Sie eine Reihe von Strukturen, die Ihre Organisation optimal reflektieren. Die erstellten Strukturen werden Folgendes bestimmen: ? die Verfügbarkeit und Fehlertoleranz des Directory. ? die Merkmale der Netzwerkauslastung von Verzeichnisclients und -servern. ? wie effizient Sie die Inhalte des Verzeichnisses verwalten können. ? die Art und Weise, wie Benutzer das Verzeichnis anzeigen und damit arbeiten. ? die Fähigkeit der Verzeichnisstrukturen, mit Ihrer Organisation mitzuwachsen.
Eine gut durchdachte Planung ist für einen kostensparenden Einsatz von Active Directory von wesentlicher Bedeutung. Eine ausreichend bemessene Planungsphase hilft Ihnen, zeitaufwendige Überarbeitungen von bereits implementierten Strukturen zu vermeiden. Zur Erstellung der Pläne für Ihr Verzeichnis folgen Sie den Planungsschritten in diesem Kapitel. Während Sie die Pläne erstellen: ? lernen Sie die Schlüsselkonzepte von Active Directory kennen, die die
Strukturplanung beeinflussen, und passen die vorgeschlagenen Planungsschritte den jeweiligen Anforderungen Ihrer Organisation an. ? ermitteln Sie die Mitarbeiter in Ihrer Organisation, die an der Strukturplanung teilnehmen sollten. ? erkennen Sie, welche vorhandenen Geschäftsabläufe möglicherweise geändert oder weiterentwickelt werden müssen, um Active Directory optimal nutzen zu können. ? verstehen Sie die Flexibilität der erstellten Strukturen und erkennen, welche Entscheidung in der Zukunft leicht, und welche nur mit einem gewissen Aufwand wieder geändert werden kann. Abbildung 9.1 zeigt die ersten Schritte zur Planung Ihrer Active DirectoryStruktur. Dieses Kapitel behandelt jeden dieser Schritte nun im Detail.
234
Teil III
Active Directory-Infrastruktur
Abbildung 9.1
Planungsprozess für eine Active Directory-Struktur
Allgemeine Planungsprinzipien Verwenden Sie bei der Ausarbeitung Ihres Active Directory-Plans folgende Planungsprinzipien zur Entscheidungsfindung. Einfachheit ist die beste Investition Einfache Strukturen sind leichter zu erklären, einfacher zu verwalten und einfacher nach Fehlern zu durchforsten. Komplexe Ergänzungen können die Struktur durchaus aufwerten. Vergewissern Sie sich jedoch, dass diese Aufwertung die möglichen Mehrkosten für die aufwendigere Verwaltung auch rechtfertigt. So kann die maximale Optimierung des Abfrage- und Replikationsverkehrs beispielsweise eine komplexe Standorttopologie erfordern. Diese ist jedoch in der Verwaltung weit aufwendiger als eine einfache Standorttopologie. Berücksichtigen Sie stets die Vor- und Nachteile von zusätzlichen Fähigkeiten und zusätzlicher Komplexität, bevor Sie sich für eine komplexe Struktur entscheiden. Alle erstellten Strukturen müssen während ihrer gesamten Betriebsdauer verwaltet und gewartet werden. Wenn Sie ohne besondere Notwendigkeit eine Struktur erstellen, wird der zusätzliche Kostenaufwand schließlich höher sein, als der zusätzliche Nutzen. Begründen Sie die Existenzberechtigung jeder Struktur, die Sie erstellen. Ihre Geschäftsziele und Ihre Organisation werden sich immer verändern Die normalerweise in einer Organisation anfallenden Veränderungen, von veränderten Beschäftigtenstrukturen bis hin zu unternehmensweiten Reorganisationen oder Aquisitionen beeinflussen auch Ihre Active DirectoryStruktur. Bei der Planung Ihrer Struktur sollten Sie die Auswirkungen solcher Veränderungen auf die Nutzung des Verzeichnisses durch Endbenutzer und Administratoren berücksichtigen. Betrachten Sie beispielsweise den Einfluss, den
Kapitel 9 Entwerfen der Active Directory-Struktur
235
die letzte größere Reorganisation des Unternehmens auf die zuvor geplanten Strukturen gehabt hätte. Welche Änderungen sind erforderlich, wenn ein neuer Standort oder eine neue Niederlassung hinzukommen? Wären aufgrund dieser Änderungen wesentliche und kostenaufwendige Änderungen an der Active Directory-Struktur nötig? Stellen Sie sicher, dass Ihre Planung ausreichend allgemein und flexibel gehalten ist, um konstante und wesentliche Veränderungen einzubeziehen. Streben Sie den idealen Entwurf an Entwerfen Sie im ersten Durchgang eine Idealstruktur, auch wenn diese Ihre derzeitige Domänen- oder Verzeichnisinfrastruktur nicht reflektiert. Es ist nützlich und praktisch, das Idealziel zu kennen, selbst wenn es derzeit nicht erreicht werden kann. Weitere Informationen über die Kosten der Migration Ihres Netzwerks zum Idealplan finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in dieser Dokumentation. Wägen Sie diese Kosten gegen die langfristigen Einsparungen des Idealplans ab und korrigieren Sie die Planung entsprechend. Untersuchen Sie Alternativentwürfe Prüfen Sie jeden Entwurf in mehreren Durchgängen. Der Wert eines Entwurfs offenbart sich am besten im Vergleich mit Alternativen. Kombinieren Sie die besten Ideen aller Entwürfe zu dem Plan, der schließlich implementiert wird.
Zusammensetzen der Pläne für die Active Directory-Struktur Es gibt vier Grundkomponenten, aus denen eine Active Directory-Struktur besteht. Gesamtstrukturen, Domänen, Organisationseinheiten und Standorte. Ziel des Active Directory-Strukturplans ist die Erstellung eines Planungsdokuments für jede einzelne Strukturkomponente, wobei wichtige Entscheidungen und Begründungen während der Erstellung festgehalten werden. Diese Planungsdokumente dienen dann als Startbasis für die nächste Planungstask, die Migration. Der Active Directory-Strukturplan setzt sich aus folgenden vier Planungsdokumenten zusammen: ? Gesamtstrukturplan ? Domänenplan für jede Gesamtstruktur ? Plan der Organisationseinheit (OE) für jede Domäne ? Standorttopologieplan für jede Gesamtstruktur
Erstellen eines Gesamtstrukturplans Eine Gesamtstruktur ist eine Gruppe von Active Directory-Domänen. Gesamtstrukturen dienen hauptsächlich zwei Zielen: Vereinfachte Benutzerinteraktion mit dem Verzeichnis und einfachere Verwaltung mehrerer Domänen. Gesamtstrukturen weisen folgende Schlüsselmerkmale auf: Einzelschema Das Active Directory-Schema definiert die Objektklassen und ihre Attribute, die in dem Verzeichnis erstellt werden können. Objektklassen definieren die Objekttypen, die in dem Verzeichnis erstellt werden können. Das Schema existiert als Namenskontext, der an jeden Domänencontroller in der Gesamtstruktur repliziert
236
Teil III
Active Directory-Infrastruktur
wird. Die Sicherheitsgruppe der Schemaadministratoren hat die vollständige Kontrolle über das Schema. Einzelkonfigurationscontainer Der Active Directory-Konfigurationscontainer ist ein Namenskontext, der an jeden Domänencontroller in der Gesamtstruktur repliziert wird. Verzeichnisfähige Anwendungen speichern Informationen im Konfigurationscontainer, die für die ganze Gesamtstruktur gelten. Active Directory speichert im Konfigurationscontainer beispielsweise Informationen über das physische Netzwerk und verwendet diese zur Erstellung von Replikationsverbindungen zwischen Domänencontrollern. Die Sicherheitsgruppe der Unternehmensadministratoren hat die vollständige Kontrolle über den Konfigurationscontainer. Durch die gemeinsame Nutzung einer einzelnen, konsistenten Konfiguration innerhalb der Domänen einer Gesamtstruktur müssen die einzelnen Domänen nicht gesondert konfiguriert werden. VollständigesVertrauen Active Directory erstellt automatisch transitive, beidseitige Vertrauensstellungen zwischen den Domänen einer Gesamtstruktur. Benutzer und Gruppen aller Domänen können von jedem Mitgliedscomputer in der Gesamtstruktur erkannt und in Gruppen oder Zugriffssteuerungslisten (ACLs) aufgenommen werden. Vollständiges Vertrauen vereinfacht die Verwaltung mehrerer Domänen in Windows 2000. In früheren Versionen von Windows NT war das Modell mit mehreren Masterdomänen (Multiple Master Domain) für die Einrichtung von Domänen sehr verbreitet. In diesem Modell wurde eine Domäne, die vorwiegend Benutzerkonten enthielt, Hauptbenutzerdomäne genannt. Eine Domäne mit vorwiegend Computerkonten und Ressourcen wurde als Ressourcendomäne bezeichnet. Häufig wird z. B. eine kleine Anzahl von Hauptbenutzerdomänen eingerichtet, denen eine große Anzahl von Ressourcendomänen vertraut. Das Hinzufügen einer neuen Domäne zu dieser Einrichtung erforderte die Erstellung mehrerer Vertrauensstellungen. Wenn Sie mit Windows 2000 Active Directory eine Domäne zu einer Gesamtstruktur hinzufügen, wird sie automatisch mit einer beiderseitigen, transitiven Vertrauensstellung konfiguriert. Sie müssen keine zusätzlichen Vertrauensstellungen mit den übrigen Domänen in derselben Gesamtstruktur erzeugen. Ein Globaler Katalog Der Globale Katalog enthält eine Kopie von jedem Objekt der Domänen einer Gesamtstruktur, jedoch nur einen Auswahlsatz an Attributen eines jeden Objekts. Der Globale Katalog ermöglicht schnelle und effiziente Suchvorgänge innerhalb der ganzen Gesamtstruktur.
Kapitel 9 Entwerfen der Active Directory-Struktur
237
Der Globale Katalog macht die Verzeichnisstrukturen innerhalb einer Gesamtstruktur für Endbenutzer transparent. Die Verwendung des Globalen Katalogs als Suchbereich vereinfacht das Suchen von Objekten im Verzeichnis. Das Anmelden wurde durch UPNs (User Principal Names) und den Globalen Katalog folgendermaßen vereinfacht: Benutzer durchsuchen den Globalen Katalog In der Benutzeroberfläche der Verzeichnissuche ist bei der Auswahl eines Suchbereichs der Globale Katalog als Gesamtes Verzeichnis dargestellt. Die Benutzer können die Gesamtstruktur durchsuchen, ohne Vorkenntnisse über deren Aufbau besitzen zu müssen. Eine einzige, konsistente Suchoberfläche reduziert die Notwendigkeit, die Benutzer über die Verzeichnisstruktur zu unterrichten und ermöglicht Administratoren die Änderung des Aufbaus einer Gesamtstruktur, ohne zugleich die Form der Interaktion zwischen Benutzer und Verzeichnis zu verändern. Benutzeranmeldungen unter Verwendung von UPNs (User Principal Names) Ein UPN ist ein Name ähnlich einem E-Mail-Namen, der einen Benutzer eindeutig repräsentiert. Ein UPN besteht aus zwei Teilen, einem Benutzeridentifikations- und einem Domänenbestandteil. Die beiden Teile werden durch das Symbol “@” getrennt. @ bilden also z. B. [email protected]. Jedem Benutzer wird automatisch ein Standard-UPN zugewiesen. Der -Namensteil ist identisch mit dem Anmeldenamen des Benutzers, der Teil ist der DNS-Name der Active Directory-Domäne, in der sich das Benutzerkonto befindet. Bei der Anmeldung mit einem UPN müssen Benutzer keine Domäne mehr aus einer Liste des Dialogfelds Anmelden auswählen. Sie können UPNs für bestimmte Werte voreinstellen. Wenn z. B. das Konto von Liz in der Domäne noam.reskit.com angesiedelt ist, kann ihr UPN dennoch [email protected] lauten. Wenn der Benutzer sich anmeldet, wird das zu bestätigende Benutzerkonto im Globalen Katalog anhand des entsprechenden UPNWerts gefunden. Indem sie die UPN-Werte unabhängig von den Domänennamen vergeben, können Administratoren Benutzerkonten zwischen Domänen verschieben, dabei die UPN-Werte unverändert lassen und die Verschiebungen zwischen den Domänen für den Benutzer transparenter gestalten.
Planungsprozess für die Gesamtstruktur Die primären Schritte für das Erstellen eines Gesamtstrukturplans sind: ? Festlegen der Anzahl der Gesamtstrukturen für das Netzwerk. ? Erstellen einer Richtlinie für die Revisionskontrolle von Gesamtstrukturen ? Berücksichtigen der Auswirkung von Änderungen am Gesamtstrukturplan
nach der Einrichtung. Folgende Personen sollten Sie beim Erstellen des Gesamtstrukturplans zur Beratung heranziehen: ? Die derzeit für die Benutzerkonten, Gruppen und Computer verantwortlichen
Domänenadministratoren. ? Das Netzwerk-Sicherheitsteam.
238
Teil III
Active Directory-Infrastruktur
Festlegen der Anzahl der Gesamtstrukturen für das Netzwerk Wenn Sie die Planung Ihres Gesamtstrukturmodells aufnehmen, beginnen Sie mit einer einzelnen Gesamtstruktur. Eine einzelne Gesamtstruktur ist in vielen Situationen völlig ausreichend. Wenn Sie sich jedoch entscheiden, zusätzliche Gesamtstrukturen zu erstellen, vergewissern Sie sich, dass Sie über eine berechtigte technische Begründung verfügen.
Erstellen einer Umgebung mit einer Gesamtstruktur Eine Umgebung mit nur einer Gesamtstruktur ist einfach zu erstellen und zu warten. Alle Benutzer sehen im Globalen Katalog ein einziges Verzeichnis und müssen sich um keine Verzeichnisstruktur kümmern. Beim Hinzufügen einer neuen Domäne zu dieser Gesamtstruktur ist keine zusätzliche Konfiguration der Vertrauensstellungen erforderlich. Änderungen der Konfiguration müssen nur einmal ausgeführt werden und sind dann für alle Domänen wirksam.
Erstellen einer Umgebung mit mehreren Gesamtstrukturen Wenn die Verwaltung Ihres Netzwerks über viele unabhängige Hauptabteilungen verteilt ist, kann das Erstellen von mehreren Gesamtstrukturen notwendig sein. Da Gesamtstrukturen bestimmte Elemente, wie das Schema, gemeinsam nutzen, müssen alle Teilnehmer einer Gesamtstruktur dem Inhalt und der Verwaltung dieser gemeinsamen Elemente zustimmen. Organisationen wie Partnerschaften und Mischkonzerne verfügen eventuell nicht über ein Zentralorgan, das diesen Prozess steuert. In kurzlebigen Organisationen wie Jointventures ist es möglicherweise unrealistisch zu erwarten, dass Administratoren jeder einzelnen Organisation an einer Gesamtstrukturverwaltung zusammenarbeiten. Bei mehreren Einzelorganisationen kann es aus folgenden Gründen notwendig sein, mehr als eine Gesamtstruktur zu erstellen: Dieeinzelnen Organisationen vertrauen anderen Administratoren nicht Von jedem Objekt einer Gesamtstruktur findet sich im Globalen Katalog eine Darstellung. Ein Administrator, dem die Fähigkeit der Objekterstellung zugewiesen wurde, kann absichtlich oder unabsichtlich eine Bedingung „Dienstverweigerung“ erstellen. Sie können diese Bedingung dadurch erzeugen, dass Sie Objekte schnell erstellen oder löschen. Dadurch verursachen Sie eine große Anzahl von Replikationen im Globalen Katalog. Übermäßige Replikation kann unnötig Netzwerkbandbreite belegen und globale Katalogserver verlangsamen, da sie einige Zeit für die Durchführung der Replikation benötigen. Keine Einigkeit übereine Richtlinie für die Revisionskontrolle von Gesamtstrukturen Änderungen des Schemas, der Konfiguration und die Hinzufügung neuer Domänen zu einer Gesamtstruktur haben Auswirkungen auf die ganze Gesamtstruktur. Jede Organisation innerhalb einer Gesamtstruktur muss dem Implementierungsprozess dieser Änderungen und der Mitgliedschaft von Schemaadministratoren und Gruppen der Unternehmensadministratoren zustimmen. Wenn Organisationen keiner gemeinsamen Richtlinie zustimmen können, können sie auch nicht dieselbe Gesamtstruktur nutzen. Die Erstellung einer Richtlinie für die Revisionskontrolle von Gesamtstrukturen wird weiter unten in diesem Kapitel erörtert.
Kapitel 9 Entwerfen der Active Directory-Struktur
239
Sie möchten die Reichweite von Vertrauensstellungen einschränken Jede Domäne einer Gesamtstruktur vertraut jeder anderen Domäne derselben Gesamtstruktur. Jeder Benutzer in einer Gesamtstruktur kann in eine Gruppenmitgliedschaft aufgenommen werden oder auf der Zugriffssteuerungsliste eines beliebigen Computers in der Gesamtstruktur erscheinen. Wenn Sie möchten, dass bestimmte Benutzer niemals die Berechtigung für bestimmte Ressourcen erhalten, dann müssen diese Benutzer auf anderen Gesamtstrukturen abgelegt werden als die Ressourcen. Falls nötig, können Sie explizite Vertrauenstellungen verwenden, um diesen Benutzern Zugriff auf Ressourcen spezifischer Domänen zu gewähren.
Mehrkosten für eine zusätzliche Gesamtstruktur Jede Gesamtstruktur, die Sie erstellen, führt zu einem feststehenden Verwaltungsaufwand: ? Jede zusätzliche Gesamtstruktur muss mindestens eine Domäne enthalten. Dies
kann dazu führen, dass Sie mehr Domänen benötigen, als Sie ursprünglich planten. Mit dem Erstellen und Verwalten einer Domäne sind feste Kosten verbunden. Diese Kosten werden weiter unten in diesem Kapitel aufgeführt. ? Sie müssen die gesamtstrukturweiten Komponenten jeder Gesamtstruktur separat verwalten (z. B. das Schema, die Elemente des Konfigurationscontainers und ihre zugehörigen Verwaltungsgruppenzugehörigkeiten), selbst wenn sie im Grunde identisch sind. Damit ein Benutzer in einer Gesamtstruktur eine Ressource in einer anderen Gesamtstruktur verwenden kann, müssen Sie folgende zusätzliche Konfiguration durchführen: ? Für den Zugriff von Benutzern einer Gesamtstruktur auf die Ressourcen einer
anderen Gesamtstruktur müssen Sie eine explizite Vertrauensstellung zwischen den beiden Domänen erstellen und warten. Eine explizite Vertrauensstellung zwischen Domänen in unterschiedlichen Gesamtstrukturen ist unidirektional und nicht transitiv. Ohne eine eingerichtete Vertrauensstellung kann Benutzern einer Gesamtstruktur kein Zugriff auf die Objekte einer anderen Gesamtstruktur gewährt werden. ? Standardmäßig nehmen Benutzer einer Gesamtstruktur nur Objekte im Globalen Katalog ihrer eigenen Gesamtstruktur wahr. Um Objekte in einer anderen Gesamtstruktur aufzufinden, müssen Benutzer explizit Domänen außerhalb ihrer Gesamtstruktur abfragen. Alternativ dazu können Administratoren Daten aus anderen Domänen in die Gesamtstruktur des Benutzers importieren. Dies kann aus folgenden Gründen zu zusätzlichen Kosten führen: ? Benutzer müssen im Verständnis von Verzeichnisstrukturen geschult werden, so dass sie wissen, wohin sie Abfragen leiten müssen, wenn Abfragen des Globalen Katalogs fehlschlagen. ? Wenn Sie Daten aus einer Domäne in eine separate Gesamtstruktur importieren, müssen Sie einen Prozess einleiten, damit die importierten Daten auf dem neuesten Stand bleiben, wenn Änderungen in der Quelldomäne vorgenommen werden.
240
Teil III
Active Directory-Infrastruktur
Abbildung 9.2 ist ein Beispiel für eine Konfiguration zwischen Gesamtstrukturen, in der ein Benutzer einer Gesamtstruktur auf eine veröffentlichte Ressource in einer anderen Gesamtstruktur zugreifen muss. Eine explizite, unidirektionale Vertrauensstellung wurde erzeugt, so dass dem Benutzer Zugriff auf die Ressource gewährt werden kann. Die Darstellung der Ressource im Verzeichnis wird in die Gesamtstruktur des Benutzers importiert, wo sie im Globalen Katalog erscheint.
Abbildung 9.2 Zusätzliche Konfiguration für einen Ressourcenzugriff zwischen Gesamtstrukturen
Einige Funktionen, die innerhalb einer Gesamtstruktur verfügbar sind, sind zwischen Gesamtstrukturen nicht verfügbar: ? Sie können nur Standard-UPNs verwenden, wenn ein Benutzerkonto sich in
einer anderen Gesamtstruktur befindet als der Computer, der zur Anmeldung verwendet wurde. Standard-UPNs sind erforderlich, da ein Domänencontroller in der Gesamtstruktur des Computers im Globalen Katalog kein Benutzerkonto mit einer entsprechenden UPN findet. Das Benutzerkonto erscheint im Globalen Katalog einer anderen Gesamtstruktur. Der Domänencontroller, der die Anmeldung behandelt, muss dann den -Bestandteil des UPN verwenden, um einen Domänencontroller zur Bestätigung der Benutzeridentität zu finden. ? Die Anmeldung mit einer Smartcard beruht auf einem UPN. Für Anmeldungsvorgänge mit Smartcards über mehrere Gesamtstrukturen hinweg müssen Standard-UPNs verwendet werden. ? Sicherheitsprincipals können zwischen den Domänen derselben Gesamtstruktur verschoben werden, zwischen Domänen unterschiedlicher Gesamtstrukturen ist jedoch eine Duplizierung erforderlich. Das Duplizieren ist für Endbenutzer nicht so transparent wie das Verschieben zwischen Domänen. Weitere Informationen über das Duplizieren finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in dieser Dokumentation.
Kapitel 9 Entwerfen der Active Directory-Struktur
241
Wenn Sie die Anzahl der erforderlichen Gesamtstrukturen festlegen, sollten Sie beachten, dass Benutzer nicht unbedingt die gleichen Prioritäten setzen wie Administratoren. Benutzer werden in einem Szenario mit mehreren Gesamtstrukturen die meisten Vorzüge einbüßen. Einige Organisation verlagern beispielsweise ihre Netzwerkadministration an mehrere unterschiedliche Vertragspartner. Im Allgemeinen wird ein Vertragspartner gemäß der Netzwerkleistung bezahlt, und die oberste Priorität liegt in der Erhaltung eines stabilen Netzwerks. Möglicherweise möchte ein Vertragspartner verhindern, dass ein anderer Vertragspartner auf Computer in seinem Bereich Einfluss nehmen kann. Getrennte Gesamtstrukturen sind dann eine Möglichkeit, dies sicherzustellen. Getrennte Gesamtstrukturen können allerdings für Benutzer einen Nachteil darstellen, die nun nicht länger über eine einzige, konsistente Ansicht des Verzeichnisses verfügen. Versuchen Sie in einer solchen Situation, das Problem der Verwaltungsabgrenzung nicht mit Hilfe getrennter Gesamtstrukturen zu lösen. In Fällen, in denen es nicht für alle Benutzer von Bedeutung ist, über eine konsistente Ansicht des Verzeichnisses zu verfügen, können mehrere Gesamtstrukturen durchaus geeignet sein. Für einen ISP (Internet Service Provider) zum Beispiel, der Active Directory als Hostdienst für mehrere Unternehmen anbietet, eignet sich dieses Modell sehr gut. Die Benutzer in unterschiedlichen Client-Unternehmen benötigen keine konsistente gemeinsame Ansicht des ganzen Verzeichnisses. Auch gibt es keinen Grund, zwischen den Unternehmen eine transitive Vertrauensstellung einzurichten. Hier ist die Einrichtung getrennter Gesamtstrukturen also nützlich und angebracht.
Erstellen einer Richtlinie für die Revisionskontrolle von Gesamtstrukturen Jeder erstellten Gesamtstruktur sollte als Teil des Planungsdokuments für die Gesamtstruktur eine Richtlinie für die Revisionskontrolle beigefügt werden. Diese Richtlinie wird bei der Überwachung von Änderungen verwendet, die die ganze Gesamtstruktur betreffen. Sie müssen nicht die einzelnen Vorgänge festlegen, bevor Sie fortfahren, wichtig ist nur, dass Sie wissen, wozu sie gehören. Die Richtlinie sollte Informationen über alle gemeinsam genutzten Elemente in der Gesamtstruktur enthalten.
Richtlinie für die Schemarevision Die Sicherheitsgruppe der Schemaadministratoren hat die vollständige Kontrolle über das Schema einer Gesamtstruktur. Die Richtlinie für die Schemarevision sollte Folgendes enthalten: ? Name des Teams in Ihrer Organisation, das die Gruppe der
Schemaadministratoren kontrolliert. ? Die Anfangszugehörigkeit zur Gruppe der Schemaadministratoren. ? Richtlinien und einen Prozess für die Anfrage und Auswertung von Schemaänderungen. Weitere Informationen zu Active Directory-Schema finden Sie im Band Microsoft® Windows® 2000 Server – Die technische Referenz: Verteilte Systeme.
242
Teil III
Active Directory-Infrastruktur
Richtlinie für die Konfigurationsrevision Die Gruppe der Unternehmensadministratoren hat die vollständige Kontrolle über den Konfigurationscontainer, der in der Gesamtstruktur repliziert wird. Die Richtlinie für die Konfigurationsrevision sollte Folgendes enthalten: ? Den Namen des Teams in Ihrer Organisation, das die Gruppe der Unternehmensadministratoren kontrolliert. ? Die Anfangszugehörigkeit zur Gruppe der Unternehmensadministratoren. ? Richtlinien und einen Prozess für die Erstellung neuer Domänen in der Gesamtstruktur. ? Richtlinien und einen Prozess für die Änderung der Standorttopologie der
Gesamtstruktur. (Die Standorttopologie wird im Abschnitt „Erstellen eines Standorttopologieplans“ weiter unten in diesem Kapitel erörtert.)
Ändern des Gesamtstrukturplans nach der Einrichtung Eine neu erstellte Domäne kann zu einer vorhandenen Gesamtstruktur hinzugefügt werden. Sie können eine Domäne erstellen, indem Sie einen Windows 2000basierten Server als Active Directory-Domänencontroller einsetzen oder einen primären Domänencontroller unter Microsoft® Windows NT ® Version 3.51 oder Microsoft ® Windows NT® Version 4.0 auf Windows 2000 aktualisieren. Kritischer Entscheidungspunkt Zwei Gesamtstrukturen können nicht in einem Schritt zusammengeführt werden. Auch das Verschieben einer Domäne zwischen Gesamtstrukturen kann nicht in einem Schritt durchgeführt werden. Es ist überaus wichtig, den Plan für die Gesamtstruktur zu entwerfen, so dass bei Veränderungen Ihrer Organisation nur minimale Umstrukturierungen erforderlich sind. Einzelobjekte können zwischen Gesamtstrukturen verschoben werden. Welche Objekttypen Sie verschieben können, hängt von dem Programm ab, mit dem sie verschoben werden. Die meisten Import- und Exportoperationen erfolgen mit Hilfe des befehlszeilenorientierten Programms LDAP-Data Interchange Format (LDIFDE.EXE). Das Duplizieren von Sicherheitsprincipals kann mit dem Tool ClonePrincipal durchgeführt werden. Informationen zu diesen Tools finden Sie in der Hilfe auf der Begleit-CD zu dieser technischen Referenz.
Erstellen eines Domänenplans Im Folgenden werden einige Schlüsselmerkmale von Windows 2000-Domänen beschrieben, die Sie berücksichtigen sollten, wenn Sie mit der Erstellung eines Domänenstrukturplans beginnen. PartitionderGesamtstruktur Eine Active Directory-Gesamtstruktur ist eine verteilte Datenbank, wobei die Partitionen der Datenbank durch Domänen definiert sind. Eine verteilte Datenbank besteht aus vielen Teildatenbanken, die über zahlreiche Computer verstreut liegen, im Gegensatz zu einer einzigen Datenbank auf einem Computer. Das Aufteilen einer Datenbank in Teildatenbanken und die Verteilung dieser Teildatenbanken dorthin, wo die betreffenden Daten am häufigsten benötigt werden, ermöglicht es, eine große Datenbank effizient über ein großes Netzwerk zu verteilen.
Kapitel 9 Entwerfen der Active Directory-Struktur
243
DienstevonDomänencontrollerservern Wie in Windows NT 4.0 werden Server unter Windows 2000, die eine Domänendatenbank enthalten, Domänencontroller genannt. Ein Domänencontroller kann der Controller für genau eine Domäne sein. Sie können auf jedem Domänencontroller dieser Domäne Änderungen an Objekten der Domäne durchführen. Alle Domänencontroller einer bestimmten Gesamtstruktur enthalten auch Kopien der Konfigurations- und Schemacontainer. Authentifizierungseinheit Jede Domänendatenbank enthält Objekte der Sicherheitsprincipals, wie Benutzer, Gruppen und Computer. Das Besondere an Objekten von Sicherheitsprincipals ist, dass ihnen der Zugriff auf die Netzwerkressourcen gewährt oder verweigert werden kann. Objekte von Sicherheitsprincipals müssen von einem Domänencontroller für die Domäne, in der sie sich befinden, authentifiziert werden. Die Authentifizierung erfolgt, um die Identität der Objekte zu bestätigen, bevor sie auf eine Ressource zugreifen. AdministrationsgrenzenundGruppenrichtlinien Jede Domäne verfügt über eine Gruppe von Domänenadministratoren. Domänenadministratoren haben die vollständige Kontrolle über alle Objekte in der Domäne. Diese administrativen Rechte gelten nur innerhalb der eigenen Domäne und erstrecken sich nicht auf andere Domänen. Eine Gruppenrichtlinie, die mit einer Domäne verknüpft ist, erstreckt sich nicht automatisch auf andere Domänen in der Gesamtstruktur. Wenn eine Gruppenrichtlinie mit einer anderen Domäne verknüpft werden soll, muss diese Verknüpfung ausdrücklich erstellt werden. Sicherheitsrichtlinie für Benutzerkonten einereinzelnen Domäne Eine kleine Reihe von Sicherheitsrichtlinien, die für die Benutzerkonten von Domänen gelten, können nur für jede Domäne einzeln festgelegt werden. ? Kennwortrichtlinie. Legt die Regeln fest, die bei der Eingabe von Kennwörtern
einzuhalten sind, wie beispielsweise die zulässige Länge des Kennworts. ? Richtlinie für Kontosperre. Legt die Regeln für die Erkennung von Eindringlingen und die Sperrung von Konten fest. ? Richtlinie für Kerberos-Ticket. Bestimmt die Lebensdauer eines KerberosTickets. Ein Kerberos-Ticket wird beim Anmeldeprozess vergeben und dient der Authentifizierung im Netzwerk. Ein Ticket ist nur für die in der Richtlinie angegebene Lebensdauer gültig. Wenn die Gültigkeitsdauer eines Tickets endet, versucht das System automatisch, ein neues Ticket zu erhalten. Weitere Informationen über die Sicherheitsrichtlinien für die Benutzerkonten in Domänen finden Sie unter „Authentifizierung“ in Microsoft® Windows 2000 Server – Die technische Referenz: Verteilte Systeme. DNS-Domänennamen Eine Domäne wird durch einen DNS-Namen identifiziert. Mit Hilfe von DNS werden die Domänencontrollerserver einer bestimmten Domäne ermittelt. DNSNamen sind hierarchisch aufgebaut. Der DNS-Name einer Active DirectoryDomäne gibt ihre Position in der Hierarchie der Gesamtstruktur an. Angenommen reskit.com ist der Name einer Domäne, dann könnte eine Domäne namens eu.reskit.com in der Hierarchie der Gesamtstruktur eine untergeordnete Domäne von reskit.com sein.
244
Teil III
Active Directory-Infrastruktur
Planungsprozess für die Domäne Ihr Domänenplan bestimmt die Verfügbarkeit des Verzeichnisses im Netzwerk, die Merkmale für den Abfrageverkehr der Clients und die Merkmale für den Replikationsverkehr der Domänencontroller. Jede erstellte Gesamtstruktur enthält eine oder mehrere Domänen. Die einzelnen Schritte zur Erstellung eines Domänenplans für eine Gesamtstruktur sind: ? Festlegen der Anzahl der Domänen in jeder Gesamtstruktur. ? Wählen einer Gesamtstruktur-Stammdomäne. ? Zuweisen von DNS-Namen zu jeder Domäne und Erzeugen einer
Domänenhierarchie. ? Planung der Einrichtung von DNS-Servern. ? Optimierung der Authentifizierung mit verknüpften Vertrauensstellungen. ? Berücksichtigen der Auswirkung von Änderungen am Domänenplan nach der Einrichtung. Folgende Gruppen sollten beim Erstellen des Domänenplans für jede Gesamtstruktur zur Beratung herangezogen werden: ? Die derzeit für die Benutzerkonten, Gruppen und Computer verantwortlichen
Domänenadministratoren. ? Die Teams, die das physische Netzwerk verwalten und überwachen ? Die Teams, die den DNS-Dienst für das Netzwerk verwalten ? Die Sicherheitsteams
Festlegen der Anzahl der Domänen in jeder Gesamtstruktur Wenn Sie die Anzahl der Domänen festlegen möchten, die in jeder Gesamtstruktur vorhanden sein sollen, gehen Sie zunächst nur von einer einzigen Domäne aus, auch wenn Sie derzeit mehrere Windows NT 4.0-Domänen haben. Begründen Sie anschließend ausführlich jede weitere Domäne, die hinzugefügt wird. Jede Domäne, die Sie erstellen, führt zu Mehrkosten durch den zusätzlich erforderlichen Verwaltungsaufwand. Aus diesem Grund sollten Sie sicherstellen, dass die Domänen, die Sie zur Gesamtstruktur hinzufügen, Ihnen einen Vorteil bringen.
Änderungen bei der Erstellung von Domänen Einige Faktoren, die in früheren Versionen von Windows NT Server zur Erstellung von Umgebungen mit mehreren Domänen führten, treffen in Active Directory und Windows 2000 nicht mehr zu. Hierzu zählen folgende Faktoren: Größenbeschränkungen in SAM (Security Accounts Manager) In früheren Versionen von Microsoft ® Windows NT ® Server war die Größe der SAM-Datenbank auf etwa 40.000 Objekte pro Domäne beschränkt. Active Directory kann leicht Millionen von Objekten pro Domäne verwalten. Es sollte auf keinen Fall erforderlich sein, mehr Domänen zu erstellen, um mehr Objekte verwalten zu können.
Kapitel 9 Entwerfen der Active Directory-Struktur
245
Anforderungen an die Verfügbarkeit des primären Domänencontrollers (PDC, Primary Domain Controller) In früheren Versionen von Microsoft® Windows NT ® Server konnte nur ein einziger Domänencontroller, der PDC, Aktualisierungen der Domänendatenbank entgegennehmen. In einer Organisation mit einem großen Netzwerk erschwerte diese Einschränkung die Sicherstellung der hohen Verfügbarkeit des PDC, da ein Netzwerkausfall die Administratoren in einem Teil des Netzwerks daran hindern konnte, die Domäne zu aktualisieren. Um die Anforderungen an die Verfügbarkeit zu erfüllen, wurden zusätzliche Domänen erstellt, so dass im Netzwerk mehrere PDC-Server verteilt werden konnten. In Windows 2000 ist dies nicht mehr erforderlich, da alle Active Directory-Domänencontroller Aktualisierungen annehmen können. Eingeschränkte Möglichkeit zur Delegierung von Administrationsaufgaben innerhalb einerDomäne In früheren Versionen von Windows NT Server konnten Administrationsaufgaben mit Hilfe vordefinierter lokaler Gruppen delegiert werden, wie beispielsweise der Gruppe der Konto-Operatoren, oder durch die Erstellung mehrerer Domänen und damit getrennter Einheiten von Domänenadministratoren. Zur Delegierung der Verwaltung einer Gruppe von Benutzern wurde beispielsweise eine neue Benutzerdomäne erstellt. Zur Delegierung der Verwaltung von Ressourcenservern wie Datei- oder Druckservern wurden Ressourcendomänen erstellt. In Windows 2000 kann die Administration innerhalb einer Domäne mit Hilfe von Organisationseinheiten (OE) delegiert werden. Eine Organisationseinheit ist ein Container, mit dessen Hilfe Sie Objekte innerhalb einer Domäne in logische, administrative Untergruppen organisieren können. Organisationseinheiten sind einfacher zu erstellen, zu löschen, zu verschieben und zu ändern als Domänen und eignen sich besser für die Delegierung. Weitere Informationen zur Verwendung von Organisationseinheiten für die Delegierung von Administrationsaufgaben finden Sie unter „Erstellen eines Plans für Organisationseinheiten“ weiter unten in diesem Kapitel.
Wann werden mehrere Domänen erstellt Es gibt drei mögliche Gründe für die Erstellung zusätzlicher Domänen: ? Erhalten vorhandener Windows NT -Domänen. ? Administrative Partitionierung. ? Physische Partitionierung.
Erhalten vorhandener Windows NT -Domänen Wenn Sie bereits über mehrere Windows NT-Domänen verfügen, möchten Sie diese vielleicht behalten, statt sie in einer kleineren Anzahl von Active DirectoryDomänen zu konsolidieren. Wenn Sie sich entscheiden, eine Domäne zu erhalten oder zu konsolidieren, wägen Sie sorgfältig die Kosten gegen den langfristigen Nutzen einer kleineren Anzahl von Domänen ab. Die Kosten, die mit der Konsolidierung von Domänen verbunden sind, werden im Kapitel „Bestimmen der Strategien für die Domänenmigration“ in diesem Buch behandelt. Ist dies Ihr erster Domänenentwurf, sollten Sie so wenig Domänen wie möglich anstreben und den Plan nach der Lektüre dieses Kapitels neu bewerten.
246
Teil III
Active Directory-Infrastruktur
Administrative Partitionierung Abhängig von den Verwaltungs- und Richtlinienanforderungen Ihrer Organisation könnten unter den folgenden Umständen mehrere Domänen notwendig sein. Anforderungen an die Sicherheitsrichtlinie für Benutzer einer einzelnen Domäne Möglicherweise findet sich in Ihrem Netzwerk eine Gruppe von Benutzern, die an einer Sicherheitsrichtlinie für Domänenbenutzer festhalten, die sich von der Sicherheitsrichtlinie des restlichen Benutzerkreises unterscheidet. Sie möchten z. B. für Ihre Administratoren eine strengere Kennwortrichtlinie verwenden als für die regulären Benutzer Ihres Netzwerks, z. B. ein kürzeres Intervall zur Kennwortänderung. Hierzu müssen Sie diese Benutzer in einer getrennten Domäne verwalten. Die Unterteilung erfordert eine autonome Supervision derDomänenadministration Die Mitglieder der Gruppe der Domänenadministratoren in einer bestimmten Domäne haben die Kontrolle über alle Objekte in dieser Domäne. Wenn Ihre Organisation eine Unterabteilung aufweist, die keine Kontrolle ihrer Objekte von auswärtigen Administratoren zulassen kann, platzieren Sie diese Objekte in einer separaten Domäne. So kann es z. B. aus gesetzlichen Gründen für die Unterabteilung einer Organisation, die an streng vertraulichen Projekten arbeitet, nicht sinnvoll sein, die Domänensupervision von der IT-Gruppe einer höheren Ebene zu akzeptieren. Bedenken Sie, dass alle Domänen in einer Gesamtstruktur die Konfigurations- und Schemacontainer gemeinsam nutzen müssen.
Physische Partitionierung Physische Partitionierung bedeutet, dass Sie die Domänen Ihrer Gesamtstruktur auf eine größere Anzahl von kleineren Domänen aufteilen. Eine größere Anzahl kleinerer Domänen erlaubt Ihnen die Optimierung des Replikationsverkehrs, da Objekte nur dorthin repliziert werden, wo sie wirklich benötigt werden. Zum Beispiel wird in einer Gesamtstruktur mit einer einzelnen Domäne jedes Objekt zu jedem Domänencontroller der Gesamtstruktur repliziert. Dies kann dazu führen, dass Objekte an Stellen repliziert werden, an denen sie selten verwendet werden, was eine ineffiziente Ausnutzung der Bandbreite bedeutet. So benötigt z. B. ein Benutzer, der sich immer an einem Hauptstandort anmeldet, keine Replikation seines Benutzerkontos an einem Zweigstellenstandort. Unnötiger Replikationsverkehr kann vermieden werden, wenn eine separate Domäne für den Hauptstandort eingerichtet wird, die nicht an die Zweigstelle repliziert wird. Anmerkung Wenn Sie bereits Windows NT 4.0-Domänen eingesetzt haben, sind Sie vielleicht mit Ihrer bestehenden physischen Partitionierung zufrieden. Das unvoreingenommene Betrachten der Partitionierung kann Ihnen dabei behilflich sein, Bereiche für mögliche Domänenkonsolidierungen zu entdecken. Wenn Sie sich bereits entschlossen haben, Ihre Windows NT 4.0-Domänen an Ort und Stelle zu aktualisieren und keine Konsolidierung durchzuführen, können Sie den Abschnitt über die Partitionierung überspringen.
Kapitel 9 Entwerfen der Active Directory-Struktur
247
Folgende Schritte helfen Ihnen festzulegen, ob und wie Sie eine Gesamtstruktur partitionieren: ? Zeichnen Sie Ihre Netzwerktopologie. ? Platzieren Sie Domänencontroller im Netzwerk entsprechend den
Anforderungen an ihre Verfügbarkeit. ? Partitionieren Sie die Gesamtstruktur auf Basis des Replikationsverkehrs zwischen Domänencontrollern. Zeichnen Sie Ihre Netzwerktopologie Beginnen Sie mit dem Zeichnen eines einfachen Diagramms der Netzwerktopologie. Später, bei der Planung Ihrer Standorttopologie, fügen Sie diesem Diagramm weitere Details hinzu. Gehen Sie zum Erstellen des Topologiediagramms folgendermaßen vor: ? Stellen Sie die verschiedenen Standorte zusammen.
Ein Standort ist ein schnelles, zuverlässiges Netzwerk. Ein LAN (Local Area Network) oder eine Gruppe von LANs, die durch einen HochgeschwindigkeitsBackbone verbunden sind, können als Standort angesehen werden. Zeichnen Sie jeden Standort in Ihr Netzwerkdiagramm ein, und tragen Sie die annähernde Anzahl der Standortbenutzer ein. ? Verbinden Sie die Standorte mit Standortverknüpfungen. Eine Standortverknüpfung ist eine langsame oder unzuverlässige Verbindung zwischen zwei Standorten. Ein WAN (Wide Area Network), das zwei schnelle Netzwerke verbindet, ist ein Beispiel für eine Standortverknüpfung. Es wird empfohlen, jede Verknüpfung, die langsamer als LAN-Geschwindigkeit ist, als langsame Verknüpfung zu behandeln. Zeigen Sie auf dem Topologiediagramm, wie jeder Standort mittels Standortverknüpfungen mit anderen Standorten verbunden ist. Verzeichnen Sie für jede Standortverknüpfung Folgendes: ? Verknüpfungsgeschwindigkeit und aktuelle Nutzungsebenen ? Ob die Verknüpfung pro Verwendung bezahlt wird ? Ob die Verknüpfung bisher unzuverlässig war ? Ob die Verknüpfung nicht ständig verfügbar ist ? Markieren Sie Standorte, die nur eine SMTP-Verbindung aufweisen.
Wenn Sie über einen Standort verfügen, der keine physische Verbindung zum restlichen Netzwerk besitzt, jedoch über SMTP-Mail (Simple Mail Transfer Protocol) erreichbar ist, kennzeichnen Sie diesen Standort als nur über Mailbasierende Verbindung erreichbar.
248
Teil III
Active Directory-Infrastruktur
Abbildung 9.3 zeigt die Netzwerktopologie des fiktiven Unternehmens Reskit.
Abbildung 9.3
Netzwerktopologie des Unternehmens Reskit
PlatzierenvonDomänencontrollern Die Verfügbarkeit von Active Directory wird durch die Verfügbarkeit der Domänencontroller bestimmt. Domänencontroller müssen zur Authentifizierung der Benutzer jederzeit verfügbar sein. In diesem Abschnitt legen Sie fest, wo die Domänencontroller einzusetzen sind, damit sie bei möglichen Netzwerkausfällen verfügbar bleiben. Verwenden Sie zur Platzierung von Domänencontrollern folgenden Prozess: ? Wählen Sie einen Stammstandort aus, und platzieren Sie dort einen
Domänencontroller, indem Sie ihn im Topologiediagramm kennzeichnen. Sie können den Stammstandort beliebig auswählen. Verwenden Sie z. B. Ihren Hauptstandort, den Standort mit der größten Benutzerzahl oder den Standort mit der besten Gesamtverbindung zum restlichen Netzwerk. Alle Benutzer im Stammstandort werden mit diesem Domänencontroller authentifiziert. Ignorieren Sie vorerst die Frage, welche Domäne von diesem Domänencontroller bedient wird und wie viele Replikate dieser Domäne im Standort notwendig sind. ? Legen Sie für jeden Standort, der direkt mit dem Stammstandort verbunden ist, fest, ob Sie an diesem Standort einen Domänencontroller verwenden müssen. Sie können auch festlegen, dass sich die Benutzer des Standorts über die Standortverknüpfung zum Domänencontroller beim Stammstandort authentifizieren, anstatt hier einen Domänencontroller einzurichten. Wenn es für Sie annehmbar ist, dass die Authentifizierung bei einem Ausfall der Standortverknüpfung fehlschlägt, ist es nicht nötig, einen Domänencontroller an dem Standort zu platzieren. Bei kleinen Zweigstellen, die zwar Clientcomputer, jedoch keine Server besitzen, ist ein Domänencontroller nicht notwendig. Wenn die Verknüpfung zum zentralen Standort fehlschlägt, können die Benutzer des Büros sich immer noch bei ihren Computern anmelden, indem sie die gespeicherten Informationen
Kapitel 9 Entwerfen der Active Directory-Struktur
249
verwenden. Eine weitergehende Authentifizierung ist nicht notwendig, da es keine anderen serverbasierten Ressourcen im Büro gibt – alle Ressourcen befinden sich am zentralen Standort. Sie sollten einen Domänencontroller an einem Standort einsetzen, wenn eine der folgenden Situationen eintritt: ? Es gibt eine große Anzahl an Standortbenutzern und die Standortverknüpfung ist langsam oder nahe der Kapazitätsgrenze. In diesem Fall müssen Sie verhindern, dass der Active Directory-Clientverkehr die Kapazität der Verknüpfung ausschöpft. Weitere Informationen über die Planung der Netzwerkkapazität und dem von einem Active Directory-Client generierten Verkehr erhalten Sie auf der Webseite der technischen Referenz unter http://windows.microsoft.com/windows2000/reskit/webresources, wenn Sie auf den Hyperlink „Microsoft Windows 2000 Server“ klicken. ? Die Verknüpfung war bisher unzuverlässig. Sie müssen verhindern, dass die Authentifizierung fehlschlägt, wenn die Verknüpfung unterbrochen ist. ? Die Verknüpfung ist nicht ständig verfügbar. Sie müssen verhindern, dass die Authentifizierung zu bestimmten Tageszeiten fehlschlägt oder sich auf eine bei Bedarf herzustellende Verknüpfung verlässt. ? Der Standort ist nur über SMTP-Mail zugänglich. Benutzer benötigen einen lokalen Domänencontroller zur Authentifizierung, wenn der Standort nur über SMTP-Mail zugänglich ist. ? Wiederholen Sie den vorherigen Prozess, um festzulegen, wo Sie
Domänencontroller einsetzen müssen. Wenden Sie denselben Prozess auf den jeweils benachbarten Standort an, bis Sie jeden Standort geprüft und festgelegt haben, ob ein lokaler Domänencontroller notwendig ist oder nicht. Anmerkung Domänencontroller enthalten vertrauliche Daten, wie Kopien der geheimen Schlüssel der Benutzer, die zur Authentifizierung in der Domäne verwendet werden. Je weniger Kopien dieser Informationen vorhanden sind, desto geringer ist die Möglichkeit des unbefugten Zugriffs. Domänencontroller müssen physisch vor unbefugten Zugriffen gesichert sein. So wird z. B. empfohlen, dass Domänencontroller in einem geschlossenen Raum mit eingeschränktem Zugang aufgestellt werden. Durch den physischen Zugang zu einem Computer kann sich ein unbefugter Benutzer die Kopien verschlüsselter Kennwortdaten verschaffen und eine Offline-Kennwortverletzung versuchen. Strengere Sicherheitsoptionen sind durch das Programm Syskey verfügbar. Weitere Informationen zu Syskey finden Sie unter „Verschlüsselndes Dateisystem“ in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke. Bei der Anmeldung eines Benutzers muss der Domänencontroller, der die Authentifizierungsanforderung bearbeitet, mit einem globalen Katalogserver kommunizieren können. Wenn Sie sich für den Einsatz eines Domänencontrollers an einem Standort entscheiden, müssen Sie diesen Domänencontroller auch als globalen Katalogserver betrachten. Berücksichtigen Sie bei diesem Vorgehen, dass globale Katalogserver mehr Replikationsverkehr erzeugen als reguläre Domänencontroller. Sie verfügen sowohl über eine vollständige Kopie einer Domäne als auch eine schreibgeschützte Teilkopie jeder anderen Domäne der Gesamtstruktur.
250
Teil III
Active Directory-Infrastruktur
Abbildung 9.4 zeigt die Platzierung der Domänencontroller im Unternehmen Reskit. ? Der erste Domänencontroller befindet sich am Stammstandort des Hauptsitzes. ? Ein Domänencontroller wurde im europäischen Betriebszentrum platziert, da
die transatlantische WAN-Verknüpfung immer nahe der Kapazitätsgrenze ist. ? Ein Domänencontroller wurde in der Bezirksfiliale eingesetzt, da zu viele Benutzer vorhanden sind und das WAN den Authentifizierungsverkehr nicht bewältigen kann. ? In den Zweigstellen werden keine Domänencontroller verwendet, da es hier keine lokalen Server gibt. ? Ein Domänencontroller wurde in der Fertigungsanlage eingerichtet, da diese nur über SMTP-Mail erreicht werden kann.
Abbildung 9.4 Platzierung der Domänencontroller des Unternehmens Reskit
PartitionierenderGesamtstruktur Nun weisen Sie jedem Domänencontroller eine Domäne zu, stellen fest, ob das Netzwerk den Replikationsverkehr verarbeiten kann und partitionieren gegebenenfalls die Gesamtstruktur in kleinere Domänen. Beachten Sie bei der Ausführung dieser Schritte, dass Partitionieren bedeutet, physische Kopien von Verzeichnisobjekten in die Nähe des Benutzers zu verlegen, der diese Objekte benötigt. So sollte das Objekt Benutzerkonto eines Benutzers auf einem Domänencontroller positioniert sein, der sich am selben Standort wie der Benutzer befindet. Führen Sie für jede Domäne im Domänenplan die folgenden Schritte aus, um die Gesamtstruktur zu partitionieren: ? Entscheiden Sie für jeden Standort, der einen Domänencontroller enthält, ob die
Domäne für die Benutzer an diesem Standort von Bedeutung ist. Richten Sie gegebenenfalls einen Domänencontroller für die Domäne ein.
Kapitel 9 Entwerfen der Active Directory-Struktur
251
? Verfolgen Sie den Pfad der Replikationen zwischen den Domänencontrollern
der Domäne. Gehen Sie davon aus, dass jeder Domänencontroller den nächstmöglichen Domänencontroller derselben Domäne als Replikationspartner auswählt, wobei das „nächstmöglich“ sich auf den kostengünstigsten Pfad durch das Netzwerk bezieht. ? Das Aufkommen an Replikationsverkehr zwischen zwei Domänencontrollern einer Domäne hängt davon ab, wie häufig die Objekte in der Domäne wechseln, wie viele gewechselt werden und wie oft Objekte hinzugefügt und entfernt werden. Bei der Aufteilung einer Domäne in zwei kleinere Domänen kann der Replikationsverkehr über eine bestimmte Verbindung verringert werden. Untersuchen Sie jede Schwelle im Replikationspfad und entscheiden Sie, ob Replikationsverkehr möglich ist oder die Domäne geteilt werden soll. Berücksichtigen Sie folgende Faktoren, wenn Sie entscheiden, ob eine Domäne zwischen zwei Standorten repliziert oder in zwei kleinere Domänen aufgeteilt werden soll: ? Erwägen Sie eine Aufteilung, wenn eine Standortverbindung im Replikations-
pfad den voraussichtlichen Replikationsverkehr nicht bewältigen kann. Die derzeitige Kapazität einer Standortverbindung errechnet sich aus der Verbindungsgeschwindigkeit, den täglichen Nutzungsmerkmalen, ihrer Zuverlässigkeit und Verfügbarkeit. Berücksichtigen Sie bei der Entscheidung, ob eine Domäne erstellt werden soll, folgende Verbindungsinformationen: ? Eine Verbindung, die an den Grenzen ihrer Kapazität arbeitet, ist möglicherweise nicht in der Lage, den Replikationsverkehr zu bewältigen. Bedenken Sie, dass die Active Directory-Replikation terminorientiert geplant werden kann. Gibt es beispielsweise Tageszeiten, in denen die Verbindung kaum genutzt wird, ist die Bandbreite für die Replikation möglicherweise ausreichend. ? Eine Verbindung ist eventuell nur zu bestimmten Tageszeiten verfügbar, wodurch sich ihre Bandbreite verringert. Die Active Directory-Replikation kann so terminiert werden, dass sie nur dann erfolgt, wenn die Verbindung verfügbar ist. Die aktuelle Bandbreite muss dann allerdings ausreichend bemessen sein, um den Replikationsverkehr zu bewältigen. Weitere Informationen über die Planung der Netzwerkkapazität und des Active Directory-Replikationsverkehrs erhalten Sie auf der Webseite der technischen Referenz unter http://windows.microsoft.com/windows2000/reskit/webresources, wenn Sie auf den Hyperlink „Microsoft Windows 2000 Server“ klicken. ? Erwägen Sie eine Aufteilung der Domäne, wenn Sie vermeiden möchten, dass
der Replikationsverkehr anderem, wichtigerem Datenverkehr in einer Verbindung Konkurrenz macht. Die Unterbrechung oder Verzögerung geschäftskritischen Datenverkehrs kann mehr Kosten verursachen als eine zusätzliche Domäne. ? Erwägen Sie eine Aufteilung der Domäne, wenn der Replikationsverkehr unter anderem über eine Verbindung erfolgt, die nach Nutzung bezahlt wird. In diesem Fall bedeutet eine minimierte Nutzung dieser Verbindung auch minimierte Kosten.
252
Teil III
Active Directory-Infrastruktur ? Erstellen Sie eigene Domänen für Standorte, die nur über SMTP-Mail
zugänglich sind. Eine Mail-basierte Active Directory-Replikation kann nur zwischen Domänen erfolgen. Mail-basierte Active Directory-Replikationen zwischen den Domänencontrollern derselben Domäne sind nicht möglich. Wenn Sie sich entscheiden, eine große Domäne in mehrere kleine Domänen zu unterteilen, empfiehlt es sich, die kleineren Domänen anhand geographischer oder geopolitischer Grenzen zu erstellen. Erzeugen Sie z. B. Domänen nach Ländern oder Kontinenten. Die geographische Anordnung von Domänen empfiehlt sich, da Netzwerktopologien ebenfalls meist nach geographischen Standorten ausgerichtet sind und geographische Gegebenheiten sich seltener ändern als andere Zuordnungsaspekte. Vielleicht möchten Sie einfach mehr kleine Domänen erstellen, um den Replikationsverkehr im Netzwerk zu optimieren. Bedenken Sie, dass Optimierung immer gegen andere Faktoren abzuwägen ist, wie beispielsweise: ? Komplexität
Wie schon weiter oben angeführt, bringt jede zusätzliche Domäne einen Mehraufwand an Verwaltung mit sich. ? Abfrageverkehr und Replikationsverkehr Je weniger Objekte in einer Domäne verwaltet werden, desto wahrscheinlicher ist es, dass Benutzer dieser Domäne auf Objekte in anderen Domänen zugreifen möchten. Ist kein lokaler Domänencontroller für die andere Domäne vorhanden, muss der Abfrageverkehr den Standort verlassen. Anmerkung Ein Modell mit einer einzigen großen Domäne eignet sich am besten für eine große Anzahl von servergespeicherten Benutzern, da jedes Benutzerkonto an jedem Standort verfügbar ist, der einen Domänencontroller besitzt. In diesem Fall kann sich ein servergespeicherter Benutzer jederzeit anmelden, auch wenn sich zwischen dem aktuellen Standort des Benutzers und dem Stammstandort ein Netzwerkausfall ereignet. Abbildung 9.5 zeigt die physische Partitionierung des Unternehmens Reskit. Die Domänen sind wie folgt zugeordnet: ? Die Domäne Noam für Benutzer in Nordamerika ist einem Domänencontroller ?
?
? ?
am Stammstandort zugeordnet. Die Domäne Avionics, die nur aus Verwaltungsgründen erstellt wurde, ist einem Domänencontroller am Stammstandort zugeordnet, da sich AvionicsBenutzer am Hauptsitz befinden. Eine neue Domäne, Eu, wurde einem Domänencontroller im europäischen Betriebszentrum zugeordnet, da die transatlantische WAN-Verbindung immer nahe der Kapazitätsgrenze ist. Die Verbindung kann den Replikationsverkehr der beiden Domänen für Nordamerika und Europa nicht gleichzeitig bewältigen. Die Domäne Avionics befindet sich ebenfalls im europäischen Betriebszentrum, da es auch in Europa Avionics-Benutzer gibt. Eine neue Domäne Seville wurde einem Domänencontroller in der Bezirksfiliale in Sevilla zugeordnet, da die WAN-Verbindung mit dem europäischen Betriebszentrum für geschäftskritischen Datenverkehr verwendet wird.
Kapitel 9 Entwerfen der Active Directory-Struktur
253
? Eine neue Domäne Mfg wurde einem Domänencontroller in der Fertigungs-
anlage zugeordnet, da sie nur über SMTP-Mail erreicht werden kann.
Abbildung 9.5
Domänenzuordnung des Unternehmens Reskit
Mehrkosten für eine zusätzliche Domäne Jede Domäne in der Gesamtstruktur bringt einen Mehraufwand an Verwaltungsarbeit mit sich. Bei der Überlegung, ob eine weitere Domäne zum Domänenplan hinzugefügt werden soll, wägen Sie die dadurch anfallenden Kosten gegen die Vorteile ab, die Sie weiter oben in diesem Kapitel festgelegt haben. MehrDomänenadministratoren Da die Domänenadministratoren die vollständige Kontrolle über eine Domäne besitzen, muss die Zugehörigkeit zu dieser Administratorengruppe in einer Domäne streng überwacht werden. Jede weitere Domäne in einer Gesamtstruktur trägt zu einem Mehraufwand an Verwaltungsarbeit bei. Mehr Hardware für Domänencontroller In Windows 2000 kann ein Domänencontroller nur eine einzige Domäne bedienen. Jede neue Domäne benötigt mindestens einen, in den meisten Fällen jedoch zwei Computer, um die üblichen Anforderungen bezüglich Zuverlässigkeit und Verfügbarkeit zu erfüllen. Da alle Windows 2000-Domänencontroller Änderungen entgegennehmen und ausführen können, müssen sie physisch strenger überwacht werden als Windows NT 4.0Sicherungsdomänencontroller (BDCs, Backup Domain Controller), die nur Lesezugriffe erlaubten. Beachten Sie, dass durch die Delegierung von Administrationsaufgaben innerhalb von Active Directory-Domänen weniger Ressourcendomänen erforderlich sind. Remotestandorte, die derzeit zwei Domänencontroller benötigen (eine Hauptbenutzerdomäne und eine lokale Ressourcendomäne), erfordern nur noch einen Domänencontroller, wenn Sie sich für die Konsolidierung mit weniger Active Directory-Domänen entscheiden.
254
Teil III
Active Directory-Infrastruktur
MehrVertrauensstellungen Damit ein Domänencontroller in einer Domäne den Benutzer einer anderen Domäne authentifizieren kann, benötigt er Kontakt zum Domänencontroller innerhalb der zweiten Domäne. Diese Kommunikation stellt eine weitere mögliche Fehlerquelle dar, falls z. B. bei dem Netzwerk zwischen den beiden Domänencontrollern Probleme auftreten. Je mehr Benutzer und Ressourcen innerhalb einer einzelnen Domäne positioniert sind, desto weniger muss ein einzelner Domänencontroller sich auf die Kommunikation mit anderen Domänencontrollern verlassen, um seinen Dienst aufrechtzuerhalten. GrößereWahrscheinlichkeit, Sicherheitsprincipalszwischen Domänen verschieben zu müssen Je mehr Domänen vorhanden sind, desto größer ist die Wahrscheinlichkeit, dass Sie Sicherheitsprincipals, wie Benutzer und Gruppen, zwischen zwei Domänen verschieben müssen. So kann es beispielsweise aufgrund einer unternehmensweiten Reorganisation oder des Arbeitsplatzwechsels von Benutzern erforderlich sein, einen Benutzer zwischen Domänen zu verschieben. Für Endbenutzer und Administratoren ist das Verschieben eines Sicherheitsprincipals zwischen Organisationseinheiten innerhalb einer Domäne ein einfacher und transparenter Vorgang. Das Verschieben von Sicherheitsprincipals zwischen Domänen ist jedoch komplizierter und kann Auswirkungen auf die Endbenutzer haben. Weitere Informationen über das Verschieben von Sicherheitsprincipals finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in diesem Buch. Gruppenrichtlinien und Zugriffssteuerung werden nicht zwischen einzelnen Domänen ausgetauscht Gruppenrichtlinien und Zugriffssteuerung einer Domäne werden nicht automatisch auch von anderen Domänen übernommen. Wenn Richtlinien oder delegierte Verwaltungsaufgaben über eine Zugriffssteuerung erfolgen, die für mehrere Domänen identisch ist, müssen sie jeder Domäne einzeln zugeordnet werden.
Wählen einer Gesamtstruktur-Stammdomäne Wenn Sie die Anzahl der Domänen für Ihre Gesamtstruktur festgelegt haben, müssen Sie entscheiden, welche Domäne die Gesamtstruktur-Stammdomäne werden soll. Die Gesamtstruktur-Stammdomäne ist die erste Domäne, die in einer Gesamtstruktur erstellt wird. In dieser Domäne befinden sich die beiden Gruppen, die für die ganze Gesamtstruktur zuständig sind, nämlich die Unternehmens- und die Schemaadministratoren. Anmerkung Sollten alle Domänencontroller für die Gesamtstruktur-Stammdomäne bei einer Katastrophe verloren gehen, und kann keiner von ihnen mehr wiederhergestellt werden, bleiben die Gruppen der Unternehmens- und Schemaadministratoren dauerhaft verloren. Es gibt keine Möglichkeit, die GesamtstrukturStammdomäne erneut zu installieren. Wenn die Gesamtstruktur nur eine Domäne enthält, ist diese der Stamm der Gesamtstruktur. Sind zwei oder mehr Domänen vorhanden, sollten Sie die beiden folgenden Möglichkeiten zur Auswahl der Gesamtstruktur-Stammdomäne beachten.
Kapitel 9 Entwerfen der Active Directory-Struktur
255
Verwenden einer vorhandenen Domäne Wählen Sie aus Ihrer Liste von Domänen eine, die für den Betrieb Ihrer Organisation kritisch ist und machen Sie sie zum Stamm der Gesamtstruktur. Da Sie sich einen Verlust dieser Domäne nicht leisten können, wird sie immer das Maß an Fehlertoleranz und Wiederherstellbarkeit erfordern, das für den Stamm einer Gesamtstruktur unabdingbar ist. Verwenden einer dedizierten Domäne Das Erstellen einer zusätzlichen, dedizierten Domäne zur ausschließlichen Verwendung als Stamm der Gesamtstruktur bringt alle Kosten einer Extradomäne mit sich, bietet der Organisation jedoch auch folgende Vorteile: ? Der Domänenadministrator in der Gesamtstruktur-Stammdomäne ist in der
Lage, die Zugehörigkeit zu den Gruppen der Unternehmens- und Schemaadministratoren zu beeinflussen. Sie verfügen vielleicht über Administratoren, die Privilegien von Domänenadministratoren für einige Bestandteile ihrer Aufgaben fordern, Sie möchten jedoch nicht, dass sie die Administratorengruppen der Gesamtstruktur beeinflussen. Durch das Erstellen einer separaten Domäne können Sie es vermeiden, diese Administratoren in der Gruppe der Domänenadministratoren der Gesamtstruktur-Stammdomäne zu platzieren. ? Da die Domäne klein ist, kann sie zum Schutz vor regionalen Katastrophen leicht an einem beliebigen Ort Ihres Netzwerks repliziert werden. ? Da es die einzige Aufgabe der Domäne ist, als Stamm der Gesamtstruktur zu dienen, wird sie niemals überflüssig. Wenn Sie eine Domäne aus Ihrer Liste von geplanten Domänen als Stamm der Gesamtstruktur auswählen, besteht immer die Möglichkeit, dass diese besondere Domäne, vielleicht auf Grund einer Veränderung Ihrer Organisation, überflüssig wird. Dennoch werden Sie eine solche Domäne niemals ganz aufgeben können, da sie die Funktion Ihres Gesamtstrukturstamms übernehmen muss.
Zuweisen von DNS-Namen zum Erstellen einer Domänenhierarchie Active Directory-Domänen werden mit DNS-Namen benannt. Da DNS das vorherrschende Namenssystem im Internet ist, werden DNS-Namen weltweit erkannt und verfügen über bekannte Registrierungsautoritäten. Active DirectoryClients, die sich für eine Netzwerkabfrage anmelden, fragen DNS-Server ab, um Domänencontroller zu erkennen. In Windows NT 4.0 basierte der Domänenlocator auf NBNS (NetBIOS Name System), und die Domänen wurden anhand von NetBIOS-Namen identifiziert. Die serverbasierte Komponente von NBNS wird WINS-Server (Windows Internet Name Service) genannt. NetBIOS-Namen sind einfache einteilige Namen, und der NetBIOS-Namespace ist nicht partitionierbar. Im Gegensatz dazu sind DNSNamen hierarchisch aufgebaut, und der DNS-Namespace kann entsprechend der Hierarchiestufen partitioniert werden. DNS ist daher besser skalierbar als NBNS und kann eine größere Datenbank, die über ein großes Netzwerk verteilt ist, bewältigen. Internet Mail setzt DNS in einer ähnlichen Weise wie Active Directory ein und ist damit ein gutes Beispiel dafür, wie DNS als Locator auf so außerordentlich große Netzwerke skaliert werden kann wie beispielsweise das Internet.
256
Teil III
Active Directory-Infrastruktur
Anmerkung Zur Interoperabilität mit Computern mit früheren Versionen von Windows verfügen Active Directory-Domänen auch über NetBIOS-Namen, und Active Directory-Domänencontroller können sich bei NBNS registrieren lassen und diese Server gegebenenfalls abfragen. So können auch Clients mit früheren Versionen von Windows Active Directory-Domänencontroller finden, und Active Directory-Domänencontroller sind in der Lage, Windows NT 3.51- und Windows NT 4.0-Domänencontroller ausfindig zu machen und umgekehrt.
Anordnen von Domänen in Strukturen Eine Struktur ist eine Gruppe von einer oder mehreren Windows 2000-Domänen mit fortlaufenden Namen. Abbildung 9.6 zeigt eine einzelne Struktur mit einem fortlaufenden Namespace. Da reskit.com keine übergeordnete Domäne besitzt, wird sie als Struktur-Stammdomäne bezeichnet. Die untergeordneten Domänen von reskit.com sind eu.reskit.com und noam.reskit.com. Die Domäne mfg.noam.reskit.com ist eine zweite untergeordnete Domäne von reskit.com. Diese Domänennamen werden als fortlaufend bezeichnet, da jeder Name sich nur in einer Bezeichnung von der übergeordneten Domäne in der Hierarchie unterscheidet.
Abbildung 9.6
Einzelne Struktur mit vier Domänen
In jeder Gesamtstruktur kann es mehrere Strukturen geben. In einer Gesamtstruktur mit mehreren Strukturen sind die Namen der Struktur-Stammdomänen nicht fortlaufend, wie in Abbildung 9.7 gezeigt. Eine Gesamtstruktur enthält beispielsweise mehrere Strukturen, wenn eine Niederlassung der Organisation einen eigenen registrierten DNS-Namen besitzt und eigene DNS-Server betreibt.
Kapitel 9 Entwerfen der Active Directory-Struktur
Abbildung 9.7
257
Gesamtstruktur mit mehreren Strukturen
Die Domänenhierarchie in einer Gesamtstruktur bestimmt die transitiven Vertrauensstellungen, die alle Domänen verbinden. Jede Domäne verfügt über eine direkte Vertrauensstellung zu der ihr übergeordneten Domäne und zu allen untergeordneten Domänen. Wenn eine Gesamtstruktur mehrere Strukturen enthält, befindet sich die Gesamtstruktur-Stammdomäne an der Spitze der Vertrauenstellungsstruktur, und alle anderen Strukturstämme sind hinsichtlich der Vertrauensstellungen dieser untergeordnet. Abbildung 9.8 zeigt eine transitive Vertrauensstellung zwischen zwei Strukturen.
Abbildung 9.8
Transitive Vertrauensstellung zwischen Strukturen
258
Teil III
Active Directory-Infrastruktur
Die Beziehung zwischen über- und untergeordneten Objekten ist lediglich für die Namensgebung und Vertrauensstellungen relevant. Die Administratoren einer übergeordneten Domäne sind nicht automatisch auch Administratoren der untergeordneten Domäne. Die Richtlinien in einer übergeordneten Domäne sind auch nicht automatisch auf die untergeordneten Domänen anwendbar.
Empfehlungen zur Benennung von Domänen Wenn Sie eine Domänenhierarchie in einer Gesamtstruktur erstellen möchten, weisen Sie der ersten Domäne einen DNS-Namen zu, und entscheiden Sie dann für jede weitere Domäne, ob es sich um eine untergeordnete Domäne handelt oder ob hier ein neuer Strukturstamm beginnt. Weisen Sie entsprechend dieser Vorgehensweise die jeweiligen Namen zu. Im Folgenden sind einige Empfehlungen für die Benennung von Domänen angeführt: Verwenden Sie Namen in Anlehnung an einen registrierten Internet-DNS-Namen Namen, die im Internet registriert sind, sind global eindeutig. Wenn Sie über einen oder mehrere Internetnamen verfügen, verwenden Sie diese als Suffixe in den Active Directory-Domänennamen. Verwenden Sie die Standardzeichen des Internets Die Internet-Standardzeichen für DNS-Hostnamen sind in RFC 1123 folgendermaßen definiert: A-Z, a-z, 0-9 und der Bindestrich (-). Indem Sie nur InternetStandardzeichen verwenden, stellen Sie sicher, dass das Active Directory mit Standardsoftware kompatibel ist. Microsoft-Clients und der Windows 2000-DNSDienst unterstützen fast alle Unicode-Zeichen in Namen, um Aktualisierungen von früheren Windows-basierten Domänen auf Windows 2000-Domänen, die keine Standardnamen besitzen, zu unterstützen. Verwenden Sie niemals denselben Namen zweimal Geben Sie zwei verschiedenen Domänen niemals denselben Namen, selbst wenn diese Domänen sich in getrennten Netzwerken mit unterschiedlichen DNSNamespaces befinden. Wenn das Unternehmen Reskit beispielsweise beschließt, eine Domäne im Intranet reskit.com zu nennen, sollte eine Domäne im Internet nicht ebenfalls reskit.com genannt werden. Wenn ein Client von reskit.com sich gleichzeitig sowohl im Intranet als auch im Internet anmeldet, würde er nur die Domäne wählen, die zuerst auf die Locatorsuche antwortet. Für den Client ist diese Auswahl rein zufällig, es gibt keine Gewähr, dass er die „richtige“ Domäne auswählt. Ein Beispiel für eine solche Konfiguration ist ein Client, der über das Internet eine VPN-Verbindung zum Intranet hergestellt hat. Verwenden Sie deutlich verschiedene Namen Einige Proxyclient-Programme, wie z. B. der integrierte Proxyclient in Microsoft® Internet Explorer oder der Winsock-Proxyclient, verwenden den Namen eines Hosts, um festzustellen, ob sich der Host im Internet befindet. Die meisten Programme dieser Art bieten zumindest eine Möglichkeit, Namen mit bestimmen Suffixen als lokale Namen auszuschließen, so dass gewährleistet wird, dass diese Namen nicht für Internetnamen gehalten werden. Wenn das Unternehmen Reskit eine Active Directory-Domäne im Intranet reskit.com nennen möchte, muss es diesen Namen in die Ausschlussliste der Proxyclientsoftware eintragen. Dies verhindert, dass Clients aus dem Intranet im
Kapitel 9 Entwerfen der Active Directory-Struktur
259
Internet einen Host namens www.reskit.com sehen, sofern nicht eine identische Site im Intranet erstellt wird.
260
Teil III
Active Directory-Infrastruktur
Dieses Problem kann vermieden werden, wenn das Unternehmen Reskit einen registrierten Namen verwendet, der nicht im Internet existiert, wie zum Beispiel reskit-int01.com, oder eine Unternehmensrichtlinie aufstellt, dass Namen mit einem bestimmten Suffix (reskit.com), wie beispielsweise corp.reskit.com, niemals im Internet erscheinen dürfen. In beiden Fällen sind ganz einfach Ausschlusslisten für Proxyclients zu erstellen, so dass entschieden werden kann, welche Namen zum Intranet und welche zum Internet gehören. Es gibt zahlreiche unterschiedliche Möglichkeiten, von einem privaten Intranet aus auf das Internet zuzugreifen. Bevor Sie einen Namen verwenden, stellen Sie sicher, dass er von den Clients im Intranet mit Hilfe Ihrer spezifischen Internetzugangsstrategie korrekt aufgelöst wird. Verwenden Sie möglichst wenige Strukturen Die Minimierung der Anzahl von Strukturen in der Gesamtstruktur hat einige Vorteile. Folgendes könnte in Ihrer Umgebung von Vorteil sein: ? Nachdem Sie über einen bestimmten DNS-Namen verfügen können, gehören
Ihnen alle Namen, die diesem untergeordnet sind. Je kleiner die Anzahl der Strukturen, desto kleiner ist die Anzahl der DNS-Namen, die Sie in Ihrer Organisation verwalten müssen. ? Es müssen weniger Namen in die Ausschlussliste des Proxyclients eingegeben werden. ? LDAP-Clientcomputer, die nicht Microsoft-Clients sind, verwenden bei einer Suche im Verzeichnis möglicherweise nicht den Globalen Katalog. Anstatt verzeichnisweit zu suchen, führen diese Clients Suchanfragen in die Tiefe einer Struktur durch. Eine solche Suche erstreckt sich auf alle Objekte in einer bestimmten Unterstruktur. Je kleiner die Anzahl der Strukturen in einer Gesamtstruktur ist, desto weniger Suchanfragen in die Tiefe sind erforderlich, um die ganze Gesamtstruktur abzudecken. Der erste Teil der DNS-Namen sollte mit dem NetBIOS-Namenübereinstimmen Es ist möglich, einer Domäne völlig unterschiedliche DNS- und NetBIOSNamen zuzuordnen. Der DNS-Name einer Domäne könnte beispielsweise sales.reskit.com lauten, während der NetBIOS-Name Marketing ist. Bedenken Sie, dass Computer mit früheren Windows-Versionen und einer Software, die Active Directory nicht nutzt, NetBIOS-Namen anzeigen und akzeptieren, während Windows 2000-Computer und Active Directory-fähige Programme DNS-Namen anzeigen und akzeptieren. Dies kann möglicherweise für Endbenutzer und Administratoren verwirrend wirken. NetBIOS und DNS-Namen, die nicht zueinander passen, sollten nur verwendet werden, wenn: ? Sie im Netzwerk eine neue Namenskonvention einführen möchten. ? Sie einen NetBIOS-Namen, der andere als Standardzeichen enthält, aktuali-
sieren, im DNS-Namen jedoch nur Standardzeichen verwenden möchten. Prüfen Sie die Namen hinsichtlich ihrerinternationalen Wirkung Namen, die in einer Sprache nett oder nützlich klingen, haben in anderen Sprachen vielleicht einen herabwürdigenden oder gar beleidigenden Beiklang. DNS ist ein globaler Namespace. Sie sollten alle Namen global in der ganzen Organisation überprüfen.
Kapitel 9 Entwerfen der Active Directory-Struktur
261
Anmerkung Wenn im Netzwerk mehrere lokalisierte Versionen von Windows eingesetzt werden, dürfen alle Computer, einschließlich Windows 2000 Professional und aller Versionen von Windows 2000 Server, sowohl in den DNS- als auch in den NetBIOS-Namen nur Internetstandardzeichen verwenden. Sollten andere Zeichen verwendet werden, können nur Computer mit denselben lokalen Einstellungen miteinander kommunizieren. Verwenden Sie Namen, die leicht zu merken sind Ein zulässiger Active Directory DNS-Domänenname ist auf eine maximale Länge von 64 Byte begrenzt. Die Benutzer arbeiten normalerweise mit dem Globalen Katalog und befassen sich nicht mit den Domänennamen. Üblicherweise müssen sich nur Administratoren mit Do mänennamen auseinandersetzen. Administrationsprogramme bieten fast immer eine Liste mit Domänen zur Auswahl an, und die Anzahl der Fälle, in denen ein Administrator den vollständigen Namen selbst eingeben muss, wird die Ausnahme bleiben. Wenn alle Komponenten eines Namens leicht zu merken sind, ist der Name nicht zu lang.
Domänennamen und Computernamen Windows 2000-Computer, die sich gemeinsam in einer Domäne befinden, weisen sich standardmäßig selbst einen DNS-Namen zu, der aus dem Hostnamen des Computers und dem DNS-Namen der Domäne, der der Computer angeschlossen wurde, zusammengesetzt wird. Wenn sich das Computerkonto für Server 1 in Abbildung 9.9 beispielsweise in eu.reskit.com befindet, gibt sich der Computer standardmäßig den Namen server1.eu.reskit.com . Anstelle des Active DirectoryDomänennamens kann jedoch jedes beliebige DNS-Suffix verwendet werden. Aus diesem Grund ist es nicht erforderlich, die Namen der Active Directory-Domänen einer bereits vorhandenen DNS-Struktur anzupassen. Die Active DirectoryDomänen können beliebige Namen verwenden und die Computer können ihre vorhandenen Namen behalten.
Abbildung 9.9 Computer einer Domäne mit Standard- und Nicht-Standard-Namen
262
Teil III
Active Directory-Infrastruktur
Weitere Informationen zur Benennung von Computern finden Sie unter „Windows 2000 DNS“ in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke.
Planen der Einrichtung von DNS-Servern Beim Planen der Einrichtung von DNS-Servern zur Unterstützung Ihrer Active Directory-Domänen müssen Sie die DNS-Server kennzeichnen, die für Ihre Domänennamen autorisiert sind, und sicherstellen, dass sie den Anforderungen des Domänencontroller-Locatorsystems entsprechen.
Autorität und Delegierung in DNS DNS (Domain Name System) ist eine hierarchische, verteilte Datenbank. Die Datenbank selbst besteht aus Ressourceneinträgen, die sich primär aus einem DNS-Namen, einem Eintragstyp und mit diesem Eintragstyp verbundenen Datenwerten zusammensetzen. Die häufigsten Einträge in einer Datenbank sind z. B. Adresseinträge (A), bei denen der Name des Adresseintrags der Name eines Computers und die Daten im Eintrag die TCP/IP-Adresse dieses Computers sind. Wie Active Directory ist auch die DNS-Datenbank in Partitionen unterteilt. Dies ermöglicht eine effiziente Skalierbarkeit der Datenbank selbst in sehr großen Netzwerken. Die Partition einer DNS-Datenbank heißt Zone. Eine Zone enthält die Einträge für einen fortlaufenden Satz von DNS-Namen. Ein DNS-Server, der eine Zone lädt, wird für die Namen in dieser Zone als autorisiert bezeichnet. Eine Zone beginnt mit einem festgelegten Namen und endet an einem Delegierungspunkt. Ein Delegierungspunkt markiert die Grenze zwischen zwei Zonen. Es gibt z. B. eine Registrierungsautorität im Internet, die für die Zone „com“ verantwortlich ist. Innerhalb dieser Zone befinden sich tausende Delegierungspunkte zu anderen Zonen, z. B. reskit.com. Die Daten eines Delegierungspunkts zeigen die Server an, die für die delegierte Zone autorisiert sind. Abbildung 9.10 zeigt die Beziehung zwischen DNS-Servern, Zonen und Delegierungen.
Abbildung 9.10
Server, Zonen und Delegierungen in DNS
Kapitel 9 Entwerfen der Active Directory-Struktur
263
Domänencontroller-Locatorsystem Domänencontroller registrieren eine Gruppe von Einträgen in DNS. Diese Einträge werden allgemein als Locatoreinträge bezeichnet. Wenn ein Client einen bestimmten Dienst von einer Domäne benötigt, sendet er die Abfrage eines spezifischen Namens und Eintragstyps an den nächsten DNS-Server. Die Antwort enthält eine Liste von Domänencontrollern, die diese Anforderung erfüllen. Die Namen der Locatoreinträge jeder Domäne weisen am Ende die Bestandteile und auf. Die für jeden autorisierten DNS-Server sind auch für die Locatoreinträge autorisiert. Anmerkung Windows 2000 erfordert keine Konfiguration von Reverse-Lookupzonen. Reverse-Lookupzonen sind eventuell für andere Anwendungen oder aus administrativen Gründen notwendig.
DNS-Serveranforderungen Falls auf Ihrem Netzwerk nicht bereits DNS-Server betrieben werden, empfiehlt es sich, dass Sie den in Windows 2000 Server enthaltenen DNS-Dienst einsetzen. Wenn Sie bereits über DNS-Server verfügen, müssen die Server, die für Locatoreinträge autorisiert sind, folgende Anforderungen erfüllen, um Active Directory zu unterstützen: ? Der Ressourceneintrag Dienstidentifizierung muss unterstützt werden.
DNS-Server, die für die Locatoreinträge autorisiert sind, müssen den Ressourceneintragstyp Dienstidentifizierung (SRV) unterstützen. Weitere Informationen zum SRV-Eintrag finden Sie unter „Einführung in DNS“ in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IPNetzwerke. ? Das Protokoll für die dynamische DNS-Aktualisierung sollte unterstützt werden. DNS-Server, die für Locatoreinträge autorisiert sind und für diese Zonen primäre Masterserver sind, sollten das Protokoll für die dynamische DNSAktualisierung, wie in RFC 2136 definiert, unterstützen. Der in Windows 2000 Server enthaltene DNS-Dienst genügt beiden Anforderungen und bietet zwei zusätzliche wichtige Funktionen: ? Active Directory-Integration
Bei der Verwendung dieser Funktion speichert der DNS-Dienst von Windows 2000 Zonendaten im Verzeichnis. Dies ermöglicht der DNS-Replikation die Erstellung mehrerer Master und erlaubt jedem DNS-Server die Annahme von Aktualisierungen für eine Zone mit integriertem Verzeichnisdienst. Die Verwendung von Active Directory-Integration reduziert auch die Notwendigkeit, eine separate Replikationstopologie für den Transfer von DNS-Zonen zu unterhalten.
264
Teil III
Active Directory-Infrastruktur ? Sichere dynamische Aktualisierung
Sichere dynamische Aktualisierung ist Bestandteil der Windows-Sicherheit. Sie erlaubt einem Administrator präzise zu kontrollieren, welche Computer welche Namen aktualisieren können und verhindert, dass unautorisierte Computer vorhandene Namen von DNS erhalten. Die verbleibenden DNS-Server des Netzwerks, die nicht für die Locatoreinträge autorisiert sind, müssen diesen Anforderungen nicht entsprechen. Nicht autorisierte Server sind in der Regel fähig, Abfragen von SRV-Einträgen zu beantworten, selbst wenn sie den Eintragstyp nicht explizit unterstützen.
Ermitteln autorisierter Server Konsultieren Sie für jeden DNS-Namen, den Sie wählen, das DNS-Verwaltungsteam und finden Sie heraus, ob der DNS-Server die aufgelisteten Anforderungen erfüllt. Wenn Sie einen Server ermitteln, der diesen Anforderungen nicht genügt, können Sie drei grundlegende Aktionen einleiten: Aktualisieren des Servers auf eine Version, die die Anforderungen erfüllt Wenn die autorisierten Server den DNS-Dienst von Windows NT 4.0 betreiben, aktualisieren Sie diese Server einfach auf Windows 2000. Sehen Sie bei anderen DNS-Serverimplementierungen in der Dokumentation des jeweiligen Herstellers nach, um herauszufinden, welche Version die für die Unterstützung von Active Directory notwendigen Funktionen unterstützt. Wenn sich die autorisierten DNS-Server nicht unter Ihrer Kontrolle befinden und Sie die Eigentümer dieser Server nicht von einer Aktualisierung überzeugen können, können Sie eine der folgenden Optionen verwenden. Migrieren der Zone zu Windows 2000-DNS Sie können die Zone der autorisierten Server zu Windows 2000-DNS migrieren, anstatt diese Server auf eine Version zu aktualisieren, die die Active DirectoryAnforderungen unterstützt. Das Migrieren der Zone zu Windows 2000-DNS ist ein überschaubarer Prozess. Legen Sie einen oder mehrere Windows 2000-DNSServer als sekundäre Server für die Zone fest. Nachdem Sie sich mit der Leistung und Verwaltbarkeit dieser Server vertraut gemacht haben, konvertieren Sie die Zone auf einem dieser Server in eine primäre Kopie und ordnen Sie falls nötig die Transfertopologie für die DNS-Zone neu. Delegieren des Namens an einen DNS-Server, der die Anforderungenerfüllt Falls die Aktualisierung und Migration autorisierter Server keine passenden Optionen sind, können Sie die autorisierten Server wechseln, indem Sie die Domänennamen an Windows 2000-DNS-Server delegieren. Wie dies durchzuführen ist, hängt von der Beziehung der Domänennamen zur bestehenden Zonenstruktur ab. ? Wenn der Domänenname nicht mit dem Namen des Stamms der Zone
übereinstimmt, kann der Name direkt an einen Windows 2000-DNS-Server delegiert werden. Wenn z. B. der Name der Domäne noam.reskit.com ist und die Zone, die diesen Namen enthält, reskit.com heißt, delegieren Sie noam.reskit.com an einen Windows 2000-DNS-Server.
Kapitel 9 Entwerfen der Active Directory-Struktur
265
? Wenn der Domänenname mit dem Namen des Stamms der Zone überein-
stimmt, können Sie den Namen nicht direkt an einen Windows 2000-DNSServer delegieren. Delegieren Sie stattdessen alle untergeordneten Domänen, die von Locatoreinträgen verwendet werden, an einen Windows 2000-DNSServer. Diese untergeordneten Domänen sind: _msdcs., _sites., _tcp. und _udp.. Wenn Sie diesen Vorgang durchführen, müssen Sie die -Adresseinträge (A) manuell eintragen. Weitere Informationen zu diesem Thema finden Sie unter „Windows 2000 DNS“ in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IPNetzwerke.
Optimieren der Authentifizierung mit verknüpften Vertrauensstellungen Wenn ein Benutzer den Zugriff auf eine Netzwerkressource anfordert, muss ein Domänencontroller der Domäne des Benutzers mit einem Domänencontroller der Domäne der Ressource kommunizieren. Wenn sich die beiden Domänen nicht in einer Beziehung zwischen über- und untergeordneten Objekten befinden, muss der Domänencontroller des Benutzers auch mit allen Domänencontrollern der einzelnen Domänen kommunizieren, die sich in der Vertrauenstellungsstruktur zwischen der Domäne des Benutzers und der Domäne der Ressource befinden. Je nach Netzwerkposition des Domänencontrollers jeder Domäne kann jeder zusätzliche Authentifizierungsabschnitt (Hop) zwischen den zwei Domänen die Wahrscheinlichkeit möglicher Fehler erhöhen oder dazu führen, dass der Authentifizierungsverkehr eine langsame Verknüpfung passieren muss. Um die Summe an Kommunikationsvorgängen für solche Interaktionen zu reduzieren, können Sie zwei beliebige Domänen mit einer verknüpften Vertrauensstellung verbinden. Wenn sich z. B. in der Gesamtstruktur mehrere Strukturen befinden, möchten Sie vielleicht die Gruppe der Strukturstämme mit einem vollständigen Netz von Vertrauensstellungen verbinden. Beachten Sie, dass in der Standardanordnung alle Strukturstämme hinsichtlich der Vertrauensstellungen als dem Stamm der Gesamtstruktur untergeordnet angesehen werden. Dies bedeutet, dass der Authentifizierungsverkehr zwischen zwei beliebigen Domänen aus unterschiedlichen Strukturen den Stamm der Gesamtstruktur passieren muss. Die Erstellung eines vollständigen Netzes von Vertrauensstellungen ermöglicht die direkte Kommunikation zwischen zwei beliebigen Struktur-Stammdomänen. Abbildung 9.11 zeigt ein vollständiges Netz von Vertrauensstellungen zwischen vier Struktur-Stammdomänen.
266
Teil III
Active Directory-Infrastruktur
Abbildung 9.11 Domänen
Vollständiges Netz von Vertrauensstellungen zwischen vier
Ändern des Domänenplans nach der Einrichtung Domänenhierarchien sind nach ihrer Erstellung nicht leicht umzustrukturieren. Aus diesem Grund empfiehlt es sich nicht, Domänen zu erstellen, die auf einer temporären oder kurzfristigen Organisationsstruktur basieren. Zum Beispiel erzeugt das Erstellen einer Domäne, die einem bestimmten Geschäftsbereich der Organisation zugeordnet ist, Probleme, falls dieser Geschäftsbereich aufgeteilt, aufgelöst oder während einer Unternehmensumstrukturierung mit einem anderen Bereich verschmolzen wird. Es gibt jedoch Fälle, in der eine organisationsbasierte Partitionierung angemessen ist. Geopolitische Grenzen liefern eine relativ stabile Vorgabe für eine Partitionierung, jedoch ist diese nur dann sinnvoll, wenn sich die Organisation nicht häufig über diese Grenzen hinaus bewegt. Betrachten Sie beispielsweise einen Domänenplan für eine Armee, deren unterschiedliche Divisionen auf eine Reihe von Standorten verteilt sind. Es ist für Divisionen normal, zwischen den Standorten verschoben zu werden. Wenn die Gesamtstruktur entsprechend der geographischen Position partitioniert wäre, müssten die Administratoren eine große Zahl von Benutzerkonten zwischen den Domänen verschieben, sobald eine Division zu einem anderen Standort verschoben wird. Wenn die Gesamtstruktur entsprechend den Divisionen partitioniert würde, müssten Administratoren nur Domänencontroller zwischen den Standorten verschieben. In diesem Fall ist die organisationsbasierte Partitionierung geeigneter als die geographische.
Kapitel 9 Entwerfen der Active Directory-Struktur
267
Hinzufügen neuer und Entfernen bestehender Domänen Es ist leicht, zu einer Gesamtstruktur neue Domänen hinzuzufügen, Sie können jedoch keine bestehenden Windows 2000 Active Directory-Domänen zwischen Gesamtstrukturen verschieben. Kritischer Entscheidungspunkt Nachdem eine Struktur-Stammdomäne eingerichtet wurde, können Sie der Gesamtstruktur keine Domäne mit dem Namen einer höheren Ebene hinzufügen. Sie können zu einer bestehenden Domäne keine übergeordnete Domäne erstellen, sondern nur eine untergeordnete. Wenn z. B. die erste Domäne einer Struktur eu.reskit.com heißt, können Sie später keine übergeordnete Domäne mit dem Namen reskit.com hinzufügen. Das Zurücksetzen aller Domänencontroller einer Domäne auf die Rolle eines Mitgliedservers oder eine Standalone-Lösung entfernt eine Domäne aus einer Gesamtstruktur und löscht alle Daten, die in der Domäne gespeichert waren. Eine Domäne kann nur dann aus einer Gesamtstruktur entfernt werden, wenn sie keine untergeordneten Domänen aufweist.
Zusammenfassen und Aufteilen von Domänen Windows 2000 bietet nicht die Möglichkeit, in einer einzigen Operation eine Domäne in zwei Domänen aufzuteilen oder zwei Domänen in einer Domäne zusammenzufassen. Kritischer Entscheidungspunkt Es ist überaus wichtig, den Domänenplan so zu entwerfen, dass bei Veränderungen in der Organisation nur minimale Änderungen der Partitionierung erforderlich sind. Sie können eine Domäne aufteilen, indem Sie zu einer Gesamtstruktur eine leere Domäne hinzufügen und Objekte aus anderen Domänen dorthin verschieben. So kann auch eine Domäne mit einer anderen zusammengefasst werden, indem alle Objekte der Quelldomäne in die Zieldomäne verschoben werden. Wie bereits erwähnt, kann das Verschieben von Sicherheitsprincipals Auswirkungen auf die Endbenutzer haben. Weitere Informationen über das Verschieben von Objekten zwischen Domänen finden Sie unter „Bestimmen der Strategien für die Domänenmigration“ in diesem Buch.
Umbenennen von Domänen In Windows 2000 kann eine Domäne nicht an Ort und Stelle umbenannt werden. Da der Name einer Domäne auch auf ihre Position in einer Strukturhierarchie hinweist, kann eine Domäne nicht innerhalb der Gesamtstruktur verschoben werden. Kritischer Entscheidungspunkt Bei der Auswahl von Namen für die Domänen sollten Sie darauf achten, dass die Namen auch bei einer Weiterentwicklung Ihrer Organisation ihre Bedeutung behalten. Die Alternative zur Umbenennung an Ort und Stelle ist die Erstellung einer neuen Domäne in der Gesamtstruktur unter dem gewünschten Namen und das Verschieben aller Objekte der alten Domäne in die neue.
268
Teil III
Active Directory-Infrastruktur
Erstellen eines Plans für Organisationseinheiten Eine Organisationseinheit (Organizational Unit, OU) ist der Container, den Sie zur Erstellung von Strukturen in einer Domäne verwenden. Bei der Erstellung von Strukturen in einer Domäne sollten die folgenden Merkmale von Organisationseinheiten berücksichtigt werden. Organisationseinheiten können verschachtelt werden Eine Organisationseinheit kann untergeordnete Organisationseinheiten enthalten. Dies ermöglicht die Erstellung einer hierarchischen Baumstruktur innerhalb einer Domäne. Organisationseinheiten können zur Delegierung von Administrationsaufgaben und zur Steuerung des Zugangs zu Verzeichnisobjekten verwendet werden Durch die Kombination von OU-Verschachtelungen und Zugriffssteuerungslisten können Sie die Delegierung der Administration von Objekten im Verzeichnis sehr fein abstimmen. Sie könnten beispielsweise einer Gruppe von Helpdesktechnikern das Recht einräumen, die Kennwörter für eine bestimmte Benutzergruppe zurückzusetzen, jedoch nicht das Recht, Benutzer zu erstellen oder ein anderes Attribut eines Benutzerobjekts zu ändern. OrganisationseinheitensindkeineSicherheitsprincipals Organisationseinheiten können nicht Mitglieder von Sicherheitsgruppen werden. Auch der Zugang zu einer Ressource kann Benutzern nicht allein aufgrund der Zugehörigkeit zu einer bestimmten Organisationseinheit erlaubt werden. Da Organisationseinheiten zur Delegierung von Administrationsaufgaben verwendet werden, zeigt die übergeordnete Organisationseinheit eines Benutzerobjekts an, wer das Benutzerobjekt verwaltet, jedoch nicht, auf welche Ressourcen ein Benutzer zugreifen kann. Eine Gruppenrichtlinie kann mit einer Organisationseinheit verknüpft werden Mit einer Gruppenrichtlinie können Sie für Benutzer und Computer Desktopkonfigurationen definieren. Sie können eine Gruppenrichtlinie mit Standorten, Domänen und Organisationseinheiten verbinden. Das Definieren einer Gruppenrichtlinie auf OU-Basis ermöglicht Ihnen die Verwendung unterschiedlicher Richtlinien innerhalb der gleichen Domäne. Weitere Informationen über die Gruppenrichtlinie finden Sie unter „Anwenden der Änderungs- und Konfigurationsverwaltung“ und „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ in diesem Buch. Benutzer navigieren nicht durch die OU-Struktur Es ist nicht notwendig eine OUStruktur zu entwerfen, die Endbenutzern gefällt. Obwohl es für Benutzer möglich ist, durch die OU-Struktur einer Domäne zu navigieren, ist dies nicht der effizienteste Weg, um Ressourcen zu finden. Am effizientesten finden Benutzer Ressourcen im Verzeichnis durch die Abfrage des Globalen Katalogs.
Kapitel 9 Entwerfen der Active Directory-Struktur
269
OU-Struktur und Geschäftsstruktur Bei dem Begriff „Struktur der Organisationseinheit“ denken Sie möglicherweise an die Erstellung einer Struktur, die Ihre Geschäftsorganisation und deren unterschiedlichen Hauptabteilungen, Abteilungen und Projekte spiegelt. Es ist möglich, eine solche Struktur zu erstellen, sie könnte jedoch schwierig und nur kostenaufwendig zu verwalten sein. Organisationseinheiten wurden für die Delegierung von Administrationsaufgaben entwickelt; die Struktur, die Sie erstellen, wird also wahrscheinlich Ihr administratives Modell widerspiegeln. Dieses administrative Modell Ihrer Organisation muss nicht exakt mit Ihrer Geschäftsorganisation übereinstimmen. Beachten Sie beispielsweise die geschäftsorientierte Struktur in Abbildung 9.12. Hier wurden für die Hauptabteilungen Elektronik, Medizin und Automobile eigene Organisationseinheiten erstellt (OU Elektronik, OU Medizin und OU Automobile), wobei die Benutzer vom Team Automobile der entsprechenden Organisationseinheit zugeordnet sind, usw.
Abbildung 9.12 OU-Struktur entsprechend der Geschäftsstruktur
Nehmen wir an, das Unternehmen in diesem Beispiel verwendet ein zentralisiertes Administrationsmodell. Eine einzige Gruppe von Administratoren verwaltet alle Benutzer des Unternehmens, ungeachtet der Abteilungszugehörigkeit. Während der täglichen Betriebsabläufe kann sich vieles ereignen. Wenn ein Mitarbeiter von der Abteilung Elektronik zur Abteilung Automobile wechselt, muss ein Administrator das betreffende Benutzerkonto von der OU Elektronik in die OU Automobile verschieben. Bei zahlreichen Mitarbeiterwechseln könnte dies einen deut lichen Mehraufwand für die Administratoren bedeuten. Was wird jedoch damit erreicht? Betrachten Sie für dasselbe Unternehmen nun eine OU-Struktur, die aus einer einzige Organisationseinheit besteht, die alle Benutzerkonten enthält. Wenn ein Benutzer von einer Hauptabteilung zur anderen wechselt, entsteht dadurch keine zusätzliche Arbeit für die Administratoren. Bei der Erstellung von Strukturen sollten Sie darauf achten, dass sie einen bestimmten Zweck erfüllen. Strukturen ohne bestimmten Zweck bewirken lediglich unnötigen Mehraufwand.
270
Teil III
Active Directory-Infrastruktur
Vielleicht möchten Sie Ihre Geschäftsstruktur in der OU-Struktur spiegeln, um die Erstellung von Benutzerlisten nach bestimmten Geschäftseinheiten zu vereinfachen. Die Verwendung von Organisationseinheiten ist nur eine Möglichkeit, dies zu tun. Ihre Geschäftsstruktur wird möglicherweise besser durch die Art und Weise dargestellt, wie den Benutzern der Zugriff auf Ressourcen gewährt wird. Benutzer, die an einem bestimmten Projekt arbeiten, haben beispielsweise Zugang zu einer bestimmten Gruppe von Dateiservern, oder Benutzer einer bestimmten Hauptabteilung haben vielleicht Zugang zu einer bestimmten Website. Da der Zugriff auf Ressourcen mit Hilfe von Sicherheitsgruppen gewährt wird, wird die Struktur einer Organisation möglicherweise durch die Struktur der Sicherheitsgruppen besser repräsentiert als durch Organisationseinheiten.
Planungsprozess für Organisationseinheiten Die einzelnen Schritte zur Erstellung eines OU-Strukturplans für eine Domäne sind: ? Erstellen von Organisationseinheiten zur Delegierung von
Administrationsaufgaben. ? Erstellen von Organisationseinheiten, um Objekte zu verbergen. ? Erstellen von Organisationseinheiten für Gruppenrichtlinien. ? Verstehen der Auswirkung von Änderungen an OU-Strukturen nach der Einrichtung. Es ist wichtig, dass diese Schritte in der dargestellten Reihenfolge durchgeführt werden. Eine OU-Struktur, die nur für die Delegierung von Administrationsaufgaben entwickelt wurde, unterscheidet sich deutlich von einer OU-Struktur für Gruppenrichtlinien. Da es unterschiedliche Arten gibt, Gruppenrichtlinien anzuwenden, jedoch nur eine Möglichkeit, Administrationsaufgaben zu delegieren, sollten die Organisationseinheiten für die Delegierung zuerst erstellt werden. Ihre OU-Struktur kann sehr schnell unübersichtlich werden. Berücksichtigen Sie stets den speziellen Grund für die Erstellung einer Organisationseinheit, wenn Sie zum Plan eine neue Organisationseinheit hinzufügen. Damit können Sie sicherstellen, dass jede Organisationseinheit auch einen Zweck erfüllt. Diese Vorgehensweise hilft auch dem Leser Ihres Plans, die der Struktur zugrundeliegenden Überlegungen zu verstehen. Wenn Sie den OU-Plan für jede Domäne erstellen, konsultieren Sie die folgenden Gruppen Ihrer Verwaltungsorganisationen: ? Die derzeit für die Benutzerkonten, Sicherheitsgruppen und Computerkonten
verantwortlichen Domänenadministratoren. ? Die aktuellen Eigentümer und Administratoren der Ressourcendomänen.
Kapitel 9 Entwerfen der Active Directory-Struktur
271
Erstellen von Organisationseinheiten zur Delegierung von Administrationsaufgaben In Windows NT-Versionen vor Windows 2000 war die Delegierung von Verwaltungsaufgaben innerhalb einer Domäne auf die Verwendung vordefinierter lokaler Gruppen, wie der Gruppe der Kontoadministratoren beschränkt. Diese Gruppen verfügten über vordefinierte Fähigkeiten, die in manchen Fällen nicht den Bedürfnissen einer bestimmten Situation entsprachen. Hieraus resultierten Situationen, in denen Administratoren einer Organisation ein hohes Maß an administrativen Zugriff, wie etwa Rechte von Domänenadministratoren, benötigten. In Windows 2000 ist die Delegierung von Administrationsaufgaben leistungsfähiger und flexibler. Diese Flexibilität wird durch eine Kombination von Organisationseinheiten, attributorientierter Zugriffssteuerung und Vererbung der Zugriffssteuerung erreicht. Administrationsaufgaben können beliebig delegiert werden, indem einer Gruppe von Benutzern die Möglichkeit zum Erstellen spezifischer Objektklassen oder zur Änderung von bestimmten Attributen spezifischer Objektklassen gewährt wird. So wird z. B. der Personalabteilung die Möglichkeit gewährt, Benutzerobjekte ausschließlich in einer bestimmten Organisationseinheit zu erstellen. Helpdesktechnikern kann die Möglichkeit gewährt werden, die Kennwörter der Benutzer in dieser Organisationseinheit zurückzusetzen, nicht jedoch die Möglichkeit, Benutzer zu erstellen. Anderen Verzeichnisadministratoren kann die Möglichkeit gewährt werden, Adressbuchattribute eines Benutzerobjekts zu ändern, nicht jedoch die Möglichkeit, Benutzer zu erstellen oder Kennwörter zurückzusetzen. Die Delegierung von Administrationsaufgaben in der Organisation bietet verschiedene Vorteile. Die Delegierung bestimmter Rechte hilft Ihnen, die Zahl der Benutzer mit weitgehenden Zugriffsrechten zu minimieren. Unfälle oder Fehler von Administratoren mit eingeschränkten Fähigkeiten haben nur Auswirkung auf deren Verantwortungsbereich. Mit Ausnahme der IT-Gruppe mussten früher alle Gruppen in der Organisation ihre Änderungsanfragen an übergeordnete Administratoren weiterleiten, die diese Änderungen dann unter deren Namen ausführten. Mit der Delegierung von Administrationsaufgaben können Sie Verantwortung an die einzelnen Gruppen in Ihrer Organisation weitergeben und den Aufwand an unnötigen Anfragen an übergeordnete administrative Gruppen minimieren.
Ändern von Zugriffssteuerungslisten Wenn Sie Administrationsaufgaben delegieren möchten, gewähren Sie einer Gruppe bestimmte Rechte in einer Organisationseinheit. Dafür ist die Zugriffssteuerungsliste (ACL) der Organisationseinheit zu ändern. Die ACE -Einträge (ACEs) in der ACL eines Objekts legen fest, wer über den Zugriff auf ein Objekt verfügt und welcher Art dieser Zugriff ist. Bei der Erstellung eines Objekts im Verzeichnis wird eine Standard-ACL darauf angewendet. Die Standard-ACL wird in der Schemadefinition der Objektklasse beschrieben.
272
Teil III
Active Directory-Infrastruktur
ACEs können an die untergeordneten Objekte eines Containerobjekts vererbt werden. Wenn eines dieser untergeordneten Objekte selbst ein Containerobjekt ist, werden die ACEs ebenso an die untergeordneten Objekte dieses Containers vererbt. Durch Vererbung können Sie ein delegiertes Recht auf eine ganze Unterstruktur einer Organisationseinheit anwenden, statt nur auf eine einzelne Organisationseinheit. Sie können die ACE-Vererbung an ein Objekt auch sperren, um zu verhindern, dass die ACEs eines übergeordneten Containers auf dieses Objekt oder auf beliebige untergeordnete Objekte angewendet werden. Vererbbare ACEs werden nur innerhalb einer Domäne und nicht in den untergeordneten Domänen angewendet. Um die Steuerung über eine Gruppe von Objekten in der Unterstruktur einer Organisationseinheit zu delegieren, müssen Sie die ACL der Organisationseinheit bearbeiten. Am einfachsten geschieht dies durch die Verwendung des Assistenten zum Zuweisen der Objektverwaltung des Microsoft MMC-Snap-Ins für Active Directory-Benutzer und -Gruppen. Verwenden Sie die Registerkarte Sicherheit auf der Eigenschaftenseite des Objekts, um die ACL eines Objekts anzuzeigen oder eine ACL zu bearbeiten. Referenzieren Sie in ACLs immer Gruppen, niemals individuelle Benutzer. Die Verwaltung einer Gruppenzugehörigkeit ist einfacher als die Verwaltung einer ACL in einer Organisationseinheit. Wenn Benutzer ihre Position verändern, ist es viel einfacher, ihre Gruppenzugehörigkeit zu ermitteln und zu ändern, als die ACLs jeder Organisationseinheit zu überprüfen. Delegieren Sie, wo immer möglich, an lokale Gruppen, statt an globale oder universelle Gruppen. Im Gegensatz zu globalen Gruppen können lokale Gruppen Mitglieder aus jeder beliebigen vertrauten Domäne besitzen, wodurch sie besser für die Gewährung von Ressourcenberechtigungen geeignet sind. Im Gegensatz zu universellen Gruppen wird die Zugehörigkeit zu einer lokalen Gruppe nicht an den Globalen Katalog repliziert, wodurch lokale Gruppen weniger ressourcenintensiv sind.
Entscheiden, welche Organisationseinheiten zu erstellen sind Die OU-Struktur, die Sie erstellen, hängt ganz davon ab, wie die Administrationsaufgaben innerhalb der Organisation delegiert sind. Es gibt drei Formen, Administrationsaufgaben zu delegieren: ? Nach physischer Position. Administrationsaufgaben für Objekte in Europa
können zum Beispiel von einer autonomen Gruppe von Administratoren übernommen werden. ? Nach Geschäftsbereichen. Administrationsaufgaben für Objekte, die zur Abteilung Avionics gehören, können beispielsweise von einer autonomen Gruppe von Administratoren übernommen werden. ? Nach Rolle oder Aufgabe. Die Aufteilung entspricht dem verwalteten Objekttyp. So könnte z. B. eine Gruppe von Administratoren nur für die Computerkontoobjekte verantwortlich sein. Diese drei Gesichtspunkte werden häufig kombiniert. Wie z. B. in Abbildung 9.13 gezeigt, gibt es eine administrative Gruppe, die für die Computerkontoobjekte des Geschäftsbereichs Automobile in Atlanta verantwortlich ist.
Kapitel 9 Entwerfen der Active Directory-Struktur
Abbildung 9.13
273
Zweischichtige Delegierung
Ob die OU Atlanta der OU Automobile untergeordnet ist, hängt davon ab, ob die Administratoren der OU Automobile an die Administratoren der OU Atlanta Autorität delegieren oder umgekehrt. Es ist auch möglich, dass die Administratoren der OU Atlanta völlig unabhängig von den Administratoren der OU Automobile sind, folglich wären beide Organisationseinheiten Peers. Anmerkung Einige Organisationen verfügen über geographisch verteilte administrative Gruppen, um einen 24-Stunden-Betrieb zu unterstützen. Durch die kombinierten, normalen Arbeitsstunden aller administrativen Gruppen kann die Organisation eine 24-stündige Verfügbarkeit präsentieren. In diesem Fall ist der Bereich der administrativen Gruppen nicht standortspezifisch, weil die Administratoren in der Lage sein müssen, Benutzern aus der ganzen Welt behilflich zu sein. Auch wenn in diesem Szenario die Administratoren über viele Standorte verteilt sind, ist es kein Beispiel für eine standortbasierte Delegierung.
Delegierungsprozeduren Erstellen Sie, ausgehend von der Standardstruktur innerhalb einer Domäne, eine OU-Struktur. Verwenden Sie dazu die folgenden primären Schritte: ? Erstellen Sie die obersten Schichten von Organisationseinheiten, indem Sie den
Vollzugriff an sie delegieren. ? Erstellen Sie die unteren Schichten der Organisationseinheiten, um die Steuerung pro Objektklasse zu delegieren.
Delegieren des Vollzugriffs Nur Domänenadministratoren haben Vollzugriff auf alle Objekte. Domänenadministratoren sollten am besten nur verantwortlich sein für: ? Das Erstellen der ursprünglichen OU-Struktur. ? Das Beheben von Fehlern.
Domänenadministratoren haben nicht nur standardmäßig Vollzugriff, sie haben auch das Recht, den Besitz jedes Objekts der Domäne zu übernehmen. Aufgrund dieses Rechts können Domänenadministratoren Vollzugriff auf jedes beliebige Objekt einer Domäne erhalten, unabhängig von den Berechtigungen, die für dieses Objekt erteilt wurden. ? Das Erstellen zusätzlicher Domänencontroller. Nur Mitglieder der Gruppe der Domänenadministratoren können für eine Domäne zusätzliche Domänencontroller erstellen.
274
Teil III
Active Directory-Infrastruktur
Da Domänenadministratoren eingeschränkte und spezifische Aufgaben haben können, kann die Mitgliedschaft in dieser Gruppe klein und kontrolliert gehalten werden. Wenn Sie über Bereiche in Ihrer Organisation verfügen, die ihre eigene OUStruktur und eigene administrative Modelle festlegen können müssen, führen Sie folgende Schritte durch: ? Erstellen Sie für jeden Bereich eine Organisationseinheit. ? Erstellen Sie eine lokale Gruppe für jeden Bereich, die die Administratoren der
höchsten Ebene in diesem Bereich repräsentiert. ? Weisen Sie der entsprechenden Gruppe Vollzugriff auf ihre Organisationseinheit zu. ? Wenn es dem Bereich erlaubt ist, seine Zugehörigkeit selbst festzulegen, platzieren Sie die Administratorengruppe des Bereichs in der Organisationseinheit. Wenn es dem Bereich nicht erlaubt ist, seine eigene Administratorenzugehörigkeit festzulegen, lassen Sie die Gruppe außerhalb der Organisationseinheit.
Beispiel für das Delegieren des Vollzugriffs Der Unternehmensbereich Automobile von Reskit ist das Resultat des Zusammenschlusses zweier Unternehmen und soll als eine vollkommen unabhängige ITGruppe beibehalten werden. In dieser Situation erhält der Automobilbereich seine eigene Organisationseinheit im Stamm der Domäne. Da der Gruppe auch gestattet ist, die Zugehörigkeit zu ihrer Administratorengruppe selbst festzulegen, wird die Gruppe in der OU Automobile platziert. Wenn der Automobilbereich seinerseits vollständig unabhängige Zweigniederlassungen in Atlanta und Toronto besitzt, könnten die Administratoren des Automobilbereichs wiederum Organisationseinheiten erstellen und an diese Vollzugriff delegieren. Wie in Abbildung 9.14 gezeigt, haben die Administratoren von Automobile die Fähigkeit beibehalten, die Zugehörigkeit zu den Administratorengruppen Atlanta und Toronto festzulegen.
Abbildung 9.14
Delegieren des Vollzugriffs
Wenn keine Bereiche in der Organisation Vollzugriff benötigen, legen die Domänenadministratoren den übrigen Teil der OU-Struktur fest.
Delegieren der Steuerung pro Objektklasse Gruppen mit Vollzugriff können entscheiden, ob zusätzliche Organisationseinheiten erforderlich sind, um eine restriktivere Steuerung zu delegieren. Eine einfache Art, dies zu erreichen, ist die Betrachtung jeder Objektklasse, die im Verzeichnis erstellt
Kapitel 9 Entwerfen der Active Directory-Struktur
275
wird, und die Entscheidung, ob die Verwaltung dieser Objektklasse in der Organisation weiter delegiert werden soll. Auch wenn das Schema viele unterschiedliche Arten von Objektklassen definiert, müssen nur diejenigen Objektklassen berücksichtigt werden, die die Administratoren im Active Directory erstellen. Es sollten mindestens folgende Objektklassen berücksichtigt werden: ? Benutzerkontoobjekte ? Computerkontoobjekte ? Gruppenobjekte ? OU-Objekte
Bedenken Sie bei der Prüfung jeder Objektklasse: ? Welche Gruppen sollten den Vollzugriff auf die Objekte einer bestimmten
Klasse erhalten? Gruppen mit Vollzugriff können Objekte der angegebenen Klasse erstellen und löschen und alle Attribute der Objekte dieser Klasse ändern. ? Welche Gruppen sollten Objekte einer bestimmten Klasse erstellen dürfen? Standardmäßig haben Benutzer Vollzugriff auf die von ihnen erstellen Objekte. ? Welche Gruppen sollten die Attribute vorhandener Objekte einer bestimmten Klasse ändern dürfen? Immer, wenn Sie sich für die Delegierung von Kontrollbefugnissen entscheiden, tun Sie Folgendes: ? Eine lokale Gruppe erstellen, die die spezifische Funktion übernehmen darf. ? Dieser Gruppe das spezifische Recht in der höchstmöglichen Organisations-
einheit gewähren. Anmerkung Wenn Sie Objekte zwischen Organisationseinheiten verschieben möchten, muss der verantwortliche Administrator die Fähigkeit besitzen, ein Objekt im Zielcontainer zu erstellen und das Objekt im Quellcontainer zu löschen. Daher sollten Sie vielleicht eine separate Administratorengruppe erstellen, die Objekte verschieben kann, und dieser die entsprechenden Rechte in einer gemeinsamen Organisationseinheit gewähren. Die Liste der zu berücksichtigenden Objekte kann wachsen, sobald weitere Active Directory-fähige Anwendungen eingesetzt werden. Einige Anwendungen erzeugen jedoch Objekte im Verzeichnis, die nicht individuell verwaltet werden müssen. Druckserver unter Windows 2000 veröffentlichen die Druckwarteschlangen beispielsweise automatisch im Verzeichnis. Da der Druckserver die Verwaltung des Druckwarteschlangenobjekts übernimmt, ist es nicht erforderlich, die Verwaltung an eine besondere Administratorengruppe zu delegieren. Durch Ändern der ACL im Standardcomputercontainer können Sie die Fähigkeit, Computerkontoobjekte zu erstellen, an alle Benutzer delegieren, ohne dass weitere Administration erforderlich wäre. Computerkonten werden dann erstellt, wenn Benutzer von einem Computer aus eine Verbindung zu einer Domäne im Standardcomputercontainer herstellen.
276
Teil III
Active Directory-Infrastruktur
Beispiel für das Delegieren der Steuerung pro Objektklasse Im Bereich Automobile der Niederlassung Atlanta des Unternehmens Reskit befinden sich zwei Windows NT 4.0-Ressourcendomänen, Powertrain und Chassis. Zur Migration zu Windows 2000 gehört die Konsolidierung dieser Domänen in die Domäne noam.reskit.com. Derzeit nutzen die Administratoren von Powertrain und Chassis die Domänen, um: ? Computerkonten für Teammitglieder zu erstellen. ? den Dateisystembereich der Windows NT 4.0-Sicherungsdomänencontroller
(BDC) gemeinsam zu nutzen, wobei der Zugang zum Dateisystem und zu den Freigaben durch die lokale Gruppenzugehörigkeit gesteuert wird. Mit Hilfe der Delegierung von Administrationsaufgaben ist es ganz einfach, die Ressourcendomänen durch Organisationseinheiten zu ersetzen. In diesem Fall werden für die Verwaltung aller einzelnen Objekttypen Gruppen erstellt, die in einer projektspezifischen Organisationseinheit Vollzugriff erhalten. Projektspezifische Organisationseinheiten sind erforderlich, um zu verhindern, dass die Administratoren von Powertrain die Objekte der Domäne Chassis bearbeiten können und umgekehrt. Abbildung 9.15 veranschaulicht dieses Konzept.
Abbildung 9.15
Ersetzen von Ressourcendomänen
Kapitel 9 Entwerfen der Active Directory-Struktur
277
Erstellen von Organisationseinheiten, um Objekte zu verbergen Auch wenn ein Benutzer nicht berechtigt ist, die Attribute eines Objekts zu lesen, kann er dennoch sehen, dass das Objekt existiert, indem er sich die Inhalte des übergeordneten Containers des Objekts anzeigen lässt. Der einfachste und effizienteste Weg, ein Objekt oder eine Gruppe von Objekten zu verbergen, ist eine Informationseinheit dafür zu erstellen und die Gruppe von Benutzern zu begrenzen, die das Recht Inhalt auflisten für diese Organisationseinheit haben. ? Erstellen einer Organisationseinheit, um Objekte zu verbergen 1. Erstellen Sie die Organisationseinheit dort, wo Sie Objekte verbergen möchten. 2. Klicken Sie auf der Eigenschaftenseite der Organisationseinheit auf die Registerkarte Sicherheit. 3. Entfernen Sie alle vorhandenen Berechtigungen von der Organisationseinheit. 4. Deaktivieren Sie die Option für das Erben der Berechtigungen im Dialogfeld Erweitert. 5. Identifizieren Sie die Gruppen, die Vollzugriff auf die Organisationseinheit haben sollen. Verwenden Sie die Registerkarte Sicherheit auf der Eigenschaftenseite, um diesen Gruppen Vollzugriff zu gewähren. 6. Identifizieren Sie die Gruppen, die allgemeinen Lesezugriff auf die Organisationseinheit und ihre Inhalte haben sollen. Verwenden Sie die Registerkarte Sicherheit auf der Eigenschaftenseite, um diesen Gruppen Lesezugriff zu gewähren. 7. Identifizieren Sie alle übrigen Gruppen, die besondere Zugriffsrechte auf die Organisationseinheit benötigen, wie beispielsweise das Recht, eine bestimmte Objektklasse zu erstellen oder zu löschen. Verwenden Sie die Registerkarte Sicherheit auf der Eigenschaftenseite, um diesen Gruppen den jeweiligen Zugriff zu gewähren. 8. Verschieben Sie die Objekte, die Sie verbergen möchten, in die Organisationseinheit. Nur Benutzer, die die ACL einer Organisationseinheit ändern können, können auf diese Art Objekte verbergen.
Erstellen von Organisationseinheiten für Gruppenrichtlinien In Windows NT 4.0 können Sie mit Hilfe des Systemrichtlinien-Editors für alle Benutzer und Computer in einer Domäne Benutzer- und Computerkonfigurationen definieren. In Windows 2000 verwenden Sie Gruppenrichtlinien, um Benutzerund Computerkonfigurationen zu definieren und verknüpfen diese Richtlinien mit Standorten, Domänen oder Organisationseinheiten. Ob Sie zusätzliche Organisationseinheiten erstellen müssen, um die Anwendung von Gruppenrichtlinien zu unterstützen, hängt von den erstellten Richtlinien und den gewählten Implementierungsoptionen ab. Weitere Informationen über die Gruppenrichtlinie finden Sie unter „Anwenden der Änderungs- und Konfigurationsverwaltung“ und „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ in diesem Buch.
278
Teil III
Active Directory-Infrastruktur
Änderung des Plans für Organisationseinheiten nach der Einrichtung Das Erstellen von neuen Organisationseinheiten, das Verschieben von untergeordneten OU-Strukturen in einer Domäne, das Verschieben von Objekten zwischen Organisationseinheiten derselben Domäne und das Löschen von Organisationseinheiten sind einfache Aufgaben. Das Verschieben eines Objekts oder einer untergeordneten Struktur von Objekten ändert den übergeordneten Container dieser Objekte. Die ACEs, die vom übergeordneten Objekt geerbt wurden, sind nicht mehr gültig, und möglicherweise gibt es bereits neue ACEs vom neuen übergeordneten Objekt. Wenn Sie unerwartete Änderungen der Zugriffsrechte vermeiden möchten, prüfen Sie vorher, welche Änderungen eintreten werden und ob sie Auswirkungen auf die Benutzer haben, die derzeit Zugriff auf diese Objekte haben und sie verwalten. Das Verschieben eines Benutzerobjekts, Computerobjekts oder einer untergeordneten Struktur, die Benutzer- oder Computerobjekte enthält, kann zu Änderungen in der Gruppenrichtlinie dieser Objekte führen. Sollen unerwartete Änderungen der Clientkonfigurationen vermieden werden, prüfen Sie vorher die Änderungen und stellen Sie sicher, dass sie für die Endbenutzer akzeptabel sind.
Erstellen eines Standorttopologieplans Eine Active Directory-Standorttopologie ist die logische Abbildung eines physischen Netzwerks. Die Standorttopologie wird auf Basis einzelner Gesamtstrukturen definiert. Active Directory-Clients und -Server verwenden die Standorttopologie einer Gesamtstruktur für das effiziente Routing des Anfrage- und Replikationsverkehrs. Eine Standorttopologie hilft auch bei der Entscheidung, an welchen Stellen im Netzwerk Domänencontroller platziert werden sollen. Beim Entwurf der Standorttopologie sollten Sie folgende Schlüsselkonzepte berücksichtigen: Ein Standort ist eine Reihe von Netzwerken mit schnellen, zuverlässigen Verbindungen Ein Standort ist eine Reihe von IP-Subnetzen, die über schnelle, zuverlässige Verbindungen verknüpft sind. Als Daumenregel gilt: Netzwerke mit LANGeschwindigkeit oder höher werden als schnelle Netzwerke bezeichnet. Eine Standortverknüpfung ist eine Verbindung mit niedriger Bandbreite oder geringer Zuverlässigkeit zwischen zwei oder mehr Standorten Standortverknüpfungen dienen derr Darstellung der verfügbaren Bandbreite zwischen zwei Standorten. Im Allgemeinen gilt folgende Regel: wenn zwei Netzwerke über eine Verknüpfung verbunden sind, die langsamer als LANGeschwindigkeit ist, bezeichnet man diese Verknüpfung als Standortverknüpfung. Eine schnelle Verknüpfung, die an der Kapazitätsgrenze arbeitet, verfügt über eine geringe effektive Bandbreite und kann ebenfalls als Standortverknüpfung bezeichnet werden. Standortverknüpfungen haben vier Parameter: ? Kosten
Die Kosten einer Standortverknüpfung helfen dem Replikationssystem zu entscheiden, ob die Verknüpfung nach einem Vergleich mit anderen Verbindungen verwendet wird. Die Kosten bestimmen den Pfad der Replikation durch das Netzwerk. ? Replikationsplan
Kapitel 9 Entwerfen der Active Directory-Struktur
279
Eine Standortverknüpfung besitzt einen dazugehörigen Plan, der angibt, zu welchen Zeiten die Verknüpfung für Replikationsverkehr zur Verfügung steht. ? Replikationsintervall Das Replikationsintervall zeigt an, wie oft das System die Domänencontroller auf der anderen Seite der Standortverknüpfung zu Replikationszwecken abfragt. ? Transport Der für die Replikation verwendete Transport. Clientcomputer versuchen zuerst mit Servern in Verbindung zu treten, die sich am selben Standort befinden Sobald ein Benutzer einen Clientcomputer einschaltet, sendet der Computer eine Nachricht an einen zufällig gewählten Domänencontroller der Domäne, zu der der Client gehört. Anhand der IP-Adresse des Clients bestimmt der Domänencontroller, an welchem Standort sich der Client befindet, und gibt den Namen der Domäne an den Client zurück. Der Client speichert diese Information und verwendet sie, wenn er das nächste Mal einen Replikationsserver an dem Standort sucht. ActiveDirectory-Replikation verwendet die Standorttopologie zur Erstellung von Replikationsverbindungen Die Konsistenzprüfung (KCC, Knowledge Consistency Checker) ist ein integrierter Prozess zur Erstellung und Wartung von Replikationsverbindungen zwischen Domänencontrollern. Bei der Erstellung dieser Verbindungen werden Informationen zur Standorttopologie verwendet. Die standortinterne Replikation wird so abgestimmt, dass die Verzögerung minimal ist. Bei der standortübergreifenden Replikation ist die Minimierung der Bandbreitennutzung ausschlaggebend. Tabelle 9.1 zeigt die Differenzen zwischen der standortinternen und der standortübergreifenden Replikation. Tabelle 9.1 Standortinterne und standortübergreifende Replikation Standortinterne Replikation
Standortübergreifende Replikation
Der Replikationsverkehr wird nicht komprimiert, um Prozessorzeit zu sparen. Die Replikationspartner benachrichtigen sich gegenseitig, wenn Änderungen zu replizieren sind, um die Replikationsverzögerung zu minimieren. Die Replikationspartner fragen sich in regelmäßigen Abständen gegenseitig ab, ob Änderungen anstehen.
Der Replikationsverkehr wird komprimiert, um Bandbreite zu sparen.
Bei der Replikation wird der Transport RPC (Remote Procedure Call) verwendet.
Die Replikationspartner benachrichtigen sich nicht gegenseitig, wenn Änderungen zu replizieren sind, um Bandbreite zu sparen.
Die Replikationspartner fragen sich in vorgegebenen Abständen gegenseitig ab, ob Änderungen anstehen. Diese Abfragen erfolgen jedoch nur in bestimmten, vorgeplanten Zeiträumen. Bei der Replikation wird der Transport TCP/IP oder SMTP verwendet.
280
Teil III
Active Directory-Infrastruktur (Fortsetzung) Standortinterne Replikation
Standortübergreifende Replikation
Die Replikationsverbindungen können zwischen zwei beliebigen Domänencontrollern desselben Standorts erstellt werden. Die Konsistenzprüfung (KCC) erstellt Verbindungen mit mehreren Domänencontrollern, um die Replikationsverzögerung zu minimieren.
Replikationsverbindungen können nur zwischen Replikationshubservern erstellt werden. Von jeder Domäne am Standort wird ein Domänencontroller von der Konsistenzprüfung als Replikationshubserver bestimmt. Der Replikationshubserver bearbeitet alle standortübergreifenden Replikationen für diese Domäne. Die Konsistenzprüfung erstellt Verbindungen zwischen den Replikationshubservern. Hierbei wird je nach Kosten der Standortverknüpfung die kostengünstigste Route verwendet. Die Konsistenzprüfung verwendet Verbindungen über Routen zu höheren Kosten nur, wenn alle Domänencontroller an kostengünstigeren Routen nicht erreichbar sind.
DieInformationen zur Standorttopologie werden imKonfigurationscontainer gespeichert Standorte, Standortverknüpfungen und Subnetze sind im Konfigurationscontainer gespeichert, der an jeden Domänencontroller der Gesamtstruktur repliziert wird. Jeder Domänencontroller in der Gesamtstruktur verfügt über die gesamten Kenntnisse der Standorttopologie. Eine Änderung der Standorttopologie verursacht eine Replikation an jeden Domänencontroller der Gesamtstruktur. Anmerkung Die Standorttopologie ist separat und nicht auf die Domänenhierarchie bezogen. Ein Standort kann viele Domänen enthalten, und eine Domäne kann in vielen Standorten erscheinen.
Planungsprozess für die Standorttopologie Verwenden Sie die folgenden Schritte, um eine Standorttopologie für eine Gesamtstruktur zu erstellen. ? Definieren Sie Standorte und Standortverknüpfungen. Verwenden Sie als
Ausgangsmaterial Ihre physische Netzwerktopologie. ? Platzieren Sie Server in den Standorten. ? Verdeutlichen Sie sich, wie sich Änderungen Ihrer Standorttopologie nach der Einrichtung auf den Endbenutzer auswirken. Folgende Personen sollten Sie beim Erstellen des Standorttopologieplans zur Beratung heranziehen: ? Die Teams, die die TCP/IP-Implementierung auf Ihrem Netzwerk verwalten
und überwachen. ? Die Domänenadministratoren jeder Domäne Ihrer Gesamtstruktur.
Kapitel 9 Entwerfen der Active Directory-Struktur
281
Weitere Informationen zu Standorten oder zu anderen in diesem Abschnitt erörterten Themen finden Sie in Microsoft Windows 2000 Server – Die technische Referenz: Verteilte Systeme.
Definieren von Standorten und Standortverknüpfungen Verwenden Sie, um die Standorttopologie für eine Gesamtstruktur zu erstellen, die physische Topologie Ihres Netzwerks, und erstellen Sie eine allgemeinere Topologie, die auf der verfügbaren Bandbreite und Netzwerkzuverlässigkeit basiert. Wenn Sie beim Erstellen Ihres Domänenplans auch die physische Partitionierung durchgeführt haben, können Sie den Plan mit der Standorttopologie und der Platzierung der Domänencontroller als Ausgangsmaterial für Ihre Standorttopologie verwenden. Wenn Sie diesen Teil übersprungen haben, empfiehlt sich die Durchsicht des Abschnitts „Festlegen der Anzahl der Domänen in jeder Gesamtstruktur“. Erstellen Sie dann eine grundlegende Standorttopologie. Bei der Erstellung der Standorttopologie ist es praktisch, wenn Sie über eine vollständige Zuordnung der physischen Topologie Ihres Netzwerks verfügen. Diese Zuordnung sollte die Liste der physischen Subnetze Ihres Netzwerks, den Medientyp und die Geschwindigkeit jedes Netzwerks sowie die Verbindungen zwischen allen Netzwerken enthalten.
Erstellen von Standorten Erstellen Sie zu Beginn eine Liste der Standorte in Ihrem Netzwerk. ? Erstellen Sie einen Standort für jedes LAN oder jede Gruppe von LANs, die
durch einen Hochgeschwindigkeits-Backbone verbunden sind, und weisen Sie dem Standort einen Namen zu. Die Verbindungen innerhalb des Standorts müssen zuverlässig und immer verfügbar sein. ? Erstellen Sie einen Standort für jede Position, die nicht über eine direkte Verbindung zum restlichen Netzwerk verfügt und nur über SMTP-Mail erreichbar ist. ? Legen Sie fest, welche Standorte keine lokalen Domänencontroller erhalten und
führen Sie diese Standorte mit benachbarten Standorten zusammen. Standorte helfen effizient beim Weiterleiten des Client-zu-Domänencontroller- und Domänencontroller-zu-Domänencontroller-Verkehrs. In einem Standort ohne Domänencontroller muss kein Replikationsverkehr kontrolliert werden. Notieren Sie für jeden Standort, den Sie Ihrem Plan hinzufügen, die Gruppe von IP-Subnetzen, die der Standort enthält. Sie werden diese Informationen später benötigen, wenn Sie die Standorte in Ihrem Verzeichnis erstellen. Anmerkung Die Standortnamen werden in Datensätzen verwendet, die durch den Domänenlocator in DNS registriert werden, daher muss es sich um gültige DNSNamen handeln. Es wird empfohlen, in Standortnamen nur die Standardzeichen A-Z, a-z, 0-9 und den Bindestrich (-) zu verwenden.
282
Teil III
Active Directory-Infrastruktur
Bedenken Sie, dass Clients zuerst versuchen, einen Domänencontroller des eigenen Standorts zu erreichen, bevor sie versuchen, eine Verbindung zu Domänencontrollern anderer Standorte aufzubauen. Erwägen Sie immer dann, Netzwerke in einem Standort zusammenzufassen, wenn die Bandbreite zwischen einer Gruppe von Netzwerken so groß ist, dass unerheblich ist, ob ein Client des einen Netzwerks mit dem Server eines anderen Netzwerks kommuniziert. Wenn sich ein Client in einem Subnetz befindet, das nicht im Verzeichnis definiert ist, wird er nicht als Teil des Standorts angesehen und nur zufällig von allen Domänencontrollern für eine bestimmte Domäne ausgewählt. Es können Situationen auftreten, in denen nicht alle Subnetze im Verzeichnis definiert sind, wenn z. B. neue Subnetze Ihrem Netzwerk hinzugefügt werden. Um diese Clients einem Standort zuzuordnen, erstellen Sie die beiden Standardsubnetze wie in Abbildung 9.2 gezeigt, und ordnen Sie sie einem Standort zu. Tabelle 9.2 Standardsubnetze Subnetz-ID
Maske
Beschreibung
128.0.0.0
192.0.0.0
Erfasst alle Clients von Netzwerken der Klasse B, die noch nicht im Verzeichnis definiert sind.
192.0.0.0
224.0.0.0
Erfasst alle Clients von Netzwerken der Klasse C, die noch nicht im Verzeichnis definiert sind.
Für Clients in einem Netzwerk der Klasse A gibt es kein Standardsubnetz. Verlegen Sie immer dann Netzwerke in separate Standorte, wenn diese Netzwerke dadurch voneinander getrennt sind, dass Verknüpfungen zu bestimmten Tageszeiten stark benutzt werden, zu anderen Zeiten jedoch untätig sind. Sie können auch die Fähigkeit der Replikationsplanung zwischen zwei Standorten verwenden, um zu verhindern, dass Replikationsverkehr während bestimmter Phasen hoher Beanspruchung mit anderem Datenverkehr konkurriert. Wenn das ganze Netzwerk aus schnellen, zuverlässigen Verbindungen besteht, kann es als einzelner Standort angesehen werden.
Verbinden von Standorten mit Standortverknüpfungen Verbinden Sie nun die Standorte mit Standortverknüpfungen, um die physischen Verbindungen Ihres Netzwerks widerzuspiegeln. Ordnen Sie jeder Standortverknüpfung einen Namen zu. Standortverknüpfungen sind transitiv, d. h. wenn Standort A mit Standort B verbunden ist, und Standort B mit Standort C, geht die Konsistenzprüfung (KCC) davon aus, dass die Domänencontroller in Standort A mit den Domänencontrollern in Standort C kommunizieren können. Sie müssen nur dann eine Standortverknüpfung zwischen Standort A und Standort C erstellen, wenn tatsächlich eine eigene Netzwerkverbindung zwischen diesen beiden Standorten besteht.
Kapitel 9 Entwerfen der Active Directory-Struktur
283
Verzeichnen Sie für jede Standortverknüpfung, die Sie erstellen, folgende Informationen: ? Replikationsplan
Replikationsabfragen erfolgen nur während eines geplanten Zeitraums oder in Zeiträumen über ein Intervall von sieben Tagen. Der Standardplan einer Verknüpfung erlaubt die Durchführung der Replikationsabfragen während des ganzen 7-Tage-Intervalls. ? Replikationsintervall
Die Replikationsabfragen werden zum festgelegten Intervall durchgeführt, wenn der Plan die Replikation zulässt. Das Standardabfrageintervall beträgt 3 Stunden. ? Replikationstransport Wenn der Standort nur über SMTP erreichbar ist, wählen Sie den SMTPTransport aus. Wählen Sie andernfalls den TCP/IP-Transport aus. ? Verbindungskosten Ordnen Sie jeder Standortverknüpfung einen Kostenwert zu, um die verfügbare Bandbreite oder die Kosten der Bandbreite im Vergleich zu anderen Standortverknüpfungen wiederzugeben. Ein Backbone-Netzwerk, das viele Standorte verbindet, kann durch eine einzelne Standortverknüpfung wiedergegeben werden, die viele Standorte verknüpft. Hierfür ist kein Netz von Verknüpfungen zwischen Standorten erforderlich. So kann die Anzahl der zu erstellenden und zu verwaltenden Standortverknüpfungen reduziert werden, wenn viele Verknüpfungen dieselben Merkmale aufweisen. Abbildung 9.16 zeigt, wie ein Frame Relay-Netzwerk, das vier Büros verbindet, als eine einzelne Verknüpfung wiedergegeben werden kann, anstelle eines Netzes von sechs Einzelverknüpfungen.
284
Teil III
Active Directory-Infrastruktur
Abbildung 9.16
Einzelverknüpfung oder Netz von Verknüpfungen
Anmerkung Der Replikationsplan legt fest, wann ein Domänencontroller Replikationspartner nach Änderungen abfragt. Wenn ein Replikationszyklus abläuft, während das geplante Fenster schließt, wird die Replikation fortgesetzt, bis der aktuelle Zyklus abgeschlossen ist. Abbildung 9.17 zeigt die Standorttopologie des Unternehmens Reskit. Die Konvention für die Benennung von Standorten verwendet eine Kombination aus Landeskennzahl, dem Code des nächsten Flughafens und einer Identifikationsnummer. Die Standortverknüpfungsnamen enthalten auch die Namen der verbundenen Standorte.
Kapitel 9 Entwerfen der Active Directory-Struktur
Abbildung 9.17
285
Standorttopologie des Unternehmens Reskit
Tabelle 9.3 zeigt die Standorttopologie des Unternehmens Reskit. Tabelle 9.3 Standortverknüpfungsparameter für die Standorttopologie von Reskit Standortverknüpfung
Transport
Kosten
Abfrageintervall
Planung
SEA01-YYZ14
SMTP
100
30 Minuten
05:00 bis 09:00 UTC täglich
SEA01-CAI10
IP
100
30 Minuten
20:00 bis 04:00 UTC täglich
SEA01-LHR03 LHR03-CAI10
IP IP
25 50
1 Stunde 15 Minuten
(immer) 20:00 bis 04:00 UTC täglich
Die Replikation für die Verknüpfung zwischen der Fertigungsanlage und dem Hauptsitz ist so geplant, dass sie nur außerhalb der Bürozeiten durchgeführt wird. Auch zwischen der Bezirksfiliale und den anderen Standorten ist die Replikation so geplant, dass sie nur außerhalb der Bürozeiten durchgeführt wird. Da die Verknüpfungskosten zwischen der Bezirksfiliale und dem Betriebszentrum niedriger sind als die Kosten zwischen der Bezirksfiliale und dem Hauptsitz, versucht das KCC, die Verbindungen mit dem Replikationshub im Betriebszentrum vor den Verbindungen mit dem Replikationshub im Hauptsitz herzustellen. Die Planung für die Verknüpfung zwischen Hauptsitz und Betriebszentrum umspannt einen großen Zeitraum, verwendet jedoch längere Abfrageintervalle, um den Verkehr zu reduzieren.
Platzieren der Server in den Standorten Die Position der Server in der Standorttopologie wirkt sich direkt auf die Verfügbarkeit des Active Directory aus. Während der physischen Partitionierung des Domänenplans haben Sie einen grundlegenden Plan für die Positionierung der Domänencontroller erstellt. Mit der Platzierung von Servern in der Standorttopologie vervollständigen Sie diesen Plan nun in den Einzelheiten.
286
Teil III
Active Directory-Infrastruktur
Platzieren von zusätzlichen Domänencontrollern Bei der Partitionierung wurde entschieden, an welchen Standorten Domänencontroller für jede Domäne verfügbar sind, jedoch nicht, wie viele Domänencontroller an jedem Standorte für jede Domäne eingesetzt werden. Die Anzahl der Domänencontroller für eine bestimmte Domäne wird von zwei Faktoren bestimmt: der erforderlichen Fehlertoleranz und der nötigen Lastenverteilung. Verwenden Sie bei jeder Domäne die folgenden Richtlinien um festzulegen, ob weitere Domänencontroller notwendig sind. Erstellen Sie immer mindestens zwei Domänencontroller Selbst kleine Domänen mit wenigen Benutzern sollten mindestens zwei Domänencontroller erhalten, so dass es in der Domäne kein potentielles Einzelversagen gibt. Überlegen Sie bei jedem Standort, der nur einen Domänencontroller enthält, ob das WAN für ein Failover geeignet und vertrauenswürdig ist Fällt der einzige Domänencontroller aus, können die Clients des Standorts von anderen Domänencontrollern dieser Domäne bedient werden, die sich an anderen Standorten befinden. Wenn die Netzwerkverbindung jedoch unzuverlässig oder nur zeitweise verfügbar ist, ist das Netzwerk für ein Failover möglicherweise nicht geeignet. In diesem Fall sollten Sie an diesem Standort einen zweiten Domänencontroller für diese Domäne einrichten. Setzen Sie zusätzliche Domänencontroller für eine Domäne an einem Standort ein, um die Auslastung durch Clients besser zu verteilen Wie viele Clients ein bestimmter Server bedienen kann, hängt von der jeweiligen Arbeitsauslastung und der Hardwarekonfiguration des Servers ab. Die Clients wählen aus den verfügbaren Domänencontrollern eines Standorts zufällig einen aus, um die Auslastung gleichmäßig zu verteilen.
Positionieren von globalen Katalogservern Die Verfügbarkeit von globalen Katalogservern ist für das Verzeichnis von entscheidender Bedeutung. Ein globaler Katalogserver muss beispielsweise verfügbar sein, wenn eine Benutzeranmeldung auf Anfrage einer Domäne im einheitlichen Modus bearbeitet wird oder ein Benutzer sich mit einem UPN (User Principal Name) anmeldet. Anmerkung Bei der Bearbeitung einer Anmeldeanfrage für einen Benutzer einer Domäne im einheitlichen Modus sendet ein Domänencontroller eine Anfrage an einen globalen Katalogserver, um die Zugehörigkeit des Benutzers zu einer universellen Gruppe zu ermitteln. Da Gruppen der Zugriff auf eine Ressource explizit verweigert werden kann, ist eine genaue Kenntnis der Gruppenzugehörigkeit von Benutzern erforderlich, um die Zugriffssteuerung korrekt zuzuweisen. Wenn ein Domänencontroller einer Domäne im einheitlichen Modus bei einer Benutzeranmeldung keine Verbindung zu einem globalen Katalogserver herstellen kann, verweigert der Domänencontroller die Anmeldeanfrage. Im Allgemeinen sollte mindestens ein Domänencontroller an jedem Standort als globaler Katalogserver bestimmt werden. Verwenden Sie dieselben Failover- und Lastenverteilungsregeln wie bei einzelnen Domänencontrollern um festzustellen, ob an jedem Standort globale Katalogserver benötigt werden.
Kapitel 9 Entwerfen der Active Directory-Struktur
287
Anmerkung In Umgebungen mit nur einer Domäne sind für die Bearbeitung von Anmeldungen keine globalen Katalogserver erforderlich. Sie sollten dennoch globale Katalogserver festlegen und dabei wie vorgeschlagen vorgehen. Clients suchen für Suchanfragen immer noch globale Katalogserver. Darüber hinaus erleichtert die rechtzeitige Einrichtung globaler Katalogserver spätere Systemanpassungen, wenn weitere Domänen hinzugefügt werden.
Positionieren von DNS-Servern Die Verfügbarkeit von DNS wirkt sich direkt auf die Verfügbarkeit von Active Directory aus. Clients beziehen sich auf DNS, um Domänencontroller finden zu können, und Domänencontroller beziehen sich auf DNS, um andere Domänencontroller zu finden. Auch wenn Sie bereits DNS-Server in Ihrem Netzwerk eingerichtet haben, müssen Sie vielleicht die Anzahl und Platzierung der Server anpassen, um den Bedürfnissen Ihrer Active Directory-Clients und Domänencontroller zu entsprechen. Als allgemeine Regel gilt, mindestens einen DNS-Server an jedem Standort zu platzieren. Die DNS-Server im Standort sollten für die Locatoreinträge der Domänen in dem Standort autorisiert sein, so dass die Clients keine DNS-Server außerhalb des Standorts abfragen müssen, um Domänencontroller innerhalb des Standorts zu lokalisieren. Domänencontroller überprüfen ebenso in periodischen Abständen, ob die Einträge des primären Masterservers für jeden Locatoreintrag korrekt sind. Eine einfache Konfiguration, die allen Anforderungen entspricht, ist die Verwendung des in Active Directory integrierten DNS, die Speicherung der Locatoreinträge für die Domäne innerhalb der Domäne selbst und der Betrieb des DNSDienstes von Windows 2000 auf einem oder mehreren Domänencontrollern für jeden Standort, in dem diese Domänencontroller erscheinen.
Verteilen der Locatoreinträge für die Gesamtstruktur Jeder Domänencontroller in einer Gesamtstruktur registriert zwei Gruppen von Locatoreinträgen: eine Gruppe domänenspezifischer Einträge, die mit enden und eine Gruppe von Einträgen für die Gesamtstruktur, die mit _msdcs. enden. Die Einträge für die Gesamtstruktur sind für die Clients und Domänencontroller aus allen Teilen der Gesamtstruktur von Interesse. So sind z. B. die Locatoreinträge des Globalen Katalogs und die vom Replikationssystem verwendeten Einträge zur Lokalisierung der Replikationspartner in den Einträgen für die Gesamtstruktur enthalten.
288
Teil III
Active Directory-Infrastruktur
Jedes beliebige Paar von Domänencontrollern, das eine Replikation ausführt, auch ein Paar von Domänencontrollern derselben Domäne, muss in der Lage sein, einen Suchvorgang nach Locatoreinträgen für die Gesamtstruktur durchzuführen. Damit ein neu erstellter Domänencontroller an der Replikation teilnehmen kann, muss er seine Einträge für die Gesamtstruktur in DNS registrieren können, und andere Domänencontroller müssen nach diesen Einträgen suchen können. Aus diesem Grund ist es wichtig, die Locatoreinträge für die Gesamtstruktur für jeden DNSServer in jedem Standort verfügbar zu machen. Erstellen Sie, um dies zu ermöglichen, eine separate Zone mit dem Namen _msdcs., und replizieren Sie diese Zone an jeden DNS-Server. Wenn Sie eine einfache, Active Directory-integrierte Konfiguration verwenden, können Sie die primäre Kopie dieser Zone in der Gesamtstruktur-Stammdomäne zusammen mit der Zone speichern. Sie können dann unter Verwendung der Standard-DNS-Replikation die Zone an die DNS-Server außerhalb der Domäne replizieren. Es ist im Allgemeinen nicht ausreichend, die Zone an nur einen DNS-Server pro Standort zu replizieren. Wenn ein DNS-Server nicht über eine lokale Kopie der Zone _msdcs. verfügt, muss er DNS-Rekursion verwenden, um einen Namen in dieser Zone zu suchen. Wenn ein DNS-Server eine Rekursion durchführt, kontaktiert er einen DNS-Server, der für den Stamm des Namespace autorisiert ist (DNS-Stammserver), und verfolgt die Delegierungen in DNS von oben nach unten, bis er den fraglichen Eintrag findet. Wenn sich in dem Standort kein DNS-Stammserver befindet und die Verknüpfungen zwischen diesem Standort und anderen Standorten nicht verfügbar sind, kann der DNSServer die Rekursion nicht ausführen. Aus diesem Grund ist er nicht in der Lage, einen DNS-Server zu finden, der für _msdcs. autorisiert ist, selbst wenn sich solche DNS-Server im selben Standort befinden.
DNS-Clientkonfiguration Clients und Domänencontroller sollten mit mindestens zwei DNS-Server-IPAdressen konfiguriert sein: einem bevorzugten lokalen Server und einem alternativen Server. Der alternative Server kann sich im lokalen oder einem Remotestandort befinden, wenn Ihr Netzwerk für ein Failover geeignet ist.
Ändern des Gesamtstrukturplans nach der Einrichtung Eine Standorttopologie der Gesamtstruktur ist sehr flexibel und auch nach der ursprünglichen Einrichtung einfach zu ändern. Denken Sie, wenn sich Ihr physisches Netzwerk verändert, auch an die Evaluierung und Optimierung Ihrer Standorttopologie. Wenn Änderungen am Netzwerk die Bandbreite oder Zuverlässigkeit erhöhen oder verringern, denken Sie daran, Standorte und Standortverknüpfungen zu erstellen und zu entfernen, und stellen Sie sicher, dass die Parameter der Standortverknüpfung die Replikationsverzögerung gegenüber der Bandbreitennutzung ausgleichen können.
Kapitel 9 Entwerfen der Active Directory-Struktur
289
Bevor Sie eine Änderung an Ihrer Standorttopologie ausführen, planen Sie die Auswirkung der Änderung auf Verfügbarkeit, Replikationsverzögerung und Replikationsbandbreite, und überlegen Sie, was dies für den Endbenutzer bedeutet. Da die Standorttopologie im Konfigurationscontainer gespeichert ist, werden Änderungen an ihr an jeden Domänencontroller der Gesamtstruktur repliziert. Häufiges Ändern der Standorttopologie verursacht einen stark erhöhten Replikationsverkehr, so dass Änderungen besser in wenigen umfangreichen als in vielen kleinen Eingriffen durchgeführt werden sollten. Je nach Beschaffenheit der Replikationstopologie und -planung, kann es lange dauern, bis die Änderungen der Standorttopologie jeden Domänencontroller der Gesamtstruktur erreichen.
Planungstaskliste für das Entwerfen der Active Directory-Struktur Verwenden Sie Tabelle 9.4 als Checkliste, um sicherzugehen, dass alle notwendigen, primären Tasks für das Entwerfen einer Active Directory-Struktur ausgeführt werden. Tabelle 9.4
Planungstaskliste für Active Directory
Task
Entsprechendes Kapitel
Festlegen der Anzahl von Gesamtstrukturen. Erstellen einer Revisionskontrollrichtlinie für jede Gesamtstruktur.
Erstellen eines Gesamtstrukturplans
Festlegen der Anzahl der Domänen in jeder Gesamtstruktur.
Erstellen eines Domänenplans
Wählen einer Stammdomäne für die Gesamtstruktur.
Erstellen eines Domänenplans
Zuweisen eines DNS-Namens zu jeder Domäne.
Erstellen eines Domänenplans
Planen der Einrichtung von DNS-Servern. Optimieren der Authentifizierung mit verknüpften Vertrauensstellungen.
Erstellen eines Domänenplans Erstellen eines Domänenplans
Erstellen von Organisationseinheiten zur Delegierung von Administrationsaufgaben.
Erstellen eines Plans für Organisationseinheiten
Erstellen von Organisationseinheiten, um Objekte zu verbergen.
Erstellen eines Plans für Organisationseinheiten
Erstellen von Organisationseinheiten für Gruppenrichtlinien.
Erstellen eines Plans für Organisationseinheiten
Definieren von Standorten und Standortverknüpfungen. Platzieren von Servern in Standorten.
Erstellen eines Standorttopologieplans
Erstellen eines Gesamtstrukturplans
Erstellen eines Standorttopologieplans
290
Teil III
Active Directory-Infrastruktur
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
289
K A P I T E L
1 0
Bestimmen der Strategien für die Domänenmigration
Die erfolgreiche Migration von Microsoft ® Windows NT ® 3.51 und Microsoft® Windows NT 4.0 zu Microsoft® Windows® 2000 erfordert eine sorgfältige Analyse Ihres derzeitigen Systems und eine ausführliche Planung. Die mit dem logischen Entwurf der Aktualisierung befassten Netzwerkentwickler müssen sich mit den empfohlenen Konfigurationen und Verfahren, die in diesem Kapitel beschrieben werden, vertraut machen. Diese Empfehlungen sind auch auf kleinere Organisationen anwendbar, das folgende Kapitel bezieht sich jedoch vorwiegend auf Organisationen mit mindestens 2.500 PCs. Da dieses Kapitel sich vor allem mit dem Planen der Aktualisierung und Umstrukturierung von Domänen sowie der Planung des Microsoft® Active Directory™ Namespace durch Aktualisieren von Windows NT-Domänen beschäftigt, sollte die Planung für Ihren Active Directory-Namespace bereits möglichst abgeschlossen sein. Darüber hinaus sollten Sie für die Arbeit mit diesem Kapitel mit folgenden Punkten vertraut sein: den Funktionen, die in Windows 2000 eingesetzt werden können, den Zielvorgaben Ihrer Organisation, dem aktuellen Domänenmodell der Organisation sowie dem Soft- und Hardwareinventar der derzeitigen Netzwerkkonfiguration. Inhalt dieses Kapitels Beginn des Migrationsplanungsprozesses 290 Planen der Aktualisierung von Domänen 299 Planen der Umstrukturierung von Domänen 328 Tools für die Domänenmigration 342 Planungstaskliste für die Migration 345 Zielsetzungen Dieses Kapitel unterstützt Sie bei der Erstellung folgender Planungsdokumente: ? Projektwegweiser für die Migration ? Überarbeitetes Planungsdokument für die Planung des Active Directory-
Namespace ? Plan für die Domänenmigration Weiterführende Informationen in der technischen Referenz ? Weitere Informationen zum Active Directory, zu DNS (Domain Name System) zur Namespaceplanung, Standorttopologie oder zu Gruppen finden Sie im Kapitel „Entwerfen der Active Directory-Struktur“ in diesem Buch.
290
Teil III
Active Directory-Infrastruktur ? Weitere Informationen zum Automatisieren der Installation von Windows 2000
Server finden Sie in diesem Buch unter „Automatisieren der Serverinstallation und der Aktualisierung“. ? Weitere Informationen zum Automatisieren der Installation von Windows 2000 Professional finden Sie in diesem Buch unter „Automatisieren der Serverinstallation und der Aktualisierung“.
Beginn des Migrationsplanungsprozesses Vor der eigentlichen Aktualisierung oder Umstrukturierung einer Domäne sollten Sie sich eingehend mit dem Planungsprozess befassen. Anmerkung Die Verfahren und Vorschläge in diesem Kapitel basieren auf der Aktualisierung nicht duplizierter Computer. Die Aktualisierung auf Windows 2000 Server wird nur auf Computern unterstützt, auf denen Windows NT Server 3.51 oder Windows NT Server 4.0 installiert ist. Ältere Versionen können nicht auf Windows 2000 Server aktualisiert werden. In diesem Kapitel bezeichnet der Begriff „Windows NT“ sowohl die Version 3.51 als auch die Version 4.0 von Windows NT Server.
Phasen im Planungsprozess Der Planungsprozess für die Migration von Domänen besteht aus folgenden Phasen: 1. Entwerfen der Windows 2000-Gesamtstruktur. Weitere Informationen zum Entwurf der Windows 2000-Gesamtstruktur finden Sie unter „Entwerfen der Active Directory-Struktur“ in diesem Buch. 2. Planen der Migration von Windows NT-Domänen zu nativen Windows 2000Domänen und Einrichten neuer Funktionen von Windows 2000 Server. 3. Planen der Umstrukturierung der Windows 2000-Domänen. Diese Phase ist möglicherweise nicht oder erst später erforderlich, entsprechend den Anforderungen Ihrer Organisation. Weitere Informationen über das Umstrukturieren von Domänen finden Sie unter „Planen der Umstrukturierung von Domänen“ weiter unten in diesem Kapitel. Abbildung 10.1 zeigt die primären Schritte, die für die Migration zu Windows 2000 Server unternommen werden müssen. Dieses Kapitel behandelt jeden dieser Schritte ausführlich, von der Anfangsplanung bis zu den spezifischen Tasks für die Aktualisierung und Umstrukturierung von Domänen.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
Abbildung 10.1
291
Flussdiagramm des Migrationsplans
Bestimmen des Migrationswegweisers Es ist in jedem Planungsprozess normal, wichtige Entscheidungen vorzunehmen und zu korrigieren. Die Auswahlentscheidungen, die Sie während der Planung der Migration treffen, können dazu führen, dass der Einsatz einiger Systemfunktionen auf einen späteren Zeitpunkt verschoben wird. Beim Erstellen des Migrationswegweisers sollten Sie zuerst Ihre Migrationsziele erkennen, nach Prioritäten ordnen und die Auswirkungen der getroffenen Auswahl überdenken. Bei der Entscheidung, zu Windows 2000 zu migrieren, haben Sie sicher bestimmte Funktionen und Vorteile im Sinn, die Sie unbedingt einsetzen möchten. Der folgende Abschnitt zeigt einige typische Migrationsziele und erklärt die Schlüsselkonzepte und ihre Auswirkungen auf diese Ziele. Nach Abschluss dieses Abschnitts sollten Sie über ausreichende Informationen verfügen, um den Wegweiser für Ihr Migrationsprojekt zu vervollständigen.
Migrationsziele Die Migrationsplanung sollte vor allem Ihre primären Migrationsziele reflektieren. Diese Ziele können geschäftsorientiert oder auf die Migration selbst bezogen sein. In den meisten Fällen sind geschäftliche Ziele ausschlaggebend für die Entscheidung zur Migration. Solche Ziele sind beispielsweise eine größere Skalierbarkeit und verbesserte Sicherheit. Geschäftsorientierte Ziele sind maßgeblich für die Auswahl von Implementierungen und können zur Bewertung der möglichen Vorund Nachteile herangezogen werden. Meist wird eine Art Kompatibilitätstabelle erstellt, die in späteren Stadien zur Festlegung derjenigen Technologien und Produktfunktionen verwendet wird, die schließlich implementiert werden. Mit Hilfe dieser Technologien und Funktionen werden schließlich die Geschäftsziele erreicht. Migrationsorientierte Ziele betreffen gegebenenfalls Ihre Bedenken gegenüber der Einrichtung, wie beispielsweise potentielle Unterbrechungen der Produktionssysteme, die allgemeine Systemleistung sowie die Erhöhung der durchschnittlichen Zeit zwischen dem Auftreten von Fehlern. Diese Ziele können bestimmen, wie Testpläne und Akzeptanzkriterien zu formulieren sind. Migrationsorientierte Ziele entstehen nicht aus der Anforderung, bestimmte technische Funktionen von Windows 2000 Server zu implementieren, sondern sind eher auf den Migrationsprozess selbst bezogen. Einige solcher Ziele werden in Tabelle 10.1 aufgelistet.
292
Teil III
Active Directory-Infrastruktur Tabelle 10.1
Migrationsorientierte Ziele
Ziele
Auswirkungen auf den Migrationsprozess
Minimieren der Unterbrechungen in der Produktionsumgebung
Der Benutzerzugriff auf Daten, Ressourcen und Anwendungen muss während und nach der Migration verwaltet werden. Die für die Benutzer vertraute Umgebung muss während und nach der Migration ebenfalls verwaltet werden. Der Benutzerzugriff auf Daten, Ressourcen und Anwendungen muss während und nach der Migration verwaltet werden. Die für die Benutzer vertraute Umgebung muss während und nach der Migration ebenfalls verwaltet werden. Der Benutzerzugriff auf Daten, Ressourcen und Anwendungen muss während und nach der Migration verwaltet werden.
Verwalten der Systemleistung
Durchschnittliche Zeit zwischen dem Auftreten von Fehlern
Die für die Benutzer vertraute Umgebung muss während und nach der Migration ebenfalls verwaltet werden.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
293
(Fortsetzung) Ziele
Auswirkungen auf den Migrationsprozess
Minimieren des Verwaltungsaufwands
Es ist eine nahtlose Migration von Benutzerkonten erforderlich. Benutzer müssen gegebenenfalls ihre Kennwörter beibehalten. Administratoren sollten die Clientcomputer möglichst selten aufsuchen müssen. Die Anzahl der neuen Berechtigungen für Ressourcen sollte möglichst gering sein. Das Unternehmen benötigt den frühestmöglichen Zugang zu Schlüsselfunktionen der neuen Plattform.
Maximieren der ersten Erfolge
Verwalten der Systemsicherheit
Die Auswirkungen auf die Sicherheitsrichtlinie sollten möglichst gering sein.
Wenn Sie die Windows 2000-Technologien optimal einsetzen und Ihre migrationsorientierten Ziele vollständig realisieren möchten, wird empfohlen, die Windows 2000-Domänen möglichst bald in den einheitlichen Modus zu versetzen. Abhängig von der bestehenden Netzwerkkonfiguration können Sie jedoch möglicherweise erst in den einheitlichen Modus wechseln, wenn Sie alle Windows NTReservedomänencontroller (BDCs, Backup Domain Controllers) aus der Domäne entfernt haben Eine Definition des einheitlichen Modus finden Sie unter „Bestimmen des Zeitpunkts für den Wechsel in den einheitlichen Modus“ weiter unten in diesem Kapitel. Es ist auch vor der Aktualisierung der Domäneninfrastruktur möglich, Windows 2000-Clients und Mitgliedsserver einzusetzen. Siehe auch „Aktualisieren von Clients und Servern“ weiter unten in diesem Kapitel.
Migrationskonzepte Sie haben zwei Möglichkeiten, die gewünschte Infrastruktur zu erhalten: ? Aktualisierung von Domänen - manchmal auch als „Aktualisierung an Ort und
Stelle“ oder einfach „Aktualisierung“ bezeichnet. Die Aktualisierung von Domänen ist der Prozess der Aktualisierung des primären Domänencontrollers (PDC, Primary Domain Controller) und der Reservedomänencontroller einer Windows NT-Domäne von Windows NT Server zu Windows 2000 Server. ? Umstrukturierung von Domänen - manchmal auch als „Domänenkonsolidierung“bezeichnet. Die Umstrukturierung von Domänen ist ein kompletter Neuentwurf der Domänenstruktur, der als Ergebnis meist weniger, größere Domänen aufweist. Diese Möglichkeit ist geeignet, wenn Sie mit der derzeitigen Domänenstruktur unzufrieden sind oder eine Aktualisierung nicht ohne ernsthafte Auswirkungen auf die Produktionsumgebung durchführen könnten.
294
Teil III
Active Directory-Infrastruktur
Aktualisierung und Umstrukturierung schließen sich gegenseitig nicht aus – manche Organisationen können zuerst aktualisieren und dann umstrukturieren, während andere gleich mit der Umstrukturierung beginnen. Beide Prozesse erfordern jedoch gründliche Überlegung und Planung, bevor sie implementiert werden.
Aktualisieren von Clients und Servern Der Schwerpunkt dieses Kapitels liegt zwar auf der Aktualisierung und Umstrukturierung von Domänen, dies bedeutet jedoch nicht, dass Sie den Einsatz von Windows 2000-Clients und -Mitgliedsservern verschieben sollen, bis die Domäneninfrastruktur aktualisiert ist. Sie können Windows 2000-Clients und -Server auch in Ihrer bestehenden Windows NT-Umgebung verwenden und eine ganze Reihe von Vorteilen der neuen Technologien nutzen. Tabelle 10.2 führt einige der Vorteile auf, die durch die einfache Aktualisierung von Clients und Servern auf Windows 2000 gewonnen werden. Tabelle 10.2
Vorteile der einfachen Aktualisierung von Clients oder Servern
Vorteil
Funktionen
Verwaltbarkeit
Plug & Play Hardware-Assistent mit Geräte-Manager Unterstützung von USB (Universal Serial Bus) Microsoft Management Console Neues Sicherungsdienstprogramm
Setup- und Fehlerbehandlungstools
Unterstützung von Dateisystemen
Anwendungsdienste
Freigeben und Veröffentlichen von Informationen
Die automatische Installation von Anwendungen erlaubt es dem Administrator, eine Gruppe von Anwendungen zu spezifizieren, die für einen Benutzer oder eine Benutzergruppe immer verfügbar ist. Wenn eine angeforderte Anwendung nicht verfügbar ist, wird sie automatisch im System installiert. Die Erweiterungen von NTFS 5.0 beinhalten die Unterstützung für Datenträgerkontingente, die Fähigkeit zur Defragmentierung von Verzeichnisstrukturen und komprimierte Netzwerk-E/A. FAT32 Win32®-Treibermodell DirectX® 5.0 Windows Scripting Host Mit dem verteilten Dateisystem (Distributed File System, DFS) können Benutzer Daten im Netzwerk besser ermitteln und verwalten. Integrierte Internet-Shell
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
295
(Fortsetzung) Vorteil
Funktionen
Druckserverdienste
Vereinfachte Druckersuche durch Active Directory Drucken aus dem Internet
Skalierbarkeit und Verfügbarkeit
Verbesserte Unterstützung von symmetrischen Multiprozessoren
Sicherheit
Verschlüsselndes Dateisystem
Überlegungen zur Migration von Domänen Dieser Abschnitt führt Sie durch die wichtigen Planungs- und Vorbereitungsphasen, die für jede Migration erforderlich sind. Ihr eigener Planungsprozess bestimmt die genaue Vorgehensweise, die folgenden Abschnitte heben jedoch die Bereiche hervor, die zu berücksichtigen sind.
Entscheidungen zur Aktualisierung Bedenken Sie folgende Fragen, wenn Sie entscheiden, wie die Domänen aktualisiert werden sollen. ? Ist eine Aktualisierung hier wirklich geeignet?
Die Antwort lautet wahrscheinlich „ja“, wenn einige oder alle der folgenden Bedingungen zutreffen: ? Sie sind mit Ihrer derzeitigen Domänenstruktur zufrieden. ? Sie sind mit dem Großteil Ihrer derzeitigen Domänenstruktur zufrieden und
können eine Migration in zwei Phasen durchführen: Aktualisieren zu Windows 2000 und anschließende Umstrukturierung zur Behebung eventueller Probleme. ? Die Migration kann ohne Auswirkungen auf Ihre Produktionsumgebung durchgeführt werden. ? In welcher Reihenfolge muss die Aktualisierung durchgeführt werden?
Die Antwort hängt davon ab, ob die Reihenfolge der Aktualisierung von Domänencontrollern oder die Aktualisierung von Domänen gemeint ist. ? In welcher Reihenfolge muss die Aktualisierung der Domänencontroller durchgeführt werden? Innerhalb einer Domäne ist die Aktualisierungsreihenfolge ganz einfach. Der PDC muss zuerst aktualisiert werden. Achten Sie auf mögliche Komplikationen, wie beispielsweise die Aktualisierung des LAN Manager-Replikationsdienstes in der Domäne, während sich das Exportverzeichnis auf dem PDC befindet. In diesem Fall müssen Sie das Exportverzeichnis auf einen anderen Host verlegen, bevor Sie den PDC aktualisieren. Weitere Informationen zur LAN Manager-Replikation finden Sie unter „Prozess für den LAN Manager-Replikationsdienst“ weiter unten in diesem Kapitel.
296
Teil III
Active Directory-Infrastruktur ? In welcher Reihenfolge muss die Aktualisierung von Domänen durchgeführt
werden? Die Administration und Delegierung wird vereinfacht, wenn Sie zuerst die Kontendomänen aktualisieren. Anschließend müssen die Ressourcendomänen aktualisiert werden. ? In welcher Reihenfolge muss die Aktualisierung der Server und Clients durchgeführt werden? Server und Clients können jederzeit aktualisiert werden. Dies ist von der Windows 2000-Infrastruktur unabhängig. ? Wann müssen die Domänen in den einheitlichen Modus versetzt werden?
Sie sollten die Domänen möglichst bald umstellen, um den vollen Funktionsumfang von Windows 2000 nutzen zu können, wie z. B. die bessere Skalierbarkeit des Verzeichnisses, universelle und domäneninterne lokale Gruppen und die Verschachtelung von Gruppen. Anmerkung Die Domänen können erst dann in den einheitlichen Modus wechseln, wenn alle Domänencontroller aktualisiert sind.
Entscheidungen zur Umstrukturierung Bedenken Sie folgende Fragen, wenn Sie entscheiden, wie die Domänen umstrukturiert werden sollen. ? Ist eine Umstrukturierung erforderlich?
Die Antwort lautet wahrscheinlich „ja“, wenn einige oder alle der folgenden Bedingungen zutreffen. ? Sie sind mit dem Großteil Ihrer derzeitigen Domänenstruktur zufrieden und
können eine Migration in zwei Phasen durchführen: Aktualisieren auf Windows 2000 und anschließende Umstrukturierung zur Behebung eventuellerProbleme. ? Sie sind mit Ihrer derzeitigen Domänenstruktur nicht zufrieden. ? Die Migration kann nicht ohne Auswirkungen auf Ihre Produktionsumgebung durchgeführt werden. ? Wann ist eine Umstrukturierung erforderlich? Die Antwort hängt davon ab, warum Sie eine Umstrukturierung durchführen. ? Wenn Sie die Anforderungen an eine Migration mit einer Migration in zwei
Phasen erfüllen können, müssen Sie nach der Aktualisierung eine Umstrukturierung vornehmen. ? Wenn Sie der Meinung sind, dass Ihre Domänenstruktur nicht erhalten werden kann (wenn Sie beispielsweise die Infrastruktur Ihrer Verzeichnisdienste neu entwerfen müssen, um die erweiterte Funktionalität von Active Directory nutzen zu können), muss die Umstrukturierung bereits vor dem Migrationsprozess erfolgen. ? Wenn sich Auswirkungen auf die Produktionsumgebung nicht vermeiden lassen, muss die Umstrukturierung ebenfalls vor dem Migrationsprozess erfolgen.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
297
Anmerkung Die Umstrukturierung sollte nach Abschluss der Aktualisierung und vor der Verwendung von Funktionen (wie der Einrichtung von Anwendungen oder neuen Gruppenrichtlinien) erfolgen. Wenn die Umstrukturierung erst erfolgt, wenn bereits einige dieser Funktionen verwendet wurden, kann dies mehr Schwierigkeiten bereiten als eine Umstrukturierung vor Beginn des Migrationsprozesses.
Anwendungskompatibilität Nachdem Sie entschieden haben, wie die Domänenmigration durchgeführt werden soll, ist es nun wichtig festzustellen, ob Ihre Geschäftsanwendungen mit Windows 2000 kompatibel sind. Dieser Schritt ist entscheidend für den Erfolg der Einrichtung und muss erfolgen, bevor Sie über das Wie und Wann der Migration Ihrer Anwendungsserver entscheiden. Wenn Sie Ihre strategischen Anwendungen ermittelt haben, stellen Sie sicher, dass sie in Ihren Testplan integriert werden. Alle strategischen Anwendungen müssen vor Beginn des Migrationsprozesses getestet werden. Weitere Informationen über das Migrieren von Anwendungsservern finden Sie unter „Aktualisieren und Installieren von Mitgliedsservern“ in diesem Buch. Im Folgenden sind einige wichtige Fragen zu Ihren Anwendungen aufgeführt: ? Wird die Anwendung unter Windows 2000 ausgeführt?
Lautet die Antwort „nein“, kann sich das auf Ihre Aktualisierungspläne auswirken. ? Muss die Anwendung auf einem Reservedomänencontroller laufen?
Lautet die Antwort „ja“, und die Anwendung kann nicht unter Windows 2000 ausgeführt werden, wird es schwierig werden, die aktualisierte Domäne in den einheitlichen Modus umzuschalten. ? Haben Sie Kontakt zu den Anbietern Ihrer Anwendungssoftware? Wenn Probleme beim Ausführen der Anwendung unter Windows 2000 auftreten, sollten Sie wissen, welche Unterstützung der betreffende Softwarevertreiber für Windows 2000 anbietet. ? Falls die Anwendung intern entwickelt wurde: haben Sie vor, eine Windows 2000-Version herzustellen? Wenn die Anwendung nicht unter Windows 2000 ausgeführt werden kann, sollten Pläne für die mögliche Unterstützung von Windows 2000 bereit liegen. ? Welche Betriebssysteme verwenden Sie auf den Clients und Servern?
Die Antwort auf diese Frage hat Auswirkungen auf den Migrationspfad. Manche Software-Aktualisierungspfade zu Windows 2000 werden nicht unterstützt (z B. von Windows NT 3.5). Anmerkung Möglicherweise möchten Sie die Windows NT 3.51-Server in Ihren Ressourcendomänen nicht behalten, da Windows NT 3.51 keine Zugehörigkeit zu universellen oder domäneninternen lokalen Gruppen unterstützt. Windows NT 3.51 erkennt nicht die Fähigkeit zum SID-Verlauf für Benutzerkonten, die zwischen Windows 2000-Domänen verschoben werden.
298
Teil III
Active Directory-Infrastruktur
Die Antworten auf diese Fragen helfen Ihnen bei der Ausarbeitung eines Testplans für die wichtigen Testfälle. Sie helfen Ihnen auch bei der Entwicklung einer Risikobewertung des Projekts, die die Auswirkungen von fehlerhaft arbeitenden Anwendungen aufzeichnet, einschließlich Vorschlägen zur Schadensbegrenzung. Weitere Informationen über das Testen Ihrer Geschäftsanwendungen finden Sie im Kapitel „Testen der Anwendungskompatibilität mit Windows 2000“ in diesem Buch. Anmerkung Einige Anwendungsdienste, die für Windows NT entworfen wurden, wie beispielsweise Windows NT Routing und RAS (RRAS), nehmen nicht authentifizierte Zugriffe auf Daten in Benutzerkonten an. Die Standardsicherheitsberechtigungen von Active Directory erlauben jedoch nur authentifizierten Zugriff auf Kontoinformationen. Der Assistent zum Installieren von Active Directory ermöglicht es Ihnen, bei der Konfiguration der Active Directory-Sicherheit durch das Gewähren zusätzlicher Berechtigungen die Kompatibilität herzustellen. Wenn Sie jedoch meinen, die Lockerung der Active Directory-Sicherheitsprinzpien durch Zulassung von RRAS-Servern könnte Ihre Sicherheitsrichtlinie gefährden, müssen Sie diese Server zuerst aktualisieren. Wenn Sie den LAN Manager-Replikationsdienst für das Replizieren von Skripts innerhalb der Domäne verwenden, müssen Sie den Server, auf dem sich das Exportverzeichnis befindet, zuletzt aktualisieren.
Anforderungen an die Interoperabilität Im nächsten Schritt ist zu überlegen, in welchem Maße Ihr Windows 2000System mit den beiden vorhandenen Windows-Systemen und den Betriebssystemen von Drittanbietern interoperabel sein soll. Wenn Sie eine heterogene Umgebung erhalten möchten, die auch andere Netzwerksysteme als Windows 2000 enthält, müssen Sie festlegen, welche bereits vorhandenen Anwendungen und Dienste behalten oder aktualisiert werden müssen, um plattformübergreifend eine zufriedenstellende Funktionalität zu gewährleisten. Die Überlegungen zur Interoperabilität haben zwei Aspekte: ? Welche Anforderungen an die Interoperabilität stellt das Betreiben einer
heterogenen Umgebung? Dies umfasst den Grad, bis zu dem die migrierte Umgebung mit anderen Betriebssystemen und Netzwerkdiensten zusammenarbeiten muss. Im Folgenden sind einige wichtige Überlegungen angeführt: ? Die Notwendigkeit, Clients mit älteren Windows-Versionen zu behalten. Das
bedeutet, dass auch Dienste wie WINS (Windows Internet Name Service) zur Unterstützung der Namensauflösung erhalten bleiben müssen. ? Die Notwendigkeit, Domänen mit älteren Windows-Versionen zu behalten. Das bedeutet, dass Sie explizite Vertrauensstellungen verwalten und warten müssen. ? Die Notwendigkeit, mit Betriebssystemen von Drittanbietern zusammenzuarbeiten, wie beispielsweise UNIX. Dies könnte ein Grund für eine rasche Migration sein, um überall die Verwendung der Kerberos-Authentifizierung zu ermöglichen.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
299
? Welches sind die Anforderungen an die Interoperabilität hinsichtlich der
Quellumgebung? (Von welcher Umgebung aus erfolgt die Migration?) Die Verwaltung einer Übergangsumgebung kann eine komplexe Aufgabe sein und erfordert sorgfältige Planung, wie in den folgenden Abschnitten beschrieben.
Erforderlicher Speicherplatz für Active Directory-Objekte Bereits zu Beginn der Migrationsplanung sollten Sie bedenken, wie viel Speicherplatz für die Speicherung der Active Directory-Objekte notwendig sein wird. Der gesamte erforderliche Speicherplatz hängt von der Größe Ihrer Windows 2000Gesamtstruktur ab. Weitere Informationen zum Entwurf dieser Gesamtstruktur finden Sie unter „Entwerfen der Active Directory-Struktur“ in diesem Buch. Tabelle 10.3 zeigt den erforderlichen Speicherplatz für jeden Active DirectoryObjekttyp. Tabelle 10.3
Erforderlicher Speicherplatz für Active Directory-Objekte
Objekt
Erforderlicher Speicherplatz (in Byte)
Benutzerobjekt OU- (Organisationseinheit) Objekte
3,6 K 1,1 K
Attribute (10 Byte) Zertifikatsanforderungen für öffentliche Schlüssel (X.509 v3-Zertifikat von Windows 2000-Zertifikatsdienste)
100 1,7 K
Planen der Aktualisierung von Domänen Nachdem Sie alle Aspekte der Domänenmigration berücksichtigt und einen Plan zur Behebung eventueller Probleme erstellt haben, können Sie mit der Planung für den eigentlichen Aktualisierungsprozess beginnen. Anmerkung Vervollständigen Sie den Entwurf für die Windows 2000-Gesamtstruktur, bevor Sie die Aktualisierung planen. Weitere Informationen zum Entwurf dieser Gesamtstruktur find en Sie unter „Entwerfen der Active Directory-Struktur“ in diesem Buch. Die Aktualisierung von Domänen ist der Prozess der Aktualisierung des primären Domänencontrollers (PDC) und der Reservedomänencontroller (BDCs) einer Windows NT-Domäne von Windows NT Server zu Windows 2000 Server. Eine Aktualisierung ist die einfachste Migrationsmethode mit dem geringsten Risiko, da die meisten Systemeinstellungen, Voreinstellungen und Programminstallationen beibehalten werden. Da Windows 2000 Server für die Unterstützung gemischter Netzwerke mit voller Interoperabilität entwickelt wurde, müssen Sie nicht alle Server in einer Domäne aktualisieren, um die Windows 2000-Funktionen nutzen zu können. Betrachten Sie die Aktualisierung des primären Domänencontrollers (PDC) einfach als ersten Schritt im Prozess. Mit der Aktualisierung der Reservedomänencontroller (BDCs) und schließlich der Mitgliedsserver erhalten Sie zusätzliche, ergänzende Vorteile.
300
Teil III
Active Directory-Infrastruktur
Da eine Migration eher die Aktualisierung des Betriebssystems betrifft, als eine Neuinstallation, bleiben die vorhandene Domänenstruktur, die Benutzer und Gruppen erhalten, während die Windows 2000-Funktionen aktiviert werden. Nach Abschluss der Aktualisierung und mit vollem Zugang zu den erweiterten Verwaltungstools und -funktionen von Windows 2000 erwägen Sie möglicherweise eine Umstrukturierung Ihrer Domänen. Bedenken Sie jedoch, dass dies keine leichte Aufgabe ist. Wenn eines Ihrer Ziele eine strukturelle Veränderung ist, sollten Sie die Umstrukturierung von Domänen eher zu Beginn der Migrationsphase in Erwägung ziehen, als nach einer Aktualisierung. Wägen Sie jedoch beide Optionen sorgfältig ab, bevor Sie anfangen. Mit der Aktualisierung von Domänen erreichen Sie Folgendes: ? Der Zugang zu Windows NT-Domänen bleibt durch die vorhandenen
Windows NT-Vertrauensstellungen erhalten. ? Der Zugang zu Windows NT-Servern und zu Windows 95- und Windows 98-
Clients bleibt erhalten. Dieser Zugang ist für die Benutzer an den Clientcomputern transparent. ? Die Kennwörter der Benutzerkonten werden beibehalten, so dass die Benutzer sich mit demselben Kennwort bei derselben Kontendomäne anmelden können. Wenn Sie eine Aktualisierung planen, ist Folgendes zu tun: ? Bestimmen der unterstützten Aktualisierungspfade. ? Überprüfen der vorhandenen Domänenstruktur. ? Entwickeln eines Wiederherstellungsplans. ? Bestimmen der Reihenfolge für die Aktualisierung von Domänen. ? Bestimmen der Strategie für die Aktualisierung von Domänencontrollern. ? Bestimmen des Zeitpunkts für das Umschalten in den einheitlichen Modus.
Anmerkung Sie müssen Ihre Serverinfrastruktur nicht vor den Clients auf Windows 2000 Server aktualisieren. Sie können Server und Mitgliedsserver sogar vor den Domänencontrollern aktualisieren, haben jedoch keinen Zugriff auf die Funktionen von Active Directory, bevor Sie nicht Ihre Domänencontroller aktualisiert haben.
Bestimmen der unterstützten Aktualisierungspfade Wenn Sie die Aktualisierung planen, müssen Sie festlegen, ob Ihr aktuelles Betriebssystem direkt zu Windows 2000 aktualisiert werden kann. Tabelle 10.4 enthält eine Liste der zur Zeit unterstützten Aktualisierungspfade. Stellen Sie fest, dass eine direkte Aktualisierung des aktuellen Betriebssytems nicht unterstützt wird, müssen Sie zuerst zu einem aktuellen Betriebssystem wie Windows 95 oder Windows 98 für Clients oder Windows NT für Clients und Server aktualisieren. Vergewissern Sie sich, dass dieser Zwischenschritt in Ihrem Aktualisierungsplan berücksichtigt wird. Weitere Informationen über das Aktualisieren von Mitgliedsservern finden Sie unter „Aktualisieren und Installieren von Mitgliedsservern“ in diesem Buch.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration Tabelle 10.4
301
Unterstützte Aktualisierungspfade
Betriebssystem
Aktualisierung auf Aktualisierung auf Windows 2000 Professional Windows 2000 Server
Windows 3.x Windows NT 3.1
Nein Nein
Nein Nein
Windows NT Workstation 3.51 Windows NT Server 3.51
Ja Nein
Nein Ja
Windows 95 und Windows 98 Windows NT Workstation 4.0 Windows NT Server 4.0
Ja Ja Nein
Nein Nein Ja
Überprüfen der vorhandenen Domänenstruktur Nachdem Sie sich vergewissert haben, dass Ihr aktuelles Betriebssystem auf Windows 2000 aktualisiert werden kann, liegt Ihre nächste Aufgabe darin, die vorhandene Domänenstruktur zu überprüfen. Betrachten Sie, um die erörterten Konzepte zu verstehen, die in Abbildung 10.2 gezeigte Domänenstruktur von Windows NT. Dieses Beispiel basiert auf einem Domänenentwurf, der in vielen Organisationen zu finden ist: ein Domänenmodell mit mehreren Masterdomänen. Im folgenden Beispiel beginnt die Aktualisierung mit der Kontendomäne, üblicherweise die erste Domäne, die aktualisiert wird.
Abbildung 10.2 Beispiel für ein Domänenmodell mit mehreren Masterdomänen
Bedenken Sie beim Überprüfen Ihrer vorhandenen Windows NT-Domänenstruktur die folgenden Punkte: ? Welcher Art ist Ihre vorhandene Domänenstruktur?
Die vorhandene Domänenstruktur hilft Ihnen beim Festlegen des Aktualisierungsplans für die Domänen.
302
Teil III
Active Directory-Infrastruktur ? Gibt es bereits vorhandene Vertrauensstellungen (uni- oder bidirektionale) und
Domänen, die Sie nicht in die Gesamtstruktur einbinden möchten? Diese Windows NT Domänen verwenden explizite, unidirektionale Vertrauensstellungen, um die Verbindung mit der Gesamtstruktur herzustellen. Domänen, die auf Windows 2000 Server aktualisiert wurden, und als Bestandteil derselben Gesamtstruktur vorgesehen sind, werden durch transitive, bidirektionale Vertrauensstellungen verbunden. Aus diesem Grund ist es wichtig zu wissen, welche Vertrauensstellungen explizit bleiben müssen. Beachten Sie, dass alle vor der Aktualisierung vorhandenen Vertrauensstellungen erhalten werden. ? Über wie viele Domänencontroller verfügen Sie und wo innerhalb jeder Domäne sind sie positioniert? Diese Informationen helfen Ihnen einzuschätzen, wie groß der Aufwand für die Aktualisierung einer vorhandenen Domäne ist. ? Welche DNS-Namespaces sind in Ihrer Organisation vorhanden?
Da Sie Domänennamen in Windows 2000 nicht umbenennen können, müssen Sie die in Ihrer Organisation vorhandenen und zusätzlich erlaubten Namespaces kennen, damit Sie einen eindeutigen Namespace für die Gesamtstruktur erstellen können.
Erstellen eines Wiederherstellungsplans Es ist wichtig, dass Sie einen Wiederherstellungsplan entwickeln, um eventuelle Datenverluste während der Aktualisierung zu vermeiden. Dieser Plan sollte detailliert darlegen, wie die Domänencontroller, Anwendungen und andere Daten gesichert werden. Die Gründlichkeit des Plans entscheidet darüber, ob Sie, falls nötig, zu einer vollständigen Wiederherstellung Ihrer ursprünglichen Konfiguration zurückkehren können oder sich mit irreparablen Schäden konfrontiert sehen. Wenn Sie einen Wiederherstellungsplan entwickeln, legen Sie einen Punkt fest, an dem die schrittweise Migration enden und die vollständige Migration beginnen kann. Schließen Sie die folgenden Aufgaben ab, bevor Sie die Migration durchführen: ? Fügen Sie jeder Windows NT-Domäne, die nur über einen einzelnen Domänen-
controller (PDC) verfügt, einen Reservedomänencontroller hinzu. Dies stellt sicher, dass die Domäne nicht verwaist, falls die Aktualisierung des primären Domänencontrollers fehlschlägt. ? Stellen Sie fest, ob auf dem primären Domänencontroller und den Reserve-
domänencontrollern Dienste wie Datei- und Druckdienste oder DHCP (Dynamic Host Configuration Protocol) betrieben werden. Sichern Sie diese Dienste auf einem Band und testen Sie die Sicherungsbänder. ? Synchronisieren Sie alle Reservedomänencontroller vollständig mit dem PDC.
Schalten Sie einen Reservedomänencontroller offline, bevor Sie den PDC und die anderen Reservedomänencontroller auf Windows 2000 Server aktualisieren. Führen Sie vor Beginn der Migration die folgenden Schritte als Test durch: 1. Werten Sie den offline geschalteten Reservedomänencontroller zu einem PDC auf und prüfen Sie die Daten. 2. Lassen Sie diesen PDC nach der Migration offline und verfügbar und stellen Sie sicher, dass die verbleibenden Reservedomänencontroller regelmäßig gesichert werden.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
303
Achtung Verfolgen Sie alle Änderungen an der Domäne (z. B. neue Konten und Kenntwortaktualisierungen), während der offline geschaltete PDC offline bleibt. Bei einem Ausfall der Windows 2000-Domänencontroller müssen Sie zu dem offline geschalteten PDC zurückkehren können. Wenn Sie nicht alle Änderungen an der Domäne nachverfolgt haben, während der Offline-PDC offline war, gehen diese Änderungen verloren, wenn der Offline-PDC seine Daten an die Reservedomänencontroller repliziert. Beachten Sie, dass wiederhergestellte Konten eine unterschiedliche SID (Security Identifier) aufweisen, daher haben sie zu einigen Ressourcen möglicherweise keinen Zugriff. ? Beantworten Sie zu jedem Schritt im Flussdiagramm in Abbildung 10.1
folgende Fragen: ? Wie kann das System in einen Wiederherstellungsstatus zurückgesetzt werden? ? Welche Verwaltungstools sind erforderlich, um sowohl die Aktualisierung als auch die Wiederherstellung durchzuführen?
Der Übergang zur Windows 2000-Gesamtstruktur Zur Planung der Domänenaktualisierung gehört der sorgfältig durchgeführte Übergang zu der entworfenen Windows 2000-Gesamtstruktur. Berücksichtigen Sie dabei Folgendes: ? Stellen Sie sicher, dass der Namespace der Gesamtstruktur korrekt definiert
wird. Andernfalls müssen Sie die Gesamtstruktur umstrukturieren, um den Namespace zu korrigieren. ? Verwenden Sie Sorgfalt bei der Erstellung der Stammdomäne der Gesamtstruktur. Ist die Stammdomäne erst einmal erstellt, kann sie nicht mehr geändert werden. ? Erstellen Sie die untergeordneten Domänen mit Sorgfalt. Wenn Sie eine unter-
geordnete Domäne mit dem falschen Teil der Gesamtstruktur verknüpfen, sind Umstrukturierungen erforderlich, die nicht geplant waren. ? Erstellen Sie Richtlinien, beispielsweise hinsichtlich der Verwendung von Gruppen und Zugriffskontrolllisten (ACLs, Access Control Lists), die auch für Ihre künftigen Planungen Raum lassen. Weitere Informationen zum Entwurf der Windows 2000-Gesamtstruktur finden Sie unter „Entwerfen der Active Directory-Struktur“ in dieser Dokumentation.
Erwägen der Aktualisierung von Ressourcendomänen Wenn Sie eine Aktualisierung an Ort und Stelle durchführen, sollten Sie auch die Aktualisierung der Ressourcendomänen in Erwägung ziehen. Ressourcendomänen werden in Windows NT dazu verwendet, die Computerkonten der Ressourcen wie Server und Clientcomputer aufzunehmen. Ressourcendomänen existieren in erster Linie aus folgenden Gründen: ? Begrenzen der Größe der Kontodatenbank.
Die maximale Größe, die für die SAM- (Security Account Manager) Kontodatenbank empfohlen wird, beträgt 40 MB. In einer Domäne, die Benutzer-
304
Teil III
Active Directory-Infrastruktur
konten, Sicherheitsgruppen und Windows NT-Client- und Serverkonten enthält, umfasst dies etwa 20.000 Benutzerkonten. Wenn eine Organisation mit mehr als 20.000 Benutzern diese Funktion ihrer Größe anpassen möchte, müssen die Benutzer- und Computerkonten in separaten Domänen gespeichert werden, d. h. in Kontendomänen für Benutzerkonten und Ressourcendomänen für Computerkonten. Dies ist die Norm bei Windows NT. Hier werden Ressourcendomänen gewöhnlich entweder mit explizitenunidirektionalen Vertrauensstellungen zu einer einzelnen Kontendomäne (Domänenmodell mit einer Masterdomäne) oder zu mehreren Kontendomänen (Domänenmodell mit mehreren Masterdomänen) erstellt. ? LokaleAdministrationsmöglichkeit.
In einer dezentralen Organisation mit geographisch getrennten Einrichtungen ist es häufig günstig, über lokale Mitarbeiter zu verfügen, die zur Verwaltung von Ressourcen autorisiert sind. Um diese Form der dezentralen Verantwortlichkeit in Windows NT-Systemen zu ermöglichen, wurde das Erstellen von Ressourcendomänen mit eigener administrativer Struktur empfohlen. Wie beim Skalieren über die SAM-Größenbegrenzungen hinaus, resultieren hieraus Domänenstrukturen mit einer einzelnen oder mehreren Masterdomänen mit expliziten unidirektionalen Vertrauensstellungen zu den Kontendomänen der Organisation. Die unidirektionale Beschaffenheit dieser Vertrauensstellungen stellte sicher, dass sich die administrativen Befugnisse der Administratoren nur auf die Ressourcendomäne erstreckten. Anmerkung Als Teil des Aktualisierungsplans muss Ihr administratives Modell auch die Auswirkungen der Aktualisierung einer Ressourcendomäne reflektieren. Wenn Sie die Kontendomäne bereits aktualisiert haben und die Ressourcendomäne anschließend als der Kontendomäne untergeordnet aktualisieren, wird zwischen beiden eine transitive Vertrauensstellung eingerichtet. Aus diesem Grund müssen Sie bedenken, wie sich diese transitive Vertrauensstellung auf die lokale Verwaltung der Ressourcen auswirkt. Wenn Sie keine Ausweitung der administrativen Befugnisse auf die Ressourcendomänen wünschen, können Sie die folgenden Optionen berücksichtigen: UmstrukturierenderRessourcendomäneninOrganisationseinheiten Sie können Ihre Domänenstruktur überdenken und überlegen, ob Sie die Ressourcendomänen später als Organisationseinheiten (OU) in die aktualisierte Kontendomäne aufnehmen. Diese Option beeinflusst natürlich die Planung der Reihenfolge der Domänenaktualisierung.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
305
Aktualisieren einer Ressourcendomäne innerhalb einer bestehenden Gesamtstruktur und Verwenden der Windows 2000-Delegierung von Verwaltungsfunktionen Sie können Ihre Ressourcendomäne so aktualisieren, dass sie sich in derselben Gesamtstruktur wie die Kontendomäne(n) befindet, und die Windows 2000Delegierung von Verwaltungsfunktionen verwenden, um die Fähigkeiten der lokalen Administratoren einzuschränken. Bevor Sie diesen Schritt unternehmen, sollten Sie die administrativen Gruppen in den Ressourcendomänen überprüfen und alle Administratoren, die keine Administratoren in den Kontendomänen sind, entfernen. Falls sich hier nur lokale Ressourcendomänenadministratoren befinden, fügen Sie einen oder mehrere Ihrer Kontendomänenadministratoren hinzu. Diese Administratoren sind in der Lage, die Domäne zu verwalten, während sie aktualisiert wird. Vergewissern Sie sich, als weitere Vorsichtsmaßnahme, dass die Ressourcendomänenadministratoren durch lokale Computerkonten keinen administrativen Zugang zu den Domänencontrollern besitzen. Nachdem der PDC aktualisiert wurde, können Sie für Ihre Ressourcenadministratoren eine neue domäneninterne lokale Gruppe erstellen und die Windows 2000Delegierung von Administrationsaufgaben verwenden, um sie für ihre Aufgaben mit ausreichenden Privilegien auszustatten. Aktualisieren einer Ressourcendomäne zu einer Struktur in einer neuen Gesamtstruktur Sie können Ihre Ressourcendomäne aktualisieren und sie zu einer Struktur in einer neuen Gesamtstruktur machen, indem Sie die Struktur durch eine explizite unidirektionale Vertrauensstellung mit der Kontendomäne verbinden. Auf diese Weise wird die Struktur, die vor der Aktualisierung bestand, gespiegelt.
Bestimmen der Strategie für die Aktualisierung von Domänencontrollern Der erste Schritt zur Aktualisierung von Domänencontrollern besteht darin, den primären Domänencontroller zu Windows 2000 zu aktualisieren. Nachdem Sie den PDC aktualisiert haben, sollten alle Reservedomänencontroller in der Domäne so bald wie möglich aktualisiert werden. Dieser Schritt minimiert das Risiko, über Windows 2000-Funktionen zu verfügen, die von den Reservedomänencontrollern unter Windows NT nicht unterstützt werden.
Windows 2000-Domänenmodi Eine Domäne wird solange als Windows NT-Domäne angesehen, solange nicht der primäre Domänencontroller zu Windows 2000 aktualisiert wurde. Während der Aktualisierung des PDC und der Reservedomänencontroller, befindet sich die Domäne in einem temporären Betriebsstatus, der als gemischter Modus bezeichnet wird. Sie können die Domäne unbegrenzt im gemischten Modus betreiben oder sie in den endgültigen Betriebsstatus, der als einheitlicher Modus bezeichnet wird, versetzen.
Gemischter Modus Eine Domäne wird als im gemischten Modus operierend angesehen, wenn eine der folgenden Bedingungen zutrifft:
306
Teil III
Active Directory-Infrastruktur ? Der primäre Domänencontroller wurde aktualisiert, nicht jedoch alle
Reservedomänencontroller. ? Der PDC und alle Reservedomänencontroller wurden aktualisiert, die
Umschaltung zum einheitlichen Modus wurde jedoch nicht aktiviert. Tabelle 10.5 zeigt die Windows 2000-Funktionen, die im gemischten Modus verfügbar sind, sowie die Funktionen, die erst nach der Umschaltung in den einheitlichen Modus zur Verfügung stehen. Wenn Sie vor einer Umschaltung der Domäne zum einheitlichen Modus noch zögern, betrachten Sie noch einmal Ihre Migrationsziele und entscheiden Sie, ob ein Verbleiben im gemischten Modus Ihren Zielen entspricht, oder ob die Nachteile überwiegen. Tabelle 10.5 Verfügbarkeit von Windows 2000-Funktionen im gemischten Modus Funktion
Im gemischten Modus verfügbar?
Transitive Vertrauensstellungen für Kerberos-Authentifizierung Active DirectoryOrganisationseinheiten (OE)
Ja. Windows 2000 und Windows 2000 Professional verwenden die Kerberos-Dienste, die auf dem Windows 2000-Domänencontroller verfügbar sind. Ja, jedoch nur bei der Verwendung von Windows 2000-Verwaltungstools sichtbar. Können nicht von Windows NTReservedomänencontrollern oder Mitgliedsservern aus verwaltet werden. Nein, nur globale und lokale Gruppen sind verfügbar.
Active DirectorySicherheitsgruppen IntelliMirror
Ja, jedoch nur für Clientcomputer, die mit Windows 2000 Professional in einer Active DirectoryUmgebung betrieben werden.
Windows Installer 64-Bit-Speicherarchitektur
Ja. Ja, mit Hardwareunterstützung.
Active DirectorySkalierbarkeit
Ja, jedoch nur wenn alle Reservedomänencontroller aktualisiert wurden und Active Directory betreiben. Sie sollten bei der Verwendung dieser Funktion vorsichtig sein, da neue Windows 2000-Reservedomänencontroller immer noch hinzugefügt werden können, solange sich die Domäne im gemischten Modus befindet. Diese Funktion kann ein wichtiger Teil Ihrer Fallbackplanung sein, daher sollte sie nicht gefährdet werden. Ja, für Windows 2000-Computer, die Active Directory betreiben. Ja.
Kerberos-Authentifizierung MMC (Microsoft Management Console) Gruppenrichtlinie
Sicherheitskonfiguration und .-analyse Active DirectoryMultimaster-Replikation
Ja, jedoch nur für Clientcomputer, die mit Windows 2000 Professional in einer Active DirectoryUmgebung betrieben werden. Ja. Ja, zwischen PDC und Reservedomänencontrollern, die aktualisiert wurden.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
307
Die Domäne bleibt solange im gemischten Modus, bis Sie sich entscheiden, sie in den einheitlichen Modus umzuschalten, selbst wenn bereits alle Reservedomänencontroller aktualisiert wurden. Beachten Sie, dass die Domäne bei der Umschaltung zum einheitlichen Modus noch Mitgliedsserver enthalten kann, die mit Windows NT Server 4.0 oder Clients, die mit Windows NT Workstation 4.0, Windows 95 oder Windows 98 betrieben werden. Abbildung 10.3 zeigt den Übergang einer Windows NT-Domäne zu einer Windows 2000-Domäne im einheitlichen Modus.
Abbildung 10.3 Aktualisierungsmodi von Domänen
Einheitlicher Modus Einheitlicher Modus („native mode“) bezeichnet den endgültigen Betriebsstatus einer Windows 2000-Domäne. Er wird durch das Setzen eines Schalters auf der Benutzeroberfläche aktiviert. Dies bedeutet, dass die aktualisierte Domäne als Windows 2000-Domäne angesehen wird und die Vorteile aller Funktionen von Windows 2000, wie im Abschnitt „Gründe für den Wechsel in den einheitlichen Modus“ weiter unten in diesem Kapitel beschrieben, nutzen kann. Nachdem alle Domänencontroller zu Windows 2000 aktualisiert wurden, können Sie wählen, ob Sie die Domäne in den einheitlichen Modus versetzen. Während der Umschaltung tritt Folgendes ein: ? Die Netlogon-Synchronisation wird abgeschaltet, und die Domäne verwendet
zwischen den Domänencontrollern nur noch die Multimaster-Replikationvon Active Directory. ? Da die Netlogon-Synchronisation nun ausgeschaltet ist, können Sie keine Windows NT-Reservedomänencontroller mehr zur Domäne hinzufügen. ? Da die Multimaster-Replikation aktiviert wurde, ist der ehemalige PDC nicht länger Master der Domäne und alle Domänencontroller können nun Verzeichnisaktualisierungen durchführen. Dennoch weist Windows 2000 dem ehemaligen PDC auch weiterhin die Rolle der PDC-Emulation zu. Gewöhnlich wird der PDC als PDC-Emulation weitergeführt, dies heißt in einer Umgebung im einheitlichen Modus, dass die Änderungen der Kennwörter von den anderen Domänencontrollern bevorzugt an den ehemaligen PDC repliziert werden. Alle Clients mit älteren Windows-Versionen verwenden die PDC-Emulation, um den PDC zu lokalisieren und die Kennwortänderungen durchzuführen. Ressourcendomänen unter Windows NT verwenden zusätzlich die PDC-
308
Teil III
Active Directory-Infrastruktur
Standortinformationen, um Vertrauensstellungen einzurichten. Die Definition der PDC-Emulation finden Sie weiter unten in diesem Kapitel. Die Verschachtelung von Gruppen und Windows 2000-Gruppentypen, wie universelle und domäneninterne lokale Gruppen, sind verfügbar. Kritischer Entscheidungspunkt Bis Sie sich dafür entscheiden, die Domäne zum einheitlichen Modus von Windows 2000 umzuschalten, bleibt sie im gemischten Modus. Sie können die Domäne unbegrenzt im gemischten Modus betreiben, selbst wenn Sie alle Reservedomänencontroller in der Domäne aktualisiert haben. Wenn Sie die Domäne jedoch einmal in den einheitlichen Modus umgeschaltet haben, kann sie nicht mehr zum gemischten Modus zurückkehren oder eine Windows NT-Domäne werden.
Aktualisieren des Windows NT-PDC Nach der Synchronisation aller Reservedomänencontroller in der Domäne, so dass sie vollständig mit allen Änderungen, die eben am PDC vorgenommen wurden, aktualisiert sind, können Sie mit der Aktualisierung der Kontendomäne beginnen, indem Sie den PDC aktualisieren. Nachdem das Kernbetriebssystem auf dem PDC installiert wurde, erkennt das Installationsprogramm von Windows 2000, dass ein Domänencontroller aktualisiert wird. Das Installationsprogramm fordert Sie daraufhin auf, Active Directory auf dem Server zu installieren, indem automatisch der Assistent zum Installieren von Active Directory gestartet wird. Weitere Informationen zur Installation von Windows 2000 Server finden Sie in diesem Buch unter „Automatisieren der Serverinstallation und der Aktualisierung“. Der Assistent zur Installation von Active Directory schlägt Ihnen folgende Optionen vor: ? Erstellen der ersten Struktur in einer neuen Gesamtstruktur ? Erstellen einer neuen Struktur in einer bestehenden Gesamtstruktur ? Erstellen eines neuen Replikats einer bestehenden Domäne ? Installieren einer untergeordneten Domäne
Welche Option Sie auswählen, hängt vom Ergebnis Ihrer Namespace-Planung ab. Zusätzliche Informationen über die Planung des Namespace finden Sie im vorhergehenden Kapitel „Entwerfen der Active Directory-Struktur“. Während des Aktualisierungsprozesses wird der Inhalt der Kontodatenbank (SAM) von Windows NT in das Active Directory kopiert. Diese Objekte sind die Sicherheitsprincipals (Benutzerkonten, lokale und globale Gruppen sowie Computerkonten). Beachten Sie, dass dieser Prozess bei großen Kontendomänen einige Zeit in Anspruch nehmen kann. Active Directory beinhaltet auch die Unterstützung der Kerberos-Authentifizierung. Nach dem der Assistent zur Installation von Active Directory beendet wurde, ist der Kerberos-Authentifizierungsdienst für die Windows 2000-Systeme verfügbar. Wenn Sie sich für die Verbindung einer Domäne mit einem aktualisierten PDC und einer bestehenden Struktur entscheiden, wird nun eine transitive (bidirektionale) Vertrauensstellung zur übergeordneten Domäne eingerichtet. Alle Vertrauensstellungen, die vor der Aktualisierung des PDC erstellt wurden, bestehen weiter, bleiben jedoch explizite, unidirektionale Vertrauensstellungen.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
309
PDC-Emulation in Windows 2000 Da Active Directory die Aktualisierung mehrerer Masterdomänen unterstützt, ist ein Windows 2000-Domänencontroller nicht in gleicher Weise ein primärer Domänencontroller wie ein PDC unter Windows NT 4.0. Wenn Sie einen Windows NT-PDC zu einem Windows 2000-Domänencontrolleraktualisieren, handelt er als PDC, indem er die Rolle einer PDC-Emulation einnimmt. In Windows 2000 gibt es eine PDC-Emulation für jede Domäne in einer Gesamtstruktur. Die PDC-Emulation unterstützt Windows NT-Clients, Mitgliedsserver und Domänencontroller und Windows 95 und Windows 98-Clients folgendermaßen: ? Ein Windows NT-, Windows 95- oder Windows 98-Client führt die Verzeichniseinträge (z. B. Änderungen der Kennwörter) auf der PDCEmulation aus. ? Prüfen der Kennwörter. ? Die Windows NT-Reservedomänencontroller replizieren von der PDC-
Emulation. ? In einem Netzwerk, das den Windows NT-Suchdienst betreibt, übernimmt die
PDC-Emulation die Rolle des Domänenhauptsuchdienstes. Sie registriert den NetBIOS-Namen Domänenname. Diese Funktionen werden überflüssig, wenn alle Windows NT-Clients, Mitgliedsserver und Domänencontroller und die Windows 95 und Windows 98Clients aktualisiert sind. Anmerkung Windows 2000-Clients sowie alle Windows 95- und Windows 98Clients, auf denen das ADClient-Paket installiert wurde, können jeden Domänencontroller der Domäne verwenden, um Verzeichniseinträge, wie beispielsweise Kennwortänderungen, durchzuführen. Diese Aktionen sind nicht länger dem Domänencontroller vorbehalten, der sich als PDC gemeldet hat. Die PDC-Emulation behält in vollständig aktualisierten Windows 2000-Domänen einige Funktionen bei. Kennwortänderungen, die von anderen Domänencontrollern in der Domäne durchgeführt werden, werden vorrangig an die PDC-Emulation repliziert. Wenn auf Grund eines falschen Kennworts bei anderen Domänencontrollern in einer Domäne eine Authentifizierungsanforderung fehlschlägt, leiten die Domänencontroller die Authentifizierungsanforderung an die PDC-Emulation weiter, bevor die Anforderung abgelehnt wird. Dies wird z. B. durchgeführt, wenn das Kennwort erst kürzlich geändert wurde. Kontosperren werden auf der PDC Emulation verarbeitet. Die Gruppenrichtlinie wird standardmäßig ebenfalls auf der PDC-Emulation bearbeitet, wenn die Objekte der Gruppenrichtlinie auf einem Server bearbeitet werden. Weitere Informationen zu Sicherheitsrichtlinien finden Sie im Band. Microsoft® Windows® 2000 Server – Die technische Referenz: Verteilte Systeme.
Eigenschaften der PDC-Emulation Die PDC-Emulation bietet Abwärtskompatibilität, indem sie die Daten während der Replikation in Active Directory als flacher Speicher für Windows 95-, Windows 98-, und Windows NT-Computer, einschließlich der Reservedomänencontroller, bereitstellt. Diese Kompatibilität zeigt sich folgendermaßen:
310
Teil III
Active Directory-Infrastruktur ? Die PDC-Emulation erscheint anderen Windows 2000-Computern als ein
Windows 2000-Domänencontroller, den nicht aktualisierten Computern jedoch als Windows NT-PDC. ? Die PDC-Emulation kann nach wie vor verwendet werden, um neue Sicherheitsprincipals zu erstellen und diese Änderungen an die Windows NTReservedomänencontroller zu replizieren. ? Windows 95-, Windows 98- und Windows NT-Clients können die PDC-
Emulation als potentiellen Anmeldeserver verwenden. ? Wenn die PDC-Emulation offline oder nicht verfügbar ist, und ein anderer Windows 2000-Domänencontroller in der Domäne vorhanden ist, dann muss dieser Domänencontroller als PDC-Emulation verwendet werden. Wenn keine anderen Windows 2000-Domänencontroller in der Domäne vorhanden sind, kann ein Windows NT-Reservedomänencontroller zu einem PDC aufgewertet und dann zu Windows 2000 Server aktualisiert werden.
Konfliktbeseitigung Multimaster-Replikation bedeutet, dass Sie eine Aktualisierung an jedem beliebigen Windows 2000-Domänencontroller durchführen können, selbst wenn dieser Domänencontroller vom restlichen Netzwerk getrennt ist. Wenn Sie beispielsweise eine Aktualisierung an einem getrennten Domänencontroller durchführen, zur selben Zeit jedoch ein anderer auf einem anderen Domänencontroller selbst eine Aktualisierung durchführt, die mit Ihrer Aktualisierung in Konflikt steht, werden beide Aktualisierungen repliziert, sobald die Netzwerkverbindung wiederhergestellt wird. Trotz der in Konflikt stehenden Aktualisierungen konvergieren schließlich alle Domänencontroller zu demselben Wert. Dieser Konvergenzprozess wird Konfliktbeseitigung genannt. Einige Konflikte sind jedoch zu schwierig zu lösen. Angenommen, unterschiedliche Domänencontroller besitzen in Konflikt stehende Versionen des Verzeichnisschemas. Die Schemakonflikte können durch die Verwendung derselben Regeln, die Active Directory zur Lösung normaler Konflikte verwendet („der letzte Eintrag ist gültig“), gelöst werden.
Zugriffskontrollkomponenten Nachdem die Sicherheitsprincipals während der Aktualisierung des PDC in das Active Directory verschoben wurden, ist die Auswirkung dieser Verschiebung auf den Ressourcenzugriff zu betrachten. Im folgenden Abschnitt werden die Komponenten vorgestellt, die den Ressourcenzugriff kontrollieren.
Sicherheits-IDs (SID, Security Identifier) Das Windows NT-Sicherheitsmodell (die Basis für die Windows NT- und Windows 2000-Sicherheit) identifiziert Sicherheitsprincipals wie Benutzer, Gruppen, Computer und Domänen anhand ihrer Sicherheits-IDs (SIDs). SIDs sind eindeutige Werte innerhalb von Domänen, die bei der Erstellung von Benutzern oder Gruppen oder bei der Registrierung von Computern oder Vertrauensstellungen mit der Domäne zusammengestellt werden.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
311
Die Komponenten einer SID folgen einer hierarchischen Konvention. Die Teile einer SID identifizieren die Revisionsnummer, die Autorität, von der die SID zugewiesen wurde, die Domäne sowie eine unterschiedlich große Anzahl von Teilautoritäts- oder RID-Werten, die eindeutig den Sicherheitsprincipal kennzeichnen, der sich auf die ausstellende Autorität bezieht. Wichtig Obwohl es bekannte SIDs gibt, die allgemeine Gruppen und Benutzer über alle Systeme hinweg identifizieren, werden die erörterten Sicherheitsprincipals im Kontext einer Domäne ermittelt. Diese Sicherheitsprincipals können nicht zwischen Domänen verschoben werden, ohne ihre SIDs zu ändern. Wenn die SIDs in irgendeiner Weise geändert werden, ist der Ressourcenzugriff betroffen. Während einer Aktualisierung bleiben die Sicherheitsprincipals jedoch in derselben Domäne, in der sie erstellt wurden, so dass die SIDs, die die Sicherheitsprincipals ermitteln, unverändert bleiben. Daher ist der Ressourcenzugriff von der Aktualisierung nicht betroffen.
Authentifizierung und Zugrifftoken Authentifizierung ist eine wesentliche Komponente des Sicherheitsmodells von Windows NT. Authentifizierung ist das Mittel, wodurch ein Benutzer durch die Präsentierung von Anmeldeinformationen, gewöhnlich in Form eines Benutzernamens und Kennworts, identifiziert wird. Sind diese Anmeldeinformationen akzeptabel, erstellt das Sicherheitsteilsystem ein Zugrifftoken für den Benutzer, der die primäre SID (die SID des Benutzers) ebenso enthält wie die SIDs aller Domänen und lokalen Computergruppen, bei denen der Benutzer Mitglied ist. Jeden Vorgang, den der Benutzer erstellt, wie das Betreiben einer Anwendung, leitet das Zugrifftoken des Benutzers weiter. Das Zugrifftoken des Benutzers kann als eine Art Benutzer-ID angesehen werden, die dem System präsentiert wird. Es wird vom System dazu verwendet, festzulegen, ob dem Benutzer Zugriff auf die Systemressourcen gewährt werden müssen.
Autorisierung und Sicherheitsbeschreibungen Der Gegenspieler des Zugrifftokens des Benutzers ist die Sicherheitsbeschreibung, die den Ressourcen, wie Dateien oder Druckern, zugewiesen werden. Eine Sicherheitsbeschreibung enthält eine Zugriffskontrollliste (ACL), die aus Zugriffskontrolleinträgen (ACEs) besteht. Ein Zugriffskontrolleintrag besteht aus einer SID, zusammen mit einem Indikator, der anzeigt, dass der von der SID identifizierte Sicherheitsprincipal eine bestimmte Form des Zugriffs auf die Ressource, wie Lesen, Schreiben oder Ausführen von Berechtigungen, gewährt oder verweigert. Das System verifiziert die Zugriffsprüfung, indem es die SIDs des Zugrifftokens mit den SIDs in der Zugriffskontrollliste vergleicht, um zu bestimmen, ob eine angeforderte Berechtigung erteilt wird.
312
Teil III
Active Directory-Infrastruktur
Bestimmen der Reihenfolge für die Aktualisierung von Domänen Nachdem Sie eine Strategie für die Aktualisierung von Domänencontrollern zurechtgelegt haben, besteht Ihr nächster Schritt darin, festzulegen, welche Domäne am ersten aktualisiert wird. Ihre Wahl hängt von den Zielen Ihrer gesamten Aktualisierung ab. Wenn Sie z. B. planen, bestimmte Domänen umzustrukturieren, hat es wenig Sinn, diese Domänen zuerst zu aktualisieren. Wenn dagegen eine bestehende Domäne Stamm der Gesamtstruktur werden soll, sollten Sie diese Domäne zuerst aktualisieren. Es wird empfohlen, Domänen in der folgenden Reihenfolge zu aktualisieren: 1. Kontendomänen 2. Ressourcendomänen
Richtlinien für das Aktualisieren von Kontendomänen Grundsätzlich ist es am vorteilhaftesten, die Kontendomänen zuerst zu aktualisieren, da in den meisten Fällen mehr Benutzer zu verwalten sind, als Computer. Die Aktualisierung Ihrer Kontendomänen zu Windows 2000 bietet Ihnen folgende Vorteile: ? Verbesserte Skalierbarkeit von Active Directory – Viele Organisationen geraten
mit der bestehenden Anzahl ihrer Benutzer und Gruppen an die Obergrenze der empfohlenen SAM-Größe. Active Directory bietet eine verbesserte Skalierbarkeit, um eine größere Anzahl von Benutzern, die einen weiten Bereich von Anwendungen betreiben, zu unterstützen. ? Delegierung von Administrationsaufgaben – Die Windows 2000-Infrastruktur erlaubt die sehr detaillierte Delegierung von administrativen Fähigkeiten, ohne dass lokalen Administratoren uneingeschränkte Handlungsfreiheit gewährt werden muss. Wenn Sie über mehrere Kontendomänen verfügen, werden Ihnen die folgenden Richtlinien bei der Festlegung der Aktualisierungsreihenfolge behilflich sein: Abschwächen von Risiken und Kontrolle bewahren Selbst wenn Sie Ihre Aktualisierungsstrategie in einem Labor oder durch ein Pilotprojekt getestet haben, ist die erste Produktmigration am riskantesten. Aktualisieren Sie, um das Risiko abzuschwächen, die Kontendomänen, in denen Sie über den leichtesten Zugriff auf Domänencontroller verfügen. MinimierenvonUnterbrechungen Aktualisieren Sie zuerst die Kontendomänen mit weniger Benutzern und mit lokaler Kontrolle der Domänencontroller. Dadurch werden Unterbrechungen für den größten Teil der Benutzer minimiert. Dies ist besonders dann empfehlenswert, wenn Sie erst noch Erfahrungen mit dem Einrichtungsprozess sammeln müssen. Machen Sie sich an die Arbeit Nachdem Sie Erfahrungen gesammelt und die Risikofaktoren reduziert haben, vertrauen Sie dem Prozess und fahren Sie mit der Aktualisierung der größeren Kontendomänen fort, die meistens zu Konsolidierungspunkten für andere Domänen werden. Je größer Ihre Benutzerbasis wird, desto effektiver werden die Funktionen von Windows 2000 genutzt.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
313
Identifizieren der Kontendomänen, die Ziel der Umstrukturierung sind Wenn Sie die Umstrukturierung Ihrer Kontendomänen planen, aktualisieren Sie zuerst diejenigen, die wahrscheinlich Ziel der Umstrukturierung sind. Sie können keine Domänen in nicht vorhandene Zieldomänen konsolidieren. Identifizieren Sie die Kontendomänen, die umzustrukturieren sind.
Richtlinien für das Aktualisieren von Ressourcendomänen Wenn Sie über mehr als eine Kontendomäne verfügen, werden Ihnen die folgenden Richtlinien bei der Festlegung der Aktualisierungsreihenfolge behilflich sein: Wählen Sie Domänen aus, in denen neue Anwendungen eine Windows 2000-Plattform oder Windows 2000-Funktionenerfordern Zuerst sollten Sie die Domänen aktualisieren, in denen Sie den Einsatz von Anwendungen planen, die eine Windows 2000-Infrastruktur oder Windows 2000Funktionen erfordern, wie Active Directory, das von Exchange Platinum (die nächste Version von Microsoft Exchange) benötigt wird. Wählen Sie Domänen mit vielen Clients aus Anschließend aktualisieren Sie Domänen, die über viele Windows NT-Clients verfügen, so dass Sie die Vorteile von Komponenten der Windows 2000-Infrastruktur, wie Microsoft ® IntelliMirror™ nutzen können. Wählen Sie Domänen aus, die Ziel der Umstrukturierung sind Wenn Sie die Umstrukturierung Ihrer Ressourcendomänen planen, aktualisieren Sie, wie bei den Kontendomänen, zuerst diejenigen, die wahrscheinlich Ziel der Umstrukturierung sind. Identifizieren Sie die kleineren Ressourcendomänen, die umzustrukturieren sind.
Untergeordnete Domänen und Vertrauensstellungen Der Domänencontroller der übergeordneten Domäne kopiert schließlich alle Schema- und Konfigurationsinformationen in die neue, untergeordnete Domäne. Nach der Replikation dieser Daten ist die aktualisierte Domäne ein voll funktionsfähiges Mitglied der Windows 2000-Struktur. Beachten Sie, dass die Domäne, selbst wenn alle Reservedomänencontroller aktualisiert wurden, solange im gemischten Modus bleibt, bis Sie entscheiden, die Domäne in den einheitlichen Modus umzuschalten. Clients, die das Active Directory wahrnehmen, wie Computer unter Windows 2000 Professional, Windows 95 oder Windows 98 (mit Active Directory-Clientsoftware), können nun Active Directory verwenden und Aufgaben durchführen, wie z. B. die Abfrage von Globalen Katalogen (GC) zum Auffinden von Ressourcen und Personen. Transitive Vertrauensstellungen erlauben den Clients einer Gesamtstruktur den Zugriff auf Ressourcen in der ganzen Gesamtstruktur. Dies hängt davon ab, ob der Client mit Windows 2000 oder mit einem älteren Betriebssystem als Windows 2000, wie Windows NT, Windows 95 oder Windows 98 betrieben wird, sowie vom Aktualisierungsstatus der Zieldomäne. Ressourcen sind durch transitive Vertrauensstellungen innerhalb der ganzen Gesamtstruktur verfügbar, wenn sich die Clients in einem der folgenden Domänentypen befinden: ? In Domänen im einheitlichen Modus.
314
Teil III
Active Directory-Infrastruktur ? In Domänen im gemischten Modus, in denen alle Domänencontroller zu
Windows 2000 aktualisiert wurden. ? In Domänen im gemischten Modus, in denen die Domänencontroller, die
Kerberos- oder die NTLM-Authentifizierungsanforderungen verarbeiten, zu Windows 2000 aktualisiert wurden. In allen anderen Fällen haben Clients nur zu solchen Ressourcen Zugriff, die durch bestehende unidirektionale Vertrauensstellungen verfügbar sind, die nach der Aktualisierung unverändert fortbestehen. Abbildung 10.4 zeigt die Arbeitsweise von transitiven Vertrauensstellungen zwischen über- und untergeordneten Domänen. Die Pfeile in beide Richtungen zeigen transitive Vertrauensstellungen zwischen Domänen an.
Abbildung 10.4 Beispiel für transitive Vertrauensstellungen zwischen über- und untergeordneten Domänen
Verwenden der NTLM-Authentifizierung NTLM ist das Standard-Authentifizierungsprotokoll für die Netzwerkauthentifizierung in Windows NT. Es wird aus Gründen der Kompatibilität mit Clients und Servern, die Windows NT-Versionen betreiben, in Windows 2000 beibehalten. So meldet sich z. B. ein Benutzer von der Windows NT-Arbeitsstation ntws in der Domäne im gemischten Modus reskit-acct.reskit.com an. Die Arbeitsstation befindet sich dabei selbst in dieser Domäne, wie Abbildung 10.5 zeigt. Der Benutzer versucht nun eine Netzwerkverbindung zu einem Windows NT-Server nts in der Domäne reskit-other.reskit.com herzustellen, einer Windows 2000-Domäne im einheitlichenModus. Da ntws ein Client mit einem älteren Betriebssystem als Windows 2000 ist, verwendet er NTLM.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
315
Nts erkennt, dass der in den Anmeldeinformationen spezifizierte und weitergegebene Domänenname reskit-acct.reskit.com, sich nicht auf seine eigene Kontodatenbank bezieht. Daher sendet Nts die Anmeldeanforderung zur Authentifizierung an einen Domänencontroller seiner eigenen Domäne. Der Domänencontroller prüft den Domänennamen und, da dieser nicht mit dem Domänennamen des Domänencontrollers übereinstimmt, prüft er, ob die Domäne eine vertrauenswürdige Domäne ist. Die Domänen reskit-acct.reskit.com und reskit-other.reskit.com sind beide untergeordnete Domänen desselben Stamms reskit.com , daher besteht zwischen den Domänen eine transitive Vertrauensstellung. Deshalb leitet der Domänencontroller die Anmeldeanforderung an einen Domänencontroller in der vertrauenswürdigen Domäne weiter. Dieser Domänencontroller authentifiziert den Benutzernamen und das Kennwort anhand seiner Domänenkontodatenbank und leitet, vorausgesetzt die Anmeldeinformationen stimmen überein, die Kontoidentifikationsdatenund Gruppenmitgliederliste zurück an den Domänencontroller, der mit ihm Kontakt aufgenommen hat, der wiederum diese Informationen an den Server zurückleitet. Der Server erzeugt ein Zugrifftoken für den Identitätswechsel des Benutzers, der die Benutzer-SID und die SIDs der Domänengruppen enthält, denen der Benutzer angehört. Der Server, der die Clientanforderung bearbeitet, verwendet einen Thread, um den Sicherheitskontext des Benutzers zu identifizieren, der das Zugrifftoken für den Identitätswechsel trägt, und versucht für den Benutzer auf die Ressource zuzugreifen. Dieses Beispiel zeigt, dass ein Client mit einem älteren Betriebssystem als Windows 2000 in einer Domäne im gemischten Modus durch die Verwendung von NTLM über transitive Vertrauensstellungen auf einen Server mit einem älteren Betriebssystem als Windows 2000 in einer Domäne im einheitlichen Modus zugreifen kann. Da alle Strukturen in derselben Gesamtstruktur durch transitive Vertrauensstellungen verknüpft sind, funktioniert dies auch dann, wenn sich die beiden Domänen in unterschiedlichen Strukturen befinden. Dies bedeutet: wenn ein Benutzer versucht, auf eine Ressource auf dem Windows NT-Server nts in der Domäne im gemischten Modus reskit-res1.reskit-other.reskit.com zuzugreifen, ist diese Ressource über die Gesamtstruktur durch eine transitive Vertrauensstellung zugänglich, solange der Domänencontroller, der die Anmeldeanforderung erhält, Windows 2000 ausführt.
Verwenden der Kerberos-Authentifizierung Der Kerberos-Dienst ist das Standard-Netzwerkauthentifizierungsprotokoll für Computer unter Windows 2000. SSL (Secure Sockets Layer) und NTLM sind für die Netzwerkauthentifizierung zwischen und innerhalb von Windows 2000-Domänen ebenfalls verfügbar. Die Kerberos-Authentifizierung ist ein ticketbasiertes Protokoll, in dem Benutzern beim erstmaligen Anmelden an einer Domäne durch das Schlüsselverteilungscenter (KDC) eines Windows 2000-Domänencontrollers TGTs (Ticket Granting Tickets) ausgestellt werden. TGTs enthalten Authentifizierungsdaten über den Benutzer und sind mit einem als KDC bekannten Schlüssel verschlüsselt. Nachdem der Client das TGT erhalten hat, kann es dem Domänencontroller als Teil der Anforderung von zusätzlichen Diensttickets vorgelegt werden, um mit anderen Servern in der Domäne eine Verbindung herzustellen. Wenn dem Benutzer ein TGT genehmigt wurde, werden die nachfolgenden Prüfungen schnell und effizient durchgeführt, da der Domänencontroller nur das TGT entschlüsseln muss, um die Benutzer-Anmeldeinformationen zu prüfen. Diensttickets funktionieren ähnlich wie TGTs, werden jedoch mit einem Schlüssel, der von dem Server und dem Domänencontroller gemeinsam genutzt wird, verschlüsselt.
316
Teil III
Active Directory-Infrastruktur
Im Beispiel der Abbildung 10.4 meldet sich nun der Benutzer wie zuvor an der Domäne reskit-acct.reskit.com an, nun jedoch vom Computer w2kpro derselben Domäne, die Windows 2000 ausführt. Der Benutzer möchte eine Netzwerkverbindung zu dem Windows 2000 Server w2ksrv in der Domäne reskit-other.reskit.com herstellen. Da w2kpro ein Windows 2000-Client ist, versucht der Client, das Kerberos-Protokoll zu verwenden. Das Kerberos-Protokoll kann genau wie NTLM über die Grenzen von Domänen hinaus operieren. Der Client in einer Domäne kann für einen Server in einer anderen Domäne eine Authentifizierung ausführen, wenn die beiden Domänen eine Vertrauensstellung eingerichtet haben. Wenn Domänen eine Vertrauensstellung einrichten, tauschen sie domänenübergreifende Schlüssel aus. Der Authentifizierungsdienst jeder Domäne verwendet seine domänenübergreifenden Schlüssel, um Tickets zum Schlüsselverteilungscenter der anderen Domäne zu verschlüsseln. Wenn ein Client Zugriff auf einen Server einer entfernten Domäne erhalten möchte, stellt der Client eine Verbindung zu dem Domänencontroller seiner Ausgangsdomäne her, um ein TGT zu erhalten. Der Client legt dann das TGT dem Schlüsselverteilungscenter des Domänencontrollers der entfernten Domäne vor, wenn der Client über eine direkte Vertrauensstellung zu der entfernten Domäne oder ihrer übergeordneten Domäne verfügt. Dieser Prozess wird mit allen dazwischen liegenden Domänen wiederholt, bis ein vertrauenswürdiger Pfad zwischen der Ausgangsdomäne des Clients und der entfernten Domäne besteht. Der Client legt das betreffende TGT dem Schlüsselverteilungscenter des entfernten Domänencontrollers vor, und fragt nach einem Ticket an einen Server der Clientdomäne. Der entfernte Domänencontroller verwendet seinen domänenübergreifenden Schlüssel zur Entschlüsselung des TGT des Clients. Wenn die Entschlüsselung erfolgreich war, kann der entfernte Domänencontroller sicher sein, dass das TGT von einer vertrauenswürdigen Autorität ausgestellt wurde. Der entfernte Domänencontroller stellt dem Client darauf ein Ticket an den angeforderten Server aus. Abbildung 10.4 zeigt, dass ein vertrauenswürdiger Pfad zwischen den beiden Domänen reskit-acct.reskit.com und reskit-other.reskit.com angelegt werden kann, da sie untergeordnete Domänen desselben Stamms sind und zwischen ihnen eine transitive Vertrauensstellung besteht. Wenn der Domänencontroller der Zieldomäne das betreffende TGT erhält, prüft er, ob es mit dem fraglichen Server einen gemeinsamen Schlüssel nutzt. Ist dies der Fall, erteilt der Domänencontroller dem Client ein Dienstticket. Da es sich bei w2ksrv um einen Windows 2000-Computer handelt, ist ein gemeinsamer Schlüssel vorhanden, so dass ein Ticket an w2kpro erteilt werden kann. Die wichtigen Faktoren in diesem Beispiel sind die Existenz eines Domänencontrollers in der Zieldomäne, der das Kerberos-Schlüsselverteilungscenter betreibt, und das Vorhandensein eines gemeinsamen Schlüssels zwischen dem Domänencontroller und dem Server. Bei Windows 2000-Domänencontrollern wird der Kerberos-Dienst als Teil des Installationsprozesses von Active Directory aktiviert, und das Hinzufügen eines Mitgliedsservers zu einer Windows 2000-Domäne beinhaltet die Erstellung eines gemeinsamen Schlüssels. Daraus resultiert, dass w2kpro durch die Verwendung von Kerberos auf w2ksrv.reski-res1.reskit-other.reskit.com zugreifen kann, solange ein Windows 2000-Domänencontroller verfügbar ist, der das Sitzungsticket ausstellt.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
317
Wenn w2kpro versucht, auf eine Ressource auf einem Windows NT-Computer wie nts.reskit-res1.reskit-other.reskit.com zuzugreifen, schlägt die KerberosAuthentifizierung fehl. Der Client versucht darauf die NTLM-Authentifizierung zu verwenden, wie oben im Abschnitt „Verwenden der NTLM-Authentifizierung“ beschrieben.
Bestimmen des Zeitpunkts für den Wechsel in den einheitlichen Modus Es ist leicht, eine Domäne vom gemischten Modus in den einheitlichen Modus umzuschalten, die Umschaltung kann jedoch nicht rückgängig gemacht werden. Berücksichtigen Sie alle in diesem Abschnitt genannten Faktoren, um den richtigen Zeitpunkt für die Umschaltung zu bestimmen. Sie können die Domäne nicht in den einheitlichen Modus umschalten, wenn die Domäne noch oder zukünftig einen beliebigen Windows NT-Domänencontroller enthält.
Gründe für das Fortfahren im gemischten Modus Die primären Gründe, die dafür sprechen, eine Domäne weiterhin im gemischten Modus zu betreiben sind: ? Anwendungsserver können nicht aktualisiert werden
Sie verfügen über Anwendungsserver, die nicht aktualisiert oder zu Mitgliedsservern zurückgesetzt werden können. Einige Anwendungen müssen beispielsweise, um einen hohen Datendurchsatz zu erreichen, auf Reservedomänencontrollern installiert sein, um eine Pass-ThroughAuthentifizierung zu umgehen. Reservedomänencontroller, die solche Anwendungen speichern, werden Anwendungsserver genannt. ? Unzureichende physische Sicherheit der Reservedomänencontroller
Sicherheit ist ein wichtiger Punkt bei der Planung der Domäne. Ein fundamentaler Sicherheitsaspekt ist die physische Sicherheit des Computers selbst, jeder Computer, der physisch leicht erreichbar ist, ist anfällig für einen unbefugten Zugriff. Zu berücksichtigen wäre hier der Unterschied zwischen der Single Master-Aktualisierung der SAM nur durch den PDC und der Multimaster-Aktualisierung der Kontodatenbank von Active Directory durch alleDomänencontroller. Da die Aktualisierungen des Windows NT-Verzeichnisses ähnlich wie SingleMaster-Aktualisierungen erfolgen, könnten Sie sich mit der vergleichsweise lockeren Sicherheit auf den Reservedomänencontrollern zufrieden geben. Dies sollten Sie bedenken, wenn Sie sie zu Windows 2000-Domänencontroller aktualisieren. Wenn Sie die Sicherheit Ihres Reservedomänencontrollers nicht entsprechend aktualisieren können, könnten Sie überlegen, ihn während der Aktualisierung zu einem Mitgliedsserver zurückzusetzen, indem Sie an einem anderen Standort einen neuen Windows 2000-Domänencontroller hinzufügen, oder den Entwurf Ihrer Domänenstruktur noch einmal überdenken.
318
Teil III
Active Directory-Infrastruktur ? Der vollständige Fallback zu Windows NT bleibt notwendig
Einer der Vorzüge des gemischten Modus liegt im Ausmaß der Abwärtskompatibilität. Der gemischte Modus erlaubt das Hinzufügen neuer Reservedomänencontroller zu einer Domäne, wenn ein Problem auftaucht. Nachdem der neue Reservedomänencontroller mit der Domäne verbunden wurde, können Sie die Kontodatenbank neu synchronisieren. Solange keine anderen Windows 2000Domänen vorhanden sind, können Sie den Reservedomänencontroller zu einem PDC aufwerten. Sie müssen einen Fallback oder eine Wiederherstellung planen, zu einem bestimmten Zeitpunkt möchten Sie jedoch vollständig zu der neuen Umgebung umschalten, um die ganzen Vorteile der Windows 2000-Funktionen zu genießen. Ein guter Grund, zum einheitlichen Modus zu wechseln, ist die dann mögliche Verwendung aller Windows 2000-Gruppen, einschließlich verschachtelter Gruppen. An dieser Stelle müssen Sie überlegen, welche Gruppen zu universellen Gruppen aufgewertet werden sollen.
Gründe für den Wechsel in den einheitlichen Modus Obwohl es sehr vorteilhaft ist, Ihren PDC und Ihre Reservedomänencontroller zu aktualisieren und Ihre Domäne im gemischten Modus zu belassen, wird empfohlen, die Umschaltung zum einheitlichen Modus sobald als möglich vorzunehmen. Der einheitliche Modus ist Ihnen in folgender Weise dabei behilflich, die Gesamtfunktionalität Ihres Netzwerks zu steigern: ? Neue Windows 2000-Gruppentypen sind verfügbar. ? Domänen im einheitlichen Modus können universelle Gruppen und die
Verschachtelung von Gruppen verwenden. Wie bereits erwähnt, wird die Umschaltung zum einheitlichen Modus nicht automatisch durchgeführt. Sie müssen den Wechsel von der Microsoft Management Console (MMC) aus durch die Active Directory-Domänen und Vertrauensstellungen-Snap-In auslösen. Weitere Informationen zur Verwendung dieses SnapIns finden Sie in den Hilfedateien von Windows 2000 Server.
Überprüfen von Windows 2000-Gruppen Es ist wichtig festzustellen, wie sich die Migration zu Windows 2000 auf die Sicherheitsrichtlinie und Ihre Gruppenstruktur mit dem älteren Betriebssystem auswirkt. Änderungen der Sicherheitsrichtlinie erfordern wahrscheinlich eine Umstrukturierung der Gruppen. Windows 2000 unterstützt vier Typen von Sicherheitsgruppen: ? Lokale Gruppen ? Domäneninterne lokale Gruppen ? Globale Gruppen ? UniverselleGruppen
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
319
Lokale Gruppen In Windows NT bestehende lokale Gruppen können Mitglieder aus der ganzen Gesamtstruktur, aus anderen vertrauenswürdigen Gesamtstrukturen oder aus einer vertrauenswürdigen Domäne mit einem älteren Betriebssystem als Windows 2000 enthalten. Lokale Gruppen können Ressourcenberechtigungen jedoch nur auf dem Computer erhalten, auf dem sie sich befinden. Eine besondere Rolle spielen lokale Gruppen in Windows NT, die auf einem PDC erstellt wurden. Die Replikation des Domänen-SAM auf den Reservedomänencontrollern hat zur Folge, dass diese lokalen Gruppen vom PDC und den Reservedomänencontrollern gemeinsam genutzt werden. Im gemischten Modus verhalten sich lokale Gruppen sowohl in Windows NT als auch in Windows 2000 gleich. Im einheitlichen Modus werden die lokalen Gruppen eines Domänencontrollers zu domäneninternen lokalen Gruppen. Sie werden im nächsten Abschnitt beschrieben. Normalerweise werden lokale Gruppen dazu verwendet, spezifischen Zugriff auf die Ressourcen eines lokalen Computers zu gewähren.
Domäneninterne lokale Gruppen Domäneninterne lokale Gruppen sind eine neue Funktion von Windows 2000, obwohl sie im Konzept und der Verwendung den lokalen Gruppen sehr ähnlich sind, die auf einem PDC in einer Windows NT-Domäne erstellt wurden. Domäneninterne lokale Gruppen sind nur in Domänen im einheitlichen Modus verfügbar und können Mitglieder aus der ganzen Gesamtstruktur, aus vertrauenswürdigen Gesamtstrukturen oder aus einer vertrauenswürdigen Domäne mit einem älteren Betriebssystem als Windows 2000 enthalten. Domäneninterne lokale Gruppen können jedoch nur Berechtigungen für Ressourcen in der Domäne, in der sie sich befinden, gewähren. Normalerweise werden domäneninterne lokale Gruppen dazu verwendet, Sicherheitsprincipals aus der Gesamtstruktur zu sammeln, um den Zugriff auf die Ressourcen in der Domäne zu kontrollieren.
Globale Gruppen Die globalen Gruppen von Windows 2000 sind die gleichen globalen Gruppen wie in Windows NT. Die globalen Gruppen von Windows 2000 können nur Mitglieder aus der Domäne enthalten, in der sie sich befinden. Diese Gruppen können Berechtigungen für Ressourcen in jeder beliebigen Domäne der Gesamtstruktur oder vertrauenswürdiger Gesamtstrukturen gewähren.
Universelle Gruppen Universelle Gruppen können Mitglieder aus jeder beliebigen Windows 2000Domäne in der Gesamtstruktur enthalten und Berechtigungen in jeder Domäne der Gesamtstruktur oder vertrauenswürdiger Gesamtstrukturen gewähren. Obwohl universelle Gruppen Mitglieder aus Domänen im gemischten Modus derselben Gesamtstruktur enthalten können, wird die universelle Gruppe bei Mitgliedern aus diesen Domänen nicht dem Zugrifftoken hinzugefügt, da universelle Gruppen im gemischten Modus nicht verfügbar sind. Obwohl Sie Benutzer zu einer universellen Gruppe hinzufügen können, wird die Einschränkung der Mitgliedschaft auf globale Gruppen empfohlen. Beachten Sie, dass universelle Gruppen nur in Domänen im einheitlichen Modus verfügbar sind.
320
Teil III
Active Directory-Infrastruktur
Sie können universelle Gruppen verwenden, um Gruppen zu bilden, die innerhalb eines Unternehmens allgemeine Funktionen übernehmen. Ein Beispiel hierfür sind virtuelle Teams. Die Zugehörigkeit zu solchen Teams in einem großen Unternehmen kann landesweit, weltweit, meistens jedoch mindestens gesamtstrukturweit sein, wobei die Teamressourcen ähnlich verteilt sind. Unter diesen Umständen können universelle Gruppen als Container für globale Gruppen jeder Tochtergesellschaft oder Abteilung verwendet werden, wobei die Teamressourcen durch einen einzigen Zugriffskontrolleintrag (ACE) für die ganze Gruppe geschützt sind. Universelle Gruppen und ihre Mitglieder sind im Globalen Katalog aufgelistet. Obwohl globale und domäneninterne lokale Gruppen ebenfalls im Globalen Katalog aufgelistet sind, sind ihre Mitglieder dort nicht enthalten. Dies hat Auswirkungen auf den Replikationsverkehr des Globalen Katalogs. Es wird empfohlen, universelle Gruppen mit Vorsicht zu verwenden. Wenn das gesamtes Netzwerk über Hochgeschwindigkeitsverbindungen verfügt, können Sie universelle Gruppen für alle Gruppen verwenden und müssen dann keine globalen Gruppen oder domäneninterne lokale Gruppen verwalten. Wenn Ihr Netzwerk jedoch WANs (Wide Area Networks) umfasst, können Sie durch die Verwendung von globalen Gruppen und domäneninternen lokalen Gruppen die Netzwerkleistung erhöhen. Wenn Sie globale und domäneninterne lokale Gruppen verwenden, können Sie auch alle weltweit verwendeten Gruppen, die selten geändert werden, als universelle Gruppen bestimmen. Tabelle 10.6 führt die Eigenschaften der Windows 2000-Gruppen auf. Tabelle 10.6 Eigenschaften von Windows 2000-Gruppen Gruppentyp
Mitgliedschaft in
Anwendungsbereich
Verfügbar im gemischten Modus?
Lokal
Dieselbe Gesamtstruktur
Computerweit
Ja
Die lokale Domäne
Nein
Domänenintern lokal
Andere vertrauenswürdige Gesamtstrukturen Vertrauenswürdige Domänen eines älteren Betriebssystems als Windows 2000 Dieselbe Gesamtstruktur Andere vertrauenswürdige Gesamtstrukturen Vertrauenswürdige Domänen eines älteren Betriebssystems als Windows 2000
Global
Lokale Domänen
Jede vertrauenswürdige Domäne
Ja
Universell
Dieselbe Gesamtstruktur
Jede vertrauens-
Nein
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
321
würdige Domäne im einheitlichen Modus
Verschachteln von Gruppen Es wird empfohlen, dass Sie die Größe Ihrer Gruppe auf 5.000 Mitglieder begrenzen, da der Speicher von Active Directory in einer einzigen Transaktion aktualisiert werden können muss. Da die Gruppenmitgliedschaften in einem einzigen mehrwertigen Attribut gespeichert werden, erfordert die Änderung einer Mitgliedschaft die Replikation der ganzen Mitgliedsliste zwischen den Domänencontrollern und die Aktualisierung während einer einzigen Transaktion. Microsoft hat Tests durchgeführt und unterstützt Gruppenmitgliedschaften bis zu 5.000 Mitgliedern. Sie können jedoch Gruppen verschachteln, um die effektive Anzahl der Mitglieder zu erhöhen. Dadurch wird der durch die Replikation der Änderungen an den Gruppenmitgliedschaften verursachte Datenverkehr reduziert. Die Verschachtelungsoptionen sind davon abhängig, ob sich die Domäne im einheitlichen oder gemischten Modus befindet. Die folgende Liste beschreibt, was in einer Gruppe enthalten sein kann, die in einer Domäne im einheitlichen Modus besteht. Diese Regeln sind von dem Anwendungsbereich der Gruppe bestimmt. ? Universelle Gruppen können Benutzerkonten, Computerkonten, universelle
Gruppen und globale Gruppen jeder beliebigen Domäne enthalten. ? Globale Gruppen können Benutzerkonten, Computerkonten und globale
Gruppen derselben Domäne enthalten. ? Domäneninterne lokale Gruppen können Benutzerkonten, Computerkonten, universelle Gruppen und globale Gruppen jeder beliebigen Domäne enthalten. Sie können auch andere domäneninterne lokale Gruppen aus derselben Domäne enthalten. Sicherheitsgruppen in einer Domäne im gemischten Modus können nur folgende Gruppen enthalten: ? Lokale Gruppen, die globale Gruppen und Benutzerkonten von vertrauens-
würdigen Domänen enthalten können. ? Globale Gruppen, die nur Benutzerkonten enthalten können.
Erweiterung der Gruppenmitgliedschaft Wenn ein Benutzer sich bei einem Client anmeldet oder eine Netzwerkverbindung zu einem Server herstellt, wird die Gruppenmitgliedschaft des Benutzers bei der Erstellung des Zugrifftokens des Benutzers erweitert. Die Gruppenerweiterung geschieht wie folgt: ? Während einer interaktiven Anmeldung an einen Client kontaktiert der Client
den Domänencontroller, um die Anmeldeinformationen des Benutzers zu überprüfen und ein Kerberos-TGT zu erhalten. Der Domänencontroller erweitert die Liste der Gruppenmitgliedschaften des Benutzers für die folgenden Gruppentypen: ? Universelle Gruppen, die an einer beliebigen Stelle der Gesamtstruktur
definiert wurden
322
Teil III
Active Directory-Infrastruktur ? Globale Gruppen ? Domäneninterne lokale Gruppen derselben Domäne wie die des
Benutzerkontos. Diese Gruppenlisten sind im TGT als Autorisierungsdaten enthalten. ? Wenn der Client eine Netzwerkverbindung zu einem Server einleitet, wird, wenn sich der Server in einer anderen Domäne als das Benutzerkonto befindet, eine domänenübergreifende Referenz verwendet, um ein Dienstticket vom Schlüsselverteilungscenter des Servers zu erhalten. Wurde das Dienstticket ausgestellt, fügt die Gruppenerweiterung die domäneninternen lokalen Gruppen, in denen der Benutzer Mitglied ist, der Domäne des Servers hinzu. Diese Gruppen werden zusammen mit der Gruppenliste im TGT den Autorisierungsdaten im Dienstticket hinzugefügt. Befindet sich der Server in derselben Domäne wie das Benutzerkonto, sind die domäneninternen lokalen Gruppen bereits vom ersten interaktiven Anmelden an im TGT verfügbar. ? Stellt der Client eine Verbindung mit dem Server her, erfolgt dann eine Erweiterung der lokalen Gruppen, wenn das Benutzerkonto oder eine der Gruppen, in denen der Benutzer Mitglied ist, auch Mitglied einer lokalen Gruppe auf dem Server ist. Beim Erstellen des Zugrifftokens für den Benutzer werden alle vom Domänencontroller oder Ressourcenserver erweiterten Informationen zur Gruppenmitgliedschaft verwendet, um den Benutzer zu identifizieren.
Auswirkungen der Aktualisierung auf Gruppen Die Aktualisierung eines PDC zu Windows 2000 zeigt keine unmittelbare Auswirkung auf Gruppen: Lokale Gruppen von Windows NT werden in Windows 2000 zu lokalen Gruppen, und globale Gruppen von Windows NT werden in Windows 2000 zu globalen Gruppen. Die eigentliche Veränderung erfolgt, wenn Sie die Domäne in den einheitlichen Modus umschalten. Zu diesem Zeitpunkt werden aus den lokalen Gruppen auf dem PDC domäneninterne lokale Gruppen.
Verwenden von NetBIOS mit Windows 2000 NetBIOS ist eine hochentwickelte Schnittstelle zur Netzwerkprogrammierung in Netzwerkkomponenten mit älteren Betriebssystemen als Windows 2000. Die Netzwerkressourcen werden im NetBIOS-Namespace durch eindeutige NetBIOSNamen identifiziert. WINS ist ein Dienst von Windows NT Server 4.0, der die Registrierung von dynamischen Zuordnungen von NetBIOS-Namen zu IPAdressen unterstützt und NetBIOS-Namensauflösung bietet. Mit der Version von Windows 2000 ist die Unterstützung der NetBIOS-Namenschnittstelle nur noch für Clusterserver notwendig. Aus diesem Grund, gemeinsam mit dem zunehmenden Gebrauch von DNS und der Ankündigung von Active Directory, wird die Verwendung von NetBIOS mit der Zeit zurückgehen. Beachten Sie, dass die Aktualisierung der Domäne zu Windows 2000 nicht notwendigerweise die NetBIOS-Unterstützung auf Ihrem Netzwerk überflüssig macht, noch beeinflusst sie das Ausmaß der Unterstützung, über die Sie aktuell verfügen. Wenn z. B. Ihr Netzwerk viele Segmente aufweist, wird WINS benötigt, um die NetBIOS-Suchliste zu erstellen. Ohne WINS muss das Netzwerk für die Suche nach Ressourcen auf Active Directory zurückgreifen. Dies kann erhebliche
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
323
Auswirkungen auf Clients mit einem älteren Betriebssystem als Windows mit sich bringen.
324
Teil III
Active Directory-Infrastruktur
Sie können die Verwendung von NetBIOS und WINS nach der Aktualisierung einstellen, wenn folgende Bedingungen zutreffen: ? Es gibt keine Clients (wie Windows für Workgroups, Windows 95,
Windows 98, oder Windows NT) und keine Server unter Windows NT, die NetBIOS verwenden. Clients, die mit älteren Versionen des WindowsBetriebssystems betrieben werden, können jedoch immer noch NetBIOSNamen benötigen, um Datei- und Druckdienste liefern zu können, und veraltete Anwendungen zu unterstützen. Vergewissern Sie sich in Ihrem Testplan, dass Sie die Auswirkung veralteter Anwendungen und Dienste richtig einschätzen. Weitere Informationen über das Testen finden Sie im Kapitel „Erstellen eines Testlabors für Windows 2000“ in dieser Dokumentation. ? Sie verfügen über ein reines Windows 2000-Netzwerk und sind sicher, dass alle Computer und Anwendungen auf Ihrem Netzwerk bei der Verwendung eines anderen Namensdienstes als DNS funktionieren. Die Netzwerknamensgebung ist ein elementarer Dienst für die Lokalisierung von Computern und Ressourcen innerhalb Ihres Netzwerks, auch wenn NetBIOS-Namen nicht erforderlich sind. Der WINS-Client von Windows 2000 speichert gelöschte Namen lokal und verwendet eine Caching Resolver genannte Komponente, um im Cache nachzusehen, bevor er eine Abfrage an DNS weiterleitet. Die Hostdatei wird gespeichert, sobald der Client startet, und jede Aktualisierung der Hostdatei wird unmittelbar im Cache widergespiegelt. Die Abfolge der Namenauflösung lautet: 1. Der Client versucht die Namensauflösung aus dem Clientcache. 2. Wenn die Auflösung aus dem Clientcache fehlschlägt, versucht der Client die Namensauflösung durch DNS. 3. Wenn die Auflösung durch DNS wiederum fehlschlägt, versucht der Client die Namensauflösung durch WINS. Wenn diese Kriterien zutreffen, ist ein Wechsel von NetBIOS und WINS problemlos, solange Sie alle veralteten Bedingungen entfernt und eine ausreichende Revisionskontrolle über Ihre neu aktualisierten Clients implementiert haben.
Übergang zum Dateireplikationsdienst Windows NT Server bietet eine Replikationseinrichtung, die als LAN ManagerReplikationsdienst bekannt ist. Der Dateireplikationsdienst (FRS) in Windows 2000 Server ersetzt diesen LAN Manager-Replikationsdienst. Anmerkung Windows 2000 Server unterstützt den LAN Manager-Replikationsdienst weder im gemischten noch im einheitlichen Modus. Wenn Sie daher die LAN Manager-Replikation verwendet haben, benötigen Sie eine Strategie innerhalb Ihres Aktualisierungsplans, damit der Wechsel zu FRS dieselbe Funktionalität bietet.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
325
Prozess für den LAN Manager-Replikationsdienst Der LAN Manager-Replikationsdienst verwendet Import- und Exportverzeichnisse. Sie konfigurieren den LAN Manager-Replikationsdienst, indem Sie einen Server auswählen, auf dem ein Exportverzeichnis gespeichert wird, und eine Anzahl von Servern auswählen, auf denen die Importverzeichnisse gespeichert werden. Die Server, auf denen die Verzeichnisse gespeichert sind, müssen keine Domänencontroller sein, es kann sich um normale Mitgliedsserver handeln. Abbildung 10.5 zeigt den Prozess für den LAN Manager-Replikationsdienst.
Abbildung 10.5 Prozess für den LAN Manager-Replikationsdienst
Prozess für den Dateireplikationsdienst Der Dateireplikationsdienst von Windows 2000 Server wird automatisch konfiguriert, so dass jeder Domänencontroller über einen replizierten Systemdatenträger (SYSVOL) verfügt. Jede Änderung, die Sie an einem in der SYSVOL einer beliebigen Domäne gespeicherten Anmeldeskript vornehmen, wird mittels Multimaster-Replikation an die anderen Domänencontroller repliziert. Im Gegensatz zur LAN Manager-Replikation, bei der normale Mitgliederserver Import- und Exportverzeichnisse speichern können, können mit dem Dateireplikationsdienst nur Domänencontroller SYSVOL speichern. Abbildung 10.6 zeigt den Prozess des Dateireplikationsdienstes.
326
Teil III
Active Directory-Infrastruktur
Abbildung 10.6 Der Prozess für den Dateireplikationsdienst
Beibehalten des LAN Manager-Replikationsdienstes in einer gemischten Umgebung Während der Aktualisierung können Sie eine gemischte Umgebung aus Windows NT-Reservedomänencontrollern und Mitgliedsservern sowie Windows 2000-Domänencontrollern beibehalten. Da Windows 2000 Server den LAN Manager-Replikationsdienst nicht unterstützt, kann das Verbleiben in einer gemischten Umgebung ein Problem darstellen. Um diese Unterstützung zu bieten, müssen Sie eine Brücke zwischen dem LAN Manager-Replikationsdienst und dem Dateireplikationsdienst erstellen, so dass beide Dienste operieren können. Wählen Sie hierfür einen Windows 2000-Domänencontroller aus, um die an das Exportverzeichnis von Windows NT zu replizierenden Dateien zu kopieren. Das Kopieren erfolgt durch ein regelmäßig geplantes Skript namens L-bridge.cmd. Anmerkung Verwechseln Sie den Begriff gemischte Umgebung nicht mit dem Begriff gemischter Modus, der sich auf den PDC und null oder mehr Reservedomänencontroller innerhalb einer Windows 2000-Domäne bezieht. Eine gemischte Umgebung meint eine Windows 2000-Domäne im gemischten oder einheitlichen Modus, die Clients oder Server mit älteren Windows-Versionen enthält.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
327
Einrichten der Brücke zwischen dem LAN Manager-Replikationsdienst und dem Dateireplikationsdienst Bevor Sie die Brücke zwischen dem LAN Manager-Replikationsdienst und dem Dateireplikationsdiensteinrichten, müssen Sie folgendermaßen vorgehen: ? Bestimmen Sie den Windows NT-Exportserver für das in Frage kommende
Verzeichnis. ? Wählen Sie einen Windows 2000-Computer aus, der Dateien zu diesem Verzeichnis übertragen kann. Es wird empfohlen, den LAN Manager-Replikationsdienst manuell im Menü Dienste der Systemsteuerung zu deaktivieren, bevor die Domänencontroller oder Mitgliedsserver aktualisiert werden. Obwohl dies nicht empfohlen wird, können Sie die Verzeichnisreplikation von MMC nach der Aktualisierung deaktivieren. ? Führen Sie folgende Schritte durch, um den Exportserver vor der Aktualisierung zu Windows 2000 zu aktualisieren: 1. Führen Sie SrvMgr.exe auf dem aktuellen Exportserver aus und entfernen Sie das Exportverzeichnis. 2. Fügen Sie von dem neuen Exportserver mittels SrvMgr.exe das Exportverzeichnis der Exportliste hinzu. Eine Batchdatei liefert die Verknüpfung zwischen dem Skriptverzeichnis von Windows NT und dem Windows 2000-Systemdatenträger. Der Vorteil dieser Vorgehensweise liegt darin, dass die beiden Replikationsmechanismen physisch von einander getrennt sind, so dass keine veralteten Dienste auf dem Windows 2000-Domänencontroller eingeführt werden. ? Führen Sie die folgenden Schritte durch, um die Brücke zwischen dem LAN Manager-Replikationsdienst und dem Dateireplikationsdienst einzurichten: 1. Wählen Sie einen Windows 2000-Domänencontroller aus. 2. Erstellen Sie eine Batchdatei mit dem Namen L-bridge.cmd, die die Anmeldeskripte auf den Windows NT-Exportserver kopiert, wie in folgendem Beispiel: xcopy \\domain.com\Sysvol\domain.com\scripts \\Srv3\Export\scripts /s /D
Der Befehlszeilenschalter /D bedeutet, dass mit dem Befehl xcopy nur neuere Dateien kopiert werden. Der Befehlszeilenschalter /s bedeutet, dass der Befehl xcopy das Verzeichnis mit allen Unterverzeichnissen kopiert, die nicht leer sind. 3. Verwenden Sie den Windows 2000-Taskplanerdienst und bestimmen Sie ein vernünftiges Intervall für die Ausführung der Batchdatei. Ein Intervall von etwa zwei Stunden ist völlig ausreichend, da die Option /D die Erstellung unnötiger Dateikopien vermeidet. DieBegleit-CD zu Microsoft Windows 2000 – Die technische Referenz enthält eine Beispielversionvon L-bridge.cmd.
328
Teil III
Active Directory-Infrastruktur
Erhalten der Verfügbarkeit des LAN Manager-Replikationsdienstes während der Aktualisierung Wenn der LAN Manager-Replikationsdienst auch während der Aktualisierung verfügbar sein soll, müssen Sie den Server, auf dem sich das Exportverzeichnis befindet, lediglich erst dann aktualisieren, nachdem alle anderen Server, auf denen sich Importverzeichnisse befinden, bereits aktualisiert wurden. Wenn sich das Exportverzeichnis auf dem PDC befindet, wählen Sie einen neuen Exportserver und konfigurieren den LAN Manager-Replikationsdienst neu. Es wird empfohlen, als neuen Server denjenigen auszuwählen, der voraussichtlich zuletzt auf Windows 2000 aktualisiert wird. Andernfalls müssen Sie möglicherweise erneut einen anderen Exportserver auswählen und den ganzen Vorgang wiederholen, da die Server nach und nach aktualisiert werden.
Verwenden von Routing und RAS in einer gemischten Umgebung Wenn Sie den Routing- und RAS-Dienst (RRAS) in einer Windows NT-Umgebung verwenden, um Ihren Benutzern Remotezugriff auf das Unternehmensnetzwerk zu gewähren, sollten Sie erwägen, die RRAS-Server möglichst früh in den Prozess der Aktualisierung von Mitgliedsservern einzubeziehen. Aufgrund der Art und Weise, wie der RRAS-Prozess in Windows NT arbeitet, ist eine frühe Aktualisierung von Vorteil. Dies gilt vor allem für die Art, wie RRASEigenschaften, wie beispielsweise die Verfügbarkeit von RRAS-Zugriffen oder Rückruffunktionen für Benutzer geprüft werden. RRAS muss auch dann ausgeführt werden, wenn sich kein Benutzer am System angemeldet hat. Der Dienst wird als LocalSystem ausgeführt. Wenn sich ein Dienst als LocalSystem anmeldet, erfolgt die Anmeldung ohne Anmeldeinformationen. Das heißt, der Dienst gibt keinen Benutzernamen oder Kennwort an. Dies bedeutet, dass das Konto nicht für einen Zugriff auf Netzwerkressourcen verwendet werden kann, der auf der NTLM-Authentifizierung basiert, es sei denn, der Remotecomputer erlaubt den Zugriff ohne Anmeldeinformationen (auch als NULLSitzung bezeichnet). RRAS in Windows NT verwendet das LocalSystem-Konto. Standardmäßig akzeptiert Active Directory keine Abfragen von Objektattributen durch NULL-Sitzungen. In einer gemischten Umgebung ist ein Windows NTRRAS-Server daher nicht in der Lage, die RRAS-Eigenschaften von Benutzern abzufragen, wenn nicht folgende Bedingungen erfüllt werden: ? Die Domäne befindet sich im gemischten Modus und der Windows NT-RRAS-
Server ist auch ein Reservedomänencontroller. In diesem Fall hat RRAS lokalen Zugriff auf den SAM. ? Die Domäne befindet sich im gemischten Modus und der Windows NT-RRAS-
Server ist mit einem Windows NT-Reservedomänencontroller verbunden. Das Verhalten ist dann mit dem derzeitigen Windows NT-Verhalten identisch. Das Verhalten basiert auf der Position des sicheren Kanals. ? Die Domäne befindet sich im gemischten oder im einheitlichen Modus und die
Active Directory-Sicherheit wurde gelockert, um die integrierten Berechtigungen für den Benutzer „Jeder“ zu gewähren, so dass alle Eigenschaften aller Benutzerobjekte gelesen werden können. Der Assistent zum Installieren von Active Directory ermöglicht dem Benutzer die Auswahl dieser Konfiguration
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
329
durch eine Option zum Herabsetzen von Berechtigungen für bestimmte Active Directory-Objekte. Verwenden Sie diese Vorgehensweise nur, wenn Sie ihre Auswirkungen auf die Active Directory-Sicherheit genau kennen. Ergeben sich durch diese Methode Konflikte mit Ihren Sicherheitsanforderungen, wird empfohlen, den Windows NTRRAS-Server auf Windows 2000 zu aktualisieren und ihn zu einem Mitgliedsserver einer Windows 2000-Domäne im gemischten oder einheitlichen Modus zu machen. Dies verhindert inkonsistentes Verhalten, solange sich die Domäne im gemischten Modus befindet, wie in der zweiten Bedingung beschrieben.
Planen der Umstrukturierung von Domänen Während die Aktualisierung von Domänen die Erhaltung eines Großteils der aktuellen Umgebung, einschließlich der Domänenstruktur, ermöglicht, können Sie bei einer Umstrukturierung der Domänen die Gesamtstruktur entsprechend den Anforderungen Ihrer Organisation neu entwerfen. Eine Umstrukturierung von Domänen kann unterschiedliche Ergebnisse zur Folge haben, meist wird jedoch die derzeitige Struktur in weniger, größere Domänen umorganisiert. Die systemeigene Funktionalität von Windows 2000 ermöglicht eine Umstrukturierung von Domänen wie folgt: ? Sicherheitsprincipals können von einer Domäne zur anderen verschoben werden, wobei der vor der Verschiebung verfügbare Zugriff auf Ressourcen erhalten bleibt. ? Domänencontroller können von einer Domäne zur anderen verschoben werden, ohne dass das Betriebssystem neu installiert werden muss. Anmerkung Bei der Umstrukturierung von Domänen ist der Einsatz von Windows 2000 Server nicht erforderlich. Die Umstrukturierung kann je nach Anforderungen nach und nach erfolgen. Das Verschieben von Computern in neue Domänen oder die Verifizierung der Zugriffskontrolle kann ein intensiver, zeitaufwendiger Vorgang sein. Zur Unterstützung bei der Domänenmigration hat Microsoft die Dienstprogramme zur Domänenmigration erstellt. Diese Dienstprogramme bestehen aus einer Reihe von Component Object Model- (COM) Objekten und Beispielskripten. Sie wurden als Basis für benutzerdefinierte Administrationsprogramme entwickelt und unterstützen eine Reihe vo n Beispielen zur Domänenmigration, die von Microsoft dokumentiert und getestet wurden. Diese Beispiele basieren auf Rückmeldungen von Kunden bezüglich ihrer Anforderungen an eine Migration. Die Beschreibung des Dienstprogramms ClonePrincipal finden Sie weiter unten in diesem Kapitel.
Bestimmen der Gründe für die Umstrukturierung von Domänen Schwerpunkt dieses Kapitels ist die erstmalige Migration von Windows NT zu Windows 2000. Einige der weiter unten beschriebenen Umstrukturierungsverfahren sind möglicherweise während der Zeit nach der Migration von Nutzen. Sie haben möglicherweise eine Reihe von Gründen für die Umstrukturierung Ihrer Domänen – ein guter Grund wäre die Möglichkeit, den vollen Funktionsumfang von Windows 2000 nutzen zu können. Diese Funktionen helfen Ihnen, Ihre Domä-
330
Teil III
Active Directory-Infrastruktur
nen besser zu nutzen, um die Anforderungen Ihrer Organisation widerzuspiegeln. Die wesentlichen Vorteile bei der Umstrukturierung von Domänen sind: GrößereSkalierbarkeit Möglicherweise haben Sie die vorhandene Windows NTDomänenstruktur gemäß der Größenbeschränkungen der SAM-Kontodatenbank entworfen, und daher ein Domänenmodell mit einem oder mehreren Mastern implementiert. Mit der deutlich verbesserten Skalierbarkeit von Active Directory, das Millionen von Benutzerkonten oder Gruppen bewältigen kann, könnten Sie Ihre derzeitigen Windows NT-Domänen in weniger, größere Windows 2000-Domänen umstrukturieren. DelegierenvonAdministrationsaufgaben In Ihrem aktuellen Modell haben Sie vielleicht Ressourcendomänen implementiert, um das Delegieren administrativer Verantwortlichkeit zu ermöglichen. Die Organisationseinheiten von Windows 2000 enthalten jede Art von Sicherheitsprincipals, und Administrationsaufgaben können je nach Wunsch delegiert werden. In vielen Situationen ist das Konvertieren von Ressourcendomänen in Organisationseinheiten für das Delegieren von Administrationseinheiten besser geeignet. Detailliertere Zuweisung von Administrationsaufgaben Um die detailliertere Zuweisung von administrativer Verantwortlichkeit zu ermöglichen, vielleicht in Folge einer Unternehmensakquisition, kann Ihre Domänenstruktur durch ein komplexes Netz von Vertrauensstellungen verbunden werden. Sie könnten überlegen, einige dieser Domänen als Organisationseinheiten zu implementieren, um die Verwaltung zu vereinfachen, oder Ihr Domänenmodell neu zu entwerfen, um von wenigeren, expliziten Vertrauensstellungen zu profitieren. Beachten Sie, dass die im nächsten Abschnitt beschriebenen Beispiele keine vollständige Aktualisierung erfordern, obwohl vielleicht einige der Umstrukturierungsmethoden voraussetzen, dass Sie bereits einen Reservedomänencontroller in der umzustrukturierenden Domäne aktualisiert haben.
Bestimmen des Zeitpunkts für die Umstrukturierung von Domänen Je nach der Gestalt Ihres Migrationsplans möchten Sie die Domäne vielleicht unmittelbar nach der Aktualisierung umstrukturieren, anstelle einer späteren, zukünftigen Aktualisierung oder allgemeinen Domänenumstrukturierung. Diese Optionen werden im Folgenden beschrieben: Nach der Aktualisierung Die passendste Zeit für eine Domänenumstrukturierung ist nach einer Aktualisierung, als zweite Phase einer Migration zu Windows 2000. Die Aktualisierung hat dann die weniger komplexen Migrationsprobleme gelöst, wie beispielsweise Domänengruppen, in denen die Struktur der Vertrauensstellungen im Kern korrekt ist und in denen es keine administrativen Probleme mehr gibt. Wenn Sie sich für die Umstrukturierung nach der Aktualisierung entscheiden, beinhalten Ihre Ziele wahrscheinlich das Überarbeiten der Domänenstruktur, um die Komplexität zu verringern, oder um Ressourcendomänen mit Administratoren mit geringeren Rechten sicher in eine Gesamtstruktur einzubinden.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
331
Anstelle einer Aktualisierung Sie sind vielleicht der Meinung, dass Ihre aktuelle Domänenstruktur nicht erhalten werden kann (wenn Sie beispielsweise die Infrastruktur Ihrer Verzeichnisdienste neu entwerfen müssen, um die Vorteile von Active Directory nutzen zu können), oder dass Sie es sich nicht leisten können, die Stabilität der aktuellen Produktionsumgebung während der Migration aufs Spiel zu setzen. In beiden Fällen ist der einfachste Migrationspfad der Entwurf und die Erstellungeiner vorläufigen Gesamtstruktur: eine ideale Windows 2000Gesamtstruktur, die von der aktuellen Produktionsumgebung isoliert ist. Dies gewährleistet, dass die Geschäftsvorgänge während des Pilotprojekts normal weiterlaufen können und dass das Pilotprojekt möglicherweise einmal die Produktionsumgebung wird. Nachdem Sie das Pilotprojekt erstellt haben, können Sie mit der Umstrukturierung der Domäne beginnen, indem Sie ein kleine Anzahl von Benutzern, Gruppen und Ressourcen in das Pilotprojekt migrieren. Wenn diese Phase erfolgreich abgeschlossen wurde, überführen Sie dieses Pilotprojekt direkt in eine stufenweise Migration zur neuen Umgebung. Setzen Sie Windows 2000 nach und nach als Produktionsumgebung ein, entfernen Sie die alte Domänenstruktur und richten Sie die verbleibenden Ressourcen neu ein. Nach der Migration In diesem Stadium erfolgt die Umstrukturierung von Domänen als Teil eines allgemeinen Neuentwurfs der Domänen in einer reinen Windows 2000-Umgebung. Dieses Verfahren kann sich über mehrere Jahre hinziehen, wenn die vorhandene Struktur aufgrund von organisatorischen Veränderungen oder einer Unternehmensakquisition nicht mehr geeignet ist.
Untersuchen der Auswirkungen der Umstrukturierung von Domänen Nachdem Sie entschieden haben, warum und wann eine Umstrukturierung der Domänen erforderlich ist, müssen Sie die Auswirkungen einer solchen Umstrukturierung untersuchen. Die nachfolgenden Abschnitte behandeln folgende Themen: ? Verschieben von Sicherheitsprincipals, Benutzern und globalen Gruppen,
Computern und Mitgliedsservern. ? Erstellen von Vertrauensstellungen. ? Duplizieren von Sicherheitsprincipals.
Verschieben von Sicherheitsprincipals Die Fähigkeit zum Verschieben von Sicherheitsprincipals und Domänencontrollern zwischen Domänen in Windows 2000 macht eine Umstrukturierung von Domänen im Grunde erst möglich. Daraus ergeben sich einige wichtige Auswirkungen auf die Art, wie Sicherheitsprincipals im System identifiziert werden und wie der Zugriff auf Ressourcen aufrechterhalten wird. Diese Auswirkungen könnten Ihre bevorzugte Herangehensweise an die Umstrukturierung der Domänen beeinflussen.
332
Teil III
Active Directory-Infrastruktur
Auswirkung auf SIDs SIDs arbeiten domänenbezogen. Dies hat folgende Konsequenzen: Wenn Sicherheitsprincipals, wie beispielsweise Benutzer oder Gruppen zwischen Domänen verschoben werden, muss für sie eine neue SID für das Konto in der neuen Domäne ausgestellt werden. Im Windows NT-Sicherheitsmodell wird der Zugriff auf Ressourcen durch die Art und Weise beinflusst, wie das Betriebssystem das Zugrifftoken des Benutzers betrachtet und die primäre SID des Benutzers – ebenso wie die SIDs jeder Gruppe, der der Benutzer angehört – mit der ACL in der Sicherheitsbeschreibung der Ressource vergleicht. Da die Listen von SIDs in der Zugriffskontrollliste Informationen enthalten, die entscheidend dafür sind, ob einem durch die SID identifizierten Sicherheitsprincipal ein Zugriff gewährt oder verweigert wird, hat das Ändern einer SID weitreichende Folgen. Die Auswirkungen einer SID-Änderung werden in dem folgenden Beispiel und in Abbildung 10.7 veranschaulicht. Bob ist Mitarbeiter von Reskit und hat ein Konto in der Windows NT-Kontendomäne Reskit-Acct. Bob gehört der globalen Gruppe Finance Analysts in derselben Domäne an. Reskit verwendet eine Finanzanwendung unter Windows NT, die in einer Ressourcendomäne Reskit-Res1 auf einer Anzahl von Windows NT-Servern ausgeführt wird. Da die auf dem PDC erstellten lokalen Gruppen von allen Domänencontrollern in der Domäne gemeinsam genutzt werden, sind die Server, auf denen die Anwendung läuft, auch als Reservedomänencontroller eingerichtet. Auf dem PDC wurde eine freigegebene lokale Gruppe Financial Resources erstellt. Sie wird in den Zugriffskontrolllisten der von der Anwendung verwendeten Dateien genutzt. Die globale Gruppe Reskit-Acct\Finance Analysts gehört der Gruppe Reskit-Res1\Financial Resources an.
Abbildung 10.7
Beispiel für einen Ressourcenzugriff
Bob hat darüber hinaus Zugang zu einem Dateiserver Fin_Files1 in der Ressourcendomäne. Fin_Files1 ist ein Windows NT-Server und als Mitglieds-
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
333
server eingerichtet. Fin_Files1 verwendet eine lokale Gruppe, Finance Files, für die Zugriffskontrolllisten von Dateien, die sich auf Reskit-Acct\Finance Analysts beziehen, die wiederum Fin_Files1\Finance Files angehört. Bob arbeitet an einigen geheimen Projekten und besitzt auf Fin_Files1 ein Verzeichnis, das geschützt ist, so dass nur er auf die Dateien in diesem Verzeichnis zugreifen kann. Dieses Verzeichnis hat eine Zugriffskontrollliste mit nur einem Eintrag, der Bob den Vollzugriff auf das Verzeichnis gewährt. Die Auswirkungen verschobener Sicherheitsprincipals werden deutlich, wenn Sie betrachten, was passieren würde, wenn das Konto Reskit-Acct\Bob im Zuge einer Migration – und damit einer Umstrukturierung von Domänen – in eine andere Domäne verschoben werden würde. In diesem Beispiel wurde Reskit-Acct auf Windows 2000 aktualisiert und gehört nun der Windows 2000-Gesamtstruktur als untergeordnete Domäne der Stammdomäne reskit.com an. Die Domäne Reskit-Acct wurde in den einheitlichen Modus versetzt, anschließend jedoch umstrukturiert, und ihre Mitglieder wurden in eine Windows 2000-Domäne mit dem Namen Reskit-Acct2 in einen anderen Teil der Gesamtstruktur verschoben. Anmerkung Dieses Beispiel verdeutlicht, was geschieht, wenn die Windows 2000Funktion „SID-Verlauf“ nicht verfügbar ist. Es ist wichtig, dass Sie wissen, was in einer solchen Situation zu tun ist, wenn sie während Ihrer Umstrukturierung eintritt. Die Definition des SID-Verlaufs finden Sie weiter unten in diesem Kapitel.
Auswirkung auf die Zugehörigkeit zu globalen Gruppen „Reskit-Acct\Bob“ gehört der globalen Gruppe „Reskit-Acct\Finance Analysts“ an. Da eine globale Gruppe nur Mitglieder ihrer eigenen Domäne enthalten kann, würde das Verschieben von Bob in eine neue Domäne bedeuten, dass sein neues Konto von „Reskit-Acct\Finance Analysts“ ausgeschlossen wird. Bob würde also den Zugang zu wichtigen Ressourcen verlieren, die für „Reskit-Acct\Finance Analysts“ verfügbar sind. Angenommen, zwischen der neuen Domäne und der Ressourcendomäne besteht ausreichendes Vertrauen, kann dieses Problem anscheinend auf unterschiedliche Arten gelöst werden.
Hinzufügen der neuen SID zu den Zugriffskontrolllisten der Ressource Der Zugang zu den Ressourcen könnte weiterhin gewährleistet werden, wenn für Bob eine neue SID zu den Zugriffskontrolllisten aller Ressourcen, zu denen er als Mitglied von „Reskit-Acct\Finance Analysts“ Zugang hatte, hinzugefügt wird. Aus folgenden Gründen ist diese Lösung allerdings zeitaufwendig und kompliziert. ? Viele Operationen zur Umstrukturierung von Domänen werden schrittweise
über einen längeren Zeitraum hinweg ausgeführt. Es gibt keine Gewähr dafür, dass während dieser Zeit nicht neue Ressourcen für „Reskit-Acct\Finance Analysts“ erstellt werden. Daher würde sich die Neuerstellung von Berechtigungen über den ganzen Zeitraum der Umstrukturierung hinziehen.
334
Teil III
Active Directory-Infrastruktur ? Wenn Bob eine andere Funktion einnähme und die Zugehörigkeit zu
Reskit-Acct\Finance Analysts gar nicht mehr benötigte, wäre es viel einfacher, Bob aus Reskit-Acct\Finance Analysts zu entfernen, anstatt die Zugriffskontrolllisten aller Ressourcen, die auf ihn verweisen, zu ändern. Es wird empfohlen, die Zugriffskontrolllisten anhand von Gruppen zu erstellen, anstatt von einzelnen Benutzern, da sich Benutzer und ihre spezifischen Funktionen im Lauf der Zeit ändern können.
Verschieben der Gruppe Da in Windows 2000 auch Sicherheitsprincipals verschoben werden können, könnte Reskit-Acct\Finance Analysts in die neue Domäne verschoben werden. Die Zugriffskontrolllisten, die auf die Gruppe verweisen, referenzieren jedoch auch die SID der Gruppe, so dass die Ressourcen für den Verweis auf die neue SID neue Berechtigungen erhalten müssten.
Erstellen einer „parallelen“ Gruppe in der Zieldomäne Beim Verschieben von Reskit-Acct\Finance Analysts in eine andere Domäne kann es Probleme geben, wenn nicht alle Gruppenmitglieder in einer einzigen Transaktion verschoben werden. Dies würde bedeuten, dass die Gruppe in der alten Domäne erhalten bleiben müsste, während eine neue „parallele Gruppe“ in der neuen Domäne erstellt wird. Der Ressourcenzugriff würde für die Originalgruppe und ihre Mitglieder weiterhin gewährleistet. Die Ressourcen müssten allerdings neue Berechtigungen erhalten, um auch der neuen Gruppe den Zugriff zu erlauben. Auch hier müssten weiterhin neue Berechtigungen ausgestellt werden, solange die Gruppen in beiden Domänen vorhanden sind. Dies wäre nur der Fall, wenn der SID-Verlauf nicht verfügbar wäre. Die Beschreibung des SID-Verlaufs finden Sie weiter unten in diesem Kapitel.
Auswirkung auf Zugriffskontrolllisten, die Benutzer direkt referenzieren Reskit-Acct\Bob hat darüber hinaus direkten Zugriff auf einige Ressourcen auf dem Mitgliedsserver Fin_Files, da die betreffende SID in den Zugriffskontrolllisten dieses Servers erscheint. Es ist völlig legitim, Benutzer zu den Zugriffskontrolllisten von Ressourcen hinzuzufügen. Durch das Verschieben von Reskit-Acct\Bob wäre jedoch die Neuerstellung von Berechtigungen auf diesem Server erforderlich. Damit würde die SID der neuen Domäne zu Bobs Konto hinzugefügt werden.
SID-Verlauf Dank einer Windows 2000-Funktion namens SID-Verlauf sind die oben beschriebenen Operationen des Unternehmens Reskit in vielen Punkten unnötig geworden. SID-Verlauf ist ein Attribut von Active Directory-Sicherheitsprincipals und wird verwendet, um die früheren SIDs verschobener Objekte wie Benutzer und Sicherheitsgruppen zu speichern. Wenn ein Benutzer mit Hilfe von Windows 2000-Programmen verschoben wird, wird das Attribut SID-Verlauf des Benutzerobjekts im Active Directory mit der früheren SID aktualisiert. Sobald sich der Benutzer im System anmeldet, lädt das System die Einträge seines SID-Verlaufs und fügt sie dem Zugrifftoken des Benutzers hinzu. Da auch Gruppen verschoben werden können, lädt das System auch den SID-Verlauf jeder Gruppe, der der Benutzer angehört und fügt diesen ebenfalls zu dem Zugrifftoken des Benutzers hinzu.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
335
Die Einträge des SID-Verlaufs im Token erscheinen dem System bei Autorisierungsprüfungen wie ganz normale Gruppenzugehörigkeiten und gewährleisten sogar den Zugang zu älteren Windows-Systemen, die Windows 2000 oder Active Directory nicht kennen. Abbildung 10.8 zeigt, wie der Ressourcenzugriff unter Verwendung des SID-Verlaufs gewährt wird.
Abbildung 10.8
Ressourcenzugriff wird durch SID-Verlauf gewährleistet
Windows NT 3.51 und SID-Verlauf Hinsichtlich der Gruppenzugehörigkeit und der Verwendung von Windows NT 3.51-Systemen in Windows 2000-Domänen gibt es ein Problem. Es betrifft die Art und Weise, wie Windows NT 3.51 die SIDs von Gruppenzugehörigkeiten vom Domänen controller erhält und das Sicherheitszugrifftoken erstellt. Nachdem ein Benutzer authentifiziert wurde, erstellt Windows NT 3.51 das Zugrifftoken nur mit den SIDs, die sich auf die Kontendomäne des Benutzers und die lokalen Gruppen des Servers oder Clients beziehen, auf dem die Authentifizierung stattfindet. Daher können Windows NT 3.51-Systeme universelle Gruppen außerhalb der Kontendomäne oder domäneninterne lokale Gruppen der Ressourcendomäne nicht erkennen. DiejenigenEinträge im SID-Verlauf des Benutzers oder von universellen Gruppen, denen der Benutzer angehört, die zu anderen Domänen als der Kontendomäne gehören, werden nicht in das Token aufgenommen. Dies hat zur Folge, dass die SIDs von Gruppenzugehörigkeiten anderer Domänen als der Kontendomäne des sich anmeldenden Benutzers in Windows NT 3.51 bei der Prüfung der Zugriffskontrolle ignoriert werden. In den meisten Fällen wird der Zugriff verweigert, obwohl eigentlich eine Zugriffsberechtigung besteht.
336
Teil III
Active Directory-Infrastruktur
Verschieben von Benutzern und globalen Gruppen. Wenn ein Benutzer zwischen Domänen verschoben wird, müssen alle globalen Gruppen, denen er angehört, ebenfalls verschoben werden, da eine globale Gruppe nur Mitglieder ihrer eigenen Domäne enthalten kann. Dies ist für die Gewährleistung des Ressourcenzugriffs erforderlich, der durch Zugriffskontrolllisten gesichert wird, die auf globale Gruppen verweisen. Das Verschieben einer globalen Gruppe hat jedoch zur Folge, dass auch ihre Mitglieder verschoben werden müssen. Für eine geschlossene Gruppe von Benutzern und globalen Gruppen gelten folgendeBedingungen: ? Wenn ein Benutzer verschoben wird, müssen auch alle globalen Gruppen,
denen er angehört, verschoben werden. ? Wenn eine Gruppe verschoben wird, müssen auch alle ihre Mitglieder
verschoben werden. Wenn sich die Quelldomäne im einheitlichen Modus befindet, können globale Gruppen ihrerseits wieder globale Gruppen enthalten. Das bedeutet, dass alle Mitglieder aller verschachtelten Gruppen sowie alle globalen Gruppen, deren Mitglieder zur verschachtelten Gruppe gehören, verschoben werden müssen.
Verschieben von Profilen und SID-Verlauf Bei der Ausarbeitung des Plans zur Umstrukturierung von Domänen sollten Sie bedenken, dass migrierte Benutzer neue SIDs erhalten. Dies kann sich auf ihr Benutzerprofil auswirken. Benutzern, die sich nach der Migration an ihren Computern anmelden, könnte der Zugang zu ihrem Anmeldeprofil verweigert werden, da sich ihre primären SIDs geändert haben, während ihre alten Profile immer noch unter ihren alten primären SID gespeichert sind. Dies kann unter folgenden Umständen geschehen: ? Ein Benutzer wurde von einer Windows NT 4.0-Domäne dupliziert. ? Ein Benutzer wurde von einer Windows 2000-Domäne dupliziert. ? Ein Benutzer wurde von einer Windows 2000-Domäne dupliziert, meldet sich
jedoch weiterhin an einer Windows NT 4.0-Arbeitsstation an. Wenn Benutzer nach der Migration den Zugang zu ihren Anmeldeprofilen verlieren, haben sie zwei Möglichkeiten, den Zugang wieder zu erhalten: Kopieren von Profilen oder Freigabe von Profilen. Das Kopieren von Profilen ist die bevorzugte Methode.
Kopieren von Profilen Die erste Möglichkeit ist das Kopieren des ursprünglichen Profils von seiner derzeitigen Position unter dem Schlüssel, der nach der ursprünglichen SID des Benutzers benannt ist, zu einem Schlüssel, der nach der neuen SID des Benutzers benannt ist. Jedes Konto wird mit seiner eigenen separaten Kopie des Profils verknüpft. Aktualisierungen werden im jeweils anderen Profil nicht übernommen. Der Vorteil dieser Methode liegt darin, dass das Verhalten von Windows 2000 vorhersagbarer wird. Da die Profile keine gemeinsamen Daten nutzen, kann ein
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
337
Profil nicht auf ein Konto zugreifen, dessen Daten nur für ein anderes Konto in einer anderen Domäne oder Gesamtstruktur bestimmt sind. Zu den Nachteilen dieser Methode gehört, dass: ? Die Speicherung von zwei Profilen zusätzlich Speicherplatz erfordert. ? Unvorhersagbare Fallbackresultate entstehen können. Testen Sie sorgfältig,
welche Auswirkungen die Installation von Anwendungen hat, die Gruppenrichtlinien verwenden, so dass Sie auf alle Situationen vorbereitet sind.
Freigabe von Profilen Diese Option macht dasselbe Profil sowohl für das ursprüngliche als auch das neue Konto des Benutzers verfügbar. In diesem Fall erfolgen Zugriff und Aktualisierung durch beide Konten auf dasselbe Profil. Diese Methode bietet folgendeVorteile: ? Aktualisierungen des Profils (wie z. B. Änderungen des Ordners Eigene
Dateien, Verknüpfungen usw.), die ein Benutzer von einem Konto aus durchgeführt hat, sind auch nach der Anmeldung am anderen Konto verfügbar. ? Es ist weniger Speicherplatz erforderlich, da das Profil nur einmal gespeichert wird. Die Nachteile dieser Methode sind, dass einige unbekannte Faktoren ihre Anwendung beeinflussen könnten. Wenn Sie beispielsweise ein neues Windows 2000Kontoprofil einrichten, das Verweise auf Gruppenrichtlinien enthält, müssen Sie testen, welche Auswirkungen ein Fallback zu einem Quellkonto hat, dessen Gruppenrichtlinie unterschiedlich ist oder nicht verwendet wurde.
Verschieben von Computern Da der Anwendungsbereich von freigegebenen lokalen Gruppen und domänen internen lokalen Gruppen sich nur auf der Domäne erstreckt, in der sie erstellt wurden, würde das Verschieben einer solchen Gruppe die Auflösung aller Verweise auf die Gruppe in den Zugriffskontrolllisten der Quelldomäne unmöglich machen. Für eine geschlossene Gruppe von Computern und domäneninternen lokalen Gruppen gelten folgende Bedingungen: ? Wenn ein Computer verschoben wird, werden alle freigegebenen oder
domäneninternen lokalen Gruppen, auf die in den Zugriffskontrolllisten der Computerressourcen verwiesen wird, ebenfalls verschoben. ? Wenn eine Gruppe verschoben wird, werden alle Computer in der Domäne, deren Zugriffskontrolllisten auf die Gruppe verweisen, ebenfalls verschoben. Für das Verschieben von globalen Gruppen mit Mitgliedern und geschlossenen Gruppen gelten besonders strenge Einschränkungen. Das Auffüllen und Leeren großer globaler Gruppen kann sehr zeitaufwendig sein. In manchen Fällen ist die kleinstmögliche geschlossene Gruppe die komplette Quelldomäne. Es gibt drei Möglichkeiten, dieses Problem zu lösen: 1. Erstellen paralleler Gruppen in der Zieldomäne für jede Gruppe, die verschoben werden muss. Anschließend Ermitteln aller Ressourcen im Unternehmen, deren Zugriffskontrolllisten auf die ursprüngliche Gruppe verweisen, und Erstellen
338
Teil III
Active Directory-Infrastruktur
neuer Berechtigungen dafür, so dass auch auf die parallele Gruppe verwiesen wird.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
339
Beim Verschieben globaler Gruppen ist diese Methode in folgenden Punkten ein größeres Unterfangen: ? Wenn die Ressourcen aller vertrauten Domänen Verweise auf die Gruppe
enthalten. ? Wenn domäneninterne lokale Gruppen von Quelldomänen imeinheitlichen
Modus beteiligt sind, wobei domäneninterne lokale Gruppen von jedem Computer in der Domäne verwendet werden können. 2. Umschalten der Quelldomäne in den einheitlichen Modus und anschließend Ändern des Gruppentyps in universelle Gruppe. Da sich der Anwendungsbereich universeller Gruppen auf die ganze Gesamtstruktur erstreckt, bedeutet das Ändern der Gruppen in universelle Gruppen, dass sie sicher verschoben werden können, während der Zugriff auf zurückgebliebene Ressourcen gewährleistet bleibt. Wenden Sie diese Methode vorsichtig an, da die Zugehörigkeit zu globalen Gruppen im Globalen Katalog gespeichert wird und daher den Replikationsverkehr des Globalen Katalogs beeinflusst. Aus diesem Grund nutzen Sie dieses Verfahren möglicherweise lediglich als Übergangslösung, während Benutzer und Gruppen in die neue Domäne verschoben werden. Nach Abschluss der Migration können Sie den Gruppen wieder ihren ursprünglichen Typ zuordnen. 3. Duplizieren von Gruppen von der Quelldomäne in die Zieldomäne unter Beibehaltung ihres SID-Verlaufs. Dieses Verfahren unterliegt einigen Einschränkungen, und wird im Abschnitt „Duplizieren von Sicherheitsprincipals“ weiter unten in diesem Kapitel beschrieben.
Verschieben von Mitgliedsservern In diesem Beispiel hat Bob Zugriff auf einige Ressourcen auf dem Mitgliedsserver Fin_Files1. Der Zugriff wird in Zugriffskontrolllisten gewährt, die sowohl auf eine computerinterne Gruppe Fin_Files1\Finance Files als auch direkt auf sein Domänenkonto verweisen. Die Auswirkungen des Verschiebens von Domänencontrollern einschließlich der Notwendigkeit, freigegebene lokale Gruppen und domäneninterne lokale Gruppen beizubehalten, wurden weiter oben in diesem Kapitel beschrieben. Sie unterscheiden sich allerdings von den Auswirkungen, die das Verschieben von Mitgliedsservern wie Fin_Files oder Clients mit sich bringt. Angenommen, der Mitgliedsserver wird in eine Domäne mit einer Vertrauensstellung zur neuen Kontendomäne von Bob verschoben. Der SID-Verlauf gewährleistet dann, dass Bob Zugriff auf die Ressourcen erhält, deren Zugriffskontrolllisten direkt auf ihn verweisen. Die Zugriffskontrolllisten, die auf die computerinterne Gruppe verweisen, funktionieren ebenfalls weiter, da sich die Gruppe in der Kontodatenbank des lokalen Computers befindet. Dies bedeutet, dass die Gruppe von der Verschiebung nicht betroffen ist, und ihre SID nicht geändert werden muss.
340
Teil III
Active Directory-Infrastruktur
Erstellen von Vertrauensstellungen Bei der Aktualisierung von Domänen wird vorausgesetzt, dass die Zieldomäne ausreichende Vertrauensstellungen zu allen relevanten Quelldomänen besitzt, so dass der Ressourcenzugriff erhalten bleibt. Diese Vertrauensstellungen müssen in jedem Umstrukturierungsszenario allerdings erst einmal erstellt werden. Netdom ist ein Tool zur Ausführung von Aufgaben wie der Auflistung von Vertrauensstellungen zwischen Domänen sowie zur Erzeugung neuer Vertrauensstellungen. Darüber hinaus ist es sehr nützlich bei der Erstellung von Computerkonten und der Aktualisierung der Domänenzugehörigkeit von Clients oder Servern.
Duplizieren von Sicherheitsprincipals Bis zu diesem Punkt erfolgte die Umstrukturierung mit Hilfe verschobener Sicherheitsprincipals. Beim Verschieben von Sicherheitsprincipals wird in einer Zieldomäne ein neues, identisches Konto erzeugt, und das alte Konto in der Quelldomänegelöscht. Dieses Verfahren ermöglicht keine Rückkehr zum alten Kontostatus, falls bei der Migration Probleme auftreten. Wenn Sie sicherstellen möchten, dass bei Problemen während des Pilotprojekts oder der Produktionsmigration jederzeit eine Wiederherstellung möglich ist, wird empfohlen, die Benutzer nach und nach in eine Windows 2000-Domäne zu verschieben, während die alten Benutzerkonten in der Quelldomäne beibehalten werden. Das Duplizieren macht diese Methode möglich. Hierbei wird mit dem Dienstprogramm ClonePrincipal ein Duplikat des Benutzers oder der Gruppe erstellt. Dieses Dienstprogramm enthält eine Reihe von Skripts in Microsoft® Visual Basic® (VB), die Aufgaben wie das Duplizieren globaler Gruppen oder von Benutzern durchführen.
Szenarios für die Umstrukturierung von Domänen Die beiden in diesem Abschnitt beschriebenen Szenarios beinhalten die meisten üblichen Anforderungen an die Umstrukturierung von Domänen. Beide Szenarios erleichtern das Verschieben von Benutzern und Computern von Windows NTQuelldomänen in Windows 2000-Zieldomänen. Die Beispiele sind folgende: ? Schrittweises Migrieren von Benutzern zu Windows 2000 (gesamtstrukturweit) ? Migrieren von Ressourcen in eine Windows 2000-Organisationseinheit
(gesamtstrukturweit)
Szenario #1: Schrittweises Migrieren von Benutzern von Windows NT zu Windows 2000 In diesem Szenario werden die Benutzer schrittweise in eine vorhandene Windows 2000-Umgebung migriert, ohne dass dies Auswirkungen auf die Windows NT-Produktionsumgebung hat. Abbildung 10.9 veranschaulicht dieses Beispiel. Die für eine schrittweise Migration erforderlichen Schritte und Dienstprogramme werden in diesem Abschnitt erläutert.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
Abbildung 10.9
341
Schrittweises Migrieren von Benutzern
Anmerkung Wenn Sie die aktuelle Produktionsumgebung vor Änderungen durch die Migration schützen, stellen Sie sicher, dass sie während dieses Vorgangs nicht verändert wird. Dies ermöglicht im Notfall die Rückkehr in die alte Produktionsumgebung. Nach Abschluss der Migration können Sie die alten Kontendomänen entfernen und die Domänencontroller neu zuordnen. Führen Sie anschließend folgende Aufgaben aus: 1. Erstellen Sie die vorläufige Windows 2000-Gesamtstruktur. Verwenden Sie Standardprozeduren für die Erstellung der gewünschten Windows 2000-Zielgesamtstruktur, die den Anforderungen und der bei der Planung des Namespace der Organisation erarbeiteten Struktur gerecht wird. Die Domänen der neuen Gesamtstruktur werden Windows 2000-Domänen im einheitlichen Modus sein. 2. Richten Sie die Vertrauensstellungen ein, die erforderlich sind, um den Ressourcenzugriff für die Gesamtstruktur aufrechtzuerhalten. Hierzu gehört die Verwendung von Netdom, um zu ermitteln, welche Vertrauensstellungen derzeit zwischen den Ressourcendomänen und der Windows NT-Quelldomäne bestehen. Vergleichen Sie anschließend das Ergebnis von Netdom mit der Liste von Vertrauensstellungen, die für die Gewährleistung des Ressourcenzugriffs für die Benutzer und Gruppen in der Zieldomäne erforderlich sind. Erstellen Sie mit Hilfe von Netdom die Vertrauensstellungen, die noch fehlen.
342
Teil III
Active Directory-Infrastruktur
3. Duplizieren Sie alle globalen Gruppen aus der Quelldomäne in die Zieldomäne. Die meisten Ressourcen sind durch Zugriffskontrolllisten geschützt, die auf globale Gruppen verweisen, meist indirekt durch freigegebene oder computerinterne Gruppen. Nach der Errichtung der Vertrauensstellungen ist sicherzustellen, dass die relevanten globalen Gruppen in der Zieldomäne verfügbar sind. Am einfachsten geschieht dies durch die Duplizierung aller globalen Gruppen mitClonePrincipal. 4. Ermitteln und duplizieren Sie Benutzergruppen. Nach der Duplizierung der globale Gruppen in die Zieldomäne können Sie mit der Migration der Benutzer beginnen. Diese Aufgabe wird schrittweise durchgeführt, da in den meisten Fällen zusammengehörige Gruppen von Benutzern verschoben werden. Hier sind zunächst die zusammengehörigen Benutzergruppen zu ermitteln, bevor die Quellbenutzer mit ClonePrincipal in die Zieldomäne dupliziert werden. 5. Entfernen Sie die Quelldomäne. Wenn schließlich alle Benutzer und Gruppen dauerhaft in die Zielgesamtstruktur verschoben wurden, bleibt als letzte Aufgabe die Entfernung der Quelldomäne. Hierzu werden zuerst die Reservedomänencontroller der Quelldomäne ausgeschaltet und entfernt, und anschließend der PDC der Quelldomäne. Es wird empfohlen, den PDC für den Fall einer erforderlichen Wiederherstellung zu speichern. Wenn diese Domänencontroller in der neuen Gesamtstruktur neu zugeordnet werden sollen, können sie zu Windows 2000 aktualisiert und anschließend als Domänencontroller eingesetzt oder als Mitgliedsserver verwendet werden. Vor allem bei der Migration von Benutzern empfiehlt es sich, die Anmeldevorgänge bestimmter Benutzer zu testen. Sollte in einer Phase vor der Entfernung der alten Domäne ein Fehler auftreten, können Sie den Prozess unterbrechen und die Arbeit kann in der Quellproduktionsdomäne fortgesetzt werden.
Szenario #2: Konsolidieren einer Ressourcendomäne in eine Organisationseinheit In diesem Beispiel konsolidieren Sie eine Ressourcendomäne in eine Organisationseinheit innerhalb einer Windows 2000-Domäne im einheitlichen Modus. Dadurch könnten Sie die Kosten für die Verwaltung komplexer Vertrauensstellungen reduzieren.Abbildung 10.10 veranschaulicht dieses Beispiel. Die für eine schrittweise Migration erforderlichen Schritte und grundlegenden Dienstprogramme werden in diesem Abschnitt erläutert.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
343
Abbildung 10.10 Konsolidieren einer Ressourcendomäne in eine Windows 2000Organisationseinheit
In diesem Beispiel werden die Anwendungsserver in der geplanten Organisationseinheit zu Mitgliedsservern. Es wird vorausgesetzt, dass die Anwendungsserver in jeder Domäne freigegebene lokale Gruppen verwenden. Es wird weiterhin vorausgesetzt, dass die Domänen einige Mitgliedsserver und Clients enthalten. Nach Abschluss der Umstrukturierung der Domänen können Sie die alten Domänen löschen. Der Prozess zur Konsolidierung einer Ressourcendomäne in eine Windows 2000-Organisationseinheit geschieht folgendermaßen: 1. Richten Sie die erforderlichen Vertrauensstellungen von der Zieldomäne zu den Kontendomänen außerhalb der Gesamtstruktur ein. Hierzu gehört die Verwendung von Netdom, um zu ermitteln, welche Vertrauensstellungen derzeit zwischen den Ressourcendomänen und den Kontendomänen bestehen. Sie können daraufhin das Ergebnis von Netdom mit den bereits bestehenden Vertrauensstellungen zwischen der Zieldomäne und den Kontendomänen vergleichen. Erstellen Sie mit Hilfe von Netdom die Vertrauensstellungen, die noch fehlen. 2. Duplizieren Sie alle freigegebenen lokalen Gruppen. Der Anwendungsbereich von freigegebenen lokalen Gruppen erstreckt sich nur auf die Domäne, in der sie erstellt wurden. Sie werden nur von den Domänencontrollern dieser Domäne gemeinsam genutzt. Es ist nicht notwendig, sofort alle Domänencontroller in die Zieldomäne zu verschieben. Wenn Sie sicherzustellen möchten, dass der Ressourcenzugriff während der Aufteilung der Domänencontroller und Ressourcen zwischen der Quell- und der Zieldomäne gewahrt bleibt, müssen Sie alle freigegebenen lokalen Gruppen mit ClonePrincipal in die Zieldomäne duplizieren.
344
Teil III
Active Directory-Infrastruktur
3. Setzen Sie die Anwendungsserver auf Mitgliedsserver zurück. Nachdem alle freigegebenen lokalen Gruppen dupliziert wurden, können Sie mit dem Konvertieren der Anwendungsserver zu Mitgliedsservern in der Zielorganisationseinheit beginnen. Aktualisieren Sie den PDC der Ressourcendomäne zu Windows 2000 und betreiben Sie während des Übergangszeitraums die Domäne im gemischten Modus. Sie können dann jeden Reservedomänencontroller aktualisieren, der zurückgesetzt werden soll. Starten Sie während der Aktualisierung des Reservedomänencontrollers den Assistenten zum Installieren von Active Directory und wählen Sie die Option, den Reservedomänencontroller zu einem Mitgliedsserver zu ändern. Falls eine Aktualisierung des PDC nicht möglich oder erwünscht ist, müssen Sie den Reservedomänencontroller bei jeder Aktualisierung offline schalten und ihn zu einem PDC aufwerten. Nachdem Sie den Reservedomänencontroller zu einem PDC aufgewertet haben, können Sie dann zu Windows 2000 aktualisieren. Aus dem offline geschalteten Domänencontroller wird der PDC in einer duplizierten Windows 2000-Domäne im gemischten Modus. Nachdem Sie den PDC offline aktualisiert haben, setzen Sie mit Hilfe des Assistenten zum Installieren von Active Directory den PDC zu einem Mitgliedsserver zurück. Verbinden Sie jetzt die Mitgliedsserver mit der Zieldomäne. 4. Verschieben Sie die Mitgliedsserver (einschließlich der ehemaligen Reservedomänencontroller) und Clients. Während dieses Schritts können Sie mit Netdom für den zu verschiebenden Mitgliedsserver oder Client ein Computerkonto in einer Organisationseinheit der Zieldomäne erstellen. Fügen Sie den Computer zur Zieldomäne hinzu. 5. Entfernen Sie die Quelldomäne. Wenn schließlich alle Computer und Gruppen dauerhaft in die Zielgesamtstruktur verschoben wurden, bleibt als letzte Aufgabe die Entfernung der Quelldomäne. Hierzu werden zuerst die Reservedomänencontroller der Quelldomäne ausgeschaltet und entfernt, und anschließend der PDC der Quelldomäne. Wenn diese Domänencontroller in der neuen Gesamtstruktur neu zugeordnet werden sollen, können sie zu Windows 2000 aktualisiert und anschließend zu Windows 2000-Domänencontrollern aufgewertet oder als Mitgliedsserver belassen werden. Anmerkung Wenn Sie in diesem Szenario die Reservedomänencontroller zu Mitgliedsservern zurücksetzen, müssen Sie sie so schnell wie möglich in die Zieldomäne verschieben. Wenn sich die Domäne nicht im einheitlichenModus befindet und die freigegebenen lokalen Gruppen nicht zu domäneninternen lokalen Gruppen konvertiert wurden, sind die durch diese Gruppen zugänglichen Ressourcen auf den Mitgliedsservern nicht verfügbar.
Tools für die Domänenmigration Dieser Abschnitt enthält allgemeine Informationen zu den Dienstprogrammen zur Domänenmigration und den Tools von Windows 2000 Server – Die technische Referenz, die in diesem Kapitel erwähnt wurden. Eine ausführliche Dokumentation der Funktionen und Verwendung können Sie in den Quellen finden, die in den entsprechenden Abschnitten angegeben wurden.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
345
ClonePrincipal ClonePrincipal ist ein Dienstprogramm, das aus dem folgenden COM-Objekt und Beispielskripten besteht. Sie können diese Skripte mit Visual Basic anpassen. ? DSUtils.ClonePrincipal, ein COM-Objekt, das drei Methoden unterstützt: ? AddSidHistory – kopiert die SID eines Quellprincipals in den SID-Verlauf
eines bestehenden Zielprincipals. ? CopyDownlevelUserProperties – kopiert die Windows NT-Eigenschaften des Quellprincipals in den Zielprincipal. ? Connect – richtet authentifizierte Verbindungen zu den Quell- und
Zieldomänencontrollernein. ClonePrincipal ermöglicht es Ihnen, Benutzer schrittweise in eine vorhandene Windows 2000-Umgebung zu migrieren, ohne dass dies Auswirkungen auf die Windows NT-Produktionsumgebung hat. Dies geschieht durch das Duplizieren von Windows NT-Benutzern und -Gruppen in die Windows 2000-Umgebung. Die Verwendung von ClonePrincipal in dieser Weise bietet folgende Vorteile: ? Die Benutzer können sich an dem Zielkonto (Duplikat) anmelden und haben
? ? ?
?
dennoch die Möglichkeit zu einem Fallback zum Quellkonto, falls während des Testzeitraums ein Notfall eintritt. Es können mehrere Benutzer gleichzeitig in die Zielumgebung von Windows 2000 eingeführt werden. Die Quellproduktionsumgebung wird während der Migration der Benutzer zur Windows 2000-Zielumgebung nicht unterbrochen. Es ist nicht erforderlich, die Zugriffskontrolllisten zu aktualisieren, um für die Zielkonten die Gruppenmitgliedschaften und Netzwerkzugriffe zu gewährleisten. Mehrere Gruppen mit demselben Namen oder derselben Bestimmung aus unterschiedlichen Quelldomänen können in dasselbe Zielobjekt „verschmolzen“ werden.
Zusätzlich können Sie eine große Anzahl kleiner Ressourcendomänen zu Windows 2000-Organisationseinheiten konsolidieren, indem Sie mit Hilfe von ClonePrincipallokale Gruppen duplizieren. Beachten Sie, dass die Methode AddSidHistory eine sicherheitskritische Operation mit folgenden Einschränkungen ist: ? AddSidHistory erfordert, dass Sie über die Anmeldeinformationen von
Domänenadministratoren in den Quell- und Zieldomänen verfügen oder sie bereitstellen. Die Quell- und Zieldomäne muss sich NICHT in derselben Gesamtstruktur befinden. Obwohl zwischen den Quell- und Zieldomänen eine externe Vertrauensstellung bestehen kann, ist eine solche Vertrauensstellung für diese Funktion nicht erforderlich. ? AddSidHistory-Ereignisse können überwacht werden. Dies stellt sicher, dass beide Domänenadministratoren der Quell- und Zieldomäne erkennen können, wenn die Funktion ausgeführt wurde. Die Überwachung in der Quelldomäne wird empfohlen, ist jedoch nicht erforderlich, die Überwachung in der Zieldomäne MUSS dagegen aktiviert sein, damit AddSidHistory erfolgreich durchgeführt werden kann.
346
Teil III
Active Directory-Infrastruktur ? Beispielskripte von ClonePrincipal rufen die zugrundeliegende Methode
AddSidHistory auf, daher sind die anderen Dienstprogramme von ClonePrincipal denselben Sicherheitsüberlegungen und Einschränkungen unterworfen wie AddSidHistory.
Netdom Netdom ist ein Tool, mit dem Sie Windows 2000-Domänen und -Vertrauensstellungen über die Befehlszeile verwalten können. Netdom unterstützt Sie bei der Ausführung folgender Aufgaben: ? Verbinden eines Windows 2000-Computers mit einer Windows NT- oder
Windows 2000-Domäne und: ? Bieten einer Option zur Spezifizierung einer Organisationseinheit für das Computerkonto. ? Erstellen eines zufälliges Computerkennworts für die erste Verbindung. ? Verwalten von Computerkonten für Mitgliederclients und Mitgliedsserver von Domänen: ? Hinzufügen, Entfernen und Abfragen. ? Bieten einer Option zur Spezifizierung einer Organisationseinheit für das Computerkonto. Bieten einer Option, ein bestehendes Computerkonto von einem Mitgliedsclient einer Domäne zu einem anderen zu verschieben und dabei die Sicherheitsbeschreibung auf dem Computerkonto beizubehalten. ? Einrichten von (uni- oder bidirektionalen) Vertrauensstellungen zwischen Domänen folgenden Typs: ? Windows NT-Domänen. ? Über- und untergeordneten Windows 2000-Domänen in einer
Domänenstruktur. ? Dem Windows 2000-Teil einer Vertrauensstellung zu einem KerberosBereich. ? Überprüfen und Zurücksetzen des sicheren Kanals für folgende Konfigurationen: ? Mitgliedsclientsund -server. ? Reservedomänencontroller in einer Windows NT-Domäne. ? Bestimmte Windows 2000- Replikate. ? Verwalten von Vertrauensstellungen zwischen Domänen ? Anzeigen aller Vertrauensstellungen. ? Auflisten aller direkten Vertrauensstellungen. ? Auflisten aller (direkten und indirekten) Vertrauensstellungen.
Kapitel 10 Bestimmen der Strategien für die Domänenmigration
347
Planungstaskliste für die Migration Tabelle 10.7 bietet eine Übersicht über die bei der Planung einer Migration anfallenden Aufgaben. Tabelle 10.7
Zusammenfassung der Aufgaben bei der Migrationsplanung
Task
Abschnitt
Bestimmen des Migrationswegweisers.
Beginn des Migrationsplanungsprozesses
Bestimmen der unterstützten Aktualisierungspfade. Überprüfen der vorhandenen Domänenstruktur. Entwickeln eines Wiederherstellungsplans. Bestimmen der Strategie für die Aktualisierung von Domänencontrollern.
Planen der Aktualisierung von Domänen
Bestimmen der Reihenfolge für die Aktualisierung von Domänen.
Planen der Aktualisierung von Domänen
Bestimmen des Zeitpunkts für den Wechsel in den einheitlichen Modus. Bestimmen der Gründe für die Umstrukturierung der Domänen. Bestimmen des Zeitpunkts für die Umstrukturierung der Domänen.
Planen der Aktualisierung von Domänen
Verschieben von Benutzern und Gruppen.
Planen der Umstrukturierung von Domänen
Verschieben von Computern.
Planen der Umstrukturierung von Domänen
Verschieben von Mitgliedsservern.
Planen der Umstrukturierung von Domänen
Einrichten von Vertrauensstellungen. Duplizieren von Sicherheitsprincipals. Wechsel in den einheitlichen Modus.
Planen der Umstrukturierung von Domänen Planen der Umstrukturierung von Domänen Planen der Aktualisierung von Domänen
Planen der Aktualisierung von Domänen Planen der Aktualisierung von Domänen Planen der Aktualisierung von Domänen
Planen der Umstrukturierung von Domänen Planen der Umstrukturierung von Domänen
Planen der Umstrukturierung von Domänen
348
Teil III
Active Directory-Infrastruktur
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
347
K A P I T E L
1 1
Planen der verteilten Sicherheit
Ein Sicherheitsplan ist eine wesentliche Komponente Ihres Einrichtungsplans für Microsoft ® Windows® 2000. An dieser Aufgabe sind die Vertreter zahlreicher Einrichtungsteams beteiligt. Dieses Kapitel zeigt Ihnen eine Strategie für das Planen verteilter Sicherheit in Ihrem Windows 2000-Netzwerk. Es beschreibt die primären Objekte eines Plans für verteilte Sicherheit und führt Sie in die Sicherheitsfunktionen von Windows 2000 ein. Dieses Kapitel stellt die wichtigen Faktoren in den Mittelpunkt, die zu berücksichtigen sind, um die Microsoft Windows 2000-Sicherheit effektiv zu verwenden. Verteilte Computersicherheit ist jedoch ein relativ komplexes Thema, mit dem Sie sich intensiver beschäftigen müssen. Inhalt dieses Kapitels Entwickeln eines Netzwerksicherheitsplans 348 Authentifizieren des Zugriffs von allen Benutzern 355 Anwenden der Zugriffskontrolle 362 Einrichten von Vertrauensstellungen 370 Aktivieren des Datenschutzes 373 Festlegen einheitlicher Sicherheitsrichtlinien 379 Einsetzen sicherer Anwendungen 388 Verwalten der Administration 393 Planungstaskliste zur verteilten Sicherheit 397 Zielsetzungen Dieses Kapitel unterstützt Sie bei der Erstellung folgender Planungsdokumente: ? Analyse des Sicherheitsrisikos ? Sicherheitsstrategien ? Beschreibungen der Sicherheitsgruppen und zugehörigen Richtlinien ? Strategien für die Netzwerkanmeldung und Authentifizierung ? Strategien zur Informationssicherheit ? Verwaltungsrichtlinien
WeiterführendeInformationen inder technischen Referenz ? Weitere Informationen zur verteilten Sicherheit finden Sie im Band Microsoft® Windows® 2000 Server – Die technische Referenz: Verteilte Systeme.
348
Teil III
Active Directory-Infrastruktur ? Zusätzliche Informationen zu Sicherheitsgruppen finden Sie unter „Entwerfen
der Active Directory-Struktur“ in diesem Buch. ? Weitere Informationen zur Infrastruktur von öffentlichen Schlüsseln finden Sie unter „Planen der Infrastruktur für öffentliche Schlüssel“ in diesem Buch.
Entwickeln eines Netzwerksicherheitsplans Zur verteilten Sicherheit gehört die Koordination zahlreicher Sicherheitsfunktionen in einem Computernetzwerk, um eine allgemein gültige Sicherheitsrichtlinie zu implementieren. Die verteilte Sicherheit ermöglicht es Benutzern, sich bei den jeweiligen Computersystemen anzumelden, die gewünschte Information zu finden und sie zu verwenden. Der Großteil der Informationen in Computernetzwerken steht allen Benutzern für Lesezugriffe zur Verfügung, kann jedoch nur von einer kleinen Personengruppe aktualisiert werden. Wenn es sich um sicherheitskritische oder private Informationen handelt, ist es nur autorisierten Personen oder Gruppen erlaubt, die Dateien zu lesen. Auch der Schutz und die Sicherheit von Informationen, die über öffentliche Telefonnetze, das Internet und selbst Segmente von internen Unternehmensnetzwerken übertragen werden, sind zu berücksichtigen. Die Sicherheitstechnologien gehören zu den fortgeschrittensten Technologien, und die Sicherheit selbst verbindet diese Technologien mit geschäftlichen und sozialen Aspekten. Jede Technologie, so fortgeschritten und gut implementiert sie auch sein mag, ist immer nur so gut wie die Methoden, die bei ihrer Einrichtung und Verwaltung angewendet werden. Das Sicherheitseinrichtungsteam entwickelt den Netzwerksicherheitsplan. Der Plan zur Einrichtung der Netzwerksicherheit beschreibt die Verwendung der Funktionen für verteilte Sicherheit von Windows 2000 bei der Einrichtung der verteilten Sicherheit und von Lösungen zur Informationssicherheit. Ein typischer Sicherheitsplan enthält beispielsweisedie in Tabelle 11.1 gezeigten Abschnitte. Tabelle 11.1 Abschnitte eines Sicherheitsplans Abschnitte
Beschreibung
Sicherheitsrisiken
Listet die Arten von Sicherheitsrisiken in Ihrem Unternehmen auf. Beschreibt die allgemeinen, erforderlichen Sicherheitsstrategien gegen diese Risiken. Enthält die Pläne für den Einsatz von Zertifizierungsautoritäten für interne und externe Sicherheitsfunktionen.
Sicherheitsstrategien Richtlinien für die Infrastruktur von öffentlichen Schlüsseln Beschreibungen von Sicherheitsgruppen Gruppenrichtlinie
Strategien zur Netzwerkanmeldung und Authentifizierung
Enthält Beschreibungen von Sicherheitsgruppen und den Beziehungen zwischen diesen Gruppen. Dieser Abschnitt verbindet Gruppenrichtlinien mit Sicherheitsgruppen. Beschreibt die Konfiguration von Sicherheitseinstellungen der Gruppenrichtlinie, wie beispielsweise Kennwortrichtlinien für Netzwerke. Enthält Authentifizierungsstrategien für die Anmeldung im Netzwerk und die Verwendung von Remotezugriff und Smartcard bei der Anmeldung.
Kapitel 11 Planen der verteilten Sicherheit
349
(Fortsetzung) Abschnitte
Beschreibung
Strategien zur Informationssicherheit
Beschreibt die Implementierung von Lösungen zur Informationssicherheit, wie sichere E-Mail und sichere Kommunikation im Web. Enthält Richtlinien für das Delegieren von Administrationsaufgaben und das Überprüfen von Überwachungsprotokollen zur Erkennung verdächtiger Aktivitäten.
Verwaltungsrichtlinien
Ihr Plan zur Einrichtung der Netzwerksicherheit kann natürlich mehr Abschnitte enthalten als angeführt. Diese sollten jedoch mindestens darin enthalten sein. Darüber hinaus benötigt Ihre Organisation möglicherweise mehrere Sicherheitspläne. Wie viele Pläne erforderlich sind, hängt vom Anwendungsbereich der Einrichtung ab. Eine internationale Organisation benötigt möglicherweise separate Pläne für alle größeren Niederlassungen oder Standorte, während für eine regional tätige Organisation nur ein Plan erforderlich ist. Organisationen mit besonderen Richtlinien für unterschiedliche Benutzergruppen benötigen möglicherweise einen Netzwerksicherheitsplan für jede Gruppe. Testen und revidieren Sie Ihre Netzwerksicherheitspläne mit Hilfe von Testlabors, die die Computerumgebung Ihrer Organisation repräsentieren. Führen Sie auch Pilotprogramme durch, um Ihre Netzwerksicherheitspläne noch weiter zu testen und zu verbessern.
Sicherheitsrisiken Bevor die Sicherheitsfunktionen von Windows 2000 behandelt werden, folgt hier eine Übersicht über die möglichen Netzwerksicherheitsprobleme, mit denen sich IT-Manager konfrontiert sehen. Tabelle 11.2 beschreibt verschiedene Arten von Sicherheitsrisiken und bietet eine gemeinsame Basis für die anschließende Erörterung von Sicherheitsfunktionen, -strategien und -technologien. Eine ähnliche Liste in Ihrem Sicherheitsplan zeigt die Komplexität der anstehenden Sicherheitsprobleme auf und unterstützt Sie bei der Erstellung einer Gruppe von Standardbezeichnungen für jede Risikokategorie. Tabelle 11.2 Arten von Sicherheitsrisiken in einer Organisation Sicherheitsrisiko
Beschreibung
Abfangen von Benutzeridentitäten
Der Eindringling entdeckt den Benutzernamen und das Kennwort eines gültigen Benutzers. Dies kann mit Hilfe unterschiedlicher Methoden geschehen, sozial oder technisch.
Maskierung
Ein nicht autorisierter Benutzer gibt vor, ein gültiger Benutzer zu sein. Ein Benutzer nimmt z. B. die IP-Adresse eines vertrauenswürdigen Systems an und verschafft sich mit ihrer Hilfe die Zugriffsrechte des benutzten Geräts oder Systems. Der Eindringling zeichnet die Netzwerkkommunikation zwischen einem Benutzer und einem Server auf und spielt sie zu einem späteren Zeitpunkt ab, um sich für den Benutzer auszugeben. Wenn Daten als Klartext über das Netzwerk ausgetauscht
Replay-Angriff (Wiedergabe aufgezeichneter Informationen) Abfangen von Daten
350
Teil III
Active Directory-Infrastruktur werden, können unbefugte Personen die Daten überwachen und aufzeichnen. (Fortsetzung) Sicherheitsrisiko
Beschreibung
Manipulation
Der Eindringling verursacht die Änderung oder Beschädigung von Netzwerkdaten. Unverschlüsselte Finanztransaktionen über das Netzwerk sind anfällig für Manipulationen. Auch Viren können Netzwerkdaten zerstören. Netzwerkbasierte geschäftliche und finanzielle Transaktionen sind gefährdet, wenn der Empfänger der Transaktion nicht mit Sicherheit weiß, wer die Nachricht gesendet hat. Anwendungsspezifische Viren können die Makrosprache intelligenter Dokumente und Tabellen missbrauchen.
Zurückweisung
Makroviren Blockieren des Betriebs
Böswilligermobiler Softwarecode
Missbrauch von Privilegien Trojanisches Pferd Übergriffe aus dem sozialen Umfeld
Der Eindringling überschwemmt einen Server mit Anfragen, die Systemressourcen verbrauchen und entweder zu einem Zusammenbruch des Servers führen oder den normalen Betrieb erheblich behindern. Ein Zusammenbruch des Servers bietet manchmal die Gelegenheit, in das System einzudringen. Dieser Begriff bezeichnet böswilligen Softwarecode, der als selbstausführendes ActiveX®-Steuerelement oder JavaApplet aus dem Internet oder von einem Webserver heruntergeladen wird. Ein Administrator eines Computersystems benutzt wissentlich oder unwissentlich seine Privilegien für das Betriebssystem, um auf private Daten zuzugreifen. Dies ist der Oberbegriff für böswillige Programme, die sich als nützliches und harmloses Dienstprogramm ausgeben. Manchmal gelangt ein Eindringling in ein Netzwerk, indem er einfach bei neuen Mitarbeitern anruft, sich als Mitarbeiter der IT-Abteilung ausgibt und sie bittet, für seine Unterlagen ihr Kennwort zu verifizieren.
Sicherheitskonzepte Die folgenden Konzepte helfen Ihnen bei der Beschreibung von verteilten Sicherheitsstrategien unter Windows 2000. Möglicherweise nehmen Sie sie auch in Ihren Sicherheitsplan auf, um die Leser mit der verteilten Sicherheit vertraut zu machen.
Sicherheitsmodell Die Windows 2000-Sicherheit basiert auf einem einfachen Modell von Authentifizierung und Autorisierung, das den Verzeichnisdienst Microsoft® Active Directory™ verwendet. Die Authentifizierung identifiziert den Benutzer bei der Anmeldung und beim Verbindungsaufbau zu Netzwerkdiensten. Einmal identifiziert, ist der Benutzer durch Berechtigungen für den Zugriff zu einer bestimmten Gruppe von Netzwerkressourcen autorisiert. Die Autorisierung findet durch die Zugriffskontrolle mit Hilfe der Zugriffskontrolllisten (ACLs) statt, die Berechti-
Kapitel 11 Planen der verteilten Sicherheit
gungen für Dateisysteme, Datei- und Druckfreigaben im Netzwerk sowie für Einträge im Active Directory definieren.
351
352
Teil III
Active Directory-Infrastruktur
Domänenmodell Eine Domäne besteht in Windows 2000 aus einer Sammlung von Netzwerkobjekten, wie Benutzerkonten, Gruppen und Computern, die unter Berücksichtigung der Sicherheit eine gemeinsame Verzeichnisdatenbank verwenden. Eine Domäne identifiziert eine Sicherheitsautorität und bildet mit konsistenten internen Richtlinien und expliziten Sicherheitsbeziehungen zu anderen Domänen eine Sicherheitsumgrenzung.
Verwalten von Vertrauensstellungen Eine Vertrauensstellung ist eine logische Beziehung zwischen Domänen, die eingerichtet wurde, um eine Pass-Through-Authentifizierung zu ermöglichen, in der eine vertrauende Domäne die Anmeldeüberprüfungen einer vertrauenswürdigen Domäne akzeptiert. Der Begriff „transitive Vertrauensstellung“ bezieht sich auf eine Authentifizierung über eine Kette von Vertrauensstellungen hinweg. In Windows 2000 unterstützen Vertrauensstellungen die domänenübergreifende Authentifizierung durch die Verwendung des Kerberos v5-Protokolls und der NTLM-Authentifizierung für Abwärtskompatibilität.
Sicherheitsrichtlinie Die Einstellungen der Sicherheitsrichtlinie definieren das Sicherheitsverhalten des Systems. Durch die Verwendung von Gruppenrichtlinienobjekten in Active Directory können Administratoren auf verschiedene Computerklassen im Unternehmen explizite Sicherheitsprofile anwenden. Windows 2000 enthält zum BeispieleinStandard-Gruppenrichtlinienobjekt, das als Standardrichtlinie für Domänencontroller das Sicherheitsverhalten der Domänencontroller bestimmt.
Sicherheitskonfiguration und -analyse Die Windows 2000-Funktion „Sicherheitskonfiguration und -analyse“ bietet die Möglichkeit, die Sicherheitseinstellungen eines Computers mit einer Standardvorlage zu vergleichen, die Ergebnisse anzusehen und die durch die Analyse ermittelten Diskrepanzen zu beheben. Sie können auch eine Sicherheitsvorlage in ein Gruppenrichtlinienobjekt importieren und dieses Sicherheitsprofil auf viele Computer zugleich anwenden. Windows 2000 enthält verschiedene vordefinierte Sicherheitsvorlagen, die verschiedenen Sicherheitsebenen und unterschiedlichen Typen von Clients und Servern im Netzwerk entsprechen.
Verschlüsselung mit symmetrischen Schlüsseln Auch Verschlüsselung mit geheimen Schlüsseln genannt. Diese Verschlüsselungsart verwendet für die Ver- und Entschlüsselung von Daten denselben Schlüssel. Sie verarbeitet die Daten sehr schnell und wird in zahlreichen Datenverschlüsselungen für Netzwerke und Dateisysteme eingesetzt.
Verschlüsselung mit öffentlichen Schlüsseln Die Verschlüsselung mit öffentlichen Schlüsseln verwendet zwei Schlüssel, einen öffentlichen und einen privaten. Jeder Schlüssel kann Daten so verschlüsseln, dass sie nur vom anderen Schlüssel erneut zu entschlüsseln sind. Diese Technologie bietet Raum für zahlreiche Sicherheitsstrategien und ist die Basis für verschiedene Windows 2000-Sicherheitsfunktionen. Diese Funktionen basieren auf einer Infrastruktur für öffentliche Schlüssel (PKI). Weitere Informationen zur Infrastruktur von öffentlichen Schlüsseln finden Sie unter „Planen der Infrastruktur für öffentliche Schlüssel“ in diesem Buch.
Kapitel 11 Planen der verteilten Sicherheit
353
Authentifizierung Die Authentifizierung bestätigt die Identität von Benutzern, die sich an einer Domäne anmelden oder auf Netzwerkressourcen zugreifen möchten. Die Windows 2000-Authentifizierung ermöglicht die einmalige Anmeldung bei allen Netzwerkressourcen. Mit dieser Anmeldung kann sich ein Benutzer unter Verwendung eines einzigen Kennworts oder einer Smartcard einmalig an einem Clientcomputer anmelden und sich für jeden Computer in der Domäne authentifizieren. Die Authentifizierung in Windows 2000 wird unter Verwendung des Kerberos v5Protokolls, der NTLM-Authentifizierung oder der Anmeldefunktion von Windows NT für Windows NT 4.0-Domänenimplementiert.
Einmaliges Anmelden Benutzer finden es umständlich, sich bei unterschiedlichen Netzwerkservern und Anwendungen jedes Mal neu zu authentifizieren. Möglicherweise benötigt ein Benutzer verschiedene Kennwörter für die Anmeldung am lokalen Computer, an einem Datei- oder Druckserver, für das Senden von E-Mails, für den Zugriff auf Datenbanken usw. Verschiedene Server fordern möglicherweise auch die regelmäßige Änderung des Kennworts, wobei das alte häufig nicht wieder verwendet werden darf, so dass sich ein Benutzer möglicherweise ein Dutzend Kennwörter merken muss. Häufig ist nicht nur die Authentifizierung ein lästiges Übel, manche Benutzer beginnen mit der Zeit auch, häufig benutzte Kennwörter in einer Liste schriftlich festzuhalten. Auf diese Weise kann ein Netzwerk mit unterschiedlichen Authentifizierungen für das Abfangen von Benutzeridentitäten anfällig werden. Die Strategie der einmaligen Anmeldung ermöglicht es dem Benutzer, sich nur einmal interaktiv zu authentifizieren, und erlaubt ihm anschließend die authentifizierte Anmeldung bei anderen Netzwerkanwendungen und Geräten. Diese aufeinanderfolgenden Authentifizierungen sind für den Benutzer transparent.
Doppelte Authentifizierung Die doppelte Authentifizierung verlangt vom Benutzer sowohl ein physisches Objekt zur Verschlüsselung der Identität als auch ein Kennwort. Das gebräuchlichste Beispielfür eine doppelte Authentifizierung ist die ATM-Karte (Automated Teller Machine), die eine persönliche Identifikationsnummer (PIN) erfordert. Eine weitere Methode der doppelten Authentifizierung ist die biometrische Identifizierung. Anstelle einer Zugangskarte wird mit einem Spezialgerät der Handabdruck, Fingerabdruck, die Iris, Netzhaut oder die Stimme des Benutzers erfasst. Anschließend gibt der Benutzer das Äquivalent zu einem Kennwort ein. Dieses Verfahren ist aufwendig, erschwert jedoch das Abfangen von Benutzeridentitäten und die Maskierung beträchtlich. Die aufkommende Technologie für kommerzielle Unternehmen ist die Smartcard. Diese Karte ist nicht viel größer als eine ATM-Karte und wird vom Benutzer mit sich getragen. Sie enthält einen Chip, auf dem ein digitales Zertifikat und der private Schlüssel des Benutzers gespeichert sind. Der Benutzer gibt ein Kennwort oder eine PIN ein, nachdem er die Karte in ein Kartenlesegerät am Clientcomputer gesteckt hat. Da der private Schlüssel vom Benutzer mit sich geführt wird, ist es für einen Netzwerkeindringling schwierig, ihn zu entwenden. Windows 2000 unterstützt direkt die Smartcard-Authentifizierung.
354
Teil III
Active Directory-Infrastruktur
Zugriffskontrolle Die Zugriffskontrolle ist das Modell für die Implementierung der Autorisierung. Nachdem sich ein Benutzer bei einer Domäne authentifiziert hat und versucht, auf eine Ressource (wie beispielsweise eine Netzwerkdatei) zuzugreifen, bestimmen die Berechtigungen, die mit der Ressource verbunden sind, welche Zugriffsoperationen erlaubt werden (z. B. schreibgeschützt oder Lesen/Schreiben). Die Zugriffskontrolle in Windows 2000 wird mit Hilfe objektspezifischer Zugriffskontrolllisten implementiert. Die Zugriffskontrollliste kann auf der Registerkarte Sicherheit im Eigenschaftenfenster einer Datei oder eines Ordners angezeigt werden. Die Liste enthält die Namen von Benutzergruppen, die Zugang zu dem Objekt haben.
Datenintegrität Das Sicherstellen der Datenintegrität bedeutet den Schutz der Daten vor böswilligen oder zufälligen Änderungen. Bei gespeicherten Daten heißt das, dass nur autorisierte Benutzer die Daten bearbeiten, überschreiben oder löschen können. In einem Netzwerk muss ein Datenpaket daher eine digitale Signatur erhalten, so dass eine Manipulation des Pakets vom empfangenden Computer erkannt wird.
Vertraulichkeit von Daten Die Gewährleistung der Vertraulichkeit von Daten bedeutet die Verschlüsselung der Daten vor der Übertragung durch das Netzwerk sowie ihre anschließende Entschlüsselung. Diese Strategie verhindert, dass die Daten von jemandem gelesen werden, der das Netzwerk abhört (Abfangen von Daten). Ein Paket unverschlüsselter Daten, das über ein Netzwerk gesendet wird, kann leicht von jedem Computer im Netzwerk gelesen werden. Der Computer benötigt hierzu lediglich ein Paketerkennungsprogramm, das aus dem Internet heruntergeladen werden kann.
Zulassung Die Strategie der Zulassung besteht aus zwei Teilen. Im ersten Teil wird festgestellt, ob die Nachricht von einem bestimmten Benutzer gesendet wurde, der dies nicht abstreiten kann. Im zweiten Teil wird sichergestellt, dass die Nachricht nicht von jemandem stammt, der sich lediglich als der betreffende Benutzer ausgegeben hat. Dies ist eine weitere Anwendung für die Infrastruktur für öffentliche Schlüssel. Der private Schlüssel des Benutzers wird eingesetzt, um in der Nachricht eine digitale Signatur anzubringen. Wenn der Empfänger die Nachricht mit Hilfe des öffentlichen Schlüssels des Absenders lesen kann, kann die Nachricht nur von diesem spezifischen Benutzer und niemandem sonst gesendet worden sein.
Authentifizierung von Softwarecode Diese Strategie erfordert es, dass Softwarecode, der aus dem Internet heruntergeladen wurde, die Signatur eines vertrauenswürdigen Softwareherstellers trägt. Sie können Webbrowser so konfigurieren, dass die Ausführung von unsigniertem Softwarecode verhindert wird. Das Signieren von Software beweist, dass der Softwarecode authentisch ist, das heißt, dass er nach der Veröffentlichung nicht manipuliert wurde. Es garantiert jedoch nicht, dass das Ausführen dieses Softwarecodes vollkommen sicher ist. Sie müssen entscheiden, welche Software-
Kapitel 11 Planen der verteilten Sicherheit
355
hersteller vertrauenswürdig sind. (Die digitale Signatur in der ausführbaren Datei ist ein weiteres Beispiel für die Infrastruktur für öffentliche Schlüssel.)
Überwachungsprotokolle Das Überwachen der Verwaltung von Benutzerkonten und der Zugriffe auf wichtige Netzwerkressourcen ist eine wichtige Sicherheitsrichtlinie. Die Überwachung ermöglicht das Aufzeichnen von Netzwerkoperationen. So kann nachverfolgt werden, wer welche Zugriffsversuche unternommen hat. Dies ermöglicht nicht nur die Erkennung von Eindringungsversuchen. Die Protokolle können als Beweismaterial herangezogen werden, wenn ein Eindringling ermittelt und gerichtlich verfolgt wird. Das Auffinden und Löschen oder Ändern der Überwachungsprotokollekostet den intelligenten Eindringling schließlich zusätzlich Zeit und erleichtert damit die Erkennung und das Eingreifen.
Physische Sicherheit Es versteht sich von selbst, dass ein Netzwerk mit unternehmenskritischen Netzwerkdiensten in verschlossenen Räumen untergebracht werden muss. Wenn Eindringlinge an die Netzwerkserverkonsole gelangen, können sie die Kontrolle über den Netzwerkserver erlangen. Wenn sich kritische Netzwerkserver nicht an physisch gesicherten Standorten befinden, könnte ein ärgerlicher Mitarbeiter die Hardware mit einem einfachen, altmodischen Werkzeug, wie etwa einem Hammer, beschädigen. Auch die Daten sind physischen Angriffen ausgesetzt: jeder Anfänger weiss, wo sich die ENTF-Taste befindet. Der Schaden aus solchen Eingriffen kann ebenso große Datenverluste und Ausfallzeiten mit sich bringen wie ein intelligenterer,externer Angriff auf das Netzwerk. Angriffe auf das Netzwerk müssen nicht intelligent sein, um effektiv zu sein.
Benutzerschulung Die beste Verteidigung gegen Übergriffe aus dem sozialen Umfeld ist die Schulung Ihrer Benutzer zum Thema Geheimhaltung und Schutz von Kennwörtern. Die Unternehmensrichtlinien zur Verteilung kritischer Informationen müssen deutlich dargestellt werden. Veröffentlichen Sie eine Sicherheitsrichtlinie, und fordern Sie ihre strikte Einhaltung. Eine Möglichkeit zur Schulung der Mitarbeiter ist zum Beispiel: Sicherstellen, dass Ihre IT-Mitarbeiter ihre Kennwörter schützen und ihrerseits die Benutzer ebenfalls dazu anhalten.
Strategien zur verteilten Sicherheit Verteilte Sicherheit bezieht sich auf logische Sicherheitsfunktionen, die vorwiegend innerhalb des Unternehmensnetzwerks operieren. Es gibt sieben primäre Sicherheitsstrategien zum Schutz Ihrer Netzwerkressourcen. ? Authentifizieren aller Benutzer für die Systemressourcen. ? Anwenden geeigneter Zugriffskontrollen bei allen Ressourcen. ? Erstellen geeigneter Vertrauensstellungen zwischen mehreren Domänen. ? Aktivieren von Datenschutz für kritische Daten. ? EinrichteneinheitlicherSicherheitsrichtlinien. ? Verwenden sicherer Anwendungen. ? Verwalten der Sicherheitsadministration.
356
Teil III
Active Directory-Infrastruktur
Diese Themen sollten die Schwerpunkte in der Planung der verteilten Sicherheit sein. Auf den folgenden Seiten finden Sie eine ausführliche Erläuterung jeder Strategie.
Authentifizieren des Zugriffs von allen Benutzern Wenn Sie Ihr Windows 2000-Netzwerk sichern möchten, müssen Sie befugten Benutzern den Zugang ermöglichen, unbefugte Personen, die einzudringen versuchen, jedoch ausschließen. Das bedeutet, dass Sie mit Hilfe der Sicherheitsfunktionen alle Benutzer für den Zugang zu den Systemressourcen authentifizieren müssen. Authentifizierungsstrategien bestimmen das Niveau des Schutzes gegen Eindringlinge, die versuchen, Benutzeridentitäten zu stehlen oder sich als berechtigte Benutzer auszugeben. In Windows 2000 basiert die Authentifizierung von Domänenbenutzern auf den Benutzerkonten im Active Directory. Administratoren verwalten diese Konten mit Hilfe des Snap-Ins „Active Directory-Benutzer und -Computer“ der Microsoft Management Console (MMC). Benutzerkonten können in Containern, den sogenannten Organisationseinheiten, verwaltet werden, die den Entwurf des Active Directory-Namespace reflektieren. Das Standardverzeichnis für Benutzerkonten ist der Ordner Benutzer in diesem Snap-In. Wenn ein neuer Benutzer zur Organisation hinzukommt, erstellt der Administrator lieber ein einziges Konto als viele verschiedene Konten in unterschiedlichen Servern und Anwendungsdatenbanken. Wenn der Domänenauthentifizierungsdienst im Unternehmensverzeichnis integriert ist, ist das einzige Benutzerkonto auch der Verzeichniseintrag für globale Adressbuchinformationen und bietet darüber hinaus den Zugang zu allen Netzwerkdiensten. Der Benutzer benötigt nur ein einziges Kennwort zur Anmeldung an unterschiedlichen Clientcomputern oder Laptops in der Domäne. Windows 2000 unterstützt automatisch die einmalige Anmeldung für Benutzer in einer Domänengesamtstruktur. Vertrauensstellungen zwischen Domänen in der Gesamtstruktur sind standardmäßig bidirektional. Daher ist die Authentifizierung in einer Domäne ausreichend als Referenz- oder Pass-Through-Authentifizierungfür Ressourcen in anderen Domänen der Gesamtstruktur. Der Benutzer meldet sich zu Beginn einer Sitzung interaktiv an. Anschließend weisen die Netzwerksicherheitsprotokolle – Kerberos v5, NTLM und SSL/TLS (Secure Sockets Layer/Transport Layer Security) – transparent die Identität des Benutzers bei allen angeforderten Netzwerkdiensten nach. Windows 2000 unterstützt optional auch die Anmeldung mit Smartcards für eine zuverlässige Authentifizierung. Die Smartcard ist eine Identifikationskarte, die der Benutzer bei sich trägt und die anstelle eines Kennworts zur interaktiven Anmeldung verwendet wird. Sie kann auch für DFÜ-Netzwerkverbindungen verwendet werden sowie als Speicherort für Zertifikate, die auf öffentlichen Schlüsseln basieren und bei der SSL-Client-Authentifizierung oder für sichere E-Mail eingesetzt werden. Die Authentifizierung ist nicht nur auf Benutzer beschränkt. Auch Computer und Dienste werden authentifiziert, wenn sie Netzwerkverbindungen zu anderen Servern aufbauen. Windows 2000-basierte Server- und Clientcomputer stellen während des Starts eine Verbindung zum Active Directory ihrer Domäne her, um Richtlinieninformation abzufragen. Sie authentifizieren sich bei Active Directory
Kapitel 11 Planen der verteilten Sicherheit
357
und laden von dort die Computerrichtlinien herunter, bevor sich Benutzer bei ihnen anmelden können. Computer und Dienste weisen ihre Identität auch bei Clients nach, die eine gegenseitige Authentifizierung erfordern. Die gegenseitige Authentifizierung verhindert, dass Eindringlinge betrügerisch einen weiteren Computer zwischen den Client und den echten Netzwerkserver schalten. Computern und Diensten kann für „Delegierungszwecke vertraut“ werden. Dies bedeutet, dass Dienste Netzwerkverbindungen „im Auftrag von“ Benutzern aufbauen können, ohne das Kennwort dieses Benutzers zu kennen. Der Benutzer muss bereits über eine gegenseitig authentifizierte Netzwerkverbindung zu dem Dienst verfügen, bevor dieser Dienst für ihn eine weitere Netzwerkverbindung zu einem anderen Computer aufbauen kann. Dies ist vor allem für mehrschichtige Anwendungen geeignet, die die Fähigkeit zum einmaligen Anmelden über mehrere Computer hinweg verwenden. Der Einsatz dieser Funktion ist besonders im Zusammenhang mit einem verschlüsselnden Dateisystem (EFS, Encrypting File System) auf einem Dateiserver nützlich. Wenn Sie einen Dienst zur Delegierung von Netzwerkverbindungen nutzen möchten, verwenden Sie das MMC-Snap-In „Active Directory-Benutzer und -Computer“. Markieren Sie anschließend in der Eigenschaftenseite das Kontrollkästchen Computer für Delegierungszwecke vertrauen.
Überlegungen zu Planung Stellen Sie sicher, dass diese Überlegungen und bewährten Verfahren bei der PlanungderAuthentifizierungsrichtlinien berücksichtigt werden. Die einfachste Art, sich gegen das Entschlüsseln von Kennwörtern mit Hilfe von zeitaufwendigen Testverfahren oder Wörterbüchern zu schützen, ist die Einrichtung und Durchsetzung langer, komplexer Kennwörter. Windows 2000 ermöglicht die Erstellung von Richtlinien zur Bestimmung der Komplexität, Länge, Lebensdauer und Wiederverwendbarkeit von Kennwörtern. Ein komplexes Kennwort besteht aus zehn oder mehr Zeichen in Groß- uder Kleinschreibung, Interpunktionszeichen und Ziffern. Ein Beispiel hierfür wäre „Mein,Geburtstag,ist,623“. Smartcards bieten eine weit leistungsfähigere Authentifizierung als Kennwörter, erfordern allerdings auch einen größeren Aufwand. Für Smartcards ist die Konfiguration der Microsoft Zertifikatsdienste, der entsprechenden Lesegeräte und der Smartcards selbst erforderlich. Weitere Informationen zur Verwendung von Smartcards finden Sie unter „Anmelden mit Smartcard“ weiter unten in diesem Kapitel sowie im Kapitel „Planen der Infrastruktur für öffentliche Schlüssel“ in diesem Buch. Beachten Sie, dass Drittanbieter zahlreiche Sicherheitsprodukte anbieten, um eine doppelte Authentifizierung zu ermöglichen, einschließlich „Sicherheitstokens“und biometrischer Geräte. Dieses Zubehör verwendet die erweiterbaren Funktionen der grafischen Anmeldungsbenutzeroberfläche von Windows 2000, um alternative Methoden der Benutzerauthentifizierung zu ermöglichen. Die Fähigkeit, „Computern für Delegierungszwecke zu vertrauen“, ist eine äußerst leistungsfähige Funktion. Sie wird nicht standardmäßig aktiviert. Für die Aktivierung für bestimmte Computer oder Dienstkonten sind die Privilegien eines Domänenadministrators erforderlich. Der Zugang zu Computern oder Konten, denen für Delegierungszwecke vertraut wird, sollte streng kontrolliert werden. So kann die
358
Teil III
Active Directory-Infrastruktur
Einführung trojanischer Pferde verhindert werden, die die Fähigkeit, im Auftrag anderer Benutzer Netzwerkverbindungen aufzubauen, missbrauchen könnten.
Kapitel 11 Planen der verteilten Sicherheit
359
Einige Konten sind möglicherweise zu sicherheitskritisch, um eine Delegierung zuzulassen, selbst wenn sie von einem vertrauenswürdigen Server kommt. Sie können einzelne Benutzerkonten so einrichten, dass sie nicht delegiert werden können, auch wenn dem Dienst für Delegierungszwecke vertraut wird. Wenn Sie diese Funktion einsetzen möchten., verwenden Sie das MMC-Snap-In „Active Directory-Benutzer und -Computer“, und öffnen Sie die Eigenschaftenseite des betreffenden Kontos. Suchen Sie dort das Kontrollkästchen Konto kann nicht delegiert werden in der Registerkarte Konto.
Kerberos-Authentifizierung und Vertrauen Das Authentifizierungsprotokoll Kerberos ist eine Technologie für die einmalige Anmeldung an Netzwerkressourcen. Windows 2000 verwendet das Kerberos v5Protokoll, um eine schnelle einmalige Anmeldung bei den Netzwerkressourcen innerhalb einer Domäne und bei Diensten in vertrauenswürdigen Domänen zu bieten. Das Kerberos-Protokoll verifiziert sowohl die Identität des Benutzers als auch der Netzwerkdiensteund bietet damit die gegenseitige Authentifizierung.
Funktionsweise der Kerberos-Authentifizierung Wenn ein Benutzer seine Anmeldeinformationen für die Domäne eingibt (mit Benutzernamen und Kennwort oder durch die Anmeldung per Smartcard), sucht Windows 2000 einen Active Directory-Server und einen Kerberos-Authentifizierungsdienst. Der Kerberos-Dienst stellt dem Benutzer ein „Ticket“ aus. Dies ist ein temporäres Zertifikat mit Informationen, die den Benutzer bei Netzwerkservern ausweisen. Nach der erstmaligen, interaktiven Anmeldung wird das erste Kerberos-Ticket verwendet, um für die Anmeldung bei anderen Netzwerkdiensten weitere Kerberos-Tickets zu erhalten. Dies ist ein komplexer Prozess, der von Benutzer und Server die gegenseitige Authentifizierung verlangt, er ist für den Benutzer jedoch vollständig transparent. (Weitere Informationen über die Kerberos v5-Authentifizierung finden Sie in der Onlinehilfe zu Windows 2000 Server.) Die Kerberos-Authentifizierung reduziert die Anzahl von für einen Benutzer erforderlichen Kennwörter und damit das Risiko, dass seine Identität abgefangen wird. Vertrauensstellungen zwischen den Domänen einer Gesamtstruktur erweitern den Anwendungsbereich von Kerberos auf eine umfangreiche Gruppe von Netzwerkressourcen.
Implementieren der Kerberos-Authentifizierung Es gibt keine bestimmten Voraussetzungen für die Implementierung der KerberosAuthentifizierung. Das Kerberos-Protokoll wird in Windows 2000 durchgängig verwendet. Sie müssen es nicht installieren oder aktivieren. Die Kerberos-Sicherheitsparameter können im Gruppenrichtlinien-Snap-In für MMC eingestellt werden. In einem Gruppenrichtlinienobjekt finden Sie die Kerberos-Einstellungenunter Kontorichtlinien: Gruppenrichtlinienobjekt ?Computerkonfiguration ?Windows-Einstellungen ?Sicherheitseinstellungen ?Kontorichtlinien ?Kerberos-Richtlinie
360
Teil III
Active Directory-Infrastruktur
Diese Einstellungen dürfen nur von qualifizierten Administratoren verwendet werden, die mit dem Kerberos-Protokoll vertraut sind.
Überlegungen zu Kerberos-Sicherheit Wenn Sie die Vorteile der erweiterten Leistungsfähigkeit und Sicherheit der Kerberos-Authentifizierung nutzen möchten, sollten Sie die Verwendung der Kerberos-Anmeldung als einziges Netzwerkanmeldeprotokoll in Ihrem Unternehmen in Erwägung ziehen. Windows 2000 implementiert die IETFStandardversion des Kerberos v5-Authentifizierungsprotokolls für eine plattformübergreifende Interoperabilität. So können beispielsweise Benutzer von UNIX-Systemen sich mit Kerberos-Anmeldeinformationen bei UNIX-Systemen anmelden und sichere Verbindungen zu Windows 2000-Diensten aufbauen, um Anwendungen zu nutzen, die von der Kerberos-Authentifizierung aktiviert wurden. Unternehmensnetzwerke, die bereits die Kerberos-Authentifizierung basierend auf UNIX-Bereichen verwenden, können Vertrauensstellungen mit Windows 2000Domänen erstellen und unter Verwendung der Kerberos-Namensauflösung die Windows 2000-Autorisierung für UNIX-Konten integrieren. Beachten Sie, dass Computer eines von Kerberos authentifizierten Netzwerks ihre ZeiteinstellungenmiteinemallgemeinenZeitdienstinnerhalb von 5 Minuten synchronisiert haben müssen, sonst schlägt die Authentifizierung fehl. Windows 2000-Computer aktualisieren automatisch die aktuelle Zeit, indem sie den Domänencontroller als Netzwerkzeitdienst verwenden. Domänencontroller verwenden wiederum den primären Domänencontroller der Domäne als autorisierten Zeitdienst. Selbst wenn sich die aktuelle Zeit zwischen Computern innerhalb einer Domäne, oder domänenübergreifend, unterscheidet, behandelt Windows 2000 Zeitunterschiede automatisch, um Anmeldeprobleme zu vermeiden. Wenn zwischen Domänen in einer Gesamtstruktur transitive Vertrauensstellungen verwendet werden, sucht der Kerberos-Dienst nach einem vertrauenswürdigen Pfad zwischen den Domänen, um eine domänenübergreifende Referenz zu erstellen. In großen Strukturen könnte es effizienter sein, Querverbindungen aus bidirektionalen Vertrauensstellungen einzurichten, die ein hohes Maß an domänenübergreifender Interaktion bieten. Dies erlaubt eine schnellere Authentifizierung, indem dem Kerberos-Protokoll Verknüpfungen für das Erzeugen der Referenzmeldung zur Verfügung gestellt werden. Die Kerberos-Authentifizierung verwendet zwischen Domänen in einer Gesamtstruktur transparente, transitive Vertrauensstellungen. Zwischen den Domänen unterschiedlicher Gesamtstrukturen kann sie jedoch keine Authentifizierung ausführen. Wenn ein Benutzer eine Ressource in einer separaten Gesamtstruktur verwenden möchte, muss er die für die Domäne dieser Gesamtstruktur gültigen Anmeldeinformationenliefern. Alternativ hierzu verwenden Anwendungen die NTLM-Authentifizierung, wenn eine unidirektionale Vertrauensstellung besteht und es die Sicherheitsrichtlinie zulässt. Windows 2000 wahrt noch die Kompatibilität mit dem NTLM-Authentifizierungsprotokoll, um die Kompatibilität mit älteren Microsoft Betriebssystemen zu unterstützen. Sie können weiterhin NTLM unter Microsoft® Windows® 95, Microsoft ® Windows® 98, Microsoft® Windows® NT 4.0 Server und Windows NT 4.0 Workstation verwenden. Die NTLM-Authentifizierung wird in Windows 2000 auch für Anwendungen verwendet, die für ältere Versionen von Windows NT entworfen wurden, die speziell NTLM-Sicherheit erfordern.
Kapitel 11 Planen der verteilten Sicherheit
361
Smartcard-Anmeldung Windows 2000 unterstützt optional die Smartcard-Authentifizierung. Smartcards bieten ein sehr sicheres Mittel zur Benutzerauthentifizierung, zur interaktiven Anmeldung, zum Signieren von Softwarecode und zur sicheren E-Mail. Das Einrichten und Warten eines Smartcardprogramms erfordert jedoch zusätzliche Ressourcen und Kosten.
Funktionsweise von Smartcards Eine Smartcard enthält einen Chip, der den privaten Schlüssel des Benutzers, die Anmeldeinformationen und das Zertifikat des öffentlichen Schlüssels für unterschiedliche Zwecke speichert. Der Benutzer legt die Karte in einen SmartcardLeser ein, der an einen Computer angeschlossen ist. Der Benutzer gibt anschließend auf Anforderung eine PIN (Personal Identification Number) ein. Smartcards bieten eine manipulationsresistente Authentifizierung durch das eigene Speichern privater Schlüssel. Der private Schlüssel wird wiederum dazu verwendet, andere Formen von Sicherheit zu liefern, die mit digitalen Signaturen und Verschlüsselungen zusammenhängen. Smartcards implementieren direkt eine doppelte Authentifizierungsrichtlinie und gestatten indirekt die Vertraulichkeit von Daten, Datenintegrität und Zulassung mehrerer Anwendungen, einschließlich der Domänenanmeldung, sicherer Mail und einem sicheren Webzugriff.
Voraussetzungen für das Implementieren von Smartcards Smartcards verwenden die Infrastruktur für öffentliche Schlüssel (PKI) unter Windows 2000. Weitere Informationen zur PKI finden Sie unter „Planen der Infrastruktur für öffentliche Schlüssel“ in dieser Dokumentation.
Implementieren von Smartcards Zusätzlich zu PKI und den Karten selbst benötigt jeder Computer einen SmartcardLeser. Richten Sie mindestens einen Computer als Smartcard-Registrierungsstelle ein, und autorisieren Sie mindestens einen Benutzer, um ihn zu betreiben. Außer einem Smartcard-Leser ist keine besondere Hardware erforderlich. Für den Benutzer, der die Smartcard-Registrierungsstelle betreibt, muss jedoch ein Registrierungsagent-Zertifikat ausgestellt werden. Weitere Informationen zum Implementierungsverfahren von Smartcards finden Sie in der Onlinehilfe zu Windows 2000 Server.
Überlegungen zu Smartcards Sie benötigen eine Firmenzertifizierungsstelle, keine eigenständige oder Drittanbieter-Zertifizierungsstelle, um die Smartcard-Anmeldung an Windows 2000Domänen zu unterstützen. Microsoft unterstützt Smartcards und Lesegeräte nach PC/SC-Industriestandard und bietet Treiber für im Handel erhältliche Plug & Play-Smartcard-Leser. Die Smartcard-Anmeldung wird von Systemen unter Windows 2000 Professional, Windows 2000 Server und Windows 2000 Advanced Server unterstützt. Die Sicherheitsvorteile der Smartcards werden umso stärker realisiert, je mehr Benutzer des Unternehmens Smartcards für die Domänenauthentifizierung, den DFÜ-Netzwerkzugriff und andere Anwendungen einsetzen können.
362
Teil III
Active Directory-Infrastruktur
Microsoft Windows 2000 unterstützt ausschließlich PC/SC-kompatibleoder Plug & Play-Smartcard-Leser. Einige Hersteller bieten möglicherweise Treiber für Nicht-Plug & Play-Smartcard-Leser an, die mit Windows 2000funktionieren. Trotzdem wird empfohlen, nur Smartcard-Leser zu kaufen, die Plug & PlayPC/SC-kompatibel sind. Smartcards können mit Mitarbeiterkartenschlüsseln und Ausweisen kombiniert werden, um mehrere Benutzer pro Karte zu unterstützen. Die Gesamtkosten für die Verwaltung des Smartcardprogramms hängen von folgenden Faktoren ab: ? Die Anzahl von in das Smartcardprogramm eingeschriebenen Benutzern und ihr
Standort. ? Das Verfahren für die Ausstellung der Smartcards für die Benutzer, einschließlich der Anforderungen für die Überprüfung der Benutzeridentität. Fordern Sie z. B. von einem Benutzer nur die Vorlage eines gültigen Personalausweises, oder stellen Sie weitergehende Nachforschungen an? Die Richtlinien wirken sich sowohl auf die erzielte Ebene an Sicherheit als auch auf die aktuellen Kosten aus. ? Das Verfahren für Benutzer, die ihre Smartcards verlieren oder verlegen. Stellen Sie z. B. temporäre Smartcards aus, autorisieren Sie eine temporäre alternative Anmeldung an das Netzwerk, oder lassen Sie Ihre Benutzer nach Hause gehen, damit sie die Karten suchen? Diese Richtlinien wirken sich darauf aus, wie viel Arbeitszeit verloren geht und wie viel Helpdesk- oder Supportpersonal benötigt wird. Der Plan zur Einrichtung der Netzwerksicherheit muss die von Ihnen verwendete Methode zur Netzwerkanmeldung und Authentifizierung beschreiben. Nehmen Sie folgende Informationen in den Sicherheitsplan auf: ? Bestimmen Sie die Netzwerkanmeldungs- und Authentifizierungsstrategien, die
Sie einrichten möchten. ? Beschreiben Sie die Überlegungen und Aspekte des Einsatzes von Smartcards. ? Beschreiben Sie die Zertifikatsdienste für eine Infrastruktur für öffentliche Schlüssel, die zur Unterstützung der Smartcards erforderlich sind.
Remotezugriff (RAS) Mit dem Routing und RAS-Dienst ermöglichen Sie entfernten Benutzern eine Verbindung mit Ihrem lokalen Netzwerk über das Telefon. Dieser Abschnitt behandelt Routing und RAS nur hinsichtlich seiner Sicherheitsfunktionen. Remotezugriff ist von Natur aus eine Einladung für Eindringlinge. Windows 2000 bietet daher mehrere Sicherheitsfunktionen, um autorisierten Zugriff zu gestatten und dabei die Gelegenheiten für den Missbrauch einzuschränken.
Funktionsweise von Remotezugriff Ein Client wählt einen RAS-Server auf Ihrem Netzwerk an. Dieser Client gewährt den Zugriff auf das Netzwerk, wenn: ? Die Anforderung einer der RAS-Richtlinien entspricht, die für den Server
definiert wurden.
Kapitel 11 Planen der verteilten Sicherheit
363
? Das Konto des Benutzers für Remotezugriff aktiviert ist. ? DieClient-/ Serverauthentifizierung erfolgreich ist.
Nachdem der Client identifiziert und autorisiert wurde, kann der Zugriff auf das Netzwerk auf bestimmte Server, Subnetze oder Protokolltypen eingeschränkt werden, je nach dem RAS-Profil des Clients. Andererseits werden durch die RASVerbindung alle normalerweise für einen Benutzer, der mit einem LAN-Netzwerk verbunden ist, verfügbaren Dienste (wie Datei- und Druckfreigaben, Webserverzugriff und Messaging) aktiviert.
RAS-Richtlinien Für Windows 2000-basierte Server gelten Sicherheitsrichtlinien, die ihr Verhalten bei Remotezugriffen bestimmen. Diese Richtlinien legen fest, ob ein Server Anfragen von Remotezugriffen akzeptiert, und wenn ja, zu welchen Tageszeiten, welche Protokolle dabei verwendet werden und welche Authentifizierungsarten erforderlich sind. RAS-Richtlinien werden mit Hilfe des Computerverwaltungs-Snap-In von MMC definiert. Sie definieren die Richtlinie im Knoten RAS-Richtlinien: Computerverwaltung (lokal) ?Dienste und Anwendungen ?Routing und RAS ?RAS-Richtlinien
Klicken Sie mit der rechten Maustaste auf eine Richtlinie in der Konsolenstruktur, und wählen Sie Eigenschaften. Eine RAS-Richtlinie wird als Regel mit Bedingungen und Aktionen definiert. Wenn die Bedingungen zutreffen, wird die Aktion ausgeführt. Wenn beispielsweise die richtige Tageszeit für Remotezugriffe ist, das angeforderte Protokoll zugelassen und der angeforderte Schnittstellentyp verfügbar ist, wird der Zugriff gewährt. Ist der Remotezugriff gewährt, wird er durch das Zugriffsprofil der Richtlinie eingeschränkt. Klicken Sie auf Profil bearbeiten, um die verfügbaren Profiloptionen anzuzeigen.
Aktivieren von Remotezugriff Wenn Sie für einen Benutzer Remotezugriff aktivieren möchten, öffnen Sie das MMC-Snap-In „Active Directory-Benutzer und -Computer“. Klicken Sie mit der rechten Maustaste auf einen Benutzer, und klicken Sie auf Eigenschaften. Wählen Sie in der Eigenschaftsseite die Registerkarte Einwählen. Weitere Informationen über Remotezugriff und die Installation und Konfiguration des RAS-Servers finden Sie in der Onlinehilfe von Windows 2000 Server. Zusätzliche Informationen zur RAS-Authentifizierungfinden Sie unter „RAS-Server“ in Microsoft® Windows® 2000 Server – Die technische Referenz: Internetworking.
Überlegungen zum Remotezugriff Die Erlaubnis für den Remotezugriff für einen Benutzer ist nur effektiv, wenn eine passende RAS-Richtlinie für den RAS-Server vorhanden ist.
364
Teil III
Active Directory-Infrastruktur
Windows 2000 unterstützt die folgenden Authentifizierungsoptionen für den Remotezugriff: ? Die Standard-PPP-Methoden (Point-to-Point-Protokoll) der Anfrage-Antwort-
Authentifizierung basieren auf Benutzernamen und Kennwörtern. Standard-PPP-Authentifizierungsmethoden bieten nur eingeschränkte Sicherheit. ? BenutzerdefinierteEAP-Authentifizierungsmethoden(ExtensibleAuthenticationProtokoll). EAP-Module können von Drittanbietern entwickelt oder geliefert werden, um die Authentifizierungsfähigkeiten von PPP zu erweitern. Sie können EAP z. B. verwenden, um durch die Verwendung von Tokencards, Smartcards, biometrischer Hardware oder Einweg-Kennwortsystemen eine strengere Authentifizierung zu bieten. ? Die EAP-TLS-Authentifizierung (EAP Transport Layer Security) beruht auf digitalen Zertifikaten und Smartcards. EAP-TLS bietet eine strenge Authentifizierung. Die Anmeldeinformationen des Benutzers werden auf fälschungssicheren Smartcards gespeichert. Sie können jedem Benutzer eine Smartcard ausstellen, die für alle notwendigen Anmeldungen verwendet werden kann. Ihr Netzwerksicherheitsplan sollte Strategien für Remotezugriff und Authentifizierung enthalten, einschließlich der folgenden Informationen: ? Die verwendeten Strategien zur Anmeldeauthentifizierung. ? Strategien für den Remotezugriff durch die Verwendung des Routing und
RAS-Dienstes und virtuelle, private Netzwerke. ? Die benötigten Zertifikatsdienste, um die Authentifizierung der Benutzeranmeldung durch digitale Zertifikate zu unterstützen. ? Der Prozess und die Strategien, um den Benutzer für die Zertifikate der Anmeldeauthentifizierung und den Remotezugriff einzutragen. ? Ob bei Remotezugriffen eine Rückruffunktion verwendet wird, um Angriffe durch Identitätswechsel möglichst auszuschliessen.
Anwenden der Zugriffskontrolle Nachdem sich ein Benutzer angemeldet hat, wird er autorisiert, auf unterschiedliche Netzwerkressourcen zuzugreifen, wie auf Dateiserver und Drucker, die authentifizierten Benutzern Berechtigungen erteilen. Stellen Sie sicher, dass Sie die Ansicht des Benutzers von Netzwerkressourcen auf Geräte, Dienste und Verzeichnisse einschränken, die arbeitsbezogen sind. Dies schränkt den Schaden ein, den ein Eindringling durch die Identitätsannahme eines legitimierten Benutzers anrichten kann. Der Zugriff auf Netzwerkressourcen basiert auf Berechtigungen. Berechtigungen identifizieren Benutzer und Gruppen, denen die Durchführung bestimmter Aktionen durch die Verwendung bestimmter Ressourcen gestattet ist. Zum Beispiel verfügt die Buchhaltungsgruppe über die Lese-/Schreibberechtigung, um auf Dateien im Ordner Buchhaltungsberichte zuzugreifen. Die Revisorengruppe verfügt nur über schreibgeschützten Zugriff auf Dateien im Ordner Buchhaltungsberichte.
Kapitel 11 Planen der verteilten Sicherheit
365
Berechtigungen werden durch die Verwendung der jeder Ressource zugehörigen Zugriffskontrollliste (ACL) aktiviert. Sie finden die Zugriffskontrollliste auf der Registerkarte Sicherheit in der Eigenschaftenseite. Eine Zugriffskontrollliste ist eine Liste von Sicherheitsgruppen (seltener von Individuen), die Zugriff auf diese Ressource haben. Sicherheitsgruppen sind die effektivste Möglichkeit, Berechtigungen zu verwalten. Sie können Berechtigungen auch Einzelpersonen zuweisen, in den meisten Fällen jedoch ist es leichter, Berechtigungen einer Gruppen zu gewähren und dann die Benutzer als Mitglieder zur Gruppe hinzuzufügen und daraus zu entfernen. Windows 2000 verfügt über die Sicherheitsgruppe „Jeder“. Sie erscheint standardmäßig im Netzwerkverzeichnis der Zugriffskontrolllisten, wenn diese erstellt werden. Wenn Sie den Zugriff auf Netzwerkverzeichnisse einschränken möchten, müssen Sie die Gruppe „Jeder“ entfernen und durch eine oder mehrere passende Gruppen ersetzen. Gehen Sie nicht davon aus, dass die Standardberechtigungen für eine Ressource auch notwendigerweise geeignete Berechtigungen sind. Die Berechtigungen für das Dateisystem werden standardmäßig einer Sicherheitsgruppe zugewiesen, die „Benutzer“ genannt wird. Jeder für eine Domäne authentifizierte Benutzer befindet sich in der Gruppe „Authentifizierte Benutzer“, die ein Mitglied der Gruppe „Benutzer“ ist. Sehen Sie nach, wofür die Ressource verwendet wird, und legen Sie eine geeignete Richtlinie fest. Einige Ressourcen sind öffentlich, während andere nur für einen bestimmten Personenkreis verfügbar sein müssen. Manchmal verfügt eine große Gruppe nur über die schreibgeschützte Berechtigung für eine Datei oder ein Verzeichnis und eine kleinere Gruppe über die Lese-/Schreibberechtigung.
Zugriffskontrolllisten Die Zugriffskontrollliste beschreibt die Gruppen und Einzelpersonen, die unter Windows 2000 zu bestimmten Objekten Zugriff besitzen. Die Einzelpersonen und Sicherheitsgruppen sind im MMC-Snap-In „Active Directory-Benutzerund -Computer“ festgelegt. Viele Typen von Windows 2000-Objekten verfügen über zugehörige Zugriffskontrolllisten, u. a. Active Directory-Objekte, lokale NTFSDateien und -Ordner, die Registrierung und Drucker. Das Ausmaß der Kontrollmöglichkeiten der Zugriffskontrollliste ist so groß, dass Sie selbst Sicherheitszugriffseinschränkungen für einzelne Schriftarten vornehmen können.
Funktionsweise von Zugriffskontrolllisten Zugriffskontrolllisten implementieren Strategien zur Nutzungseinschränkung. Windows 2000 bietet ein sehr detailliertes Maß an Sicherheitskontrolle über den Zugriff auf eine Vielfalt von Objekten. Fügen Sie eine Gruppe zur Zugriffskontrollliste eines Objekts hinzu, um ihr Zugriff auf das Objekt zu gewähren. Sie können dann die spezifischen Berechtigungen anpassen, damit die Gruppe über das Objekt verfügen kann. Hinsichtlich eines lokalen Dateiordners beginnen z. B. die verfügbaren Berechtigungen für eine Gruppe mit Lesen, Schreiben, Ändern und Löschen. Dies sind jedoch nur die ersten vier von insgesamt 13 verfügbaren Berechtigungen.
366
Teil III
Active Directory-Infrastruktur
Voraussetzungen für das Implementieren von Zugriffskontrolllisten Zugriffskontrolllisten sind überall in Windows 2000 wirksam. Die einzige Voraussetzung ist, dass die Zugriffskontrollliste eine Liste von Sicherheitsgruppen und Benutzern darstellt. Sie müssen die Gruppen definieren, die die Projektteams der Organisation oder ihre Aufgaben im Unternehmen beschreiben, bevor Sie sie zu einer Zugriffskontrolllistehinzufügen.
Implementieren von Zugriffskontrolllisten Die Zugriffskontrollliste eines Objekts findet sich normalerweise auf der Registerkarte Sicherheit in der Eigenschaftenseite. Auf dieser Registerkarte wird die Liste der Gruppen, die auf dieses Objekt zugreifen können, sowie eine Zusammenfassung der Berechtigungen der einzelnen Gruppen angezeigt. Die Schaltfläche Erweitert zeigt die Gruppenberechtigungen im Detail, so dass der Benutzer stärker erweiterte Funktionen der Berechtigungsgewährung verwenden kann, wie z. B. das Definieren der Zugriffsvererbungsoptionen. Wenn Sie beispielsweise die Zugriffskontrolllisteeines Druckers anzeigen möchten, klicken Sie auf Start und zeigen auf Einstellungen. Zeigen Sie auf den Ordner, der die Systemsteuerung enthält, und klicken Sie auf Drucker. Klicken Sie mit der rechten Maustaste auf einen Drucker, und klicken Sie anschließend auf Eigenschaften. Die Zugriffskontrollliste für diesen Drucker wird auf der Registerkarte Sicherheit angezeigt. Wenn Sie die Zugriffskontrollliste für einen lokalen Dateiordner anzeigen möchten, öffnen Sie Arbeitsplatz, und verwenden Sie die Option Durchsuchen, um durch den Ordner zu navigieren. Klicken Sie mit der rechten Maustaste auf den Ordner. Zeigen Sie auf Eigenschaften, und klicken Sie anschließend auf die Registerkarte Sicherheit. Wenn Sie die Zugriffskontrollliste einer Organisationseinheit (Ordner) im Snap-In „Active Directory-Benutzer- und -Computer“ anzeigen möchten, öffnen Sie das Menü Ansicht und wählen Erweiterte Funktionen aus. Anderenfalls ist die Registerkarte Sicherheit im Dialogfeld Eigenschaften nicht sichtbar. Weitere Informationen zur Zugriffskontrolle und Zugriffskontrolllisten finden Sie in der Onlinehilfe von Windows 2000 Server. Klicken Sie auf die Registerkarte Index. Blättern Sie zu Zugriffskontrolle. Im Index finden Sie zahlreiche Einträge zu diesem Thema, da Zugriffskontrolllisten im ganzen Produkt verfügbar sind.
Sicherheitsgruppen Windows 2000 ermöglicht Ihnen die Organisation von Benutzern und anderen Domänenobjekten in Gruppen, um Zugriffsberechtigungen leichter zu verwalten. Das Definieren Ihrer Sicherheitsgruppen ist eine wichtige Aufgabe für die Planung der verteilten Sicherheit. Mit Hilfe von Windows 2000-Sicherheitsgruppen können Sie dieselben Sicherheitsberechtigungen an eine große Anzahl von Benutzern in einer Operation zuweisen. Dies gewährleistet konsistente Sicherheitsberechtigungen für alle Mitglieder einer Gruppe. Durch die Verwendung von Sicherheitsgruppen für die Zuweisung von Berechtigungen bleibt die Zugriffskontrolle auf Ressourcen relativ statisch und somit leicht zu kontrollieren und zu überwachen. Benutzer, die einen Zugriff benötigen, werden den entsprechenden Sicherheitsgruppen hinzugefügt bzw. daraus entfernt. So ändern sich die Zugriffskontrolllisten selten.
Kapitel 11 Planen der verteilten Sicherheit
367
Funktionsweise von Sicherheitsgruppen Active Directory von Windows 2000 unterstützt Sicherheits- und Verteilergruppen. Sicherheitsgruppen können über zugehörige Sicherheitsberechtigungen verfügen und zudem die Funktion von Verteilerlisten übernehmen. Verteilergruppen werden nur für Verteilerlisten verwendet. Sie weisen keine Sicherheitsfunktionen auf. Wenn Sie einen neuen Benutzer erstellen, können Sie ihn zu einer bestehenden Sicherheitsgruppe hinzufügen, um die Berechtigungen und Zugriffseinschränkungen des Benutzers vollständig zu definieren. Die Änderung einer Berechtigung für eine Gruppe betrifft alle Benutzer in dieser Gruppe. Windows 2000 enthält bereits verschiedene vordefinierte Sicherheitsgruppen, die Erstellung einer eigenen Sicherheitsgruppe ist jedoch ganz einfach.
Typen von Sicherheitsgruppen Windows 2000 unterstützt vier Typen von Sicherheitsgruppen, die sich durch ihren Anwendungsbereich unterscheiden: ? Domäneninterne lokale Gruppen werden am besten für die Gewährung von Zu-
griffsrechten auf Ressourcen wie Dateisysteme oder Drucker verwendet, die auf einem beliebigen Computer in der Domäne positioniert sind, für den allgemeine Zugriffsberechtigungen erforderlich sind. Der Vorteil von domäneninternen lokalen Gruppen hinsichtlich des Schutzes von Ressourcen liegt darin, dass die Mitglieder einer domäneninternen lokalen Gruppe sowohl aus derselben Domäne als auch von außerhalb der Domäne kommen können. Üblicherweise befinden sich Ressourcenserver in Domänen, die das Vertrauen von einer oder mehreren Hauptbenutzerdomänen, auch bekannt als Kontendomänen, besitzen. (Nur in Domänen mit einheitlichem Modus können domäneninterne lokale Gruppen verwendet werden, um auf jedem beliebigen Computer Zugriff auf Ressourcen gewähren. Im gemischten Modus dürfen sich domäneninterne lokale Gruppen nur auf Domänencontrollern befinden.) ? Globale Gruppen werden verwendet, um Benutzer zu kombinieren, die ein gemeinsames Zugriffsprofil aufweisen, das auf ihrer Funktion oder Unternehmensaufgabe basiert. Normalerweise verwenden Organisationen globale Gruppen für alle Gruppen, von denen eine häufig wechselnde Gruppenmitgliedschaft erwartet wird. Diese Gruppen können als Mitglieder nur Benutzerkonten enthalten, die in derselben Domäne definiert wurden wie die globale Gruppe. Globale Gruppen können verschachtelt werden, um überschneidende Zugriffsbedürfnisse zuzulassen oder um allzu große Gruppenstrukturen zu skalieren. Am einfachsten erfolgt die Zugriffsgewährung für globale Gruppen, wenn sie zu Mitgliedern einer Ressourcengruppe gemacht werden. Dadurch werden Zugriffsberechtigungen auf eine Reihe von projektbezogenen Ressourcen gewährt.
368
Teil III
Active Directory-Infrastruktur ? Universelle Gruppen werden in größeren Organisationen mit vielen Domänen
verwendet, in denen Bedarf dafür besteht, Zugriff auf ähnliche Kontengruppen zu gewähren, die in mehreren Domänen definiert sind. Es ist empfehlenswert, globale Gruppen als Mitglieder von universellen Gruppen zu verwenden, um die erforderliche Gesamtreplikation, die durch Änderungen an der Mitgliedschaft von universellen Gruppen entsteht, zu reduzieren. Benutzer können innerhalb ihrer Kontendomänen der entsprechenden globalen Gruppe hinzugefügt oder aus ihr entfernt werden. Nur eine kleine Anzahl von globalen Gruppen gehört direkt der universellen Gruppe an. Universellen Gruppen wird leicht Zugriff gewährt, indem sie zu Mitgliedern von domäneninternen lokalen Gruppen gemacht werden, die für die Gewährung von Zugriffsberechtigungen auf Ressourcen verwendet werden. Universelle Gruppen werden nur in Strukturen mit mehreren Domänen oder in Gesamtstrukturen mit einem globalen Katalog eingesetzt. Eine Windows 2000Domäne muss sich im einheitlichen Modus befinden, um universelle Gruppen zu verwenden. Ein Domänenmodell, das nur über eine einzelne Domäne verfügt, benötigt und unterstützt keine universellen Gruppen. ? Computerinterne Gruppen sind Sicherheitsgruppen, die für einen Computer spezifisch sind und anderswo in der Domäne nicht mehr erkannt werden. Wenn ein Mitgliedsserver ein Dateiserver ist und 100 GB Daten in mehreren Freigaben speichert, können Sie für administrative Aufgaben, die direkt auf diesem Computer durchgeführt werden oder für das Definieren von Gruppen mit lokalen Zugriffsberechtigungen eine lokale Servergruppe verwenden.
Standardberechtigungen von Sicherheitsgruppen Die Standardberechtigungen der Zugriffskontrolle von Windows 2000 bieten für Mitgliedsserver und Clientcomputer folgenden Ebenen an Sicherheit: ? Mitglieder der Gruppen „Jeder“ und „Benutzer“ (normale Benutzer) verfügen
nicht wie in Windows NT 4.0 über umfassende Lese-/Schreibberechtigungen. Diese Benutzer haben eine schreibgeschützte Berechtigung für die meisten Teile des Systems und Lese-/Schreibberechtigung nur in ihren eigenen Profilordnern. Benutzer können keine Anwendungen installieren, die Änderungen von Systemverzeichnissen erfordern, noch können sie Administrationsaufgaben ausführen. ? Die Mitglieder der Gruppe „Hauptbenutzer“ verfügen über alle Zugriffsberechtigungen, die Benutzer und Hauptbenutzer in Windows NT 4.0 hatten. Diese Benutzer haben nicht nur Lese-/Schreibberechtigung in ihren eigenen Profilordnern, sondern auch für andere Teile des Systems. Hauptbenutzer können Anwendungen installieren und viele Administrationsaufgaben übernehmen. ? Die Mitglieder der Gruppe „Administratoren“ verfügen über dieselben Zugriffsberechtigungen, die sie in Windows NT 4.0 hatten. Für Server, die als Domänencontroller konfiguriert sind, bieten Windows 2000Sicherheitsgruppen folgende Sicherheit: ? Mitglieder der Gruppen „Jeder“ und „Benutzer“ verfügen nicht wie in Windows NT 4.0 über umfassende Lese-/Schreibberechtigungen. Normale Benutzer haben eine schreibgeschützte Berechtigung für die meisten Teile des Systems und Lese-/Schreibberechtigung in ihren eigenen Profilordnern. Normale Benutzer können allerdings nur über das Netzwerk auf Domänencontroller zugreifen. Die interaktive Anmeldung ist bei Domänencontrollern nicht gestattet, wie in Windows NT 4.0.
Kapitel 11 Planen der verteilten Sicherheit
369
? Die Mitglieder der Gruppen „Kontenoperatoren“, „Serveroperatoren“ und
„Druckoperatoren“ besitzen dieselben Zugriffsberechtigungen wie in Windows NT 4.0. ? Wie in Windows NT 4.0 haben die Mitglieder der Gruppe „Administratoren“ die Kontrolle über das gesamte System.
Voraussetzungen für das Implementieren von Sicherheitsgruppen Sicherheitsgruppen sind eine vordefinierte Funktion von Active Directory. Es ist keine besondere Installation oder Voraussetzung erforderlich.
Implementieren von Sicherheitsgruppen Wenn Sie neue Benutzer erstellen und in Sicherheitsgruppen unterbringen möchten, verwenden Sie das MMC-Snap-In „Active Directory-Benutzer und -Computer“. Weitere Informationen über das Erstellen neuer Benutzer finden Sie in der Onlinehilfe zu Windows 2000 Server.
Überlegungen zu Sicherheitsgruppen Beim Entwerfen möglicher Sicherheitsgruppen wird Projekt- oder Ressourceneigentümern empfohlen, basierend auf den angeforderten Zugriffsberechtigungen ihre eigenen lokalen Gruppen zu definieren und die Fähigkeit zur Verwaltung der Gruppenzugehörigkeiten zu delegieren, bei der es sich ebenfalls um eine Berechtigung für Gruppen handelt. Mit Hilfe dieser Strategie können Ressourceneigentümer oder Projektleiter die Zugriffe durch Aktualisierung der jeweiligen Gruppe verwalten. Eine Sicherheitsgruppe setzt sich aus Personen zusammen, die ähnliche Aufgaben in einer Abteilung oder im Unternehmen ausüben. Die Gruppe wird oft nach ihrer Aufgabe benannt, wie etwa die in Windows 2000 vordefinierten Gruppen „Kontenoperatoren“, „Administratoren“ und „Sicherungs-Operatoren“. Mitarbeiter, die zu demselben Projekt oder denselben Abteilungsverteilerlisten gehören, gehören wahrscheinlich auch in die gleiche Sicherheitsgruppe in Active Directory. Die Sicherheitsgruppen von Windows 2000 übernehmen auch die Rolle der Verteilerlisten, so dass diese Analogie kein Zufall ist. Die Verwendung von Gruppen, die Projektteams oder Zuständigkeitsbereichen entsprechen, ist eine effektive Form, Zugriff angemessen zu gewähren. Jeder Mitarbeiter einer Abteilung benötigt den Zugriff auf die dort befindlichen Drucker. Die Entwickler eines Softwareprojekts benötigen den Zugriff auf die allgemeinen Quellverzeichnisse. Dies sind natürliche Gruppen. Beachten Sie, dass das System alle Zuordnungen eines Benutzers zu universellen und globalen Gruppen zum Anmeldezeitpunkt bestimmen muss. Wenn ein Benutzer Mitglied vieler Gruppen ist, kann sich dies auf die Netzwerkleistung auswirken, während das System alle Gruppenmitgliedschaften ermittelt.
370
Teil III
Active Directory-Infrastruktur
Es gibt eine Obergrenze für die Anzahl von Gruppen, in denen der Benutzer eingeschrieben sein kann. Für einen einzelnen Benutzer in einer einzelnen Domäne darf die Gesamtsumme von universellen, globalen, domäneninternen lokalen und computerinternen Gruppen die Anzahl von 1.000 Gruppen nicht überschreiten. Der Benutzer ist jedoch nicht nur auf diese 1.000 Gruppen beschränkt, da diese Beschränkung nur für eine einzelne Domäne gilt. In einem Modell mit mehreren Domänen könnte ein Benutzer theoretisch Mitglied in 500 universellen und globalen Gruppen in deren Kontendomäne, in 400 domäneninternen lokalen Gruppen in einer Ressourcendomäne, in 400 domäneninternen lokalen Gruppen in einer anderen Ressourcendomäne, in 50 lokalen Gruppen in einem Server und in 100 lokalen Gruppen auf einem anderen Server sein. In der Praxis ist das Gruppenlimit von 1.000 meist sehr großzügig. Verwenden Sie verschachtelte Gruppen, um die Verwaltung der Gruppenmitgliedschaft für große Gruppen zu erleichtern. (Eine große Gruppe besitzt möglicherweise 5.000 Mitglieder). Listen Sie nicht jeden Mitarbeiter einzeln in Ihrer unternehmensweiten Gruppe auf. Die unternehmensweite Gruppe ist einfacher zu verwalten, wenn sie als Gruppe definiert ist, die wiederum Abteilungsgruppen enthält. Die Abteilungsgruppen können innerhalb der unternehmensweiten Gruppe verschachtelt werden. Dies ist besonders wichtig, wenn die unternehmensweite Gruppe eine universelle Gruppe ist. Eine Organisation mit einem einzelnen LAN-Standort (Local Area Network) kann universelle Gruppen ohne Leistungsabfall einsetzen. Eine Organisation mit einem WAN-Netzwerk (Wide Area Network) muss jedoch die Auswirkung der häufigen Wechsel in der Mitgliedschaft universeller Gruppen auf die Replikationsaktivität über die Verknüpfungen zwischen den Standorten berücksichtigen. Wenn eine universelle Gruppe nur über andere Gruppen als Mitglieder verfügt, ändert sie sich nicht sehr oft, und die Replikationsaktivität ist unerheblich. Eine universelle Gruppe mit tausenden von Einzelbenutzern erfordert dagegen wahrscheinlich eine häufige Aktualisierung über mehrere WAN-Verbindungen, da jede Änderung an alle Server des globalen Katalogs des Unternehmens repliziert wird. Das Definieren von universellen Gruppen und Gruppen von Gruppen reduziert diese Netzwerkaktivitäten. Möglicherweise stellen Sie fest, dass Windows 2000 Server keine verschachtelten Gruppen zulässt. Windows 2000 Server operiert anfänglich im gemischten Modus. Dies bedeutet, dass Windows 2000- und Windows NT 4.0-Server im selben Netzwerk zusammenarbeiten können. Der gemischte Modus bringt für Sicherheitsgruppen einige Einschränkungen mit sich. Wenn alle Server zu Windows 2000 aktualisiert wurden, können Sie in den einheitlichen Modus umschalten. Dies ist ein nicht umkehrbarer Übergang, der erweiterte Funktionen wie das Verschachteln von Sicherheitsgruppen ermöglicht. Bei einem bestimmten Computer verfügen die Benutzer in der lokalen Administratorensicherheitsgruppe über die vollen Rechte und Berechtigungen für diesen Computer. Wenn ein Windows 2000-Computer mit einer Domäne verbunden wird, wird die Gruppe der Domänenadministratoren als ein Mitglied der lokalen Administratorengruppe hinzugefügt. Lokale Benutzer eines Computers benötigen gewöhnlich keine Mitgliedschaft in der Administratorengruppe. Die mit vollen Privilegien ausgestattete Administratorengruppe muss für lokale Verwaltungsaktivitäten verwendet werden, wie z. B. die Änderung der Systemkonfiguration.
Kapitel 11 Planen der verteilten Sicherheit
371
Der Plan zur Einrichtung der Netzwerksicherheit beschreibt Ihre Strategien für Sicherheitsgruppen. Nehmen Sie folgende Informationen in den Einrichtungsplan auf: ? Bestimmen Sie die universellen und globalen Sicherheitsgruppen, die Sie zusätz-
lich zu den vordefinierten Gruppen erstellen möchten. ? Bestimmen Sie die Anforderungen für Mitgliedschaften für universelle, globale und lokale Sicherheitsgruppen, einschließlich der vordefinierten Gruppen.
Sicherheitsgruppen und Replikationskonflikte Wenn Administratoren zweier unterschiedlicher Domänencontroller eines unterschiedlichen Standorts gleichzeitig die Gruppenmitgliedschaft ändern, kann eine der beiden Änderungen verloren gehen. Diese Situation kann nur auftreten, wenn Sie die Änderungen der Gruppenmitgliedschaft schneller durchführen, als sie das System replizieren kann. Wenn ein Administrator Mitglieder zu einer Gruppe hinzufügt oder daraus entfernt, wird die ganze Gruppenmitgliedschaft repliziert, nicht nur die geänderten Mitglieder. Wenn zwei Administratoren auf zwei unterschiedlichen Domänencontrollern die Gruppenmitgliedschaft ändern und die Replikation auf dem zweiten Domänencontroller stattfindet, bevor der erste Domänencontroller seine Replikation abschließt, bleibt nur eine der Änderungen bestehen, wenn Active Directory den Replikationskonflikt gelöst hat. Die anderen Änderungen gehen verloren. Daraus resultiert z. B., dass ein Benutzer unerwartet den Zugriff auf eine Ressource behält. Ein Möglichkeit, dieses Problem einzuschränken, ist die Verwendung von verschachtelten Gruppen. Erstellen Sie standortspezifische Gruppen, und machen Sie sie zu Mitgliedern einer übergeordneten Gruppe, die dazu verwendet wird, den Zugriff auf eine Ressource zu gewähren oder zu verweigern. Die Administratoren in einem Standort können dann die Mitgliedschaft einer standortspezifischen Gruppe ändern, ohne dass die Änderungen verloren gehen, solange die Mitgliedschaft in einer standortspezifischen Gruppe nicht auf mehreren Domänencontrollern schneller aktualisiert wird, als die Replikation innerhalb des Standorts abgeschlossen ist. Auch wenn Sie die Verantwortlichkeit für die Änderungen der Gruppenmitgliedschaft an einen Administrator pro Standort delegieren, werden alle Änderungen nur auf einem einzigen Domänencontroller durchgeführt, und es tritt kein Replikationskonflikt auf. Anmerkung Innerhalb eines einzelnen Active Directory-Standorts nimmt die Zeitdauer, die eine Änderung benötigt, um alle Domänencontroller zu erreichen, entsprechend der wachsenden Anzahl an Domänencontrollern zu, mit einer maximalen Wartezeit von etwa dem dreifachen Zeitraum, die der Replikationsdienst als Pausenintervall mitteilt. Allgemein wird die Replikation innerhalbeineseinzelnen Standorts schnell abgeschlossen. Die Replikation zwischen zwei oder mehreren Active Directory-Standorten dauert grundsätzlich länger und hängt von dem vom Administrator konfigurierten Replikationsplan ebenso ab, wie davon, ob der Administrator die Replikationsbenachrichtigungen innerhalb des Standorts konfiguriert hat oder nicht.
372
Teil III
Active Directory-Infrastruktur
Führen Sie, um diese Situation vollständig zu vermeiden, alle Änderungen einer Gruppenmitgliedschaft auf einem einzigen Domänencontroller aus. Dies verhindert, dass Änderungen auf Grund von Replikationskonflikten verloren gehen. Weitere Informationen zur Mulitmaster-KonfliktlösungsrichtliniefürActive Directory und wie Sie Active Directory so konfigurieren, dass die Replikationswartezeit minimiert wird, finden Sie im Kapitel „Active Directory-Replikation“in Microsoft ® Windows® 2000 – Die technische Referenz: Verteilte Systeme.
Einrichten von Vertrauensstellungen Die Planung der verteilten Sicherheit muss die vorgesehene Struktur der Domänen, Strukturen von Domänen, Gesamtstrukturen und Nicht-Windows 2000-Server berücksichtigen. Obwohl Windows 2000 automatisch Standardvertrauensstellungen einrichtet, muss der Plan verdeutlichen, welche Domänen Teil einer Domänengesamtstruktur sein müssen und welche Domäne möglicherweise explizite Vertrauensstellungen für das Netzwerk erfordern. Bei Windows 2000-Computern in derselben Gesamtstruktur wird die Kontoauthentifizierung zwischen Domänen über bidirektionale, transitive Vertrauensstellungen ermöglicht. Die transitive Vertrauensstellung wird automatisch eingerichtet, wenn eine neue Domäne mit einer Domänenstruktur verbunden wird. Eine Vertrauensstellung wird durch einen geheimen Schlüssel definiert, der von zwei Domänen gemeinsam genutzt und regelmäßig aktualisiert wird. Vertrauensstellungen werden von der Kerberos v5-Authentifizierung verwendet, wenn sich Clients und Server in unterschiedlichen Domänen einer Gesamtstruktur befinden. Der geheime Schlüssel der Vertrauensstellung wird vom Kerberos-Dienst verwendet, um ein Referenzticket für eine vertrauende Domäne zu erstellen. NTLM-Authentifizierung verwendet ebenfalls Vertrauensstellungen für die PassThrough-Authentifizierung. Die Pass-Through-Authentifizierung verwendet den geheimen Schlüssel der Vertrauensstellung, um einen sicheren Kanal zwischen Domänen einzurichten. In Windows 2000 unterstützt die NTLM-Authentifizierung auch transitive Vertrauensstellungen, wenn sich die Domänen im einheitlichen Modus befinden.
Vertrauensstellungen zwischen Domänen Vertrauensstellungen zwischen Domänen sind eine nützliche Methode, um Benutzern einer vertrauenswürdigen Domäne den Zugriff auf Dienste in einer vertrauenden Domäne zu ermöglichen. Wenn alle Benutzer und Dienste in einer einzigen Unternehmensdomäne verwaltet werden können, sind keine Vertrauensstellungen erforderlich. Das Erstellen separater Domänen bietet jedoch einige Vorteile. Domänen sind sehr gut geeignet, um die Verantwortungsbereiche der Domänenadministratoren zu trennen. Jeder Administrator ist für die Benutzer und Ressourcen in seiner Domäne verantwortlich. Domänen stellen auch die Anwendungsbereiche der Einstellungen für die Sicherheitsrichtlinien, wie beispielsweise Kontorichtlinien, dar. Die meisten Vertrauensstellungen in einer Windows 2000Gesamtstruktur sind implizite, bidirektionale und transitive Vertrauensstellungen, die keine Planung erfordern. Es handelt sich vor allem um die externen Vertrauensstellungen zu Windows NT 4.0-Domänen oder zu anderen Windows 2000Domänen in einer anderen Struktur, die in Ihrem Plan berücksichtigt werden müssen.
Kapitel 11 Planen der verteilten Sicherheit
373
Funktionsweise von Vertrauensstellungen Alle Vertrauensstellungen zwischen Domänen verbinden nur zwei Domänen miteinander: die vertrauende und die vertrauenswürdige Domäne. Die Merkmale einer Vertrauensstellung sind folgende: ? Unidirektional ? Bidirektional ? Transitiv ? Nicht-transitiv Eine unidirektionaleVertrauensstellung ist eine einzelne Vertrauensstellung, wobei Domäne A der Domäne Bvertraut. Alle unidirektionalen Vertrauensstellungen sind nicht-transitiv. Authentifizierungsanforderungen können nur von der vertrauenden Domäne an die vertrauenswürdige Domäne gesendet werden. Wenn also Domäne A eine unidirektionale Vertrauensstellung zu Domäne Bhat, und Domäne B eine unidirektionale Vertrauensstellung zu Domäne C, ist damit noch keine Vertrauensstellung zwischen Domäne A und Domäne C erstellt. Eine Windows 2000-Domäne kann zu folgenden Objekten unidirektionale Vertrauensstellungen errichten. ? Windows 2000-Domänen in einer anderen Gesamtstruktur ? Windows NT 4.0-Domänen ? MIT Kerberos v5-Bereiche Da alle Windows 2000-Domänen in einer Gesamtstruktur automatisch mit transitiven Vertrauensstellungen verbunden werden, ist es normalerweise nicht notwendig, zwischen den Windows 2000-Domänen in derselben Gesamtstruktur unidirektionaleVertrauensstellungenzu erstellen. Alle Vertrauensstellungen zwischen Domänen in einer Windows 2000-Gesamtstruktur sind bidirektional und transitiv. Transitive Vertrauensstellungen sind immer bidirektional: Die so verbundenen Domänen vertrauen sich gegenseitig. Immer wenn eine neue untergeordnete Domäne erstellt wird, wird eine bidirektionale, transitive Vertrauensstellung zwischen ihr und der übergeordneten Domäne erzeugt. Auf diese Weise werden transitive Vertrauensstellungen mit der Weiterentwicklung der Domänenstruktur aufwärts fortgesetzt, so dass zwischen allen Domänen der Struktur transitive Vertrauensstellungen bestehen. Immer wenn eine neue Domänenstruktur in der Gesamtstruktur erstellt wird, wird eine bidirektionale, transitive Vertrauensstellung zwischen der GesamtstrukturStammdomäne und der neuen Domäne (der Stammdomäne der neuen Domänenstruktur) erzeugt. Auf diese Weise werden die transitiven Vertrauensstellungen durch alle Domänen der Gesamtstruktur fortgesetzt. DieAuthentifizierungsanforderungen folgen diesen Vertrauenspfaden, so dass die Konten aller Domänen in der Gesamtstruktur bei allen anderen Domänen derselben Gesamtstruktur authentifiziert werden können. Sie können auch explizit (manuell) transitive Vertrauensstellungen zwischen Windows 2000-Domänen in unterschiedlichen Zweigen derselben Domänenstruktur oder in verschiedenen Strukturen einer Gesamtstruktur erzeugen. Diese querverknüpften Vertrauensstellungen können verwendet werden, um den Vertrauenspfad in großen und komplexen Domänenstrukturen oder Gesamtstrukturen abzukürzen. Explizite Vertrauensstellungen müssen im Plan zur verteilten Sicherheit berücksichtigt werden.
374
Teil III
Active Directory-Infrastruktur
Eine nicht-transitive Vertrauensstellung ist auf ihre beiden zugehörigen Domänen beschränkt und wird nicht zu anderen Domänen in der Gesamtstruktur fortgesetzt. Nicht-transitive Vertrauensstellungen müssen explizit erstellt werden. Sie sind standardmäßig unidirektional. Sie können jedoch auch eine bidirektionale, nichttransitive Vertrauensstellung erzeugen, indem Sie zwei unidirektionale Vertrauensstellungen einrichten. Alle Vertrauensstellungen zwischen Domänen, die nicht derselben Gesamtstruktur angehören, sind nicht-transitiv. Transitive Vertrauensstellungen können nur zwischen Windows 2000-Domänen in derselben Gesamtstruktur eingerichtet werden. Zwischen folgenden Arten von Domänen sind ausschließlich nicht-transitive Vertrauensstellungenmöglich: ? Windows 2000- und Windows NT-Domänen. ? Zwischen Windows 2000-Domänen in unterschiedlichen Gesamtstrukturen. ? Windows 2000- und MIT Kerberos v5-Domänen.
Voraussetzungen für das Implementieren von Vertrauensstellungen Es gibt keine besonderen Voraussetzungen für Vertrauensstellungen. Es genügt das Wissen, dass Vertrauensstellungen Verbindungen zwischen Domänen sind. Sie müssen also mindestens zwei Domänen einrichten, bevor Sie eine Vertrauensstellung erzeugen können.
Implementieren von Vertrauensstellungen Wenn Sie explizite Vertrauensstellungen zwischen den Domänen einer Gesamtstruktur erstellen möchten, öffnen Sie das MMC-Snap-In „Active DirectoryDomänen und -Vertrauensstellungen“. Klicken Sie mit der rechten Maustaste auf eine Domäne, und öffnen Sie die Eigenschaftenseite. Wählen Sie die Registerkarte Vertrauensstellungen aus. Auf dieser Registerkarte können Sie Vertrauensstellungen zwischen der gewählten Domäne und anderen Domänen derselben Gesamtstruktur hinzufügen, bearbeiten oder löschen.
Überlegungen zu Vertrauensstellungen Domänen im gemischten Modus (in denen Windows NT 4.0-Reservedomänencontroller z. B. während einer Netzwerkaktualisierung zeitweise mit einem Windows 2000-PDC kombiniert sind) implementieren Vertrauensstellungen ähnlich wie Windows NT 4.0-Domänen für Windows NT 4.0-Arbeitsstationen und Server. So werden alle Vertrauensstellungen, die für Windows NT 4.0Arbeitsstationenund -Server erforderlich sind, auch in gemischten Domänen benötigt. Domänen im einheitlichen Modus (in denen auf allen Servern Windows 2000 ausgeführt wird) unterstützen transitive Vertrauensstellungen. Domänenadministratoren einer beliebigen Domäne in der Gesamtstruktur können alle Informationen im Konfigurationscontainer von Active Directory übernehmen und ändern. Diese Änderungen sind für alle Domänencontroller in der Gesamtstruktur verfügbar und werden an sie repliziert. Daher müssen Sie bei jeder Domäne, die zur Gesamtstruktur hinzugefügt wird, berücksichtigen, dass der Domänenadministrator dieser Domäne als ebenso vertrauenswürdig gilt wie die übrigenDomänenadministratoren.
Kapitel 11 Planen der verteilten Sicherheit
375
Bei Domänen, in denen der Domänenadministrator nicht völlig oder nicht gleichberechtigt vertrauenswürdig ist, gibt es zwei Möglichkeiten: Die Einrichtung einer expliziten unidirektionalen Vertrauensstellung (oder externen Vertrauensstellung) zu dieser Domäne. Auf diese Weise haben Benutzer, die sich bei dieser Domäne anmelden, nicht automatisch Zugang zur übrigen Gesamtstruktur. Diese Situation kann auch unauffälliger kontrolliert werden, wenn Sie erwägen, die Ressourcen dieser Domäne in einer Organisationseinheit zusammenzufassen (Active Directory-Ordner), die zu einer Domäne gehört, deren Administrator vertrauenswürdig ist. Entfernen Sie die separate Domäne vollständig. Der Administrator der nicht vertrauenswürdigen Domäne erhält nur die Kontrollfunktionen über die Computer und lokalen Gruppen, die Ressourcen seiner Domäne sind.
Aktivieren des Datenschutzes Mit Strategien zur Informationssicherheit können Sie die Daten auf Ihren Servern und Clientcomputern schützen und gleichzeitig Datenpakete auf dem Weg durch ungeschützte Netzwerke verbergen und sichern. Der Plan zur verteilten Sicherheit muss festlegen, welche Informationen zu schützen sind, falls Teile der Computerausstattung verloren gehen oder gestohlen werden. Darüber hinaus sind bestimmte Arten von Netzwerkverkehr, die kritisch oder privat sind und vor Netzwerksniffern geschützt werden müssen, in den Plan aufzunehmen. Hinsichtlich der Benutzer des Unternehmensnetzwerks ist die Zugriffskontrolle der wichtigste Mechanismus zum Schutz sicherheitskritischer Dateien vor unbefugten Zugriffen. Dieses Thema wurde bereits weiter oben in diesem Kapitel behandelt. Tragbare Computer sind allerdings vermehrt Diebstählen ausgesetzt. Daher ist die Zugriffskontrolle nicht ausreichend, um die Daten auf diesen Computern zu schützen. Es ist ein spezielles Problem, dass Laptops auf Reisen einfach entwendet werden können. Windows 2000 begegnet diesem Problem mit dem verschlüsselnden Dateisystem (EFS, Encrypting File System). Wenn Sie dafür sorgen möchten, dass ihre Datenpakete vertraulich bleiben, können Sie IPSec (Internet Protocol Security) verwenden, um den Netzwerkverkehr zwischen allen Benutzern zu verschlüsseln. IPSec bietet die Fähigkeit, authentifizierte und verschlüsselte Netzwerkverbindungen zwischen zwei Computern aufzubauen. Sie könnten Paketsniffer beispielsweise daran hindern, die E-Mail-Nachrichten zwischen Client und Server zu lesen, indem Sie den E-MailServer so konfigurieren, dass er eine sichere Verbindung mit Clients anfordert. IPSec ist ideal für den Schutz von Daten bereits vorhandener Anwendungen, die nicht in Hinblick auf Datensicherheit entwickelt wurden. Netzwerk- und DFÜ-Verbindungen (Remotezugriff, RAS) schützen immer Netzwerkdaten, die über das Internet oder öffentliche Telefonleitungen gesendet werden. RAS verwendet ein virtuelles privates Netzwerk, das die PPTP oder das LT2P-Tunneling-Protokoll über IPSec nutzt.
376
Teil III
Active Directory-Infrastruktur
Verschlüsselndes Dateisystem Das verschlüsselnde Dateisystem (EFS) von Windows 2000 ermöglicht Benutzern das Verschlüsseln bestimmter Dateien oder Ordner auf einem lokalen Computer und damit den zusätzlichen Schutz der lokal gespeicherten Daten. EFS entschlüsselt die Datei vor der Verwendung automatisch und verschlüsselt sie erneut, wenn sie gespeichert wird. Diese Dateien kann niemand lesen außer dem Benutzer, der die Dateien verschlüsselt hat und einem Administrator mit einem EFS-Wiederherstellungszertifikat. Da der Verschlüsselungsmechanismus in das Dateisystem integriert ist, ist sein Verfahren für den Benutzer transparent und extrem schwierig anzugreifen. EFS eignet sich besonders für den Schutz von Daten auf Computern, die diebstahlgefährdet sind, wie beispielsweise Laptops. Sie können EFS auf Laptops konfigurieren, um sicherzustellen, dass alle Geschäftsinformationen in den Dokumentordnern der Benutzer verschlüsselt werden. Die Verschlüsselung schützt auch dann, wenn jemand es schafft, EFS zu umgehen, und die Informationen mit Hilfe von einfachen Festplattendienstprogrammen zu lesen versucht. EFS ist vorwiegend für den Schutz von Benutzerdateien auf der Festplatte des lokalen NTFS-Dateisystems gedacht. Wenn Sie es für andere Funktionen nutzen möchten (Remotelaufwerke, mehrere Benutzer, Bearbeiten verschlüsselter Dateien), müssen Sie zahlreiche Ausnahmen und besondere Bedingungen beachten.
Funktionsweise von EFS EFS verschlüsselt Dateien mit Hilfe eines symmetrischen Verschlüsselungsschlüssels, der für jede Datei einmalig ist. Dann verwendet EFS den öffentlichen Schlüssel des EFS-Zertifikats des Dateieigentümers, um auch den Verschlüsselungsschlüssel zu verschlüsseln. Da ausschließlich der Dateieigentümer Zugang zu seinem privaten Schlüssel hat, ist er der einzige, der den Schlüssel – und damit die Datei – entschlüsseln kann. Auch der originale Verschlüsselungsschlüssel kann mit dem öffentlichen Schlüssel des EFS-Zertifikats eines Administrators verschlüsselt werden. Der private Schlüssel dieses Zertifikats kann im Notfall für die Wiederherstellung der Datei verwendet werden. Organisationen wird dringend empfohlen, einen Wiederherstellungsagenteneinzurichten. Selbst wenn die Datei gestohlen werden kann, über das Netzwerk oder physisch, kann sie nur entschlüsselt werden, wenn zuerst unter dem Namen des richtigen Benutzers eine Netzwerkanmeldung erfolgt. Da sie nicht gelesen werden kann, ist auch eine betrügerische Änderung nicht möglich. EFS erfüllt einen Aspekt einer Richtlinie zur Vertraulichkeit von Daten.
Voraussetzungen für das Implementieren von EFS Wenn Sie EFS implementieren möchten, muss bereits eine Infrastruktur für öffentliche Schlüssel eingerichtet sein. Mindestens ein Administrator muss ein EFS-Wiederherstellungszertifikat besitzen, so dass die Datei entschlüsselt werden kann, falls dem ursprünglichen Autor etwas zustößt. Der Autor der Datei muss über ein EFS-Zertifikat verfügen. Die zu verschlüsselnden Dateien und Ordner müssen in der NTFS-Version von Windows 2000 gespeichert sein.
Kapitel 11 Planen der verteilten Sicherheit
377
Implementieren von EFS Öffnen Sie Windows Explorer, und klicken Sie mit der rechten Maustaste auf einen Ordner oder eine Datei. Wählen Sie Eigenschaften. Klicken Sie auf der Registerkarte Allgemein auf Erweitert. Wählen Sie anschließend das Kontrollkästchen Inhalt verschlüsseln, um Daten zu schützen. Die Inhalte der Datei oder aller Dateien im ausgewählten Ordner sind nun verschlüsselt, bis Sie das Kontrollkästchen erneut deaktivieren. Weitere Informationen über die bestmöglichen Verfahren zur Verschlüsselung von Dateisystemen finden Sie in der Onlinehilfe zu Windows 2000 Server. Siehe auch „Verschlüsselndes Dateisystem“ in Microsoft® Windows® 2000 Server – Die technische Referenz: Verteilte Systeme.
Überlegungen zu EFS EFS wird nur für die in Windows 2000 verwendete NTFS-Version unterstützt. Es arbeitet nicht mit anderen Dateisystemen, einschließlich früherer Versionen von NTFS. EFS kann zur sicheren Speicherung kritischer Daten auf freigegebenen Servern verwendet werden oder im Rahmen der normalen Dateiverwaltung (Sicherung). Die Server müssen gut gesichert sein, und ihnen muss „für Delegierungszwecke vertraut“ werden. Beim Ver- und Entschlüsseln von Dateien operieren die EFSDienste im Namen der EFS-Benutzer und stellen in ihrem Auftrag weitere Netzwerkverbindungen her. EFS nutzt eine Wiederherstellungsrichtlinie, die es einem autorisierten Wiederherstellungsagenten ermöglicht, verschlüsselte Dateien zu entschlüsseln. Es benötigt mindestens einen Wiederherstellungsagenten. Wiederherstellungsagenten können mit Hilfe von EFS verschlüsselte Dateien wiederherstellen, wenn Benutzer die Organisation verlassen oder ihre Verschlüsselungsinformationen verlieren. Für die EFS-Wiederherstellung müssen Sie den Einsatz von PKI-Komponenten planen und eines oder mehrere Zertifikate ausstellen. Diese Zertifikate müssen offline sicher gespeichert werden, so dass sie nicht gefährdet sind. EFS kann für EFS-Benutzer und EFS-Wiederherstellungsagenten eigene Zertifikateerstellen. Standardmäßig stellt EFS EFS-Wiederherstellungszertifikate für das Konto des Domänenadministrators als Wiederherstellungsagent für die Domäne aus. Bei eigenständigen Computern, die keiner Domäne angehören, stellt EFS EFS-Wiederherstellungszertifikate für das Benutzerkonto des lokalen Administrators als Wiederherstellungsagent für diesen Computer aus. Viele Organisationen möchten möglicherweise andere EFS-Wiederherstellungsagenten bestimmen, die das EFSWiederherstellungsprogramm zentral verwalten. Sie können beispielsweise Organisationseinheiten für Computergruppen erstellen und spezielle Wiederherstellungsagentenkonten festlegen, um die EFS-Wiederherstellung für bestimmte Organisationseinheiten zu verwalten.
378
Teil III
Active Directory-Infrastruktur
Mit Hilfe der Microsoft Zertifikatsdienste können Sie Zertifikate für EFS-Wiederherstellungsagenten und EFS-Benutzer ausstellen. Wenn die Zertifikatsdienste online verfügbar sind, nutzt EFS sie für die Erstellung von EFS-Zertifikaten. Beachten Sie, dass Clusterdienste Analysepunkte auf freigegebenen Speichern nicht unterstützen. Daher kann EFS nicht verwendet werden, wenn es sich bei dem Dateiserver tatsächlich um einen Windows-Cluster handelt. Nehmen Sie Strategien für EFS und EFS-Wiederherstellung in den Einsatzplan für die Netzwerksicherheit auf. EFS-Strategien könnten beispielsweise folgende Informationen enthalten: ? Dateisystemstrategien für Laptops und andere Computer. ? EFS-Wiederherstellungsagenten. ? Den empfohlenen EFS-Wiederherstellungsprozess. ? Die empfohlene Verwaltung und den Archivierungsprozess für den privaten
Schlüssel des EFS-Wiederherstellungsagenten. ? Zertifikatsdienste müssen EFS-Wiederherstellungszertifikateunterstützen.
IP-Sicherheit Windows 2000 bindet IPSec (Internet Protocol Security) zum Datenschutz der Netzwerkaktivitäten ein. IPSec ist eine Protokollfamilie, die eine sichere, verschlüsselte Kommunikation zwischen zwei Computern über ein unsicheres Netzwerk ermöglicht. Die Verschlüsselung wird auf die IP-Netzwerkschicht angewendet, was bedeutet, dass sie für die meisten Anwendungen, die bestimmte Protokolle für die Netzwerkkommunikation verwenden, transparent ist. IPSec bietet durchgehende Sicherheit, das heißt, die IP-Pakete werden von dem sendenden Computer verschlüsselt, sind unterwegs unlesbar und können nur vom empfangenden Computer entschlüsselt werden. Aufgrund eines besonderen Algorithmus zur Erzeugung desselben gemeinsamen Verschlüsselungsschlüssels an beiden Enden der Verbindung muss der Schlüssel selbst nicht über das Netzwerk weitergegeben werden.
Funktionsweise von IPSec IPSec besitzt viele komplexe Komponenten und Optionen, die eine detaillierte Einarbeitung verdienen. Im Großen und Ganzen jedoch funktioniert der Prozess in folgender Weise: 1. Eine Anwendung auf Computer A erzeugt ausgehende Pakete, die über das Netzwerk an den Computer B gesendet werden sollen. 2. Innerhalb von TCP/IP vergleicht der IPSec-Treiber die ausgehenden Pakete mit den IPSec-Filtern, um zu prüfen, ob die Pakete gesichert werden müssen. Die Filter sind mit einer Filteraktion in den IPSec-Sicherheitsregeln verbunden. Viele IPSec-Sicherheitsregeln können in einer IPSec-Richtlinieenthaltensein, die einem Computer zugewiesen ist.
Kapitel 11 Planen der verteilten Sicherheit
379
3. Wenn ein passender Filter die Sicherheitsaktion verhandeln muss, beginnt Computer A die Sicherheitsaushandlungen mit Computer B, wobei er ein Protokoll verwendet, das Internetschlüsselaustausch (IKE) genannt wird. Die beiden Computer tauschen entsprechend der in der Sicherheitsregel bestimmten Authentifizierungsmethode Identitätsinformationen aus. Als Authentifizierungsmethoden können die Kerberos-Authentifizierung, Zertifikate für öffentliche Schlüssel oder ein vorinstallierter Schlüsselwert (ähnlich einem Kennwort) dienen. Die IKE-Aushandlung richtet zwischen den beiden Computern zwei Typen von Abkommen ein, die „Sicherheitszuordnungen“ genannt werden. Ein Typ („Phase I IKE SA“ genannt) bestimmt, wie sich die beiden Computer gegenseitig vertrauen, und schützt ihre Aushandlung. Der andere Typ ist eine Vereinbarung darüber, wie ein besonderer Typ von Anwendungskommunikation zu schützen ist. Diese besteht aus zwei Sicherheitszuordnungen (genannt „Phase II IPSec SAs“), die die Sicherheitsmethoden und Schlüssel für jede Kommunikationsrichtung bestimmen. Der Internetschlüsselaustausch erzeugt und aktualisiert automatisch einen gemeinsamen, geheimen Schlüssel für jede Sicherheitszuordnung. Der Sicherheitsschlüssel wird unabhängig an beiden Enden erzeugt, so dass er nicht über das Netzwerk übermittelt werden muss. 4. Der IPSec-Treiber auf Computer A signiert die ausgehenden Pakete für die Integrität und verschlüsselt sie optional für die Vertraulichkeit. Hierbei verwendet er die bei der Aushandlung vereinbarten Methoden. Anschließend übermittelt er die gesicherten Pakete an Computer B. Anmerkung Für die Firewalls, Router und Server entlang des Netzwerkpfads von Computer A zu Computer B ist IPSec nicht erforderlich. Sie leiten die Pakete wie üblich weiter. 5. Der IPSec-Treiber auf Computer B prüft die Pakete auf ihre Integrität hin und entschlüsselt erforderlichenfalls ihren Inhalt. Anschließend leitet er die Pakete zur empfangenden Anwendung weiter. IPSec bietet Sicherheit gegen die Manipulation und das Abfangen von Daten sowie gegen Replay-Angriffe. IPSec ist wichtig für alle Strategien hinsichtlich der Vertraulichkeit von Daten, der Datenintegrität und der Zulassung.
Voraussetzungen für das Implementieren von IPSec Für die Computer im Netzwerk ist eine IPSec-Sicherheitsrichtliniezudefinieren, die für Ihre Netzwerksicherheitsstrategie und für die jeweilige Art der Netzwerkkommunikation geeignet ist. Computer derselben Domäne könnten beispielsweise in Gruppen organisiert werden, für die dann entsprechende IP-Sicherheitsrichtlinien erstellt werden. Für die Computer in unterschiedlichen Domänen könnten zusätzliche IPSec-Sicherheitsrichtlinien erstellt werden, die sichere Netzwerkverbindungenunterstützen.
380
Teil III
Active Directory-Infrastruktur
Implementieren von IPSec Sie können die Standard-IP-SicherheitsrichtlinienimGruppenrichtlinien-Snap-In von MMC anzeigen. Die Richtlinien befinden sich im Abschnitt IPSicherheitsrichtlinien in Active Directory oder im Abschnitt IPSicherheitsrichtlinien auf lokalem Computer: Gruppenrichtlinienobjekt ?Computerkonfiguration ?Windows-Einstellungen ?Sicherheitseinstellungen ?? IP-Sicherheitsrichtlinien in Active Directory
Die IPSec-Richtlinien können auch im IP-Sicherheitsrichtlinienverwaltungs-SnapIn von MMC angezeigt werden. Jede IP-Sicherheitsrichtlinie enthält Sicherheitsregeln, die bestimmen, wann und wie der Datenverkehr geschützt wird. Klicken Sie mit der rechten Maustaste auf eine Richtlinie, und wählen Sie Eigenschaften. Die Registerkarte Regeln listet die Richtlinienregeln auf. Regeln können darüber hinaus in Filterlisten, Filteraktionen und zusätzliche Eigenschaften zerlegt werden. Weitere Informationen über IPSec finden Sie in der Onlinehilfe zu Windows 2000 Server und im Kapitel „IPSec (Internet Protocol Security)“ in Microsoft® Windows® 2000 Server – Die technische Referenz: TCP/IP-Netzwerke.
Überlegungen zu IPSec IPSec bietet die Verschlüsselung aus- und eingehender Pakete. Dies verbraucht jedoch zusätzliche CPU-Ressourcen, wenn die Verschlüsselung vom Betriebssystem durchgeführt wird. Häufig verfügen die Clients und Server über ausreichende CPU-Kapazitäten, so dass die IPSec-Verschlüsselung keine nennenswerte Auswirkung auf die Leistung hat. Für Server, die viele gleichzeitige Netzwerkverbindungen unterstützen oder große Datenmengen zu anderen Servern übertragen müssen, ist die zusätzliche Verschlüsselung jedoch eine spürbare Belastung. Daher sollten Sie IPSec mit simuliertem Netzwerkverkehr testen, bevor Sie es verwenden. Ein Test ist auch wichtig, wenn Sie Hardware- oder Softwareprodukte von Drittanbietern verwenden, um IPSec zu nutzen. Windows 2000 ermöglicht mit Hilfe von Geräteschnittstellen die Hardwarebeschleunigung der paketweisen Verschlüsselung von IPSec durch intelligente Netzwerkkarten. Die Anbieter von Netzwerkkarten bieten möglicherweise unterschiedliche Versionen von Client- und Serverkarten und unterstützen eventuell nicht alle Kombinationen von IPSec-Sicherheitsmethoden. Lesen Sie die Produktinformationen jeder Karte sorgfältig, um sicherzustellen, dass sie die Sicherheitsmethoden und die Anzahl von Verbindungen, die Sie erwarten, unterstützt. Sie können für jede Domäne oder Organisationseinheit IP-Sicherheitsrichtlinien (IPSec) definieren. Sie können auch lokale IPSec-Richtlinien auf Computern definieren, denen keine IPSec-Richtlinie der Domäne zugewiesen wurde. IPSecRichtlinien können zu folgenden Zwecken konfiguriert werden: ? Bestimmen der Ebenen von Authentifizierung und Vertraulichkeit, die zwischen
IP-Clients erforderlich sind. ? Bestimmen der niedrigsten Sicherheitsebene, auf der die Kommunikation
zwischen IPSec-sensitiven Clients erlaubt werden.
Kapitel 11 Planen der verteilten Sicherheit
381
? Erlauben oder Verhindern der Kommunikation mit Clients, die nicht IPSec-
sensitiv sind. ? Festlegen, dass jede Art von Kommunikation aus Gründen der Vertraulichkeit verschlüsselt wird oder Kommunikation in Klartext zugelassen wird. Erwägen Sie, ob Sie IPSec-Sicherheitsfunktionen für folgende Anwendungen einsetzen: ? Peer-to-Peer-Verbindungen über das Intranet der Organisation, wie beispiels-
weise die Kommunikation der Rechtsabteilung oder des Leitungsgremiums. ? Client-Server-Verbindungen, um sicherheitskritische (vertrauliche) Informationen zu schützen, die auf den Servern gespeichert sind. BeiDateifreigaben, die eine Kontrolle der Benutzerzugriffe erfordern, können Sie mit Hilfe von IPSec sicherstellen, dass andere Netzwerkbenutzer die übermittelten Daten nicht einsehen können. ? RAS-Verbindungen (DFÜ oder virtuelles privates Netzwerk). (Beachten Sie, dass bei VPNs, in denen IPSec mit L2TP verwendet wird, Gruppenrichtlinien eingerichtet werden, so dass die automatische Einschreibung für IPSec-Zertifikate zulässig ist. Weitere Informationen zu Computerzertifikaten für L2TP über IPSec VPN-Verbindungen finden Sie in der Onlinehilfe zu Windows 2000.) ? Sichere Router-zu-Router-WAN-Verbindungen. Berücksichtigen Sie folgende Strategien für IPSec in Ihrem Plan zur Einrichtung der Netzwerksicherheit. ? Bestimmen der Clients und Server, die IPSec-Verbindungen verwenden sollen. ? Bestimmen, ob die Client-Authentifizierung auf Kerberos-Vertrauensstellungen
oder digitalen Zertifikaten basiert. ? Beschreiben, wie jeder Computer erstmalig die richtige IPSec-Richtlinieund darauffolgende Aktualisierungen erhält. ? Beschreiben der Sicherheitsregeln innerhalb der einzelnen IPSec-Richtlinien. Überlegen Sie, auf welche Weise Zertifikatsdienste bei der Unterstützung der Client-Authentifizierung durch digitale Zertifikate benötigt werden. ? Beschreiben des Einschreibungsprozesses und von Strategien zum Einschreiben von Computern für IPSec-Zertifikate.
Festlegen einheitlicher Sicherheitsrichtlinien Einheitliche Sicherheitsrichtlinien ermöglichen die Anwendung und Durchsetzung konsistenter Sicherheitseinstellungen für Computerklassen im Unternehmen, wie z. B. für die Klasse der Domänencontroller. Hierzu müssen Sie lediglich eine Organisationseinheit erstellen, einen Ordner im Active Directory erzeugen, die betreffenden Computerobjekte in der Organisationseinheit zusammenfassen und schließlich ein Gruppenrichtlinienobjekt auf die Organisationseinheit anwenden. Die in der Gruppenrichtlinie spezifizierten Sicherheitsrichtlinien werden dann automatisch und konsistent auf allen Computern durchgesetzt, die zu den Computerkonten in der Organisationseinheit gehören.
382
Teil III
Active Directory-Infrastruktur
Windows 2000 verfügt bereits über eine Auswahl von Standard-Gruppenrichtlinienobjekten, die bei neuen Domänen und Domänencontrollern automatisch angewendet werden. Darüber hinaus gibt es eine Reihe von Sicherheitsvorlagen, die unterschiedliche Sicherheitsebenen für die verschiedenen Arten von Unternehmenscomputern darstellen. Mit Hilfe einer Vorlage ist es möglich, eine Gruppenrichtlinie für eine Gruppe von Computern zu erstellen oder die Sicherheitseinstellungen eines bestimmten Computers zu beurteilen. Dieser Abschnitt behandelt nur die Sicherheitseinstellungen von Gruppenrichtlinien. Wenn Sie eine Gruppenrichtlinie zu einer Organisationseinheit hinzufügen, sind auch zahlreiche Richtlinien enthalten, die nicht zum Thema Sicherheit gehören. Eine umfassendere Erläuterung zu diesem Thema finden Sie in der Windows 2000-Hilfe sowie im Kapitel „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ in diesem Buch.
Gruppenrichtlinie Ein Gruppenrichtlinienobjekt enthält ein umfassendes Profilvon Sicherheitsberechtigungen, die sich vorwiegend auf die Sicherheitseinstellungen von Domänen oder Computern beziehen (selten auf Benutzer). Ein einzelnes Gruppenrichtlinienobjekt kann auf alle Computer einer Organisationseinheit angewendet werden. Die Gruppenrichtlinie wird angewendet, wenn der jeweilige Computer gestartet wird, und unabhängig von weiteren Neustarts in regelmäßigen Abständen aktualisiert, wenn Änderungen erfolgen.
Funktionsweise von Gruppenrichtlinien Gruppenrichtlinienobjektesind mit Domänen und Organisationseinheiten (Ordnern) im MMC-Snap-In „Active Directory-Benutzer und -Computer“ verknüpft. Die von einer Gruppenrichtlinie gewährten Berechtigungen werden auf die in diesem Ordner gespeicherten Computer angewendet. Unter Verwendung des Snap-Ins für Active Directory-Standorte und -Dienste können Gruppenrichtlinien auch auf Standorte angewendet werden. Die Einstellungen der Gruppenrichtlinie werden von den übergeordneten an die untergeordneten Ordner vererbt, die wiederum ihre eigenen Gruppenrichtlinienobjekte besitzen können. Einem Ordner können mehrere Gruppenrichtlinienobjekte zugeordnet werden. Weitere Informationen über die Reihenfolge der Gruppenrichtlinien, und die Lösung von Konflikten zwischen mehreren Richtlinienobjekten finden Sie in der Onlinehilfe von Windows 2000. Die Gruppenrichtlinie ist eine ergänzende Komponente zu Sicherheitsgruppen. Sie ermöglicht die Anwendung von nur einem Sicherheitsprofil auf mehreren Computern. Darüber hinaus unterstützt sie die Konsistenz und bietet eine einfache Verwaltung. Gruppenrichtlinienobjekteenthalten Berechtigungen und Parameter, die unterschiedliche Arten von Sicherheitsstrategien implementieren.
Kapitel 11 Planen der verteilten Sicherheit
383
Voraussetzungen für das Implementieren von Gruppenrichtlinien Die Gruppenrichtlinie ist eine Funktion des Windows 2000-Active Directory. Active Directory muss auf einem Server bereits installiert sein, bevor Sie Gruppenrichtlinienobjektebearbeiten und anwenden können.
Implementieren von Gruppenrichtlinien Wenn Sie ein Beispiel für eine Organisationseinheit und ihre Gruppenrichtlinie anzeigen möchten, öffnen Sie das MMC-Snap-In „Active Directory-Benutzer und -Computer“, und klicken Sie mit der rechten Maustaste auf die Organisationseinheit Domänencontroller. Öffnen Sie die Eigenschaftenseite, und klicken Sie auf dieRegisterkarte Gruppenrichtlinie. Wählen Sie die Option für die Standardrichtlinie für Domänencontroller, und klicken Sie auf Bearbeiten. Das Gruppenrichtlinien-Snap-In von MMC wird geöffnet. Gehen Sie in diesem Modul zum Container Sicherheitseinstellungen. Gruppenrichtlinienobjekt ?Computerkonfiguration ?Windows-Einstellungen ?Sicherheitseinstellungen
Unterhalb von Sicherheitseinstellungen befinden sich neun Unterverzeichnisse mit Einstellungen für Sicherheitsrichtlinien. Diese neun Gruppen werden weiter unten in diesem Kapitel kurz näher erläutert. Das Implementieren einer Gruppenrichtlinie umfasst die Erstellung eines neuen (oder das Ändern eines bereits vorhandenen) Gruppenrichtlinienobjekts, das Aktivieren der entsprechenden Einstellungen im Objekt und das Verknüpfen des Gruppenrichtlinienobjekts mit einer Organisationseinheit, die Computer in der Domäne enthält.
Überlegungen zu Gruppenrichtlinien Erstellen Sie Organisationseinheiten für Computer, die im Unternehmen ähnliche Aufgaben haben. Verwenden Sie eine Organisationseinheit für Ihre Domänencontroller. Erstellen Sie eine weitere für Anwendungsserver. Die Clientcomputer könnten in einer dritten Organisationseinheit zusammengefasst werden. Weisen Sie jeder dieser Gruppen nur ein Gruppenrichtlinienobjekt zu, um konsistente Sicherheitseinstellungenzuimplementieren. Es wird empfohlen, die Anzahl von Gruppenrichtlinienobjekten für Benutzer und Gruppen möglichst gering zu halten. Hierfür sollte zuerst gesorgt sein, da die Gruppenrichtlinienobjekte für jeden Computer und jeden Benutzer während des Startvorgangs auf den Computer und bei der Anmeldung in das Benutzerprofil heruntergeladen werden müssen. Zu viele Gruppenrichtlinienobjekteerhöhendie Dauer des Startvorgangs und der Benutzeranmeldung. Darüber hinaus kann die Zuweisung vieler Gruppenrichtlinienobjekte Richtlinienkonflikte erzeugen, dienur schwer zu beheben sind.
384
Teil III
Active Directory-Infrastruktur
Im Allgemeinen kann die Gruppenrichtlinie von übergeordneten an die untergeordneten Standorte, Domänen und Organisationseinheiten weitergegeben werden. Wenn Sie einem übergeordneten Objekt eine bestimmte Gruppenrichtlinie zugewiesen haben, ist diese für alle diesem Objekt untergeordneten Organisationseinheiten gültig, einschließlich der Benutzer- und Computerobjekte in jedem Container. Weitere Informationen zur Vererbung der Einstellungen von Gruppenrichtlinien finden Sie unter „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ in dieser Dokumentation. Sicherheitsvorlagen (Beschreibung folgt weiter unten in diesem Kapitel) können als Vorbilder für die Sicherheitseinstellungen unterschiedlicher Arten von Gruppenrichtlinien sehr nützlich sein. Ihr Plan zur Einrichtung der Netzwerksicherheit sollte signifikante Vorgaben für jede Kategorie und Unterkategorie von Richtlinienenthalten. Sie können folgende Informationen in den Sicherheitsplan aufnehmen: ? Festlegen der Einstellungen für Gruppenrichtlinien, die von den
Standardeinstellungen abweichen sollen. ? Beschreiben aller Aspekte der Änderung von Einstellungen für die Gruppenrichtlinie. ? Beschreiben von besonderen Sicherheitsanforderungen und der Konfiguration der Gruppenrichtlinie, die diese besonderen Anforderungen erfüllt.
Sicherheitseinstellungen der Gruppenrichtlinie Wie bereits erwähnt, gibt es neun Arten von Sicherheitsfunktionen für Gruppenrichtlinien: Es handelt sich dabei um Container im Knoten Sicherheitseinstellungen einesGruppenrichtlinienobjekts. Sie lauten folgendermaßen: ? Kontorichtlinien ? LokaleRichtlinien ? Ereignisprotokoll ? Eingeschränkte Gruppen ? Systemdienste ? Registrierung ? Dateisystem ? Richtlinien für öffentliche Schlüssel ? IPSec-Richtlinien (Internet Protocol Security) in Active Directory
Einige der Richtlinienbereiche werden nur im Bereich der Domäne angewendet, d. h. die Richtlinieneinstellungen sind domänenweit. Kontorichtlinienz. B. werden gleichmäßig auf alle Benutzerkonten in der Domäne angewendet. Sie können keine unterschiedlichen Kontorichtlinien für unterschiedliche Organisationseinheiten in derselben Domäne definieren. Die Kontorichtlinien und die Richtlinien für öffentliche Schlüssel sind von den Sicherheitsrichtlinienbereichen diejenigen, die domänenweit wirksam sind. Alle anderen Richtlinienbereiche können auf der EbeneeinerOrganisationseinheit spezifiziert werden.
Kapitel 11 Planen der verteilten Sicherheit
385
Kontorichtlinien Kontorichtlinien sind die erste Unterkategorie der Sicherheitseinstellungen. KontorichtlinienenthaltendiefolgendenRichtlinien: Kennwortrichtlinie Sie können die Kennwortrichtlinie den Sicherheitsbedürfnissen Ihrer Organisation anpassen. Sie können z. B. eine minimale Kennwortlänge und ein maximales Kennwortalter bestimmen. Sie können auch komplexe Kennwörter fordern und verhindern, dass die Benutzer Kennwörter mehrfach oder nur einfache Varianten von Kennwörtern verwenden. Richtliniefür Kontosperre Sie können Benutzer nach einer festgelegten Anzahl fehlgeschlagener Anmeldeversuche sperren. Sie können auch den Zeitraum festlegen, für den die Konten eingefroren werden. Richtliniefür Kerberos-Authentifizierung Sie können die Standardeinstellungen von Kerberos für jede Domäne ändern. So kann beispielsweise die maximale Gültigkeitsdauer eines Benutzertickets festgelegt werden. Die von Ihnen gewählten Richtlinien wirken sich auf die erforderliche Unterstützung durch Helpdesktechniker für die Benutzer ebenso aus wie auf die Anfälligkeit des Netzwerks für Sicherheitsüberschreitungen und Angriffe. So führt z. B. die Festlegung einer restriktiven Richtlinie für die Kontosperre zu einer Zunahme möglicher Dienstverweigerungsattacken und die Einrichtung einer ebenso restriktiven Kennwortrichtlinie zu einer Zunahme von Anrufen beim Helpdesk, da Benutzer sich nicht im Netzwerk anmelden können. Außerdem kann sich die Festlegung einer restriktiven Kennwortrichtlinie durchaus auch negativ auf die Sicherheit des Netzwerks auswirken. Wenn Sie z. B. Kennwörter verlangen, die länger als 7 Zeichen sind, werden die meisten Benutzer Schwierigkeiten haben, sich diese zu merken. Sie schreiben dann möglicherweise ihre Kennwörter auf und heben sie an Orten auf, wo sie Eindringlinge leicht finden.
Richtlinien für lokale Computer Die zweite Unterkategorie der Sicherheitseinstellungen sind die Richtlinien für lokale Computer. Richtlinien für lokale Computer enthalten die folgenden Punkte: Überwachungsrichtlinie Windows 2000 kann ein weites Spektrum von Sicherheitsereignistypen aufzeichnen, von einem systemweiten Ereignis, wie der Anmeldung eines Benutzers, bis hin zu dem Versuch eines ganz bestimmten Benutzers, eine bestimmte Datei zu lesen. Sowohl erfolgreiche als auch misslungene Versuche, eine Aktion durchzuführen, können aufgezeichnet werden. Zuweisung von Benutzerrechten Sie können bei lokalen Computern die Rechte, die Benutzerkonten oder Sicherheitsgruppen zugewiesen wurden, kontrollieren. Sie können Benutzer und Sicherheitsgruppen bestimmen, die das Recht besitzen, eine Vielzahl von Aufgaben auszuführen, die Auswirkungen auf die Sicherheit mit sich bringen. Sie können z. B. kontrollieren, wer vom Netzwerk aus auf die Computer zugreifen, wer sich lokal anmelden oder wer das System herunterfahren kann. Sie können festlegen, wer das Recht besitzt, kritische administrative Aufgaben auf dem Computer durchzuführen, wie beispielsweise die Sicherung und Wieder-
386
Teil III
Active Directory-Infrastruktur
herstellung von Dateien und Verzeichnissen, das Inbesitznehmen von Dateien und Objekten und das erzwungene Herunterfahren von einem entfernten System aus. Sicherheitsoptionen Sie können eine Vielzahl von Sicherheitsoptionen für lokale Computer kontrollieren. So können z. B. Richtlinien spezifiziert werden, die Benutzer zwingen, sich abzumelden, wenn die vorgegebene Anmeldezeit abläuft, die Tastenkombination STRG+ALT+ENTF für das Anmelden deaktivieren (um eine Smartcard-Anmeldung zu erzwingen) und Computer so konfigurieren, dass sie anhalten, wenn sie zur Überwachung nicht mehr in der Lage sind.
Richtlinien für Ereignisprotokolle Sie können die Richtlinien für Ereignisprotokolle dazu verwenden, die Einstellungen einer Anwendung, des Systems und der Protokollierung von Sicherheitsereignissen auf lokalen Computern zu steuern. So lässt sich beispielsweise die maximale Protokollgröße festlegen oder die Dauer, für die protokollierte Ereignisse aufbewahrt werden, sowie die Aufbewahrungsmethoden des Protokolls.
Richtlinien für eingeschränkte Gruppen Richtlinien für eingeschränkte Gruppen werden definiert, um die Zugehörigkeit zu integrierten oder benutzerdefinierten Gruppen zu verwalten und durchzusetzen, die besondere Rechte und Berechtigungen haben. Diese Richtlinien enthalten eine Liste der Mitglieder spezifischer Gruppen, deren Zugehörigkeit zentral als Teil der Sicherheitsrichtlinie definiert wird. Die Durchsetzung von eingeschränkten Gruppen legt automatisch die Zugehörigkeit zu computerinternen Gruppen fest, um die Einstellungen der Mitgliederliste in der Richtlinie auszuführen. Die Änderungen der Gruppenzugehörigkeit durch den lokalen Administrator werden von der Richtlinie für eingeschränkte Gruppen, die im Active Directory definiert wurde, überschrieben. Eingeschränkte Gruppen können zur Verwaltung der Zugehörigkeit in den integrierten Gruppen verwendet werden. Zu den integrierten Gruppen gehören lokale Gruppen wie „Administratoren“, „Hauptbenutzer“, „Druckoperatoren“ und „Serveroperatoren“ sowie globale Gruppen wie „Domänenadministratoren“. Sie können Gruppen, die Sie als sicherheitskritisch oder privilegiert betrachten, mit ihren Mitgliedsinformationen zur Liste der eingeschränkten Gruppen hinzufügen. Dies ermöglicht Ihnen, die Zugehörigkeit zu diesen Gruppen mit Hilfe von Richtlinien zu erzwingen und keine lokalen Variationen auf den Computern zuzulassen.
Richtlinien für Systemdienste Systemdienste stellen für Eindringlinge einen Mechanismus für möglichen Missbrauch dar, da sie einen Dienst übernehmen oder als Zugangspunkt verwenden können, um Zugriff auf Computer oder Netzwerkressourcen zu erhalten. So kann z. B. ein Eindringling versuchen, die Schwäche eines in Betrieb befindlichen Webservers auszunutzen, um Zugriff auf das Betriebssystem oder auf Dateien eines Computers zu erhalten. Sie können die Richtlinien für Systemdienste für folgende Aufgaben verwenden: ? Bestimmen des Startmodus für Windows 2000-Dienste (manuell oder automa-
tisch) oder des Abschaltmodus dieser Dienste. Sie können z. B. Systemdienste so konfigurieren, dass unnötige Dienste nicht ausgeführt werden. Dies bietet besonderen Servern, wie Domänencontrollern,
Kapitel 11 Planen der verteilten Sicherheit
387
DNS-Servern, Proxyservern, RAS-Servern und Zertifizierungsstellenservern maximale Sicherheit. ? Spezifizieren von Rechten und Berechtigungen, die Systemdiensten gewährt werden, wenn sie ausgeführt werden. Sie können z. B. Systemdienste so konfigurieren, dass sie mit minimalen Rechten und Berechtigungen arbeiten, um das Ausmaß potentiellen Schadens zu begrenzen, der durch Eindringlinge verursacht wird, die diesen Dienst auszunutzen versuchen. ? Verbessern der Sicherheitsüberwachungsebenen für Systemdienste. Sie können den zu protokollierenden Ereignistyp sowohl für fehlgeschlagene als auch für erfolgreiche Ereignisse festlegen. Wenn die Überwachung aktiviert ist, können Sie diese Funktion beispielsweise verbessern, indem Sie speziell ungeeignete Aktionen überwachen, die durch ausgeführte Dienste gestartet wurden.
Registrierungsrichtlinien Sie können Registrierungsrichtlinien verwenden, um die Sicherheit und die Überwachung der Sicherheit für Registrierungsschlüssel und ihre Unterschlüssel zu konfigurieren und zu kontrollieren. Wenn Sie zum Beispiel sicherstellen möchten, dass nur Administratoren bestimmte Informationen in der Registrierung ändern können, verwenden Sie die Registrierungsrichtlinien, um den Administratoren die uneingeschränkte Kontrolle über die Registrierungsschlüssel und ihre Unterschlüssel und den Benutzern lediglich schreibgeschützten Zugriff zu gewähren. Mit Hilfe der Registrierungsrichtlinien können bestimmte Benutzer auch daran gehindert werden, Teile der Registrierung anzuzeigen. Registrierungsrichtlinien dienen weiterhin dazu, die Aktivitäten von Benutzern in der Registrierung des Computers zu überwachen, wenn die Überwachung aktiviert ist. Sie können festlegen, welche Benutzer und welche Ereignisse bei fehlgeschlagenen oder erfolgreichen Ereignissen protokolliert werden.
Richtlinien für Dateisysteme Sie können die Richtlinien für Dateisysteme verwenden, um Sicherheit für Dateien und Ordner zu konfigurieren und die Sicherheitsüberwachung für Dateien und Ordner zu kontrollieren. Wenn Sie zum Beispiel sicherstellen möchten, dass nur Administratoren Systemdateien und -ordner ändern können, verwenden Sie die Richtlinien für Dateisysteme, um den Administratoren die uneingeschränkte Kontrolle über die Systemdateien und -ordner und den Benutzern lediglich schreibgeschützten Zugriff zu gewähren. Die Richtlinien für Dateisysteme können auch verwendet werden, um bestimmte Benutzer daran zu hindern, Dateien und Ordner anzuzeigen. Richtlinien für Dateisysteme dienen weiterhin dazu, die Aktivitäten von Benutzern in Bezug auf Dateien und Ordnern zu überwachen, wenn die Überwachung aktiviert ist. Sie können festlegen, welche Benutzer und welche Ereignisse bei fehlgeschlagenen oder erfolgreichen Ereignissen protokolliert werden.
Richtlinien für öffentliche Schlüssel Diese Unterabteilung der Sicherheitseinstellungen ermöglicht es Ihnen, einen neuen Wiederherstellungsagenten für verschlüsselte Daten hinzuzufügen und
388
Teil III
Active Directory-Infrastruktur
automatische Zertifikatsanforderungen einzurichten. Sie können auch Ihre Listen mit vertrauenswürdigen Zertifizierungsstellen damit verwalten.
IP-Sicherheitsrichtlinien in Active Directory Die Richtlinien in diesem Abschnitt informieren den Server darüber, wie er eine Anforderung für IPSec-Verbindungen zu beantworten hat. Der Server könnte eine sichere Kommunikation anfordern, sichere Kommunikation erlauben oder ohne IPSec kommunizieren. Die vordefinierten Richtlinien sind nicht für den sofortigen Einsatz gedacht. Sie bieten lediglich Verhaltensbeispiele zu Testzwecken. Administratoren der Netzwerksicherheit müssen sorgfältig ihre eigenen IPSecRichtlinien entwerfen und den Computern zuweisen.
Sicherheitsvorlagen Windows 2000 bietet eine Reihe von Sicherheitsvorlagen, die Sie bei der Einrichtung Ihrer Netzwerkumgebung verwenden können. Eine Sicherheitsvorlage ist ein Profil von Sicherheitseinstellungen, das für eine bestimmte Sicherheitsebene in einem Windows 2000-Domänencontroller, Server oder Clientcomputer als angemessen betrachtet wird. Die Vorlage hisecdc beispielsweiseenthält Einstellungen, die für einen streng gesicherten Domänencontroller geeignet sind. Sie können ein Sicherheitsprofil in ein Gruppenrichtlinienobjekt importieren und es auf eine Klasse von Computern anwenden. Die Vorlage kann auch in eine persönliche Datenbank importiert und dann zur Konfiguration der Sicherheitsrichtlinie auf einem lokalen Computer verwendet werden.
Funktionsweise von Sicherheitsvorlagen Sicherheitsvorlagen bieten Standardsicherheitseinstellungen, die als Modell für Ihre eigenen Sicherheitsrichtlinien dienen können. Sie unterstützen Sie bei der Problembehandlung bei Computern, deren Sicherheitsrichtlinien nicht mit der Richtlinie übereinstimmen oder unbekannt sind. Sicherheitsvorlagen sind inaktiv, bis sie in ein Gruppenrichtlinienobjekt oder in das Snap-In zur Sicherheitskonfigurationund -analyse von MMC importiert werden.
Voraussetzungen für das Implementieren von Sicherheitsvorlagen Sicherheitsvorlagen sind eine Standardfunktion von Windows 2000. Es gibt keine bestimmten Voraussetzungen für ihre Verwendung.
Implementieren von Sicherheitsvorlagen Sicherheitsvorlagen können im Snap-In für Sicherheitsvorlagen von MMC bearbeitet werden. Mit Hilfe des Snap-Ins für Sicherheitskonfiguration und -analyse von MMC können Sie Sicherheitsvorlagen importieren und exportieren und die Vorlage mit den Sicherheitseinstellungen eines lokalen Computers vergleichen. Falls gewünscht, kann dieses Snap-In auch zur Konfiguration des Computers gemäß der Vorlage verwendet werden.
Kapitel 11 Planen der verteilten Sicherheit
389
Wenn Sie eine Sicherheitsvorlage in ein Gruppenrichtlinienobjekt importieren möchten, öffnen Sie das Gruppenrichtlinien-Snap-In von MMC. Klicken Sie mit der rechten Maustaste auf den Container Sicherheitseinstellungen, und wählen Sie die Option Richtlinie importieren. Es erscheint eine Auswahl von Sicherheitsvorlagen, die Sie importieren können. Weitere Informationen zur Verwendung von Sicherheitsvorlagen und vordefinierten Vorlagen finden Sie in der Onlinehilfe zu Windows 2000 Server.
Überlegungen zu Sicherheitsvorlagen DieStandardberechtigungen bei einer Neuinstallation von Windows 2000 stellen eine deutliche Verbesserung der Sicherheit gegenüber früheren Windows NTVersionen dar. Diese standardmäßige Sicherheit bei einer Neuinstallation wird durch die Zugriffsberechtigungen definiert, die drei Gruppen gewährt werden: Benutzern, Hauptbenutzern und Administratoren. Standardmäßig besitzen Benutzer eine geeignete Richtlinie für die Zugriffskontrolle für die nicht administrative Systemnutzung. Hauptbenutzer sind rückwärtskompatibel mit Windows NT 4.0-Benutzern, und Administratoren haben alle Rechte. Daher ist die Sicherung eines Windows 2000-Systems im Wesentlichen eine Frage der Definition, welcher Gruppe die Benutzer angehören. Werden an Ihrem Standort nur Anwendungen ausgeführt, die mit der Anwendungsspezifikation von Windows 2000 kompatibel sind, ist es möglich, alle Benutzer der Gruppe „Benutzer“ zuzuordnen. So erreichen Sie eine optimale Sicherheit bei der Zugriffskontrolle, ohne die Funktionalität von Anwendungen zu beeinträchtigen. Wenn noch Anwendungen ausgeführt werden, die nicht mit der Anwendungsspezifikation von Windows 2000 kompatibel sind, müssen manche Benutzer wahrscheinlich der Gruppe „Hauptbenutzer“ zugeordnet werden, um die erforderlichenPrivilegien für das Ausführen der nicht-kompatiblenAnwendungen zu erhalten. Daher I st es unbedingt erforderlich, die Zugriffsebene (Benutzer, Hauptbenutzer oder Administrator) zu definieren, die die Benutzer zur erfolgreichen Ausführung der zu unterstützenden Anwendungen benötigen, bevor Sie weitere Sicherheitsvorlagen verwenden. Liegt diese Ebene einmal fest, können die Sicherheitsvorlagen wie folgt verwendet werden: Standard DieStandardsicherheitsvorlagen wenden die Standardeinstellungen für die Zugriffskontrolle an, wie weiter oben beschrieben. Sie können Windows NTComputern zugewiesen werden, die auf Windows 2000 aktualisiert wurden. Damit wird der aktualisierte Computer den neuen Standardsicherheitseinstellungen angeglichen, die sonst nur auf neu installierten Computern Anwendung finden. Die Standardvorlagen können auch verwendet werden, um nach unerwünschten Änderungen erneut zu den Standardeinstellungen zurückzukehren. Kompatibel Einige Kunden wünschen möglicherweise nicht, dass ihre Benutzer als Hauptbenutzer eingetragen werden, nur um Anwendungen auszuführen, die nicht mit der Windows 2000-Anwendungsspezifikation kompatibel sind. Sie möchten ihre Benutzer nicht mit den zusätzlichen Fähigkeiten der Hauptbenutzer ausstatten (wie beispielsweise die Fähigkeit, Freigaben zu erstellen), die über die liberaleren Einstellungen der Zugriffskontrolle hinausgehen, die für das Ausführen von alten Anwendungen erforderlich sind. Für diese Kunden „öffnet“ die kompatible Vorlage die Standardrichtlinie für die Zugriffskontrolle in einer Weise, die mit den Anforde-
390
Teil III
Active Directory-Infrastruktur
rungen der meisten alten Anwendungen konsistent ist. Microsoft® Office 97 SR1 läuft beispielsweise einwandfrei sowohl als Hauptbenutzer als auch als Benutzer unter der kompatiblen Konfiguration. Office 97 wird allerdings nicht so erfolgreich ausgeführt wie ein neu installierter Benutzer. Beachten Sie, dass Microsoft® Office 2000 als Neuinstallation einwandfrei ausgeführt wird, da es mit der Windows 2000-Anwendungsspezifikation kompatibel ist. Ein Computer, der mit der kompatiblen Vorlage konfiguriert wurde, darf nicht als sichere Installation betrachtet werden. Sicher Die sichere Vorlage ändert Einstellungen (wie die Kennwortrichtlinie, Überwachungsrichtlinie und Registrierungswerte), die sich weniger auf die Funktionalität der Anwendung auswirken als auf das operationale Verhalten des Betriebssystems und seiner Netzwerkprotokolle. Die sichere Vorlage bietet Empfehlungen, die sich von der definierten Standardrichtlinie für die Zugriffskontrolle unterscheiden. Die sichere Vorlage ändert keine Zugriffskontrolllisten, entfernt jedoch alle Mitglieder der Gruppe „Hauptbenutzer“. Hochsicher Die hochsichere Vorlage erhöht die durch mehrere Parameter definierte Sicherheit der sicheren Vorlage. Während z. B. die sichere Vorlage möglicherweise dieSMB-Paketsignierung aktiviert, ist mit der hochsicheren Vorlage die SMB-Paketsignierung erforderlich. Während die sichere Vorlage vor der Installation von unsignierten Treibern warnt, wird mit der hochsicheren Vorlage die Installation von unsignierten Treibern blockiert. Das heißt, die hochsichere Vorlage konfiguriert viele operationale Parameter auf ihre Extremwerte, ohne die Auswirkung auf die Leistung, die Benutzerfreundlichkeit, die Konnektivität mit Clients, die ältere oder von Drittanbietern stammende Versionen von NTLM verwenden, zu berücksichtigen. Wie die sichere Vorlage entfernt auch die hochsichere Vorlage alle Mitglieder der Gruppe „Hauptbenutzer“. Sicherheitsvorlagen sind also unter Berücksichtigung der Standardrichtlinie für die Zugriffskontrolle zu verwenden, die von den installierten Anwendungen benötigt wird, sowie der Kommunikationsanforderungen der anderen vernetzten Systeme. Da die Vorlagen die Einstellungen des Betriebssystems ändern, dürfen sie nicht verwendet werden, ohne dass zuvor ausreichende Maßnahmen zur Qualitätssicherung getroffen wurden.
Einsetzen sicherer Anwendungen Es genügt nicht, verteilte Sicherheit nur einzurichten und dann weiterhin so zu verfahren, wie zuvor. Ein sicheres Unternehmensnetzwerk benötigt Software, bei der die Sicherheitsfunktionen bereits beim Entwurf berücksichtigt wurden. Das Musterbeispiel einer Anwendung, die Sicherheitsüberlegungen nicht berücksichtigt, ist eine Anwendung, die Kennwörter unverschlüsselt über das Netzwerk überträgt. Eine sichere Umgebung benötigt sichere Anwendungen. Wenn Sie Software für Ihr Unternehmen testen, suchen Sie nach Anwendungen mit Funktionen, die Sicherheitsaspekte berücksichtigen. Achten Sie auf die Integration von Fähigkeiten zum einmaligen Anmelden für authentifizierte Netzwerkverbindungen und den fehlerfreien Betrieb auf gesicherten Computerkonfigurationen. Die Software sollte keine Adminstratorprivilegien erfordern, wenn sie kein Administratortool oder -dienstprogramm ist.
Kapitel 11 Planen der verteilten Sicherheit
391
Die Anwendungsspezifikation für Windows 2000 legt die technischen Anforderungen fest, die eine Anwendung erfüllen muss, um das Logo „Zertifiziert für Microsoft Windows“ zu erhalten. Dieses Dokument bestimmt, welche Mindestanforderungen sichere Anwendungen unterstützen müssen: ? Ausführung auf sicheren Windows 2000-Servern. ? Einmaliges Anmelden mit Hilfe der Kerberos-Authentifizierung beim Aufbau
von Netzwerkverbindungen. ? Identitätswechsel für Clients zur Unterstützung der Zugriffskontrollmechanismen von Windows 2000 unter Verwendung von Berechtigungen und Sicherheitsgruppen. ? Anwendungsdienste, die über Dienstkonten ausgeführt werden, statt lokale Systeme (die vollständige Systemprivilegien besitzen). Dies sind nur die Mindestanforderungen. Darüber hinaus sollten nur sorgfältig entwickelte Anwendungen eingesetzt werden, und es ist darauf zu achten, Pufferüberläufe oder andere Schwachstellen zu vermeiden, die von Eindringlingen ausgenutzt werden könnten. Sie können beispielsweise anfordern, dass die Komponenten von Anwendungen digital signiert sein müssen. Mit Hilfe von Microsoft ® Authenticode™ können Benutzer in Microsoft ® Internet Explorer erfahren, wer eine Softwarekomponente entwickelt hat, und feststellen, ob sie manipuliert wurde, bevor sie aus dem Internet heruntergeladen wird. Sie sollten Benutzer regelmäßig daran erinnern, Programme nicht direkt aus E-Mail-Anlagen auszuführen, wenn sie nicht sicher sind, woher sie stammen, oder von dem betreffenden Absender keine E-Mail erwartet haben.
Authenticode und Signieren von Software Software, die aus dem Internet auf den Computer eines Benutzers heruntergeladen wurde, kann nicht autorisierte Programme oder Viren enthalten, die Schaden anrichten oder Eindringlingen unbemerkt den Zugang zum Netzwerk verschaffen können. Mit der zunehmenden Konnektivität von Netzwerken dehnt sich die von bösartiger Software und Viren ausgehende Gefahr auch auf Intranets aus.
Funktionsweise von Authenticode Microsoft entwickelte die Authenticode™ -Technologie, um dieser wachsenden Bedrohung zu begegnen, und gibt nun Entwicklern die Möglichkeit, ihre Software mit Standard-X.509-Zertifikaten für öffentliche Schlüssel digital zu signieren. Benutzer können somit den Hersteller der digital signierten Software identifizieren und die Software gleichzeitig auf eventuelle Manipulationen überprüfen, da der Softwarecode vom Hersteller selbst signiert wurde. Mit Hilfe der Microsoft-Zertifikatsdienste können Sie Ihren internen Softwareentwicklern Zertifikate für die digitale Signatur ausstellen. Mit diesen Zertifikaten können die Entwickler dann ihre Software signieren, bevor sie sie über das Intranet verteilen. Wenn Sie das Netzwerk vor böswilligen Programmen und Viren schützen möchten, sollten Sie auch die Einrichtung von Richtlinien in Erwägung ziehen, die Benutzer daran hindern, sowohl aus dem Intra- als auch dem Internet unsignierte Software herunterzuladen und auszuführen.
392
Teil III
Active Directory-Infrastruktur
Bei Software, die über das Internet vertrieben wird, neigen die meisten Benutzer dazu, Softwaresignaturen mit Zertifikaten von bekannten kommerziellen Zertifizierungsstellen zu vertrauen. Die Verwendung einer kommerziellen Zertifizierungsstelle verlagert darüber hinaus die Haftung der Organisation, die bei einer externen Softwareverteilung die Verantwortung einer kommerziellen Zertifizierungsstelle übernimmt. Wenn Sie Software über das Internet vertreiben, müssen Sie daher überlegen, ob Sie die Dienste einer kommerziellen Zertifizierungsstelle in Anspruch nehmen, um Ihren Softwareentwicklern Zertifikate für digitale Signaturen auszustellen.
Implementieren der Authenticode-Prüfung Mit folgenden Schritten können Sie die auf Authenticode basierende Überprüfung der heruntergeladenen Software in Internet Explorer implementieren: Zeigen Sie im Menü Extras auf Internetoptionen, und klicken Sie anschließend auf die Registerkarte Sicherheit. Die höheren Sicherheitsebenen auf dieser Registerkarte überprüfen die Softwarekomponenten auf vertrauenswürdige digitale Signaturen. Diese Sicherheitseinstellungen im Internet Explorer können durch Gruppenrichtlinien kontrolliert werden (siehe die Beschreibung weiter oben in diesem Kapitel). Öffnen Sie das Gruppenrichtlinien-Snap-In von MMC, und gehen Sie zum Container Internet Explorer: Gruppenrichtlinienobjekt ?Computerkonfiguration ?Administrative Vorlagen ?Windows-Komponenten ?Internet Explorer
Die Richtlinien für Internet Explorer ermöglichen die Sperrung der Sicherheitseinstellungen, so dass sie von Benutzern nicht geändert werden können, sowie die Anforderung, dass alle heruntergeladenen Komponenten vertrauenswürdige Signaturen aufweisen müssen.
Überlegungen zu Authenticode und dem Signieren von Software Strategien zum Signieren von Software sollten in Ihrem Einrichtungsplan folgende Informationen enthalten: ? Interne und externe Gruppen, die die Fähigkeit zum Signieren von Software ? ? ? ? ?
benötigen. Strategien zum Signieren von Software für die interne Verteilung. Strategien zum Signieren von Software für die externe Verteilung. Einrichten einer Zertifizierungsstelle und die Verwaltung von Vertrauensstellungen zur Unterstützung der Strategien zur Softwaresignierung. Der Prozess und die Strategien zur Eintragung von Benutzern als Signierer von Software. Schulung, um die Benutzer zu informieren, dass keine unsignierten oder nicht vertrauten Komponenten ausgeführt werden dürfen.
Kapitel 11 Planen der verteilten Sicherheit
393
Sichere E-Mail In heutigen Unternehmen werden E-Mail-Nachrichten mit vertraulichen persönlichen Nachrichten und proprietären Geschäftsinformationen gewohnheitsmäßig über nicht sichere Teile des Intranets oder sogar über das Internet übertragen. Wirtschaftsspione oder Hacker können E-Mail-Nachrichten im Klartext leicht abfangen. Außerdem können an Schaden interessierte Personen E-Mail-Nachrichten leicht abfangen und unterwegs verändern, oder die IP-Adresse eines E-MailSenders fälschen und gefälschte Nachrichten senden.
394
Teil III
Active Directory-Infrastruktur
Viele der heutigen, sicheren E-Mail-Lösungen wie Microsoft Exchange Server basieren auf dem offenen S/MIME-Standard (Secure/Multipurpose Internet Mail Extensions). Die Verwendung offener Standards ist wichtig, wenn Sie mit sicheren E-Mail-Anwendungen von Drittanbietern, die möglicherweise von Geschäftspartnern, Händlern und Kunden verwendet werden, interoperabel bleiben möchten.
Funktionsweise der sicheren E-Mail Sichere E-Mail-Systeme, die auf S/MIME basieren, verwenden digitale X.509Zertifikate nach Industriestandard und die Technologie öffentlicher Schlüssel, um E-Mail-Sicherheit zwischen Sendern und Empfängern von E-Mail-Nachrichten zu erzielen. Sichere E-Mail-Systeme bieten in der Regel folgende Sicherheitsfunktionen: ? Sender können E-Mail-Nachrichten digital signieren, um Datenintegrität zu ? ? ? ?
?
erzielen. Empfänger können die Identität des Nachrichtensenders überprüfen und prüfen, ob die Nachricht während der Versendung manipuliert wurde. Sender können signierte Nachrichten nicht zurückweisen, da nur der Sender im Besitz der Signaturreferenzen ist. Sender können E-Mail-Nachrichten verschlüsseln, um vertrauliche Kommunikationsmöglichkeitenzubieten. Empfänger können die Nachricht unter Verwendung privater Referenzen entschlüsseln, andere können jedoch die Nachricht nicht entschlüsseln und lesen. Administratoren können die privaten Referenzen des Benutzers zentral in einer sicheren Datenbank speichern. Wenn die privaten Referenzen des Benutzers verloren gehen oder beschädigt werden, können sie die Administratoren zur Entschlüsselung von Nachrichten wiederherstellen.
Überlegungen zur sicheren E-Mail Berücksichtigen Sie die folgenden Informationen in Ihrem Einrichtungsplan, um Strategien für sichere E-Mail zu verwenden: ? Die verwendeten sicheren E-Mail-Server- undClientanwendungen. ? E-Mail-Server und Benutzergruppen, die zu sicherer E-Mail aktualisiert oder ? ? ? ? ? ?
migriert werden müssen. Allgemeine Richtlinien zur Verwendung sicherer E-Mail in der Organisation. DieverwendeteVerschlüsselungstechnologie,einschließlichinternationaler Exporteinschränkungen und -begrenzungen. Die zur Unterstützung der sicheren E-Mail benötigten Zertifikatsdienste. Der Einschreibungsprozess und Strategien, um die Benutzer in das sichere E-Mail-Programm einzuschreiben. Fähigkeiten zur Schlüsselwiederherstellung durch Datenbanksicherung und empfohlene Sicherungs- und Wiederherstellungsverfahren. Fähigkeiten zur Schlüsselwiederherstellung und empfohlene allgemeine Wiederherstellungsverfahren.
Kapitel 11 Planen der verteilten Sicherheit
395
Sichere Websites und Kommunikation Die Website und der Browser wurden zu den zentralen Mechanismen für den offenen Informationsaustausch und die Zusammenarbeit in betrieblichen Intranets wie im Internet. Standard-Webprotokolle wie HTTP bieten jedoch nur eingeschränkte Sicherheit. Sie können die meisten Webserver so konfigurieren, dass Sicherheit auf Verzeichnis- und Dateiebene, basierend auf Benutzernamen und Kennwörtern, erzielt wird. Sicherheit im Web kann auch durch Programmlösungen, die CGI (Common Gateway Interface) oder ASP (Active Server Pages) verwenden, erzielt werden. Diese herkömmlichen Methoden, Websicherheit zu bieten, eignen sich jedoch immer weniger, da die Angriffe gegen Webserver zunehmend häufiger und intelligenter geführt werden. Sie können zusammen mit Windows 2000 Server Internet-Informationsdienste (Internet Information Services, IIS) verwenden, um Sicherheit auf hoher Ebene für Websites und Kommunikationseinrichtungen zu erzielen, die standardbasierte, sichere Kommunikationsprotokolle und Standard-X.509-Zertifikate verwenden. Sie können für Websites und die Kommunikation folgende Sicherheitsformen erzielen: ? Authentifizieren Sie Benutzer, und richten Sie mit Hilfe der Protokolle SSL
(Secure Sockets Layer) und TLS (Transport Layer Security) sichere Kanäle für vertrauliche, verschlüsselte Verbindungen ein. ? Authentifizieren Sie Benutzer, und richten Sie mit Hilfe des Protokolls SGC (Server Gates Cryptography) sichere Kanäle für vertrauliche, verschlüsselte Finanztransaktionenein. ? Ordnen Sie, um Benutzer zu authentifizieren, den Netzwerkbenutzerkonten Benutzerzertifikate zu, und kontrollieren Sie Benutzerrechte und -berechtigungen für Webressourcen, die auf dem Besitz gültiger Zertifikate beruhen, die eine vertrauenswürdige Zertifizierungsstelle ausgestellt hat.
Überlegungen zu sicheren Websites Berücksichtigen Sie in Ihrem Einrichtungsplan folgende Informationen: ? Die Websites und Benutzergruppen, die zu sicheren Websites aktualisiert oder ? ? ? ?
migriert werden müssen. Strategien für die Verwendung von SSL oder TLS, um die Webkommunikation zwischen Clients und Webservern zu sichern. Strategien für die Zuordnung von Zertifikaten, um die Benutzerrechte und -berechtigungen für Websiteressourcen zu kontrollieren. Die für die Unterstützung der Websites benötigte Einrichtung einer Zertifizierungsstelle. Einschreibungsprozess und Strategien, um die Benutzer in das sichere WebsiteProgramm einzuschreiben.
396
Teil III
Active Directory-Infrastruktur
Verwalten der Administration Einige der Richtlinien des Sicherheitsplans beziehen die täglichen Pflichten Ihrer IT-Abteilung ein. Windows 2000 unterstützt die Delegierung administrativer Berechtigungen, indem es bestimmten Mitarbeitern die begrenzten Rechte zugesteht, ihre eigenen Gruppen und Dateien zu verwalten. Windows 2000 unterstützt auch Überwachungsprotokolle für die Systemaktivität, mit detaillierten Abstimmungen, welche Ereignistypen protokolliert werden und in welchem Kontext dies geschieht. Ebenso wichtig ist es, dass Sie in Ihrem Plan beschreiben, wie die Konten Ihrer Domänenadministratoren vor einem Angriff durch Eindringlinge geschützt werden sollen. Es wird empfohlen, dass Sie die Richtlinien für die Domänenkonten so einrichten, dass alle Konten ein langes und komplexes Kennwort verwenden müssen, das nicht einfach zu enträtseln ist. Dies ist eine Selbstverständlichkeit, sollte in Ihrem Plan jedoch explizit angeführt werden. Es liegt auf der Hand, dass die Sicherheit gefährdet ist, wenn zu viele Personen das Kennwort des Administrators kennen. Der Administrator der Stammdomäne einer Domänenstruktur ist automatisch ein Mitglied der Gruppe der Schemaadministratoren und der Gruppe der Unternehmensadministratoren. Dies ist ein hochprivilegiertes Konto, in dem Eindringlinge unbegrenzten Schaden anrichten können. Ihr Plan muss daher bestimmen, dass der Zugang zu diesem Konto auf eine sehr kleine Gruppe vertrauenswürdiger Mitarbeiter beschränkt wird. Das Konto des Domänenadministrators darf ausschließlich für Aufgaben verwendet werden, die Administratorprivilegien erfordern. Es darf niemals im angemeldeten Zustand unbeaufsichtigt gelassen werden. Halten Sie Ihre Administratoren an, für nicht administrative Tätigkeiten (Lesen von E-Mail, Browsen im Web usw.) ein zweites Konto ohne Privilegien zu erstellen. Die Serverkonsolen von Domänenadministratoren müssen physisch gesichert werden, so dass nur befugte Personen zu ihnen Zutritt haben. Ihr Sicherheitsplan muss dies festlegen und die Mitarbeiter auflisten, die die Konsolen verwenden werden. Es ist nicht selbstverständlich, dass Benutzer des Administratorkontos sich niemals an Clientcomputern anmelden dürfen, die von weniger vertrauenswürdigen Mitarbeitern verwaltet werden. Diese anderen Administratoren des Clientcomputers könnte anderen Softwarecode auf dem Computer ausführen, der die Administratorprivilegien unbemerkt missbraucht.
Delegieren Das Delegieren von Administrationsaufgaben ist in einer Windows 2000-Unternehmensumgebung eine praktische Notwendigkeit. Im Allgemeinen wird Autorität nicht nur an Mitglieder der IT-Gruppe, sondern auch an Mitarbeiter im Personalbereich und verschiedene Führungskräfte delegiert, um sie bei ihren Aufgaben zu unterstützen. Bei der Delegierung werden Administrationsaufgaben verteilt, ohne dass jedem Assistenten weitreichende Privilegien gewährt werden. Dieses Verfahren gehört zu dem Sicherheitskonzept „Prinzip des geringsten Privilegs“. Das heißt, dass lediglich die für eine bestimmte Aufgabe erforderlichen Privilegien gewährt werden.
Kapitel 11 Planen der verteilten Sicherheit
397
Windows 2000 ermöglicht mit verschiedenen Mitteln die Delegierung von fest abgegrenzten Kontrollmöglichkeiten über eine begrenzte Gruppe von Objekten an Gruppen oder Personen. Einzige Voraussetzung hierfür ist, dass die entsprechenden Delegierungselemente (Benutzer, Gruppen, Gruppenrichtlinienobjekte, Dateien, Verzeichnisse usw.) sich an ihrem endgültigen Platz befinden müssen, bevor eine Delegierung stattfindet. Windows 2000 unterstützt die Delegierung administrativer Befugnisse durch verschiedene Funktionen, einschließlich der in den folgenden Abschnitten aufgeführten. (Beachten Sie, dass einige Aufgaben die Privilegien von Domänenadministratoren erfordern und nicht delegiert werden können.)
Sicherheitsgruppen, Gruppenrichtlinie und Zugriffskontrolllisten Die Beschreibung dieser Funktionen findet sich weiter oben in diesem Kapitel. Ihre Funktionsweise wird in den folgenden Abschnitten erläutert.
Integrierte Sicherheitsgruppen Windows 2000 bietet vordefinierte Sicherheitsgruppen, an welche bereits bestimmte Berechtigungen delegiert wurden. Öffnen Sie das MMC-Snap-In „Active Directory-Benutzer- und -Computer“. Wählen Sie im Menü Ansicht die Option Erweiterte Funktionen. Die vordefinierten Sicherheitsgruppen befinden sich in den Ordnern Builtin und Users. Wenn Sie an eine dieser Gruppen direkt Kontrollmöglichkeiten delegieren möchten, öffnen Sie die Eigenschaftenseite der Gruppe, und klicken Sie auf die Registerkarte Sicherheit. Fügen Sie den Leiter der Gruppe zur Zugriffskontrollliste hinzu, und prüfen Sie die betreffenden Privilegien.
Assistent zur Objektverwaltungszuweisung Öffnen Sie das MMC-Snap-In für Active Directory-Standorte und -Dienste. Klicken Sie mit der rechten Maustaste auf eine Organisationseinheit, und wählen Sie Objektverwaltung zuweisen. Dieser Assistent richtet Berechtigungen für Benutzergruppen ein, um bestimmte Standorte und Dienste zu verwalten. Ein Beispiel wäre etwa das Recht, neue RAS-Konten erstellen zu dürfen.
Assistent zum Delegieren von Administrationsaufgaben Öffnen Sie das MMC-Snap-In „Active Directory-Benutzer und -Computer“. Klicken Sie mit der rechten Maustaste auf eine Organisationseinheit, und wählen Sie Objektverwaltung zuweisen. Dieser Assistent richtet Berechtigungen für Benutzergruppen ein, um Organisationseinheiten mit Computern und Benutzergruppen zu verwalten. Ein Beispiel wäre etwa das delegierte Recht, neue Benutzerkonten erstellen zu dürfen.
398
Teil III
Active Directory-Infrastruktur
Delegieren der Steuerung von Gruppenrichtlinienobjekten Das Delegieren von Verwaltungsaufgaben durch die Gruppenrichtlinie beinhaltet drei Aufgaben, die zusammen oder einzeln durchgeführt werden können, je nach Situation: ? Das Verwalten von Verknüpfungen der Gruppenrichtlinie eines Standorts, einer
Domäne oder einer Organisationseinheit. ? Das Erstellen von Gruppenrichtlinienobjekten. ? Das Bearbeiten von Gruppenrichtlinienobjekten. Diese Aufgaben finden Sie ausführlich beschrieben im Kapitel „Definieren von Standards für die Verwaltung und Konfiguration von Clients“ in dieser Dokumentation.
Überwachen Die Überwachung und Sicherheitsprotokollierung von Netzwerkaktivitäten sind wichtige Schutzvorkehrungen. Windows 2000 ermöglicht es Ihnen, eine Vielzahl unterschiedlicher Ereignisse zu überwachen, mit deren Hilfe die Aktivitäten eines Eindringlings verfolgt werden können. Die Einträge der Protokolldatei können als Beweismaterial herangezogen werden, wenn ein Eindringling identifiziert wurde.
Funktionsweise der Überwachung Sie können bestimmen, dass immer dann ein Überwachungseintrag in das Protokoll von Sicherheitsereignissen eingetragen wird, wenn bestimmte Aktionen durchgeführt werden oder auf bestimmte Dateien zugegriffen wird. Der Überwachungseintrag zeigt die durchgeführte Aktion, den Benutzer, der sie durchgeführt hat, sowie Datum und Uhrzeit der Aktion. Sie können sowohl erfolgreiche als auch fehlgeschlagene Versuche von Aktionen überwachen, so dass die Überwachungsliste zeigen kann, wer Aktionen auf dem Netzwerk durchführte und wer versuchte, Aktionen durchzuführen, die nicht gestattet sind. Sie können das Sicherheitsprotokoll in der Ereignisanzeige betrachten. Wenn das Sicherheitsprotokoll regelmäßig geprüft wird, können manche Angriffsarten, wie z. B. Kennwortangriffe, entdeckt werden, bevor sie erfolgreich sind. Nach einem Eindringen kann Ihnen das Sicherheitsprotokoll dabei behilflich sein, zu bestimmen, wie der Eindringling sich Zugang verschaffen konnte und welche Aktionen er ausgeführt hat. Die Überwachungsprotokollierung ist eine Richtlinie, die nicht gerechtfertigt werden muss. Die Aufzeichnung von Sicherheitsereignissen ist eine Form der Angriffserkennung.
Voraussetzungen für das Implementieren der Überwachungsfunktion Es ist keine Installation oder Neuanschaffung erforderlich. Sie müssen lediglich die Einstellungen Ihrer Gruppenrichtlinie konfigurieren, um die Überwachung zu aktivieren. Sie müssen die Überwachung auch für allgemeine Bereiche oder bestimmte Themen aktivieren, die Sie verfolgen möchten.
Kapitel 11 Planen der verteilten Sicherheit
399
Implementieren der Überwachungsfunktion Die Sicherheitsüberwachung ist nicht standardmäßig aktiviert. Sie müssen die von Ihnen benötigten Überwachungsarten aktivieren, indem Sie das Gruppenrichtlinien-Snap-In für MMC verwenden. Gruppenrichtlinienobjekt ?Computerkonfiguration ?Windows-Einstellungen ?Lokale Richtlinien ?Überwachungsrichtlinien
Folgende Kategorien für überwachungsfähige Ereignisse stehen zur Verfügung: Kontoanmeldeereignisse, die Kontoverwaltung, der Zugriff auf den Verzeichnisdienst, Anmeldeereignisse, der Objektzugriff, die Richtlinienänderung, die Prozessverfolgung und Systemereignisse. Beachten Sie, dass Überwachungsrichtlinien Gegenstand der Richtlinienvererbung sind und dass die Richtlinien, die Sie auf Ihrem lokalen Computer festlegen, von Richtlinien überschrieben werden können, die für die ganze Domäne festgelegt wurden. Sobald Sie Ihre Überwachungsrichtlinien eingerichtet haben, können Sie den Grad der Überwachung präzisieren, indem Sie bestimmte Arten von Überwachungsmeldungen für einzelne Objekte aktivieren. Wenn Sie z. B. die Überwachung eines Dateiverzeichnisses aktivieren möchten, klicken Sie mit der rechten Maustaste auf den Ordner in Windows Explorer. Zeigen Sie auf Eigenschaften, und klicken Sie anschließend auf die Registerkarte Sicherheit. Klicken Sie auf Erweitert, und wählen Sie dann die Registerkarte Überwachung imDialogfeld Erweiterte Eigenschaften. Dies zeigt die Liste der für diesen Ordner verfügbaren überwachungsfähigen Ereignisse. Im Fall von Dateiverzeichnissen können Überwachungseinstellungen optionalauf enthaltene Dateien und Unterverzeichnisse angewendet werden. Zeigen Sie die Überwachungsmeldungen im Knoten Sicherheitsprotokoll der Ereignisanzeige an. Weitere Informationen zur Überwachung von Sicherheitsereignissen finden Sie in der Onlinehilfe von Windows 2000 Server.
Überlegungen zur Überwachung Das Erstellen eines Sicherheitsprotokolls wirkt sich auf den Speicherplatz auf dem Server aus. Sie können die Ereignisanzeige so einstellen, dass Einträge, die mehr als „n“ Tage alt sind, überschrieben werden oder den Server so konfigurieren, dass er den Betrieb einstellt, wenn das Sicherheitsprotokoll voll ist. Weitere Informationen über das Anhalten des Computers, wenn das Sicherheitsprotokoll voll ist, finden Sie in der Onlinehilfe von Windows 2000. Beachten Sie, dass die hier beschriebenen Überwachungsfunktionen für Verzeichnisse und Dateien ein NTFS-Dateisystem erfordern. Überwachen Sie Firewallserver und kritische Server, die in die Firewall integriert sind, um verdächtige Aktivitäten aufzuspüren. Auch Server, die außerhalb der Firewall liegen, sollten überwacht werden, selbst wenn sie als unsicher betrachtet werden, da sie einen Eingang in das Unternehmen darstellen.
400
Teil III
Active Directory-Infrastruktur
Tabelle 11.3 listet verschiedene Ereignisse auf, die überwacht werden müssen, sowie die besonderen Sicherheitsbedrohungen, die das Überwachungsereignis überprüft. Tabelle 11.3 Überwachungsrichtlinien zur Erkennung von Sicherheitsbedrohungen Überwachungsereignis
ErkannteBedrohung
Fehlversuchüberwachung bei An-/Abmeldung.
Versuch, mit einem zufällig gewählten Kennwort einzudringen Eindringen mit gestohlenem Kennwort Missbrauch von Privilegien
Erfolgsüberwachung bei An-/Abmeldung. Erfolgsüberwachung bei Benutzerrechten, Verwaltung von Benutzern und Gruppen, Richtlinien für die Revisionskontrolle der Sicherheit, Neustart, Herunterfahren und Systemereignissen. Erfolgs- und Fehlerüberwachung bei Datei- und Objektzugriffsereignissen. Erfolgs- und Fehlerüberwachung im Dateimanager bei Lese-/Schreibzugriffen von verdächtigen Benutzern oder Gruppen auf sicherheitskritische Dateien. Erfolgs- und Fehlerüberwachung bei Datei- und Objektzugriffsereignissen. Erfolgs- und Fehlerüberwachung im Druckmanager bei Zugriff von verdächtigen Benutzern oder Gruppen auf Drucker. Erfolgs- und Fehlerüberwachung bei Schreibzugriff auf Programmdateien (.exe- und .dll-Erweiterungen). Erfolgs- und Fehlerüberwachung bei der Prozessverfolgung. Ausführen verdächtiger Programme, Prüfen des Sicherheitsprotokolls für unerwartete Versuche, Programmdateien zu ändern, oder für Versuche, unerwartete Prozesse zu erstellen. Nur ausführen, wenn die Systemprotokollierung aktiv überwacht wird.
Unkorrekter Zugriff auf sicherheitskritische Dateien
Unkorrekter Zugriff auf Drucker
Virusattacke
Planungstaskliste zur verteilten Sicherheit Führen Sie zur Ausarbeitung des Einsatzplans für die Netzwerksicherheit die Aufgaben in der folgenden Tabelle 11.4 aus: Tabelle 11.4 Taskliste für die Sicherheitsplanung Task
Abschnitt
Ermitteln der Sicherheitsrisiken im Netzwerk. Auflisten und Erklären der Risiken im Plan. Bereitstellen von Hintergrundmaterial zu Sicherheitskonzepten und zur Terminologie, um den Lesern des Plans die Orientierung zu erleichtern.
Sicherheitsrisiken
Einführen und Erklären der Sicherheitsstrategien gegen die angeführten Risiken.
Strategien zur verteilten Sicherheit
Sicherheitskonzepte
Kapitel 11 Planen der verteilten Sicherheit
401
(Fortsetzung) Task
Abschnitt
Sicherstellen, dass für jeden Zugriff auf Netzwerkressourcen die Authentifizierung über Domänenkonten erforderlich ist.
Authentifizieren des Zugriffs von allen Benutzern Authentifizieren des Zugriffs von allen Benutzern Authentifizieren des Zugriffs von allen Benutzern
Entscheiden, für welche Benutzer bei der interaktiven Anmeldung oder der Anmeldung über Remotezugriff eine strenge Authentifizierung geboten ist. Definieren der Länge von Kennwörtern, von Änderungsintervallen sowie komplexen Anforderungen für Benutzerkonten von Domänen. Entwickeln eines Plans, wie diese Anforderungen den Benutzern mitgeteilt werden. Definieren von Richtlinien (eigene oder des Unternehmens), um die Übermittlung von Kennwörtern im Klartext über ein Netzwerk zu verhindern. Entwickeln einer Strategie für den Einsatz der einmaligen Anmeldung oder der geschützten Übertragung von Kennwörtern. Ausarbeiten eines Plans für den Einsatz von öffentlichen Schlüsseln für die Anmeldung mit Smartcard, wenn die strenge Authentifizierung Ihre Sicherheitsziele erfüllt. Beschreiben der Richtlinie zur Aktivierung von Remotezugriff für Benutzer. Entwickeln eines Plans, alle Benutzer über die Remotezugriffsverfahren einschließlich der Verbindungsmethoden zu informieren.
Authentifizieren des Zugriffs von allen Benutzern
SmartcardAnmeldung Remotezugriff Remotezugriff
Ermitteln der derzeitigen Verwendung von Gruppen in der Organisation. Einrichten von Konventionen für Gruppennamen und die Verwendung von Gruppentypen. Beschreiben der Gruppen der obersten Sicherheitsebene, die weitreichende Sicherheitszugriffe zu den unternehmensweiten Ressourcen erhalten. Dies werden vermutlich die universellen Gruppen des Unternehmens sein. Beschreiben der Richtlinien für die Zugriffskontrolle. Besonderer Hinweis auf die konsistente Verwendung der Sicherheitsgruppen.
Anwenden der Zugriffskontrolle
Definieren der Verfahren zur Erstellung neuer Gruppen und eindeutige Zuordnung der Verantwortung für die Verwaltung der Gruppenzugehörigkeit. Bestimmen, welche vorhandenen Domänen in die Gesamtstruktur gehören und welche externe Vertrauensstellungen verwenden werden. Beschreiben der Domänen, Domänenstrukturen und Gesamtstrukturen und ausführliches Darlegen der Vertrauensstellungen zwischen ihnen.
Anwenden der Zugriffskontrolle
Definieren einer Richtlinie für die Erkennung und Verwaltung sicherheitskritischer oder vertraulicher Informationen sowie für die Anforderungen zum Schutz sicherheitskritischer Daten.
Aktivieren des Datenschutzes
Bestimmen der Netzwerkdatenserver mit sicherheitskritischen Daten, die einen Netzwerkdatenschutz benötigen, um das
Aktivieren des Datenschutzes
Anwenden der Zugriffskontrolle
Anwenden der Zugriffskontrolle
Einrichten von Vertrauensstellungen Einrichten von Vertrauensstellungen
402
Teil III
Active Directory-Infrastruktur Lesen von Daten durch Unbefugte zu verhindern.
Kapitel 11 Planen der verteilten Sicherheit
403
(Fortsetzung) Task
Abschnitt
Entwickeln eines Einsatzplans für die Verwendung von IPSec für den Schutz der Daten vor Remotezugriffen oder vor dem Zugriff auf sicherheitskritische Anwendungsdatenserver. Bei der Verwendung von EFS: Beschreiben der Wiederherstellungsrichtlinie einschließlich der Aufgaben des Wiederherstellungsagenten in der Organisation. Bei der Verwendung von EFS: Beschreiben der Planung für die Implementierung von Wiederherstellungsverfahren und Überprüfen, ob der Plan in der Organisation funktioniert. Bei der Verwendung von IPSec: Entwickeln der Szenarios für die Verwendung von IPSec im Netzwerk und Verstehen der Auswirkungen auf die Leistung. Definieren domänenweiter Kontorichtlinien und Informieren aller Benutzer über diese und andere Richtlinien.
Aktivieren des Datenschutzes
Bestimmen der lokalen Anforderungen an Sicherheitsrichtlinien für die unterschiedlichen Systemkategorien im Netzwerk, wie z. B. Desktops, Datei- und Druckserver und E-Mail-Server. Definieren der entsprechenden Sicherheitseinstellungen der Gruppenrichtlinie für jede Kategorie.
Festlegen einheitlicher Sicherheitsrichtlinien
Definieren von Anwendungsservern mit Hilfe spezifischer Sicherheitsvorlagen. Erwägen der Verwaltung dieser Server mit Gruppenrichtlinien. Verwenden geeigneter Sicherheitsvorlagen für Systeme, die anstelle einer Neuinstallation von Windows NT 4.0 aktualisiert werden.
Festlegen einheitlicher Sicherheitsrichtlinien Sicherheitsvorlagen
Verwenden von Sicherheitsvorlagen als Möglichkeit zur Beschreibung der Sicherheitsebenen, die für die verschiedenen Klassen von Computern gelten sollen. Entwickeln eines Testplans zur Überprüfung, ob die normalen Geschäftsanwendungen auf den korrekt konfigurierten sicheren Systemen ausgeführt werden.
Sicherheitsvorlagen
Definieren, welche Anwendungen mit erweiterten Sicherheitsfunktionen zusätzlich benötigt werden, die die Sicherheitsziele der Organisation erfüllen. Bestimmen der Sicherheitsebenen für heruntergeladenen Softwarecode.
Einsetzen sicherer Anwendungen
Verschlüsselndes Dateisystem Verschlüsselndes Dateisystem IP-Sicherheit
Festlegen einheitlicher Sicherheitsrichtlinien
Einsetzen sicherer Anwendungen
Einsetzen interner Verfahren für die Implementierung von signiertem Softwarecode für alle im Haus entwickelten Softwareprogramme, die öffentlich verteilt werden.
Authenticode und Signieren von Software Authenticode und Signieren von Software
Festlegen der Richtlinien zur Sicherung der Administratorkonten und -konsolen.
Verwalten der Administration
Ermitteln der Situationen, in denen für bestimmte Aufgaben die Delegierung der administrativen Kontrolle erfolgt.
Delegieren
Festlegen der Richtlinien für die Überwachung einschließlich des entsprechenden Personalbedarfs.
Überwachen
404
Teil III
Active Directory-Infrastruktur
Kapitel 11 Planen der verteilten Sicherheit
405
BLANK PAGE IMPORTANT: This text will appear on screen, but will not print on a PostScript printer. This page should be the last one in this file; it was inserted by running the InsertBlankPage macro. Do not type any additional text on this page!
401
K A P I T E L
1 2
Planen der Infrastruktur für öffentliche Schlüssel
®
®
Unter Microsoft Windows 2000 wird eine umfassende Infrastruktur für öffentliche Schlüssel unterstützt. Bei einer solchen Infrastruktur handelt es sich um ein System aus digitalen Zertifikaten, Zertifizierungsstellen und anderen Registrierungsstellen, über das mit Hilfe von kryptographischen öffentlichen Schlüsseln die Gültigkeit der an einer elektronischen Transaktion beteiligten Parteien überprüft und authentifiziert wird. ®
Sie können mit Hilfe der Microsoft Zertifikatsdienste eine Infrastruktur für öffentliche Schlüssel entwerfen, die den Sicherheitsanforderungen für öffentliche Schlüssel entspricht. Inhalt dieses Kapitels Überblick über die Infrastruktur für öffentliche Schlüssel 402 Aufbauen der Infrastruktur für öffentliche Schlüssel 407 Entwerfen der Infrastruktur für öffentliche Schlüssel 408 Entwickeln optionaler benutzerdefinierter Anwendungen 421 Durchführen der Ressourcenplanung 422 Einrichten der Infrastruktur für öffentliche Schlüssel 423 Planungstaskliste für eine Infrastruktur für öffentliche Schlüssel
430
Zielsetzungen Dieses Kapitel ist beim Entwickeln folgender Planungsdokumente hilfreich: ? Zertifikatsanforderungen für öffentliche Schlüssel ? Richtlinien zum Ausstellen und Verwenden von Zertifikaten ? Entwerfen einer Vertrauenshierarchie für die Zertifizierungsstelle ? Richtlinien und Prozesse für den Zertifizierungszyklus ? Richtlinien für Zertifikatssperrlisten ? Strategien für Zertifikatsicherungen und Notfallwiederherstellungen ? Zeitplan für das Einrichten und Einführen einer Infrastruktur für öffentliche
Schlüssel Weiterführende Informationen in der technischen Referenz ? Weitere Informationen zu den grundlegenden Konzepten kryptographisch basierter Sicherheit, zu Infrastrukturen für öffentliche Schlüssel und zur Technologie öffentlicher Schlüssel finden Sie unter „Verschlüsselung zur Netzwerk- und Datensicherheit“ in Microsoft® Windows® 2000 Server – Die technische Referenz: Verteilte Systeme.
402
Teil III
Active Directory-Infrastruktur ? Weitere Informationen zu den Sicherheitslösungen mit Hilfe von öffentlichen
Schlüsseln finden Sie unter „Sicherheitslösungen mit öffentlichen Schlüsseln“ in Microsoft Windows 2000 Server – Die technische Referenz: Verteilte Systeme.
Überblick über die Infrastruktur für öffentliche Schlüssel Bei der Infrastruktur für öffentliche Schlüssel handelt es sich um eine grundlegende Technologie von Windows 2000, die eine Reihe von Features in Bezug auf Authentifizierung und Entschlüsselung ermöglicht. Daher müssen die Pläne zu einer Infrastruktur für öffentliche Schlüssel rechtzeitig in den Einrichtungsprozess eingebunden werden. Dieser Abschnitt enthält einen kurzen Überblick über die Features und Tools für die Infrastruktur für öffentliche Schlüssel unter Windows 2000.
Funktionsweise der Infrastruktur für öffentliche Schlüssel Eine Infrastruktur für öffentliche Schlüssel basiert auf Zertifikaten. Bei einem Zertifikat handelt es sich um eine digital signierte Erklärung, die einen öffentlichen Schlüssel und den Namen des Subjekts enthält. In dem Zertifikat können mehrere Namenstypen verwendet werden, unter denen das Subjekt bekannt ist, z. B. ein Verzeichnisname, ein E-Mail-Name oder ein DNS-Name (Domain Name Service). Beim Signieren des Zertifikats wird über die Zertifizierungsstelle überprüft, ob der mit dem öffentlichen Schlüssel verbundene private Schlüssel über das im Zertifikat genannte Subjekt verfügt. Bei einer Zertifizierungsstelle, häufig ein Drittanbieter, wird einem vertrauten Benutzer ein Zertifikat ausgestellt, das einen öffentlichen Schlüssel enthält. Dieses Zertifikat kann beliebig verteilt werden. Der öffentliche Schlüssel kann zum Verschlüsseln von Daten verwendet werden, die nur mit Hilfe eines entsprechenden privaten Schlüssels entschlüsselt werden können, der dem Benutzer ebenfalls zur Verfügung gestellt wird. Der Benutzer hält den privaten Schlüssel unter Verschluss, so dass keine anderen Personen darauf zugreifen können. Der private Schlüssel kann zum Erstellen einer digitalen Signatur verwendet werden, die über den öffentlichen Schlüssel bestätigt wird. Das Konzept bei kryptographischen öffentlichen Schlüsseln besteht darin, dass zwei Schlüssel verwendet stehen. Der eine Schlüssel kann beliebig zwischen Parteien weitergegeben oder in einem öffentlichen Repository veröffentlicht werden, der andere Schlüssel bleibt streng privat. Es gibt verschiedene Typen von Algorithmen für öffentliche Schlüssel, wobei jeder Typ über spezifische Merkmale verfügt. Dies bedeutet, dass es nicht immer möglich ist, einen Algorithmus durch einen anderen zu ersetzen. Wenn über zwei Algorithmen die gleiche Funktion ausgeführt werden kann, wird das Ergebnis über unterschiedliche Mechanismen herbeigeführt. Bei kryptographischen öffentlichen Schlüsseln werden die beiden Schlüssel in einer Folge verwendet. Wird zunächst der öffentliche und dann der private Schlüssel verwendet, handelt es sich um eine so genannte Schlüsselaustauschoperation. Wird zunächst der private und dann der öffentliche Schlüssel verwendet, handelt es sich um eine so genannte digitale Signatur.
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
403
Sie können innerhalb einer Firma eigene Zertifizierungsstellen aufbauen oder die Zertifizierungsdienste nutzen, die von Drittanbietern zur Verfügung gestellt werden. Über die Infrastruktur für öffentliche Schlüssel werden Daten so verarbeitet, dass die Quelle gleichzeitig erkannt und authentifiziert wird. Das unberechtigte Abfangen von Benutzeridentitäten wird stark erschwert und maskierter Datenzugriff sowie Datenmanipulation werden verhindert. In Tabelle 12.1 werden einige der Verwendungsmöglichkeiten der Infrastruktur für öffentliche Schlüssel in einem Unternehmen beschrieben. Tabelle 12.1 Führende Anwendungen für digitale Zertifikate Anwendung
Verwendung
Sichere E-Mail
Über sichere E-Mailclients werden Zertifikate verwendet, um die Integrität von E-Mail sicherzustellen und E-Mailnachrichten aus Gründen der Vertraulichkeit zu verschlüsseln. Über Webserver können Clients für Webkommunikation (mit Hilfe von Clientzertifikaten) authentifiziert werden, und es wird eine vertrauliche, verschlüsselte Webkommunikation (mit Hilfe von Serverzertifikaten) geboten.
SichereWebkommunikation
Sichere Websites
Digitales Signieren von Softwaredateien
Smartcard-Authentifizierung im lokalen Netzwerk
Smartcard-Authentifizierung beim RAS-Zugriff
IPSec-Authentifizierung
EFS-Wiederherstellungs-Agent (Encrypting File System)
Mit Hilfe von IIS-Websites (Internet Information Services) können Clientzertifikate authentifizierten Benutzern zugeordnet werden, so dass ihre Rechte und Berechtigungen an Ressourcen von Websites gesteuert werden können. Bei Tools für die Codesignatur werden Zertifikate verwendet, um Softwaredateien digital zu signieren, so dass der Dateiursprung belegt und die Datenintegrität sichergestellt ist. Über das Kerberos-Anmeldeprotokoll können in Smartcards gespeicherte Zertifikate und private Schlüssel verwendet werden, um die Netzwerkbenutzer beim Anmelden am Netzwerk zu authentifizieren. Über Server, auf denen der Routing- und RASDienst ausgeführt wird, können in Smartcards gespeicherte Zertifikate und private Schlüssel verwendet werden, umdie Netzwerkbenutzer beim Anmelden am Netzwerk zu authentifizieren. Über IPSec können Zertifikate verwendet werden, um Clients für die IPSec-Kommunikation zu authentifizieren. Mit Hilfe von Zertifikaten des WiederherstellungsAgenten können EFS-Dateien wiederhergestellt werden, die von anderen Benutzern verschlüsselt wurden.
404
Teil III
Active Directory-Infrastruktur
Voraussetzungen für das Implementieren von Infrastrukturen für öffentliche Schlüssel Das Implementieren einer Infrastruktur für öffentliche Schlüssel bildet einen mehrteiligen Prozess, bei dem Planungen und Versuche mit Hilfe von Pilotprogrammen erforderlich sind. Einige Features von Windows 2000, z. B. verschlüsseltes Dateisystem (Encrypting File System, EFS) und IP-Sicherheit (IPSec), bieten eigene Zertifikate, ohne dass eine besondere Vorbereitung durch den Netzwerkadministrator erforderlich ist. Diese Features können sofort eingerichtet werden. Für andere Sicherheitsfeatures ist ggf. eine Hierarchie von Zertifizierungsstellen erforderlich. Eine solche Hierarchie muss geplant werden. Beim Erstellen von Geschäftsrichtlinien müssen zunächst sowohl die internen als auch die externen Zertifizierungsstellen ausgewählt werden, welche die Quellen der gewünschten Zertifikate darstellen. Eine typische Zertifizierungsstellenhierarchie besteht aus einer Architektur mit drei Ebenen. Es wird eine Stammzertifizierungsstelle empfohlen, die sich im Offlinemodus befindet. Zum Implementieren von Zertifikatsrichtlinien ist eine zweite Ebene von Zertifizierungsstellen notwendig. Für diese Ebene ist ebenfalls der Offlinemodus erforderlich. Auf der dritten Ebene befinden sich die ausstellenden Zertifizierungsstellen. Hierbei kann es sich um interne oder externe Zertifizierungsstellen handeln. Die interne Netzwerkauthentifizierung und Sicherstellung der Datenintegrität kann über eine lokale Zertifizierungsstelle, z. B. die IT-Abteilung einer Firma, vorgenommen werden. Für die öffentliche Glaubwürdigkeit bei Internet-Transaktionen und Softwaresignaturen sind ggf. Zertifikate von Drittanbietern erforderlich. Berücksichtigen Sie beim Auswählen der Zertifizierungsstellen den Kryptographiedienstanbieter (Cryptographic Service Provider, CSP). Bei dem CSP handelt es sich um die Software bzw. die Hardware, über welche die Verschlüsselungsdienste für die Zertifizierungsstelle zur Verfügung gestellt werden. Bei einem softwarebasierten CSP wird auf dem Computer ein öffentlicher und ein privater Schlüssel, ein so genanntes Schlüsselpaar, erstellt. Bei einem hardwarebasierten CSP, z. B. einem Smartcard-CSP, wird eine Hardwarekomponente angewiesen, das Schlüsselpaar zu erstellen. Der Standard-CSP für Windows-Umgebungen ist der Microsoft-basierte Kryptographieanbieter, der 40-Bit-Schlüssellängen bietet. Windows 2000 unterstützt eine Verschlüsselung mit 40/56-Bit-Schlüsseln und darf daher aus den Vereinigten Staaten von Amerika exportiert werden. Für eine erhöhte Sicherheit (und höhere Geschwindigkeit) sollte ein hardwarebasierter CSP in Erwägung gezogen werden, der bei verschiedenen Fremdanbietern erhältlich ist. Eine erhöhte Sicherheit ist in aller Regel mit höheren Kosten verbunden, sowohl was die Ausgaben für die Hardware angeht als auch die CPU-Zyklen für die Verschlüsselung. Eine erhöhte Sicherheit zahlt sich im Hinblick auf die damit verbundenen Kosten nicht immer sichtbar aus, steht jedoch im Bedarfsfall immer zur Verfügung. Ist eine sehr hohe Sicherheitsstufe gewünscht, sind ein CSP für die Zertifizierungsstellen und Smartcards für die Benutzer empfehlenswert.
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
405
So implementieren Sie die Infrastruktur für öffentliche Schlüssel Unter Windows 2000 und den meisten Softwareanwendungen, durch die Unternehmensverarbeitungsprozesse unterstützt werden, sind Zertifikate zu Infrastrukturen für öffentliche Schlüssel vorgesehen. In den folgenden Abschnitten werden die Features für diese Infrastrukturen unter Windows 2000 vorgestellt.
Erstellen einer lokalen Zertifizierungsstelle Auf dem Server unter Windows 2000 kann eine lokale Zertifizierungsstelle erstellt werden. Sie können unter verschiedenen Zertifizierungsstellentypen auswählen. Einen Typ stellt die Firmenzertifizierungsstelle dar, über welche z. B. Zertifikate für digitale Signaturen, verschlüsselte E-Mail, Webauthentifizierungen und Windows 2000-Domänenauthentifizierungen über Smartcards durchgeführt werden können. Über diese Zertifizierungsstelle werden Zertifikate ausgestellt, die auf Anforderungen von Benutzern oder anderen Einheiten basieren und das Verwenden des Active Directory™ -Verzeichnisdienstes erfordern. Über eine eigenständige Zertifizierungsstelle werden Zertifikate basierend auf Anforderungen von Benutzern oder anderen Einheiten ausgestellt; im Gegensatz zu Firmenzertifizierungsstellen ist das Verwenden von Active Directory jedoch nicht erforderlich. Eigenständige Zertifizierungsstellen werden hauptsächlich in Verbindung mit Extranets oder dem Internet verwendet. Zertifizierungsstellen können verschiedene hierarchische Rollen übernehmen, z. B. die der Stammzertifizierungsstelle, der untergeordneten Zertifizierungsstelle und der ausstellende Zertifizierungsstelle. Weitere Informationen zu Zertifizierungshierarchien finden Sie unter „Festlegen von Zertifikatsrichtlinien und Zertifizierungsstellenmethoden“ weiter unten in diesem Kapitel. ? So erstellen Sie auf Windows 2000-basierten Servern eine lokale Zertifizierungsstelle 1. Klicken Sie auf Start, dann auf Einstellungen, und klicken Sie auf Systemsteuerung. 2. Doppelklicken Sie auf Software, und klicken Sie auf Windows-Komponenten hinzufügen/entfernen. 3. Fügen Sie Zertifikatsdienste hinzu, und installieren Sie eine Firmenstammzertifizierungsstelle. Weitere Informationen zum Installieren einer lokalen Zertifizierungsstelle finden Sie in der Onlinehilfe zu Windows 2000 Server. Nachdem eine lokale Zertifizierungsstelle erstellt wurde, kann sie mit Hilfe des Zertifizierungsstellen-Snap-Ins in der MMC (Microsoft Management Console) verwaltet werden. Sie können auch die Zertifikate der Infrastruktur für öffentliche Schlüssel anzeigen. ? So zeigen Sie den persönlichen Satz der Zertifikate der Infrastruktur für öffentliche Schlüssel an 1. Öffnen Sie Microsoft Internet Explorer.
406
Teil III
Active Directory-Infrastruktur
2. Klicken Sie im Menü Extras auf Internetoptionen. 3. Klicken Sie im entsprechenden Dialogfeld auf die Registerkarte Inhalt. Auf dieser Registerkarte werden mittels der Schaltflächen unter Zertifikate die aktuellen Zertifikate, die vertrauten Zertifizierungsstellen und vertraute Softwarehersteller angezeigt.
Verwalten von Zertifikaten Verwenden Sie zum Verwalten von Zertifikaten das Zertifikat-Snap-In für MMC. Beachten Sie, dass dieses Snap-In über zwei Anzeigemodi verfügt, die Anzeige Logische Zertifikatspeicher und die Anzeige Zertifikatszweck. Klicken Sie auf den Knoten Zertifikate (Knoten der obersten Ebene), so dass er hervorgehoben angezeigt wird. Klicken Sie im Menü Ansicht auf Optionen. Machen Sie sich mit den beiden Anzeigemodi vertraut. Um in diesem Snap-In ein neues Zertifikat anzufordern, klicken Sie in der Ansicht Zertifikatszwecke mit der rechten Maustaste auf den entsprechenden Knoten, und klicken Sie im Menü Alle Tasks auf Neues Zertifikat anfordern.
Verwenden der Webseiten für Zertifikatsdienste Wenn die Windows 2000-Site einsatzbereit ist, können Sie anderen Benutzern ermöglichen, von der internen Zertifizierungsstelle eigene Zertifikate anzufordern. Hierfür müssen eine Zertifizierungsstelle und IIS konfiguriert und ausgeführt werden. Greifen Sie auf die Registrierungs-Webseiten über http://computer_DNS_name/certsrv/ zu.
Einstellen der Richtlinien für öffentliche Schlüssel in den Objekten für Gruppenrichtlinien Eine Reihe von Richtlinien für Infrastrukturen für öffentliche Schlüssel können in dem Objekt für Gruppenrichtlinien eingestellt und somit auf Computer in Domänen und Bereichen von Organisationseinheiten angewendet werden. Öffnen Sie das Gruppenrichtlinien-Snap-In für MMC, um auf das entsprechende Gruppenrichtlinienobjekt zuzugreifen. Die Einträge der Infrastruktur für öffentliche Schlüssel befinden sich unter der Option Computerkonfiguration: Gruppenrichtlinienobjekt ?Computerkonfiguration ?Windows-Einstellungen ?Sicherheitseinstellungen ?Richtlinien für öffentliche Schlüssel
Zertifikatsvertrauenslisten und Stammzertifikate von Zertifizierungsstellen gehören zu den Objekten für Gruppenrichtlinien und enthalten diejenigen Zertifizierungsstellen, denen von Empfängern der Gruppenrichtlinien vertraut wird. Hierbei handelt es sich um die Container Organisationsvertrauen und Vertrauenswürdige Stammzertifizierungsstelle unter der Option Richtlinien öffentlicher Schlüssel.
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
407
Aufbauen der Infrastruktur für öffentliche Schlüssel Die Infrastruktur für öffentliche Schlüssel unter Windows 2000 bietet eine Umgebung von Diensten, Technologien und Protokollen, die auf Standards basieren, mit denen Sie mit Hilfe der Technologie für öffentliche Schlüssel ein leistungsstarkes Datensicherheitssystem einrichten und verwalten können. Windows 2000 unterstützt eine Reihe von Sicherheitsfeatures für öffentliche Schlüssel, die für die verteilten Sicherheitsdienste erforderlich sind. Windows 2000 unterstützt z. B. für EFS erforderliche Verschlüsselungsoperationen für öffentliche Schlüssel, ohne dass zusätzliche Infrastrukturen oder Zertifizierungsstellen eingerichtet werden müssen. Für viele Sicherheitslösungen (z. B. sichere E-Mail, Smartcard-Authentifizierung und sichere Webkommunikation) ist es zum Unterstützen dieser Anwendungstypen jedoch erforderlich, zusätzliche Komponenten der Infrastruktur für öffentliche Schlüssel zu entwerfen, zu testen und einzurichten, u. a. Zertifizierungsstellen, Zertifikatseinschreibung und Zertifikatserneuerung. Möglicherweise sollen auch Zertifikatsdienste zum Unterstützen von EFS-Benutzern und mehrerer Wiederherstellungsagenten oder IPSec-Authentifizierungen für Clients eingerichtet werden, bei denen keine Kerberos-Authentifizierung ausgeführt wird und welche diese Authentifizierungsart nicht zum Erstellen von Vertrauensstellungen verwenden können (in nicht vertrauten Domänen unter Windows 2000 oder bei einem Computer, der kein Mitglied einer Windows 2000-Domäne ist). Ferner sollen möglicherweise benutzerdefinierte Anwendungen und Zertifikatsdienste entwickelt und eingerichtet werden, um den besonderen Anforderungen einer Organisation zu entsprechen. In Abbildung 12.1 wird der Prozess zum Entwerfen, Testen und Einrichten einer Infrastruktur für öffentliche Schlüssel in einer Organisation dargestellt.
408
Teil III
Active Directory-Infrastruktur Abbildung 12.1 Flussdiagramm zum Entwerfen einer Infrastruktur für öffentliche Schlüssel in einer Organisation
Sie können die Infrastruktur für öffentliche Schlüssel mit Hilfe der Microsoft Zertifikatsdienste entwerfen und einrichten. Sie können auch Windows 2000kompatible Zertifizierungsstellen von Drittanbietern verwenden, um einen Teil oder die gesamte Infrastruktur für öffentliche Schlüssel aufzubauen. Der Prozess zum Aufbauen einer Infrastruktur für öffentliche Schlüssel ist bei allen verwendeten Zertifikatsdiensten gleich. Die Implementierungsdetails zum Aufbauen einer solchen Struktur hängen jedoch von der bestimmten Technologie der Zertifikatsdienste ab. Weitere Informationen zu den Komponenten und Features der Infrastruktur für öffentliche Schlüssel unter Windows 2000 finden Sie unter „Sicherheitslösungen mit öffentlichen Schlüsseln“ in Microsoft Windows 2000 Server – Die technische Referenz: Verteilte Systeme. Weitere Informationen zu den Komponenten und Features bei Zertifikatsdiensten von Drittanbietern erhalten Sie bei dem Hersteller des entsprechenden Zertifikatsdiensts.
Entwerfen der Infrastruktur für öffentliche Schlüssel Mit Windows 2000 können Sie eine Infrastruktur für öffentliche Schlüssel entwerfen, die einer Reihe von Sicherheitsanforderungen an öffentliche Schlüssel entsprechen. Diese Anforderungen müssen festgelegt werden, so dass eine unterstützende Infrastruktur entworfen und skaliert werden kann.
Erkennen der Zertifikatsanforderungen Vor dem Festlegen der erforderlichen Zertifikatsdienste für eine Infrastruktur für öffentliche Schlüssel müssen die einzurichtenden Anwendungen angegeben werden, für die digitale Zertifikate erforderlich sind. Ebenfalls festgelegt werden müssen alle Verwendungszwecke für Zertifikate, alle Benutzer, Computer und Dienste, welche Zertifikate erfordern und die Zertifikatstypen, die ausgestellt werden sollen. Sie können entweder die Microsoft Zertifikatsdienste einrichten oder andere Zertifikatsdienste verwenden, um den gewünschten Anforderungen an öffentliche Schlüssel zu entsprechen. Legen Sie die Kategorien für die Benutzer, Computer und Dienste fest, bei denen Zertifikate erforderlich sind, und geben Sie für jede Kategorie die folgenden Daten an: ? Name oder Beschreibung ? Grund für Zertifikate ? Anzahl der Einheiten (Benutzer, Computer oder Dienste) ? Standort von Benutzern, Computern und Diensten
Zum Unterstützen der angegebenen Kategorien für jede Geschäftseinheit und des Standortes in der Organisation muss ein Zertifikatsdienst zur Verfügung stehen. Die eingerichteten Zertifikatsdienste werden durch die Zertifikatstypen, welche ausgestellt werden sollen, die Anzahl der Einheiten und den Standort der Gruppen bestimmt. Sie können z. B. zwei ausstellende Zertifizierungsstellen einrichten, um allen Administratorgruppen in einer Organisation Zertifikate zur Verfügung zu stellen. Da sich in der Organisation jedoch wesentlich mehr Benutzer als Administratoren befinden, ist es nötig, in jeder Einrichtung einzelne ausstellende
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
409
Zertifizierungsstellen einzurichten, um den Anforderungen der Benutzer zu entsprechen. Weitere Informationen zu den Sicherheitslösungen mit Hilfe digitaler Zertifikate finden Sie unter „Sicherheitslösungen mit öffentlichen Schlüsseln“ in Microsoft Windows 2000 Server – Die technische Referenz: Verteilte Systeme.
Grundlegende Sicherheitsanforderungen für Zertifikate Beim Verwenden von Zertifikaten wirken sich einige grundlegende Faktoren auf die Gesamtsicherheit aus. Geben Sie für folgende Faktoren die Anforderungen an die zu verwendenden Zertifikate an: ? Länge des privaten Schlüssels. In einer typischen Einrichtung verfügen die
Benutzerzertifikate über 1.024-Bit-Schlüssel und die Stammzertifizierungsstellen über 4.096-Bit-Schlüssel. ? Kryptographische Algorithmen, die mit Zertifikaten verwendet werden. Die Standardalgorithmen werden empfohlen. ? Gültigkeitsdauer von Zertifikaten und privaten Schlüsseln und der Erneuerungszyklus. Die Gültigkeitsdauer von Zertifikaten wird durch den Zertifikatstyp, die Sicherheitsanforderungen, die im Industriezweig verwendeten Standardmethoden und gesetzliche Bestimmungen festgelegt. ? Besondere Anforderungen für das Speichern und Verwalten von privaten Schlüsseln. Hierunter fallen z. B. das Speichern auf Smartcards und nicht exportierbare Schlüssel. Die Standardeinstellungen für Zertifikate, die über die Microsoft Zertifikatsdienste ausgestellt wurden, können typischen Sicherheitsanforderungen entsprechen. Möglicherweise wünschen Sie jedoch höhere Sicherheitseinstellungen für Zertifikate, die von bestimmten Benutzergruppen verwendet werden. Sie können beispielsweise größere Längenangaben für private Schlüssel und eine kürzere Gültigkeitsdauer für Zertifikate festlegen, wodurch die Sicherheit für sehr wichtige Daten gewährt wird. Sie können auch festlegen, dass Smartcards für das Speichern privater Schlüssel verwendet werden, um zusätzliche Sicherheit zu bieten.
Festlegen des auszustellenden Zertifikatstyps Bestimmen Sie, welche Zertifikatstypen ausgestellt werden sollen. Der ausgestellte Zertifikatstyp hängt von dem eingerichteten Zertifikatsdienst und den Sicherheitsanforderungen ab, die für die auszustellenden Zertifikate festgelegt wurden. Sie können Zertifikatstypen ausstellen, die über verschiedene Verwendungszwecke verfügen und verschiedenen Sicherheitsanforderungen genügen. Für Firmenzertifizierungsstellen können Sie zahlreiche Zertifikatstypen ausstel len, die auf den Zertifikatsvorlagen und Kontenrechten in einer Windows 2000Domäne basieren. Sie können jede Firmenzertifizierungsstelle so konfigurieren, dass eine bestimmte Auswahl an Zertifikatstypen ausgestellt wird. In Tabelle 12.2 werden die verschiedenen Typen von verfügbaren Zertifikatsvorlagen und ihre Verwendungszwecke aufgeführt.
410
Teil III
Active Directory-Infrastruktur Tabelle 12.2 Zertifikatsvorlagen und Verwendungszwecke Name der Zertifikatsvorlage
Verwendungszweck des Zertifikats
Ausstellungsempfänger
Administrator
Signieren von Softwarecode, Microsoft Vertrauenslistensignatur, EFS, sichere E-Mail, Clientauthentifizierung
Personen
Zertifizierungsstelle ClientAuth
Computer Personen
EFS EFSRecovery
Alle Clientauthentifizierung (authentifizierte Sitzung) Signieren von Softwarecode Microsoft Vertrauenslistensignatur Clientauthentifizierung, Serverauthentifizierung Verschlüsselndes Dateisystem Dateiwiederherstellung
EnrollmentAgent IPSECIntermediateOffline
Zertifikatsanforderungsagent IP-Sicherheit
Personen Computer
IPSECIntermediateOnline MachineEnrollmentAgent Machine
IP-Sicherheit Zertifikatsanforderungsagent Clientauthentifizierung, Serverauthentifizierung Clientauthentifizierung
Computer Computer Computer
Clientauthentifizierung Clientauthentifizierung,sichere E-Mail Alle Verschlüsselndes Dateisystem, sichere E-Mail, Clientauthentifizierung
Personen Personen
UserSignature
Sichere E-Mail, Clientauthentifizierung
Personen
WebServer CEP-Verschlüsselung Registrierungs-Agent austauschen (Offlineanforderung)
Serverauthentifizierung Zertifikatsanforderungsagent Zertifikatsanforderungsagent
Computer Router Personen
Exchange-Benutzer
Sichere E-Mail, Clientauthentifizierung
Personen
Benutzersignatur austauschen
Sichere E-Mail, Clientauthentifizierung
Personen
CodeSigning CTLSigning Domänencontroller
OfflineRouter SmartcardLogon SmartcardUser SubCA Benutzer
Personen Personen Computer Personen Personen
Computer/Router
Computer Personen
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
411
Für eigenständige Zertifizierungsstellen können Sie Zertifizierungsverwendungen in der Zertifikatsanforderung angeben. Sie können auch benutzerdefinierte Richtlinienmodule verwenden, um die Zertifikatstypen anzugeben, die für eigenständige Zertifizierungsstellen ausgestellt werden. Weitere Informationen zum Entwickeln benutzerdefinierter Anwendungen für Microsoft Zertifikatsdienste finden Sie über den Hyperlink „Microsoft Platform SDK“ auf der Seite für Webressourcen unter http://windows.microsoft.com/windows2000/reskit/webresources. Die Zertifikatstypen, die über Zertifikatsdienste von Drittanbietern ausgestellt werden, werden durch die bestimmten Funktionen der Drittanbieterprodukte festgelegt. Weitere Informationen erhalten Sie beim Anbieter des Zertifiktatsdiensts.
Festlegen von Zertifikatsrichtlinien und Zertifizierungsstellenmethoden Sie können Microsoft Zertifikatsdienste oder andere Zertifikatsdienste verwenden, um Zertifizierungsstellen für eine Organisation zu erstellen. Legen Sie vor dem Einrichten von Zertifizierungsstellen die Zertifikatsrichtlinien und CPS (Certificate Practice Statements) für die Organisation fest. Über eine Zertifikatsrichtlinie wird festgelegt, welches Zertifikat verwendet werden soll und welche Haftung die Zertifikatsstelle für diese Verwendung übernimmt. Über ein CPS (Certificate Practice Statement) werden die Methoden festgelegt, die von der Zertifizierungsstelle zum Verwalten der ausgestellten Zertifikate verwendet werden. Mit einem CPS lässt sich also beschreiben, wie die Anforderungen der Zertifikatsrichtlinien im Zusammenhang mit den Betriebsrichtlinien, der Systemarchitektur, der physischen Sicherheit und der Verarbeitungsumgebung der Zertifizierungsstellenorganisation implementiert werden. Über eine Zertifikatsrichtlinie kann z. B. angegeben werden, dass der private Schlüssel nicht exportiert werden kann. Das CPS beschreibt dann also, wie dies durch die eingerichtete Infrastruktur für öffentliche Schlüssel erreicht wird.
Zertifikatsrichtlinien Zertifikatsrichtlinien können folgende Datentypen umfassen: ? Authentifizierung von Benutzern für die Zertifizierungsstelle ? Gesetzliche Probleme, z. B. solche in Zusammenhang mit
? ? ? ? ?
Haftungsbestimmungen, die entstehen können, wenn die Zertifizierungsstelle gefährdet oder missbraucht wird Verwendungszweck von Zertifikaten Verwaltungsanforderungen für private Schlüssel, z. B. Speichern auf Smartcards oder anderen Hardwaregeräten Exportierfähigkeit privater Schlüssel Anforderungen an Benutzer der Zertifikate, u. a. Verhaltensregeln für den Fall, dass private Schlüssel verloren gehen oder gefährdet werden Anforderungen an Zertifikatseinschreibungen und -erneuerungen
? Gültigkeitsdauer von Zertifikaten ? Zu verwendender kryptographischer Algorithmus ? Mindestlänge der Schlüsselpaare aus öffentlichen und privaten Schlüsseln
412
Teil III
Active Directory-Infrastruktur
CPS (Certificate Practices Statements) Ein CPS für eine Zertifizierungsstelle kann den Anforderungen mehrerer Zertifikatsrichtlinien entsprechen. Jedes CPS enthält spezifische Daten zu dieser Zertifizierungsstelle. Das CPS für eine untergeordnete Zertifizierungsstelle kann sich für allgemeine oder gemeinsame Daten jedoch auf das CPS einer übergeordneten Zertifizierungsstelle beziehen. Ein CPS kann folgende Datentypen umfassen: ? Positive Erkennung der Zertifizierungsstelle (u. a. Name der Zertifizierungs-
stelle, Servername und DNS-Adresse) ? Durch die Zertifizierungsstelle implementierte Zertifikatsrichtlinien und ausgestellte Zertifikatstypen ? Richtlinien, Prozeduren und Prozesse zum Ausstellen und Erneuern von Zertifikaten ? Kryptographische Algorithmen, CSP und verwendete Schlüssellänge für das Zertifikat der Zertifizierungsstelle ? Gültigkeitsdauer des Zertifikats der Zertifizierungsstelle ? Physische Sicherheit, Netzwerksicherheit und Prozedursicherheit der ? ?
? ?
Zertifizierungsstelle Die Gültigkeitsdauer jedes über die Zertifizierungsstelle ausgestellten Zertifikats Richtlinien zum Entziehen von Zertifikaten, u. a. Bedingungen für Zertifikatssperrlisten, z. B. beim Beenden des Arbeitsverhältnisses und bei Missbrauch von Sicherheitsrechten Richtlinien für Zertifikatssperrlisten (Certificate Revocation Lists, CRLs), u. a. CRL-Verteilungspunkte und -Veröffentlichungsintervalle Richtlinien zum Erneuern von Zertifikaten der Zertifizierungsstelle vor dem Ablaufen
Festlegen von Vertrauensstrategien für die Zertifizierungsstelle Vor dem Einrichten einer Infrastruktur für öffentliche Schlüssel unter Windows 2000 müssen die Vertrauensstrategien der Zertifizierungsstelle festgelegt werden, die in der Organisation verwendet werden sollen. Mit Windows 2000 können Sie Vertrauen für Zertifizierungsstellen herstellen, bei denen hierarchische Vertrauensketten und Zertifikatsvertrauenslisten verwendet werden.
Vorteile von Vertrauenshierarchien für die Zertifizierungsstelle Die Infrastruktur für öffentliche Schlüssel unter Windows 2000 verfügt über ein hierarchisches Zertifizierungsstellenmodell. Eine Zertifizierungsstellenhierarchie bietet Skalierbarkeit, problemlose Verwaltung und Konsistenz mit einer zunehmenden Anzahl an Zertifizierungsstellenprodukten von Drittanbietern. Im Allgemeinen umfasst eine Hierarchie mehrere Zertifizierungsstellen mit klar festgelegten Beziehungen zu über- und untergeordneten Stellen. In diesem Modell werden untergeordnete Zertifizierungsstellen durch Zertifikate zertifiziert, die von übergeordneten Zertifizierungsstellen ausgestellt wurden, wodurch der öffentliche Schlüssel an eine Zertifizierungsstelle gebunden wird.
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
413
Die Zertifizierungsstelle an oberster Stelle der Hierarchie wird als so genannte Stammzertifizierungsstelle bezeichnet. Die Zertifizierungsstellen unterhalb der Stammzertifizierungsstelle werden in der Hierarchie als so genannte untergeordnete Zertifizierungsstellen bezeichnet. Wird unter Windows 2000 einer Stammzertifizierungsstelle vertraut (indem das entsprechende Zertifikat im Speicher vertrauenswürdiger Stammzertifizierungsstellen abgelegt wird), wird allen untergeordneten Stellen in der Hierarchie vertraut, es sei denn, bei einer untergeordneten Stelle wurde das Zertifikat über die ausstellende Zertifizierungsstelle aufgehoben, oder es handelt sich um ein abgelaufenes Zertifikat. Eine Stammzertifizierungsstelle spielt daher im Hinblick auf das Vertrauensverhältnis in einer Organisation eine bedeutende Rolle und sollte gesichert und entsprechend verwaltet werden. Der Vorteil dieses Modells besteht darin, dass für die Überprüfung von Zertifikaten nur eine geringe Anzahl an Stammzertifizierungsstellen vertraut sein muss. Gleichzeitig wird Flexibilität geboten im Hinblick auf die Anzahl an untergeordneten Zertifizierungsstellen, über welche Zertifikate ausgestellt werden. Es gibt einige praktische Gründe für das Einrichten mehrerer untergeordneter Zertifizierungsstellen. Hierzu gehören: Verwendung. Zertifikate können für mehrere Verwendungszwecke ausgestellt werden (z. B. sichere E-Mail, Netzwerkauthentifizierung usw.). Die Ausstellungsrichtlinien können für diese Verwendungszwecke von entscheidender Bedeutung sein, und eine Trennung bietet die Grundlage zum Verwalten dieser Richtlinien. Organisationsabteilungen. Es können verschiedene Richtlinien zum Ausstellen von Zertifikaten bestehen, je nach der Rolle einer Einheit in der Organisation. Auch hier können Sie untergeordnete Zertifizierungsstellen erstellen, um diese Richtlinien zu trennen und zu verwalten. Geographische Abteilungen. Organisationen können über Einheiten verfügen, die sich an mehreren physischen Standorten befinden. Wegen der Netzwerkverbindungen zwischen diesen Sites können mehrere untergeordnete Zertifizierungsstellen notwendig werden, so dass den Anforderungen für die Verwendung entsprochen wird. Mehrere Vertrauenshierarchien bieten auch folgende Vorteile für die Verwaltung: ? Flexible Konfiguration der Sicherheit für die Zertifizierungsstellenumgebung
(Schlüsselstärke, physischer Schutz, Schutz gegen Angriffe auf das Netzwerk usw.). Sie können die Zertifizierungsstellenumgebung so ausrichten, dass das Verhältnis zwischen Sicherheit und Einsatzfähigkeit ausgewogen ist. Für eine Stammzertifizierungsstelle können Sie z. B. eine auf bestimmte kryptographische Zwecke ausgelegte Hardware verwenden, die in einem streng abgesperrten Bereich verwaltet und nur im Offlinemodus betrieben wird. Für eine ausstellende Zertifizierungsstelle ist diese Art der Einrichtung jedoch kostenintensiv und führt dazu, dass die Zertifizierungsstelle nur schwer einzusetzen ist und ihre Leistung sowie die Effektivität gemindert werden. ? Möglichkeit, Schlüssel und Zertifikate für diejenigen ausstellenden Zwischenzertifizierungsstellen regelmäßig zu erneuern, die einem hohen Sicherheitsrisiko ausgesetzt sind, ohne dass die erstellten Stammvertrauensstellungen geändert werden müssen.
414
Teil III
Active Directory-Infrastruktur ? Möglichkeit, einen untergeordneten Bereich der Zertifizierungsstellenhierarchie
zu deaktivieren, ohne dass die erstellten Stammvertrauensstellungen oder der Rest der Hierarchie davon betroffen werden. Ferner bietet das Einrichten mehrerer ausstellender Zertifizierungsstellen folgende Vorteile: ? Eigene Zertifikatsrichtlinien für verschiedene Benutzer- und Computer-
kategorien oder für Organisationsabteilungen und geographische Abteilungen. Sie können eine ausstellende Zertifizierungsstelle so einrichten, dass für jede einzelne Kategorie, Abteilung oder jeden Standort Zertifikate zur Verfügung gestellt werden. ? Verteilen der Zertifizierungslast und Anbieten redundanter Dienste. Sie können mehrere ausstellende Zertifizierungsstellen so einrichten, dass die Zertifizierungslast den Anforderungen von Standort, Netzwerk und Server entsprechend verteilt wird. Bei langsamen oder teilweise temporären Netzwerkverbindungen zwischen Standorten können z. B. an jedem Standort ausstellende Zertifizierungsstellen erforderlich sein, um den Anforderungen an die Leistung und Verwendbarkeit der Zertifikate zu entsprechen. Sie können ausstellende Zertifizierungsstellen so einrichten, dass über die Verteilung der Zertifizierungslast allen Standort-, Netzwerkverbindungs- und Belastungsanforderungen entsprochen wird. Sie können auch mehrere ausstellende Zertifizierungsstellen einrichten, so dass doppelte Dienste zur Verfügung stehen. Wenn eine Zertifizierungsstelle ausfällt, steht dann also eine andere ausstellende Zertifizierungsstelle zur Verfügung, so dass die Dienste ununterbrochen zur Verfügung stehen.
Vorteile von Zertifikatsvertrauenslisten Bei einer Zertifikatsvertrauensliste handelt es sich um eine Liste selbstsignierter Zertifikate für die Zertifizierungsstellen, deren Zertifikaten in einer Organisation vertraut wird. Mit Hilfe von Zertifikatsvertrauenslisten können Sie den Verwendungszweck und die Gültigkeitsdauer von Zertifikaten steuern, die von externen Zertifizierungsstellen ausgestellt wurden. Beim Erstellen einer Zertifikatsvertrauensliste muss diese autorisiert werden, indem sie mit einem Zertifikat signiert wird, das von einer bereits vertrauten Zertifizierungsstelle ausgestellt wurde. Für einen Standort können mehrere Zertifikatsvertrauenslisten bestehen. Da verschiedene Verwendungszwecke für Zertifikate bestimmter Domänen oder Organisationseinheiten bestehen, können Sie Zertifikatsvertrauenslisten erstellen, die diese Verwendungszwecke enthalten, und einem bestimmten Gruppenrichtlinienobjekt eine bestimmte Zertifikatsvertrauensliste zuweisen. Beim Anwenden des Gruppenrichtlinienobjekts auf einen Standort, eine Domäne oder eine Organisationseinheit wird die Richtlinie den entsprechenden Computern vererbt. Über diese Computer wird dann den Zertifizierungsstellen in der Zertifikatsvertrauensliste vertraut. Die Stammzertifizierungsstellen können ebenfalls in einer Gruppenrichtlinie berücksichtigt werden. Zertifikatsvertrauenslisten sind problemloser zu verwenden als Gruppenrichtlinien, da ihre Gültigkeit begrenzt ist.
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
415
Sie können Windows 2000-Zertifikatsvertrauenslisten erstellen, um folgende Vorteile zu nutzen: ? Erstellen von Vertrauenszertifikaten aus bestimmten
Zertifizierungsstellen ohne erweitertes Vertrauen in die Stammzertifizierungsstelle. Sie können z. B. Zertifikatsvertrauenslisten in einem Extranet verwenden, um Zertifikaten zu vertrauen, die von bestimmten kommerziellen Zertifizierungsstellen ausgestellt wurden. Benutzern mit derartigen Zertifikaten können Berechtigungen erteilt werden, auf eingeschränkte Extranet-Ressourcen zuzugreifen, indem das Zertifikat einem in Active Directory gespeicherten Konto zugeordnet wird. ? Einschränken der berechtigten Verwendung von Zertifikaten, die von vertrauten Zertifizierungsstellen ausgestellt wurden. Zertifikate, die von einer Zertifizierungsstelle ausgestellt wurden, können z. B. für sichere E-Mail, Netzwerkauthentifizierung und das Signieren von Softwarecode gültig sein. Sie können jedoch eine Zertifikatsvertrauensliste in einem Extranet verwenden, um die berechtigte Verwendung von Zertifikaten auf sichere Mail zu beschränken. ? Steuern der Gültigkeitsdauer für Zertifikate und Zertifizierungsstellen von Drittanbietern. Die Zertifizierungsstelle eines Geschäftspartners verfügt z. B. über eine Gültigkeitsdauer von fünf Jahren und stellt Zertifikate mit einer Gültigkeitsdauer von einem Jahr aus. Sie können jedoch eine Zertifikatsvertrauensliste mit einer Gültigkeitsdauer von sechs Monaten erstellen, um die Zeit zu begrenzen, während der einem über die Zertifizierungsstelle des Geschäftspartners ausgestellten Zertifikat in dem von Ihnen verwendeten Extranet vertraut wird.
Zusätzliche Überlegungen zu Vertrauensstrategien für Zertifizierungsstellen Beachten Sie beim Festlegen der Vertrauensstrategien für Zertifizierungsstellen folgende Faktoren: ? Vertrauenshierarchien für Zertifizierungsstellen verfügen in aller Regel über vier
Ebenen (Stammzertifizierungsstelle, Zwischenzertifizierungsstelle, ausstellende Zertifizierungsstelle und ausgestellte Zertifikate). ? Die Vertrauenshierarchien der Zertifizierungsstellen können zwar ganz oder teilweise aus Zertifizierungsstellen von Drittanbietern bestehen, um jedoch den erwarteten Austauschprozess über diese Zertifizierungsstellen sicherzustellen, testen Sie die entsprechenden Hierarchien im Testlabor. ? Für einige Drittanbieterprodukte sind andere Vertrauensmodelle für Zertifizierungsstellen notwendig, die möglicherweise mit den Hierarchien für Stammzertifizierungsstellen nicht verwendet werden können. Über Windows 2000 und die meisten kommerziellen Zertifizierungsstellen werden Hierarchien für Stammzertifizierungsstellen jedoch unterstützt.
Festlegen der Sicherheitsanforderungen für Zertifizierungsstellen Die Sicherheitsanforderungen für die Zertifizierungsstellen sollten festgelegt werden. Diese Sicherheitsanforderungen können folgende Faktoren umfassen: ? Verwenden hardwarebasierter CSP für Stammzertifizierungsstellen ? Verwalten von Stammzertifizierungsstellen in streng abgesperrten Bereichen
416
Teil III
Active Directory-Infrastruktur ? Betreiben von Stamm- und Zwischenzertifizierungsstellen im Offlinemodus ? Betreiben von Zwischenzertifizierungsstellen und ausstellenden
Zertifizierungsstellen in sicheren Data Centers ? Lange Schlüssel für Stammzertifizierungsstellen und Zwischenzertifizierungsstellen höherer Ebenen Sie können eine Zwischenzertifizierungsstelle im Offlinemodus betreiben, wenn die Autorität von einer Muttergesellschaft auf eine große Anzahl einzelner Organisationen übertragen werden soll. Für die einzelnen Zweigstellen können Sie dann eine untergeordnete Zertifizierungsstelle im Offlinemodus zur Verfügung stellen. Das Festlegen der für eine Zertifizierungsstelle erforderlichen Sicherheit geht mit dem Abwägen zwischen den Kosten für das Implementieren und Verwalten der Sicherheit und dem Angriffsrisiko für die Zertifizierungsstelle sowie den Kosten für eine Gefährdung der Zertifizierungsstelle. Höhere Angriffsrisiken für die Zertifizierungsstelle und höhere Kosten aufgrund der Gefährdung der Zertifizierungsstelle rechtfertigen höhere Kosten für entsprechende Sicherheitsmaßnahmen. In aller Regel sollten Stammzertifizierungsstellen und Zwischenzertifizierungsstellen einen höheren Schutz erfahren als die ausstellenden Zertifizierungsstellen. Der Schutz für die Stammzertifizierungstelle muss nicht zwangsläufig kostspielig sein, vor allen Dingen bei kleineren Unternehmen. Es kann ausreichen, in einem sicheren Computerschrank über eine Stammzertifizierungsstelle im Offlinemodus zu verfügen oder in einem streng abgesperrten Bereich gelagerte Wechselmedien zu verwenden. Der Computer für die Stammzertifizierungsstelle sollte nicht über eine Netzwerkkarte verfügen.
Festlegen des Zyklus bei Zertifikaten Der Zyklus bei Zertifikaten umfasst folgende Ereignisse: ? Installierte Zertifizierungsstellen und die für sie ausgestellten Zertifikate ? Von Zertifizierungsstellen ausgestellte Zertifikate ? Aufgehobene Zertifikate (ggf.) ? Erneuerte oder abgelaufene Zertifikate ? Erneuerte oder abgelaufene Zertifikate der Zertifizierungsstellen
In aller Regel wird der Zertifikatszyklus festgelegt, um die ausgestellten Zertifikate in regelmäßigen Abständen zu erneuern. Ausgestellte Zertifikate laufen am Ende ihrer Gültigkeitsdauer ab und können in einem Zyklus solange erneuert werden, bis sie entweder aufgehoben werden bzw. ablaufen oder keine ausstellende Zertifizierungsstelle mehr zur Verfügung steht. Über jede Zertifizierungsstelle können Zertifikate solange in Erneuerungszyklen ausgestellt werden, bis die Gültigkeitsdauer der Zertifizierungsstelle endet. Zu diesem Zeitpunkt wird die Zertifizierungsstelle entweder außer Betrieb gesetzt, da die entsprechenden Schlüssel nicht mehr verwendet werden können, oder sie wird durch ein neues Schlüsselpaar erneuert. Zertifikatszyklen sollten so festgelegt werden, dass sie den Geschäftszielen und Sicherheitsanforderungen entsprechen. Die gewählten Zyklen hängen u. a. von folgenden Faktoren ab:
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
417
Länge der privaten Schlüssel für Zertifizierungsstellen und ausgestellte Zertifikate. Im Allgemeinen unterstützen längere Schlüssel eine längere Gültigkeitsdauer für Zertifikate und Schlüssel. Sicherheit durch den CSP. In aller Regel ist es schwieriger, einen hardwarebasierten CSP zu attackieren als einen softwarebasierten CSP, so dass über einen hardwarebasierten CSP eine längere Gültigkeitsdauer für Zertifikate und Schlüssel unterstützt wird. Leistungsfähigkeit der für kryptographische Operationen verwendeten Technologie. Einige kryptographische Technologien bieten mehr Sicherheit sowie Unterstützung für stärkere kryptographische Algorithmen. Sie können auch FORTEZZACryptocards verwenden, um mehr Sicherheit zu bieten als bei standardmäßigen Smartcards. Im Allgemeinen wird mit kryptographischen Technologien, die schwer zu durchbrechen sind, eine längere Gültigkeitsdauer für die Zertifikate erreicht. Sicherheit für Zertifizierungsstellen und ihre privaten Schlüssel. Im Allgemeinen gilt, dass die Gültigkeitsdauer einer Zertifizierungsstelle mit der physischen Sicherheit dieser Stelle und ihrer Schlüssel steigt. Sicherheit für ausgestellte Zertifikate und ihre privaten Schlüssel. Auf Smartcards gespeicherte private Schlüssel gelten z. B. als sicherer als in Dateien auf der Festplatte gespeicherte private Schlüssel, da Smartcards mit dem Exportieren des privaten Schlüssels nicht vereinbart werden können. Angriffsrisiko. Das Angriffsrisiko hängt von folgenden Komponenten ab: der Sicherheit des Netzwerks, dem Wert der durch die Vertrauenskette der Zertifizierungsstelle geschützten Netzwerkressourcen und den Kosten für den Angriff. Vertrauen für Benutzer von Zertifikaten. Im Allgemeinen ist für geringes Vertrauen eine kürzere Gültigkeitsdauer des Zyklus und des Schlüssels notwendig. Sie trauen z. B. vorübergehenden Benutzern weniger als normalen Geschäftsbenutzern, so dass die entsprechenden Zertifikate mit einer kürzeren Gültigkeitsdauer ausgestellt werden. Sie können an die Erneuerung dieser Zertifikate auch strengere Anforderungen knüpfen. Verwaltungsaufwand für das Erneuern von Zertifikaten und Zertifizierungsstellen. Um z. B. den Verwaltungsaufwand für das Erneuern von Zertifizierungsstellen zu senken, können Sie für die Vertrauenshierarchien der Zertifikate eine lange, sichere Gültigkeitsdauer festlegen. Überlegen Sie genau, wie lange den Zertifizierungsstellen sowie den ausgestellten Zertifikaten und Schlüsseln vertraut werden soll. Je länger die Zertifikate und privaten Schlüssel gültig sind, desto höher sind das Risiko und die Wahrscheinlichkeit einer Sicherheitsverletzung. Zertifikatszyklen sollten so festgelegt werden, dass zwischen den Geschäftszielen und den Sicherheitsanforderungen Ausgewogenheit besteht. Eine sehr kurze Gültigkeitsdauer kann zu einem hohen Verwaltungsaufwand führen. Eine sehr hohe Gültigkeitsdauer kann das Risiko von Sicherheitsverletzungen erhöhen.
418
Teil III
Active Directory-Infrastruktur
Beim Erneuern von Zertifikaten mit Hilfe von Microsoft CSP können Sie ebenfalls das Schlüsselpaar des Zertifikats erneuern. Im Allgemeinen gilt, dass das Risiko für eine Sicherheitsverletzung des Schlüssels steigt, je länger das Schlüsselpaar verwendet wird. Sie sollten die maximal zulässige Gültigkeitsdauer beschränken und die Zertifikate mit neuen Schlüsselpaaren erneuern, bevor diese Grenzen überschritten werden. Nachdem ein Zyklus festgelegt wurde, kann er zu einem späteren Zeitpunkt geändert werden, indem die Zertifizierungsstellen, die Zertifikate oder Schlüssel in anderen Zeitabständen als ursprünglich geplant erneuert werden. Stellt sich z. B. zu einem späteren Zeitpunkt heraus, dass durch die Gültigkeitsdauer der Stammzertifizierungsstelle die Zertifizierungsstelle einem höheren Sicherheitsrisiko ausgesetzt ist, als ursprünglich erwartet wurde, können Sie die Zertifizierungsstellenkette erneuern und den Zyklus entsprechend anpassen.
Festlegen der Prozesse für die Zertifikatseinschreibung und -erneuerung Legen Sie die Zertifikatseinschreibungs- und die Zertifikatserneuerungsprozesse fest, die in einer Organisation verwendet werden sollen. Microsoft Zertifikatsdienste unterstützen die folgenden Methoden für Zertifikatseinschreibungen und -erneuerungen: ? Interaktive Zertifikatsanforderungen mit Hilfe des Assistenten für die
?
? ? ?
Zertifikatsanforderung (nur für Benutzer, Computer und Dienste unter Windows 2000). Automatische Zertifikatsanforderungen mit Hilfe des Assistenten für automatische Zertifikatsanforderung (nur für Windows 2000Computerzertifikate). Interaktive Zertifikatsanforderungen für die Webseiten der Microsoft Zertifikatsdienste (für die meisten Webbrowserclients). Smartcard-Registrierung mit Hilfe der Smartcard-Registrierungsstelle. Benutzerdefinierte Anwendungen für Zertifikatseinschreibung und -erneuerung mit Hilfe des Microsoft Enrollment Control (Steuerelement zur Zertifikatseinschreibung).
Der gewählte Prozess für Zertifikatseinschreibungen und -erneuerungen wird durch die Benutzer und Computer bestimmt, für welche Dienste zur Verfügung gestellt werden sollen. Sie können den Assistenten für Zertifikatsanforderungen nur für Windows 2000-Clients verwenden. Sie können jedoch webbasierte Einschreibungs- und Erneuerungsdienste für die meisten Clients mit Webbrowsern verwenden. Sie können die Webseiten zu Microsoft Zertifikatsdiensten entweder unverändert verwenden oder diese Seiten anpassen. Sie können z. B. die Benutzeroptionen einschränken oder zusätzliche Verknüpfungen zu Benutzeranweisungen oder Unterstützungsinformationen im Onlinemodus anbieten.
Festlegen von Richtlinien für Zertifikatssperren Diese Richtlinien umfassen Richtlinien zum Sperren von Zertifikaten und zu Zertifikatssperrlisten.
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
419
Richtlinien zum Sperren von Zertifikaten Über die Richtlinie zum Sperren von Zertifikaten werden die Bedingungen festgelegt, unter denen das Sperren eines Zertifikats gerechtfertigt ist. Sie können z. B. festlegen, dass Zertifikate gesperrt werden, wenn ein Arbeitsverhältnis beendet wird oder Angestellte in andere Geschäftseinheiten wechseln. Sie können auch festlegen, dass Zertifikate gesperrt werden müssen, wenn Benutzer ihre Sicherheitsrechte missbrauchen oder die Sicherheit der privaten Schlüssel gefährdet wird (z. B. durch eine verlorene Smartcard). Für Computerzertifikate können Sie festlegen, dass die Zertifikate aufgehoben werden müssen, wenn der Computer ersetzt oder dauerhaft entfernt wird oder wenn die Sicherheit des Schlüssels gefährdet wird.
Richtlinien für Zertifikatssperrlisten Über die Richtlinien für Zertifikatssperrlisten (CRL) wird festgelegt, wie die CRLs und die Veröffentlichung des Zeitplans für CRLs verteilt werden. Sie können z. B. festlegen, dass bestimmte CRLs an häufig verwendete öffentliche Ordner und Webseiten sowie an Active Directory verteilt werden. Sie können auch festlegen, dass bestimmte CRLs täglich und nicht wöchentlich veröffentlicht werden.
Festlegen von Verwaltungsstrategien Legen Sie die Verwaltungs- und Notfallwiederherstellungsstrategien für die Zertifizierungsstellen fest. Diese Strategien umfassen folgende Faktoren: ? Sicherungsarten, die für die Zertifizierungsstellen durchgeführt werden ? Zeitpläne für das Durchführen von Sicherungen für die Zertifizierungsstellen ? Richtlinien zum Wiederherstellen von Zertifizierungsstellen ? Richtlinien für EFS-Wiederherstellungs-Agenten ? Richtlinien für die Wiederherstellung von sicherer Mail
Entwickeln von Wiederherstellungsplänen Sie können Wiederherstellungspläne entwickeln, um Zertifizierungsstellen wiederherzustellen, wenn die Zertifikatsdienste versagen oder die Sicherheit der Zertifizierungsstellen gefährdet ist. Testen Sie die Wiederherstellungspläne, um sicherzustellen, dass sie wunschgemäß funktionieren, und schulen Sie die Administratoren im Umgang mit diesen Plänen. Wiederherstellungspläne können folgende Faktoren umfassen: ? Wiederherstellungsprozeduren und Checklisten für Administratoren ? Wiederherstellungs-Toolkits oder Hinweise auf die Toolkits ? Notfallpläne
Weitere Informationen zum Sichern und Wiederherstellen unter Windows 2000 finden Sie unter „Bestimmen der Strategien für die Speicherverwaltung von Windows 2000“ in diesem Buch.
420
Teil III
Active Directory-Infrastruktur
Fehlerhafte Zertifizierungsstelle Eine Zertifizierungsstelle kann aus verschiedenen Gründen fehlerhaft sein, z. B. wegen einer fehlerhaften Festplatte des Servers, wegen einer fehlerhaften Netzwerkkarte oder wegen eines fehlerhaften Server-Motherboards. Einige Fehler können schnell beseitigt werden, indem das Problem beim Zertifizierungsstellenserver behoben wird. Sie können z. B. eine fehlerhafte Netzwerkkarte oder ein fehlerhaftes Motherboard ersetzen und den Computer neu starten, um die Zertifizierungsdienste wiederherzustellen. Bei einem Festplattenfehler können Sie die Festplatte ersetzen und den Server und die Zertifizierungsstelle aus der zuletzt durchgeführten Sicherung wiederherstellen. Ist die Zertifizierungsstelle beschädigt, kann sie aus der zuletzt durchgeführten Sicherung auf dem Server wiederhergestellt werden. Wenn der Server ersetzt werden muss, konfigurieren Sie den neuen Server mit demselben Netzwerknamen und derselben IP-Adresse des fehlerhaften Servers für die Zertifizierungsstelle. Sie können dann die Sicherung unter Windows 2000 oder den Assistenten zum Wiederherstellen von Zertifizierungsstellen verwenden, um die Zertifizierungsstelle aus der zuletzt durchgeführten Sicherung wiederherzustellen.
Gefährdete Sicherheit bei Zertifizierungsstellen Wird die Sicherheit einer Zertifizierungsstelle gefährdet, muss das Zertifikat dieser Stelle gesperrt werden. Durch das Sperren des Zertifikats einer Zertifizierungsstelle werden die Zertifizierungsstelle und die untergeordneten Zertifizierungsstellen sowie alle über diese Stellen ausgestellten Zertifikate ungültig. Wenn Sie eine Zertifizierungsstelle erkennen, deren Sicherheit gefährdet ist, führen Sie so bald wie möglich die folgenden Aktionen durch: ? Sperren Sie das Zertifikat der betroffenen Zertifizierungsstelle. Wenn die
Zertifizierungsstelle erneuert wurde, sperren Sie nur dann alle Zertifikate dieser Stelle, wenn für alle damit verbundenen Schlüssel die Sicherheit gefährdet ist. ? Veröffentlichen Sie eine neue Zertifikatssperrliste, die alle Zertifikate enthält,
deren Sicherheit gefährdet ist. Beachten Sie, dass über Clientanwendungen die Zertifikatssperrliste bis zu ihrem Ablauf gespeichert werden kann, so dass die neu veröffentlichte Liste erst angezeigt wird, wenn die alte Liste nicht mehr gültig ist. ? Entfernen Sie die Zertifikate der Zertifizierungsstelle, deren Sicherheit gefährdet ist, aus den Speichern und CTLs für vertrauenswürdige Zertifizierungsstellen. ? Benachrichtigen Sie alle betroffenen Benutzer und Administratoren von der Sicherheitsgefährdung, und informieren Sie sie darüber, dass die über die betroffene Zertifizierungsstelle ausgestellten Zertifikate gesperrt werden. ? Beseitigen Sie den Grund, der zu der Sicherheitsgefährdung geführt hat.
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
421
Um die Zertifizierungsstellenhierarchie wiederherzustellen, müssen neue Zertifizierungsstellen eingerichtet oder das Zertifikat einer Zertifizierungsstelle erneuert und ein neuer Schlüssel erstellt werden, so dass die Hierarchie, deren Sicherheit gefährdet ist, ersetzt werden kann. Dann müssen die entsprechenden Zertifikate für die Benutzer, Computer und Dienste erneut ausgestellt werden. Je nachdem, an welcher Stelle die Sicherheit der Hierarchie gefährdet wurde, kann eine neue Zertifizierungstellenhierarchie oder nur ein neuer Teil der Hierarchie erforderlich sein.
Entwickeln optionaler benutzerdefinierter Anwendungen Sie können eine Reihe von Sicherheitslösungen für öffentliche Schlüssel mit den Standardkomponenten und -Features der Infrastruktur für öffentliche Schlüssel unter Windows 2000 einrichten. Sie können mit Hilfe von Microsoft CryptoAPI jedoch auch benutzerdefinierte Anwendungen entwickeln. Mit Hilfe von CryptoAPI können Sie benutzerdefinierte Richtlinienmodule und benutzerdefinierte Beendigungsmodule entwickeln, um die Zertifikatsdienste in vorhandene Datenbanken und Verzeichnisdienste von Drittanbietern zu integrieren. Sie können beispielsweise eine Anwendung entwickeln, über welche Zertifikatsanforderungen aus Benutzerdaten validiert werden, die in einer vorhandenen Datenbank oder einem Verzeichnisdienst von Drittanbietern enthalten sind. Sie können auch eine benutzerdefinierte Anwendung entwickeln, bei der bestimmte Typen von Zertifikaten verwendet werden. Sie können z. B. eine Anwendung entwickeln, über die der digitale Fingerabdruck eines elektronischen Dokuments erstellt und dann in einem Zertifikat mit Datums- und Zeitstempel gespeichert wird. Diese gestempelten Zertifikate können in einer Registrierungsdatenbank für Dokumente verwaltet werden, um für den ursprünglichen Dokumenteninhalt Integrität zu gewährleisten. Wenn ein Dokument mit dem digitalen Fingerabdruck in der Registrierungsdatenbank verglichen wird, können alle Manipulationen oder Änderungen an dem Dokument nach der Registrierung erkannt werden. Die Dokumentenregistrierung kann auf diese Weise verwendet werden, um für hergestellte Produkte eine online geführte Überwachungsliste zur Qualitätssicherung zu erhalten und somit die Integrität der elektronischen Test- und Zertifizierungsdokumentation sicherzustellen. Ferner können Sie mit Hilfe von ASP (Active Server Pages) eine benutzerdefinierte Anwendung für Zertifikatseinschreibungen und -erneuerungen entwickeln. Sie können z. B. die Standardwebseiten für Microsoft Zertifikatsdienste so bearbeiten, dass Funktionen hinzugefügt oder gelöscht werden. Sie können auch benutzerdefinierte Webseiten entwickeln, bei denen Dienste von Drittanbietern oder andere benutzerdefinierte Anwendungen integriert werden. Weitere Informationen zum Entwickeln benutzerdefinierter Anwendungen für Microsoft Zertifikatsdienste finden Sie über den Hyperlink „Microsoft Platform SDK“ auf der Webressourcenseite unter http://windows.microsoft.com/windows2000/reskit/webresources.
422
Teil III
Active Directory-Infrastruktur
Durchführen der Ressourcenplanung Schätzen Sie ab, welche Ressourcen für Netzwerk, Computer und Einrichtungen erforderlich sind, um die Zertifikatsdienste zu unterstützen, die in der Organisation eingerichtet werden sollen. Die Gesamtzahl an erforderlichen Ressourcen kann erheblich variieren je nach Größe der Organisation und der Ebene und der Reichweite der eingerichteten Infrastruktur für öffentliche Schlüssel. Beachten Sie beim Einschätzen der Ressourcen auch die erforderlichen Ressourcen zum Unterstützen des kurzfristigen Bedarfs und des langfristig zu erwartenden Wachstums der Organisation. Zu den für das Einrichten notwendigen Netzwerk- und Computerressourcen gehören folgende Ressourcen: ? Servercomputer, auf denen Zertifikatsdienste und benutzerdefinierte
Anwendungen ausgeführt werden ? Kryptographische Hardware, z. B. Boards für die Beschleunigung kryptographischer Berechnungen ? Festplattenspeicher für die Zertifikatsdatenbank und die benutzerdefinierten
Anwendungen ? Speicherressourcen für die Sicherung von Zertifizierungsstellen und benutzerdefinierten Anwendungen ? Notfallwiederherstellungsressourcen, z. B. Kits für die Wiederherstellung sowie Ersatzserver auf „Hot Standby“. Die Leistung der Zertifikatsdienste kann je nach den folgenden Faktoren beachtliche Unterschiede aufweisen: ? Länge des zum Signieren von Zertifikaten verwendeten Zertifizierungs-
stellenschlüssels. Je länger der Schlüssel ist, desto mehr Verarbeitungsleistung und -zeit ist zum Signieren eines Zertifikats erforderlich. Es wird darauf hingewiesen, dass beim Ausstellen eines Zertifikats einmal eine Signierungsoperation (auf dem Server ) pro Zertifikat durchgeführt wird, während Überprüfungsoperationen während der Gültigkeitsdauer eines Zertifikats (je nach Protokoll auf dem Client oder einem anderen Server) häufiger vorgenommen werden. Beachten Sie, dass das Signieren eines Zertifikats kostenintensiver ist als das Überprüfen. ? Komplexität der Richtlinienmodullogik für Zertifizierungsstellen, die zum Validieren von Zertifikatsanforderungen verwendet wird. Je komplexer die Richtlinienlogik ist, desto länger dauert der Ausstellungsprozess für Zertifikate. In den meisten Fällen reichen die Organisations- und alleinstehenden Richtlinienmodule unter Windows 2000 aus. Wenn Sie ein benutzerdefiniertes Richtlinienmodul entwickeln möchten, müssen sowohl die Kosten für das Richtlinienmodul als auch für das Beendigungsmodul berücksichtigt werden. ? Leistungseinfluss auf benutzerdefinierte Anwendungen.
Benutzerdefinierte Anwendungen wirken sich auf die Leistung von Zertifikatsanwendungen aus. Über eine Anwendung für Zertifikatseinschreibungen beispielsweise, bei der standardmäßige CGI-Skripts (Common Gateway Interface) verwendet werden, kann der Einschreibungsprozess erheblich verzögert werden.
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
423
424
Teil III
Active Directory-Infrastruktur
Der erforderliche Festplattenspeicher zum Unterstützen der Zertifikatsdatenbanken hängt von folgenden Faktoren ab: ? Anzahl der von der Zertifizierungsstelle ausgestellten Zertifikate. Über-
schlagen Sie, wie viele Zertifikate während der Gültigkeitsdauer der Zertifizierungsstelle voraussichtlich ausgestellt werden. Für eine Zertifizierungsstelle, über die eine große Anzahl an Zertifikaten ausgestellt wird, oder die über eine längere Gültigkeitsdauer verfügt, ist eine umfangreichere Zertifikatsdatenbank erforderlich. ? Größe der einzelnen Zertifikate. Die Zertifikatsdatenbank umfasst alle Daten in den Zertifikaten, u. a. auch die öffentlichen Schlüssel. Zertifikate mit großen öffentlichen Schlüsseln und zusätzlichen besonderen Daten benötigen für jedes ausgestellte Zertifikat mehr Festplattenspeicher. Einige umfangreiche Zertifikatsdatenbanken können mehrere Gigabyte belegen. Wesentlich kleinere Zertifikatsdatenbanken werden in aller Regel jedoch nicht mehr als einige Hundert Megabyte belegen. Bestimmen Sie die Größe repräsentativer Zertifikatsdatenbanken im Testlabor, und extrapolieren Sie die Größen zukünftiger Datenbanken auf der Basis der zu erwartenden Anzahl an Zertifikaten, die über jede Zertifizierungsstelle während der Gültigkeitsdauer ausgestellt werden.
Einrichten der Infrastruktur für öffentliche Schlüssel Nachdem die Entwurfs- und Einrichtungsstrategien für öffentliche Schlüssel validiert und durch Pilotprojekte verbessert wurden, können Sie die Infrastruktur für öffentliche Schlüssel in der Produktionsumgebung einrichten. In folgender Liste wird ein grundlegender Produktionseinführungsprozess aufgeführt, der zum Einrichten der Infrastruktur für öffentliche Schlüssel verwendet werden kann. Das Einrichten der Infrastruktur für öffentliche Schlüssel umfasst folgende Aktivitäten: ? Planen der Produktionseinführung in Stufen ? Bereitstellen von Schulungen und Unterstützung für Benutzer in der Produktion ? Installieren der Zertifizierungsstellen ? Installieren und Konfigurieren von unterstützenden Systemen oder
Anwendungen ? Konfigurieren der auszustellenden Zertifikate ? Konfigurieren der Veröffentlichung von Zertifikatssperrlisten ? Konfigurieren von Gruppenrichtlinien für öffentliche Schlüssel ? Konfigurieren von Zertifikatserneuerungen und -einschreibungen ? Ausstellen von Zertifikaten für Benutzer, Computer und Zertifizierungsstellen
Planen der Produktionseinführung in Stufen Planen Sie für Einrichtungen großer Unternehmen die Produktionseinführung öffentlicher Schlüssel in Stufen. Sie können verschiedene Teile der Infrastruktur einführen, um die Sicherheitsziele und Geschäftsanforderungen zu unterstützen.
Kapitel 12 Planen der Infrastruktur für öffentliche Schlüssel
425
Sie können z. B. mit den EFS- und IPSec-Features beginnen, da keine Zertifizierungsstellenhierarchie aufgebaut werden muss, um die Vorteile dieser Features nutzen zu können. Der nächste Schwerpunkt kann auf sicherer Mail und Smartcard-Authentifizierung liegen. Sie können planen, dass die Einführung einer Infrastruktur für sichere Mail vor dem Einführen der Infrastruktur für Smartcards liegt oder dass sichere Mail für eine Gruppe oder einen Standort und gleichzeitig die Infrastruktur für Smartcards für eine andere Gruppe oder einen anderen Standort eingeführt wird. Um eine Infrastruktur fü