| Autor: | Lars Schlageter |
| Zuletzt gespeichert: | 08.02.2005 |
| Zustand : | Zu korrigieren |
Im Jahr 2000 brachte Microsoft Windows 2000, den Nachfolger von Windows NT, auf den Markt. Windows 2000 enthält einige neue Funktionen, läuft sehr stabil und verlässlich.
Es gibt vier Versionen von Windows 2000:
Windows 2000 Professional ist das Client-Betriebssystem für den ambitionierten Heim-User oder für den Firmeneinsatz. Es ist der Nachfolger von Windows NT 4.0 Workstation.
Windows 2000 Server ist für Netzwerke gedacht, die mehr Funktion als ein ereines Peer-To-Peer Netzwerk benötigen.
Es ermöglicht fortgeschrittene Client-Server basierende Netzwerkumgebungen. Windows 2000 Server können als File- und Printsharing Server dienen, sie können aber auch als Messaging oder Database-Server sein (oder mehrere dieser Funktionen übernehmen - Microsoft sieht es natürlich sehr gerne, wenn für jede Funktion ein eigener Server eingesetzt wird).
Windows 2000 Server bietet bereits fortgeschrittene Dienste wie DNS (Dynamic Name System), DHCP (Dynamic Host Configuration Protocol), RIS (Remote Installation Service), WINS (Windows Naming Service) und AD (Active Directory).
Windows 200 Server unterstützt 4 Prozessoren und 4 GB RAM.
Der Advanced Server richtet sich z.B. an ASP-Anbieter und Betreiber von E-Commerce-Server. Er bietet hohe Verfügbarkeit Fehler-Toleranz. Advanced Server können zu Cluster verbunden werden und beherrschen Load-Balancing / Lastenausgleich.
Windows 2000 Advanced Server bietet Support für 8 Prozessoren und 8 GB RAM
Mit dem Datacenter Server stößt Microsoft in Regionen vor, die NT verschlossen waren. Windows 2000 Datacenter Server hat sehr strenge Hardware-Anforderungen. Es unterstützt bis zu 32-fachen symmetrischen Multiprozessorbetrieb (SMP) und bis zu 64 Gigabyte (GB) physischen Speicher. Der Datacenter Server ist optimiert für große Datawarehouses, Datenbankanwendungen, ERP- und Messaging- Lösungen, umfangreiche Simulationen in Wissenschaft und Technik, Online Transaction Processing (OLTP) und Serverkonsolidierung und steht damit in direkter Konkurrenz zu steht zu Mainframes und Unix-basierenden Systemen.
Die Windows 2003 Server Web Edition ist primär auf Webhosting und
Web-Anwendungen ausgerichtet. Viel mehr als die Internet Information Services (IIS)
mit dem .NET-Framework wird hier daher nicht geboten. Auf der Microsoft-Webseite
wird sogar explizit darauf hingewiesen, dass die Installation von
»Nicht-Webdiensten« verboten ist.
Microsoft Windows Server 2003 ist das Nachfolgeprodukt des bewährten Windows 2000 Server. Bei der Entwicklung wurde der Fokus auf Sicherheit, Zuverlässigkeit, Verfügbarkeit und Skalierbarkeit gelegt.
Mit den neuen Servern wird es auch eine neue Lizenzierungsoption
geben:
musste bisher jedes Gerät lizenziert werden, das auf die Windows 2000 Server
Dienste zugreift, wird in Zukunft auch die Lizenzierung pro Benutzer (User CAL)
möglich sein. Vorteil: ein Mitarbeiter, der z. B. die Windows
Dateiserver-Dienste mit seinem Arbeitsplatzrechner, dem Laptop und seinem Pocket
PC oder PDA nutzt, benötigt mit dem Windows Server 2003 nur noch eine User CAL.
Unterstützt 4 GByte RAM und vier Prozessoren.
Die Windows 2003 Server Enterprise Edition ist der Nachfolger des Windows 2000 Advanced Server und unterstützt bis zu 32 GByte RAM sowie bis acht CPUs auf einem Server. Liegt auch als 64-Bit-Varianten
Verwaltet bis zu 512 GByte RAM zu verwalten und kann auf bis zu 64 Prozessoren zugreifen.
Die interessamteste Neuerung in Windows 2000 ist das Active Directory (AD). Viele Jahre lang haben sich die Microsoft Betriebssysteme mit eiem limitierten Verzeichnisdienst herumgeplagt.
Was ist eigentlich ein Verzeichnisdienst (directory service)? Ein Verzeichnisdienst ist eine Datenbank, die Informationen über jedes Objekt im Netzwerk enthält. Dies Informationen helfen den Administratoren Netzwerke zu managen.
So werden bestimmte Attribute zu jedem Objekt (z.B. Benutzer, Gruppe, Anwendungen, Computer, Drucker, Dateien) gespeichert. Mit einem vernünftigen Verzeichnisdienst sind diese Informationen unternehmensweit im gesamten Netzwerk einheitlich abrufbar.
Schon vor Microsoft haben andere Firmen Verzeichnisdienste entworfen und auf den Markt gebracht: Z.B. Banyan Systems mit Vines/StreetTalk, Novell mit NDS.
Bereits Windows NT 4.0 beinhaltete etwas, was Microsoft als Verzeichnisdienst anpries. Aber der NT 4.0 Verzeichnisdienst ist sehr beschränkt im Umfang. Seine Datenbank hat eine flache Struktur und bietet kein Möglichkeit zur Vererbung von Objektattributen. Die Datenbank ist außerdem auf 40.000 Objekte limitiert. Es hat sich gezeigt, dass der NT 4.0 Verzeichnisdienst für große Unternehmen schlecht zu verwalten ist. Viele Firmen werden daher in nächster Zeit auf Windows 2000 oder Windows 2003 Server umsteigen.
Wie bereits erwähnt, ist der NT 4.0 Verzeichnisdienst auf 40.000 Objekte beschränkt. Active Directory kann eine unbegrenzte Anzahl von Objekten verwalten. Das neue Domänenmodel in Active Directory bildet außerdem hierarchische Strukturen einer Organisation besser ab. Domänen können in Bäumen und Wäldern organisiert werden. Administstatoren können AD in viele Domänen teilen, um damit Abteilungen oder Filialen besser einzugliedern. Derartige Teilungen erlauben eine besseres Management der Rechtevergabe.
Einer der am schwierigsten zu administrierenden Funktionen unter NT 4.0 ist die Behandlung von Vertrauensstellungen. Eine Vertrauensstellungen bietet einen Weg für zwei oder mehr Domänen um User von außerhalb der eigenen Domäne zu authentifizieren. Wenn eine Organisation die 40.000 Objekt-Grenze überschreitet, müssen mehrere Domänen und Vertrauensstellungen zwischen diesen gebildet werden. Diese Vertrauensstellungen müssen manuell geschaffen werden werden und sie sind immer unidirektional. Mit anderen Worten, für zwei Domänen, die einander Vertrauen sollen, müssen zwei Vertrauensstellungen geschaffen werden, für drei Domänen sechs Vertrauensstellungen... Die Anzahl der Vertrauensstellungen wächst also exponentiell mit der Anzahl der Domänen.
Im Active Directory werden die Vertrauensstellungen automatisch vom Verzeichnisdienst gebildet. Diese Vertrauensstellungen sind bidirektional und transitiv. Das Management von Vertrauensstellungen wird dadurch stark vereinfacht. Für Fälle, in denen das noch benötigt wird, können aber immer noch unidirektionale Vertrauensstellungen manuell erstellt werden.
In Windows NT 4.0 wird die Verzeichnisdatenbank zwischen primärem Domänen Controller (PDC) und Backup Domänen Controller (BDC) repliziert. Es kann nur einen PDC pro Domäne geben. Der PDC muss zur Authentifizierung der Benutzer immer verfügbar sind, fällt er aus, kann ein BDC zum PDC heraufgestuft werden und so die Rolle des ausgefallenen übernehmen.
Active Directory unterstützt die so genannte Multimaster Replikation. Vereinfacht gesagt, enthält jeder Domänen Controller in AD eine Kopie der Verzeichnis-Datenbank. Jede Änderung wird zu allen anderen Domänen-Controller repliziert. Mit der Multimaster Replikation ist es sehr unwahrscheinlich, das irgendwann kein Zugriff mehr auf das AD möglich ist.
Window NT 4.0 unterstützt zwar TCP/IP, ist aber ansonsten recht proprietär. Active Directory ist auf Standards wie DNS, Kerberos, LDAP (Lightweight Directory Access Protocol) aufgebaut. Drittherstellern ist es somit einfacher, deren Applikationen zu integrieren.
Windows NT verwendet System Policies. Mit System Policies kann der Administrator (i. d. R. Client-) Computer kontrollieren. Er kann z.B. die Möglichkeit abschalten, den Bildschirmhintergrund zu verändern, das Ausführen-Menü für den Benutzer verschwinden lassen und vieles mehr. Die System Policies werden in einer Datei im Netlogon-Share des Domänen-Controllers gespeichert.
Im Active Directory werden die Group Policies in der Verzeichnisdatenbank gespeichert. Group Policies können praktisch jedem Objekt im Verzeichnis zugeordnet werden und haben viel weitere Möglichkeiten wie unter Windows NT 4.0.
Die Größe der Verzeichnisdatenbank ist maßgeblich für die Geschwindigkeit verantwortlich, in der im Verzeichnis bestimmte Objekten gefunden werden, nach denen gesucht wurde. Active Directory bietet hierfür den Global Katalog, den man sich am besten als Teil des gesamten Verzeichnisses mit den am meisten gebrauchten Objekt-Attributen vorstellt. Die Suche im Global Katalog nach bestimmten Objekten geht ziemlich schnell.
Wie bereits erwähnt, baut Active Directory auf Standards auf. Die wichtigsten - LDAP, DNS und Kerberos - sind essentiell für die Activer Driectory Funktion und werden im folgenden in einem ersten Überblick kurz erklärt:
LDAP oder Lightweight Directory Access Protocoll, ist eine Komponente des X. 500 Standards. LDAP erlaubt es, in einem Netzwerk Ressourcen zu lokalisieren und festzustellen, ob diese Ressource z.B. ein Benutzer, eine Organisation oder eine Datei ist. LDAP ist ähnlich wie DNS in einer umgekehrten Baumstruktur organisiert. Der Beginn des LDAP-Baumes ist die Root bzw. das Stammverzeichnis. Darunter liegen die Länder-Äste. Unter diesen die Organisation-Äste, die Firmen oder andere Organisationen repräsentieren. Weiter unten sind die Organisations-Einheiten, die die Abteilungen bzw. Filialen der einzelnen Firmen wiedergeben. Die individuellen Ressourcen, wie die User, Drucker, Programme, sind innerhalb der Organisationseinheit repräsentiert. LDAP wird z.B. in Produkten von CISCO, Novell und natürlich Microsoft verwendet.
Auf den ersten Blick ähnelt das Bild der klassischen DNS-Baumstruktur (siehe folgenden Abschnitt). Es fällt aber auf, das eine Organisation zu verschiedenen Ländern gehören kann (siehe Äste zwischen countries und organization), wie das ja für international tätige Unternehmen wie Siemens, SAP auch der Fall ist.
Das Domain Name Service bzw. DNS ist dafür verantwortlich, den Domänennamen in eine TCP/IP-Adresse aufzulösen. In den früheren Tagen wurde diese Aufgabe in einer einzelnen Datei, der HOSTS-Datei erledigt. Die HOSTS-Datei musste nach jeder Änderung auf jeden Rechner im Netzwerk kopiert werden, was schnell sehr umständlich wurde.
DNS ist eine verteilte Datenbank. Jeder Administrator kann seinen Teil der Datenbank verwalten, obwohl die ganze Datenbank im ganzen Netzwerk verfügbar ist. Die DNS-Struktur ist wie ein umgekehrter Baum aufgebaut. An oberster Stelle steht die Root-Domäne. sie wird einfach als . (Punkt) dargestellt.
Darunter kommen die Top-Level-Domänen wie co, edu, net, otg, de... Wieder darunter kommen die Subdomänen für die Organisationen und Unternehmen. Diese können in weitere Unterdomänen geteilt werden, bsp. Hierfür sind die Administratoren der einzelnen Subdomänen verantwortlich.
DNS besteht aus den Komponenten Hostnamen-Datenbank, DNS-Client (nimmt Namen auf und verwandelt diese in IP-Adressen) und DNS Server (bedient die DNS-Clients mit der Namensauflösung).
Namensauflösung im Details
Was hat das mit Active Directory zu tun? Active Directory verwende DNS um sine Daten abzuspeichern.
Kerberos ist ein Authentifizierungsprotokoll . Microsoft verwendet Kerberos in Windows Server 2000 / 2003, um dem Benutzer Zugriff zu Ressourcen innerhalb seiner oder vertrauter Domänen mit einer einzigen Authentifizierung zu ermöglichen.
Kerberos wurde am Massachussets Institute of Technology (MIT) für ein campusweites Netzwerk für mehr als 5000 Benutzer entwickelt. Es wird verwendet für die Authentifizierung von Studenten und Angestellten.
Wenn sich ein User an einer Workstation anmeldet, sendet das Login-Programm seinen Usernamen an das Kerberos System. Wenn Kerberos den User kennt, schickt es einen Sitzungsschlüssel, eine Zufallszahl und ein Ticket für das TGS (Ticket-Granting Server) verschlüsselt mit dem Passwort des Users. Die Workstation versucht anschließend, die Nachricht mit dem Passwort, das der User eingab, zu entschlüsseln. War das erfolgreich, löscht das Login Programm das Passwort aus dem Speicher, da nun das erhaltene Ticket für alle weitere Anmeldungen genügt. So wird erreicht, dass das Passwort nie über das Netz gesendet wird.
Jedes Mal, wenn auf eine Netzwerkressource zugegriffen werden soll, wird ein Ticket vom TGS (Ticket-Granting Server) geholt. Mit diesem Ticket authentisiert sich das Login-Programm beim Server. Der Server kontrolliert die Gültigkeit des Tickets (vor allem im Bezuge auf die Gültigkeitsdauer) und akzeptiert oder lehnt die Verbindung ab. Der User wird von dieser Kommunikation nicht betroffen; er muss kein Passwort mehr eingeben, da er sich schon gegenüber dem Authentication Service authentifiziert hat. Der Kerberos-Authentifizierungsprozess läuft also transpartent für den User ab.
Kerberos ist das Standard-Authentifizierungsprotokoll für Windows 2000/Windows 2003. Vor Window 2000 war NTLM (NT LAN Manager) das Standard-Authentifizierungsprotokoll . Windows 2000 beinhaltet Abwärtskompatibilität um Betriebssystemen wie Windows 95/98 und Windows NT das Anmelden zu ermöglichen.
Active Directory ist ein Verzeichnis für viele Zwecke: Es beinhaltet z.B. E-Mail, Telefon- und Fax-Nummer von Users, Standorte von Netzwerkressourcen... in einem einzigen Verzeichnis. Es ist ein zentral verfügbar, seine Benutzer können schnell auf die verzeichneten Daten zugreifen. Es ist fehlertolerant, da die Datenbank automatisch auf andere Domänencontroller repliziert werden (multimaster replication). Wenn ein Domänencontroller ausfällt, bleibt das ganze Verzeichnis verfügbar (natürlich nur wenn ein weiterer existiert).
Alle Objekte im AD sind im Active Directory Schema definiert. Wir ein neues Objekt kreiert, nutzt AD die Schemadefinition um festzustellen, wie das Objekt kreiert werden soll und welche Attribute es beinhaltet.
Wenn ein neues E-Mail-System, wie z.B. Exchange Server 2000 eingeführt wird, kann das Schema durch ein Update angepasst werden. Durch Schema-Updates wird AD flexibel erweiterbar. Solche Erweiterungen müssen sauber geplant werden und können andernfalls in ein Desaster enden. Daher können nur Mitglieder der Schema-Administrator-Gruppe das Schema ändern.
AD ist skalierbar auf eine beliebige Größe. AD kann eine unlimitierbare Anzahl Objekte pro Domäne beinhalten. Daher empfiehlt Microsoft wo möglich eine einzelne Domäne (single domain) zu verwenden. In einigen Fällen ist aber durchaus die Verwendung von mehreren Domänen sinnvoll, wenn es z.B. Dezentralisierungsaspekte erfordern.
Ein Beispiel mit fiktivem Namen - aber direkt aus einem Praxisbeispiel übertragen- die internationale Firma workhard: Die Firma ist in mehreren Ländern vertreten und bildet pro Land eine eigene Domäne.
AD verwendet DNS um Objekte innerhalb des ADs zu lokalisieren.