RechnernetzeIII

Aus Debacher-Wiki
Wechseln zu:Navigation, Suche

Inhaltsverzeichnis

I. Grundlagen der Vernetzung

1. Hardware-Ebene

1.1 Verkabelung

1.2. Netzwerkadapter

1.3. CSMA/CD

1.4. Hubs, Switches und Co.

2. Protokoll-Ebene

2.1. Apple Talk

2.2. Netware Protokolle

2.3. NetBEUI

2.4. TCP/IP

3. Anwendungsebene

3.1. SMTP

3.2. POP3

3.3. NNTP

3.4. Telnet

3.5. SSH

3.6. FTP

3.7. HTTP

3.8. IMAP

3.9. Was sind Ports?

3.10. Wer darf Mails abliefern?


II. Sicherheit in Computernetzen

4. Benutzer

4.1 Schwache Passwörter

4.2. Passwörter auf Client-Rechnern

5. TCP/IP-Verbindungen

5.1 Programme zur Überwachung des Datenverkehrs

5.2. Ethernet, die Netzwerkschicht

5.3. IP

5.4. ARP/RARP

5.5. ICMP

5.6. UDP

5.7. TCP

6. Rechner im Netz

6.1. OS Fingerprinting

6.2. Weitere Informationen

6.3. Nmap

7. Paketfilter zum Absichern von Rechnern

7.1. Iptables

7.2. Masquerading

7.3. Firewalling

7.4. Sicherheitsphilosophien

7.5. Ein praktisches Beispiel

7.6. Accounting Rule

7.7. Logging-Rule

7.8. Limits

8. Angiffe auf Rechner

8.1. Warum erfolgen Angriffe auf private PC?

8.2. Ausführen von eingeschleustem Code

8.3 Buffer overflows

III. Rechner im Netz – Netze im Rechner

9. Installation und Betrieb von Rechnernetzen

9.1. Emulatoren

9.2 Einrichten von vielen Rechnern

10. Anwendungen über das Netz – Remote Desktops

10.1 X11

10.2 Virtual Network Computing (VNC)

10.3 Nomachine NX

10.4 Microsofts Remote Desktop Protocol

III Rechner im Netz – Netze im Rechner

Die schulischen Rechnernetze unterscheiden sich recht deutlich von denen in Unternehmen. Von der Nutzungsseite her ist es so, dass sehr viel mehr verschiedene Nutzer an einem Rechner arbeiten und sehr viel mehr unterschiedliche Programme benutzt werden. Außerdem kommen relativ oft Anforderungen für die Installation neuer Software. In Unternehmen sind es eher einzelne Benutzer und nur wenige Programme, die der jeweilige Nutzer einsetzt.


9. Installation und Betrieb von Rechnernetzen

Sehr erheblich ist der Unterschied auch bei der Betreuung der Netze. Man kann davon ausgehen, dass für ca. 30-40 Computer-Arbeitsplätze eine volle Stelle zur Betreuung einkalkuliert wird. Im schulischen Umfeld stehen da etwa 3-5 Arbeitsstunden für die doppelte Zahl von Arbeitsplätzen zur Verfügung. Daher ist es sehr wichtig den Arbeitsaufwand zu minimieren und Konzepte zu benut­zen, die dabei helfen.


9.1. Emulatoren

In der Regel setzt man Emulatoren ein, um mit Anwendungen oder Betriebssystemen arbeiten zu können, die auf dem Rechner eigentlich nicht vorhanden sind oder nicht lauffähig sind. Schon lange vorhanden ist z.B. VirtualPC auf dem MAC um dort einen WindowsPC zu emulieren. Auch im Li­nux-Umfeld werden Emulatoren oft eingesetzt, um Windows-Programme nutzen zu können. Es macht aber auch Sinn im Emulator noch einmal das gleiche Betriebssystem laufen zu lassen, das er­leichtert das Experimentieren mit neuer Software erheblich.

VMWare Workstation schafft eine Umgebung, in der man auf einem Linux-PC oder einem Win­dows-PC praktisch alle für einen PC verfügbaren Betriebssysteme mehrfach installieren und ablau­fen lassen kann, dazu wird ein kompletter PC emuliert. Eine Alternative zu VMWare ist die Software VirtualBox, die für private und unterrichtliche Nutzung kostenfrei unter http://www.virtualbox.org/ zur Verfügung steht.

Einen ganz anderen Weg gehen das freie Wine (http://www.winehq.com) bzw. seine leistungsfä­higere kommerzielle Version CrossOver Office von Codeweavers. Diese Software emuliert die Programmierschnittstelle (API) von Windows. Sie erfordert keine Windows-Lizenz und keine Win­dows-Installation, um Windows-Programme nutzen zu können. Kann Crossover Office auf eine Windows-Installation zugreifen, gibt es weniger Probleme mit Zeichensätzen. Leider laufen noch nicht alle Windows-Anwendungen in dieser Umgebung. Auch von Codeweavers gibt es eine Mehr­benutzerversion von Crossover Office, die Crossover Office Server Edition.



9.1.1. VMWare

Administratoren, Techniker und Anwender benötigen gelegentlich verschiedene Betriebssysteme, verschieden konfigurierte Versionen von Betriebssystemen, Anwendungen für verschiedene Be­triebssysteme und verschiedene Installationsvarianten von Anwendungen, um diese zu testen oder für ihre Arbeit zu nutzen. Statt dafür jedes Mal neue PC-Hardware einzurichten, kann man eine Vir­tualisierungssoftware einsetzten, die mehrere virtuelle PCs auf einer einzigen PC-Hardware bereit­stellt.

Das Betriebssystem, das die Virtualisierungssoftware ausführt, heißt Gastgeber- oder Host-Be­triebssystem und die Betriebssysteme, die darin virtuell ablaufen, heißen Gast- oder Guest-Betriebs­system.

Solche Virtualisierungslösungen sind u.a. VMWare von der VMWare-Division und Virtual PC von Microsoft. VMWare setzt auf Linux-, Unix- und Windows-Plattformen auf und Virtual PC auf Win­dows-Plattformen.

Die Virtualisierungssoftware VMWare kann auf einer einzigen PC-Hardware einen oder mehrere komplette virtuelle Intel-kompatible 32-Bit (inzwischen auch 64-Bit) PCs einrichten. Jeder virtuelle PC verfügt dann über eine eigene virtuelle Festplatte, eine eigene virtuelle Netzwerkkarte etc. und kann auf reale Geräte des Gastrechners zugreifen, wie CD/DVD-Laufwerke, serielle und parallele Schnittstellen und USB-Anschlüsse.

VMWare gibt es mittlerweile in zahlreichen Versionen für Workstation- und Serverbetrieb. VMWare unterscheidet zwischen der Arbeitsplatz-Versionen VMWare Workstation und den Server-Version­en VMWare GSX- / ESX-Server.

VMWare GSX / ESX-Server dient u.a. dazu, mehrere Linux- oder Windows-Server auf einem sehr großen Linux-Server zu konsolidieren. Dies spart u.a. Kosten bei Beschaffung, Einrichtung/Verka­belung und Administration. Mit VMWare GSX / ESX-Server kann man viele Instanzen einer virtu­ellen Maschine parallel starten und zum Beispiel gleichzeitig mit verschiedenen Versionen von Windows arbeiten. So kann einer dieser Gast-Server z.B. Windows Terminalserverdienste anbieten.

VMware erlaubt für eine 30-tägige Evaluation einen freien Download und Installation. Eine aktu­elle Version kann man als .tar oder .rpm–Version von http://www.vmware.com zunächst als zeit­lich beschränkte Evaluierungsversion fernladen, zum Test installieren und ggf. mit später beschaff­ten Lizenzcodes im Regelbetrieb nutzen.

Seit Ende 2005 gibt es zusätzlich einen kostenfreien VMware-Player, der sich inzwischen in seinen Funktionen kaum noch von der Workstation-Version unterscheidet. Ein Unterschied besteht darin, dass man im Player keine Snapshots anlegen, also den Zustand des Systems nicht konservieren kann. Das Problem lässt sich aber durch ein komplettes Kopieren der virtuellen Festplatte lösen.

VMWare braucht einen relativ direkten Zugriff auf die Hardware Ihres Rechners. Deshalb benötigt es unter Linux spezielle Kernelmodule, die ihm diesen Zugriff erlauben. Die Kernel-Module müs­sen immer zur jeweiligen Kernel-Version passen. Damit das Konfigurationsprogramm von VMWar­e seine Module entsprechend kompilieren kann, müssen ihm die Quellen für Ihren Kernel zur Verfügung stehen. Auf Windows-Rechnern braucht VMware (auch der Player) zur Installation Ad­minstratoren-Rechte.

Bei der VMware-Konfiguration gibt es mehrere Möglichkeiten, wie dem zukünftigen Gast-Betriebss­ystem ein Netzwerkzugang ermöglicht wird.

  • Bridged Network
  • NAT
  • Host-only

Bei der ersten Variante bekommt der virtuelle Rechner eine vollwertige Netzwerkkarte emuliert. Die­se Karte verfügt über ihre eigene MAC-Adresse und wird damit vollwertiges Mitglied in dem Netzwerk, an das der Host-Rechner angeschlossen ist. Bei der NAT-Variante baut VMware einen virtuellen Router auf, über den der Gast-Rechner mittels NAT ans Netz angeschlossen wird. Nach außen sichtbar ist also nur der Host-Rechner. Host- und Gast-Rechner befinden sich miteinander in einem virtuellen Netz, aus dem auch die IP-Adressen vergeben werden. Soll der Gast-Rechner nur auf den Host-Rechner zugreifen können und nicht auf das gesamte Netz, so bietet sich die Variante Host-only an.

Die Installation von z.B. Windows XP als Gast-Betriebssystem ist recht einfach. Man klickt auf New virtual Machine und wählt dann im Wizard am einfachsten Typical.

Rechnernetze-090.png

Für die Wahl des Betriebssystems bietet VMWare die Gruppen Windows, Linux, Netware und So­laris und innerhalb der Gruppen noch unterschiedliche Versionen.

Rechnernetze-091.png

Danach folgen Angaben für den Speicherort und die Speichergröße. VMWare reserviert einen Teil der Festplatte für sich und seine Gäste. Diesen reservierten Bereich nennt VMWare virtual Disk. Al­ternativ kann man eine eigene Festplatte für die Windows-Installation angeben.

Wesentlich für die spätere Arbeit mit Windows ist die Anbindung an das Netz. Der letzte Schritt entscheidet über die Art der Netzwerkverbindung. Die Voreinstellung des Bridged Networking ist eine gute Wahl. Sie konfiguriert eine komplett eigene Netzwerk-Instanz für das Gastbetriebssystem, So verhält sich der virtuelle PC, als wäre sie unabhängig vom Host ans Netzwerk angeschlossen. Möchte man die virtuelle Maschine vom Netzwerk abschirmen, setzt man auf NAT für einen Zu­griff per maskierender Firewall. Man kann als dritte Alternative auch host-only networking ein­stellen. Dann erhält man ein virtuelles Ethernet zwischen Gast und Hostbetriebssystem.

Rechnernetze-092.png

Bei den Einstellungen für die virtuelle Festplatte gibt das Installationsprogramm hier eine Größe von 4 GByte vor, bei Wind7 sollten es mindestens 8 GByte sein.. Falls Ihnen das zu groß erscheint, brauchen Sie Sich keine Gedanken zu machen, da VMWare immer nur soviel Speicherplatz belegt, wie das Windows wirklich benötigt.

Zum Abschluss der Installation zeigt die VM-Instanz eine Zusammenfassung an.

Über den Menüpunkt Edit · Virtuelle Machine Setting kann man die bisherigen Einstellungen je­derzeit ändern.

Nach dieser Vorbereitung kann man Windows XP von CD installieren. Hierzu startet man die VM durch den angezeigten Menüpunkt.

Ab diesem Zeitpunkt läuft die Installation von Windows XP wie direkt auf einer PC-Hardware.

Rechnernetze-093.png

Das Setup von Windows stellt eine neue Festplatte fest. Lassen Sie das Setup-Programm die von ihm erkannte Festplatte einrichten und mit dem Format NTFS formatieren.

Bei Eingaben ist es wichtig zu wissen, welches Betriebssystem gerade den Fokus hat und die Einga­ben erhält. Wenn Sie die Maus über das VMWare-Fenster bewegen und der Cursor die Form einer Hand hat, erhält Windows keine Eingaben. Klicken Sie einmal in das Windows-Fenster, um den Mauszeiger im Windows-Fenster zu „fangen“ und Ihre Eingaben an Windows zu geben.

Wollen Sie den Mauszeiger wieder „befreien“, müssen Sie Strg+Alt-Taste gleichzeitig drücken. Da­nach gehen die Eingaben wieder an das Gastgeber-System.

Das Setup von Windows XP kopiert danach die benötigen Dateien in die Installationsverzeichnisse und initialisiert Windows. Danach startet Windows XP. Es setzt das Setup im Grafikmodus fort und sucht und installiert Geräte.

Als Nächstes erfasst das Setup Angaben zum Gebietsschema wie Ländereinstellungen, Zeitzone, Sprache und Tastaturlayout, dann die Benutzerinformationen wie den Namen und den der Organisa­tion.

Für Benutzer von Open Source-Software mag es ungewohnt sein, im nächsten Schritt eine Serienn­ummer anzugeben, aber es handelt sich hier um eine ganz normale Windows-Installation.

Windows XP installiert die virtuelle Netzwerkkarte, die es von VMWare bekommt (diese Netz­werkkarte ist völlig unabhängig von der realen Netzwerk­karte im Linux-Server), und richtet das Netzwerk ein.

Rechnernetze-094.png

Hier gibt man an, in welche Arbeitsgruppe oder Domäne der virtuellen Windows XP-PC eingefügt werden soll und gibt den Namen und das Passwort des Nutzers an, der den PC in die Windows-Do­mäne einfügen darf.

Nun kann man sich erst einmal eine Tasse Kaffee aufsetzen, die Installation dauert einige Zeit und erfordert erst einmal keine weitere Eingriffe.

Sobald die Installation fertig ist, kann man Windows XP in der Box von VMWare vom Linux-Ser­ver und von jedem X11-Terminal aus wie eine eigenständige Installation nutzen und sich an populär­en Windows-Anwendungen wie Microsoft Office erfreuen.

Rechnernetze-095.png

Eventuell ist Ihnen aufgefallen, dass VMware Sie darauf hinweist, dass Sie die VMware-Tools noch nicht installiert haben. Diese Tools beinhalten betriebssystemspezifische Treiber für die Grafikkarte, Tastatur und Maus. Die Installation verbessert vor allem den Umgang mit der emulierten Grafikkar­te. Die Installation der Tools ist denkbar einfach. Wenn Sie bei laufendem Client-Betriebssystem den zugehörigen Menüpunkt aktivieren, dann blendet VMware virtuell eine CD mit den zugehörig­en Dateien ein. Die Installation startet dann nach kurzer Anlaufzeit automatisch.

Sie können jederzeit zusätzliche Versionen von Windows, z.B. andere Sprachen bzw. andere Win­dows-Versionen, installieren. Hierzu müssten Sie wiederum die beschriebenen Installationsschritte für das neue, gewünschte Betriebssystem durchlaufen. Wenn Sie mehrere Windows-Sitzungen be­nötigen, können Sie auch mehrere Instanzen von Windows ausführen lassen. Dies benötigt jedoch sehr großzügig bemessene Hardware-Ressourcen.

9.1.2. VirtualBox

Wer einmal mit VMWare gearbeitet hat, der wird mit VirtualBox sofort zurecht kommen. Das Konzept beider Programme ist nahezu identisch, es ist sogar möglich virtuelle Festplatten zwischen beiden System auszutauschen. Ein großer Vorteil von VirtualBox besteht darin, dass es für private und unterrichtliche Nutzung kostenfrei zur Verfügung steht.

Wählt man in der VirtualBox Oberfläche den Menüpunkt New an, so folgt nach einem kleinen Hinweisfenster die erste Konfigurationsseite.

Virtualbox-1.png

Gibt man hier bei Name einen sprechenden Bezeichner an, so wie im Bild, dann passt Virtualbox die Auswahlfelder Operating System und Version automatisch an. Die Menge des Speicherplatzes, den man im nächsten Schritt einstellt, hängt natürlich davon ab, wieviel Speicher überhaupt zur Verfügung steht.

Virtualbox-2.png

Für ein Ubuntu-System sind 512 MB auf alle Fälle ausreichend. Beim Anlegen der virtuellen Festplatte kann man eine vorhandene Platte auswählen oder eine neue Platte erstellen.

Virtualbox-3.png

Im nächsten Schritt legt man dann fest, ob die virtuelle Platte gleich mit der eingestellten Größe angelegt werden soll, oder ob die Platte erst bei Bedarf wachsen soll. Hier ist die Vorgabe Dynamically expand storage in der Regel am geeignetsten. Sehr wichtig ist noch der nächste Schritt:

Virtualbox-4.png

Hier legt man fest, wie groß die Festplatte werden soll und vor allem den Speicherort, an dem die zugehörige Datei abgelegt werden soll. Da diese Datei sehr groß werden kann, muss man sich genau überlegen, wo genügend Platz zur Verfügung steht.

Damit ist die Konfiguration abgeschlossen und nach einigen Klicks auf OK landet man wieder im normalen VirtulBox-Fenster.

Virtualbox-5.png

Vor dem ersten Start des Systems muss man sich noch überlegen, wie man mit der BootCD umgehen will. Hat man eine gebrannte CD zur Verfügung, so legt man diese ins Laufwerk des gastgebenden Rechners und bootet das virtuelle System. Hat man nur eine Abbilddatei der CD zur Verfügung, so klickt man auf den Abschnitt Storage im Reiter Details und kann dann dort die passende .ISO-Datei auswählen.

Virtualbox-6.png

Nach der Auswahl der BootCD kann man dann aus der Oberfläche heraus durch einen Klick auf den Button Start den Rechner einschalten. Danach erfolgt dann eine ganz normale Installation des Betriebssystem in der virtuellen Maschine. Beim Start der Maschine wird man ggf. mehrfach darauf hingewiesen, dass Tastatur bzw. Maus vom virtuellen System gefangen werden können, was sich durch einen Druck auf die rechte Strg-Taste wieder aufheben lässt. Eingaben in die virtuelle Maschine sind nur möglich, wenn Tastatur und Maus von dieser gefangen sind, ggf. muss man einmal kurz in das Fenster klicken.

Virtualbox-7.png

Während der Installation kann das Fenster der virtuellen Maschine etwas "zappeln", da jede Veränderung an der Auflösung zu einer Veränderung der Fenstergröße führt. Dieses "Zappeln" und auch die Effekte mit Tastatur und Maus sind erst beseitigt, wenn man nach der Installation des Betriebssystems im virtuellen Rechner dort die Guest Additions installiert. Die Guest Additions sind Treiber für die virtuelle Maschine, die einen optimierten Zugriff auf Tastatur, Maus und Grafikkarte.

Zur Installation dieser Treiber geht man im VirtualBox Hauptfenster auf Devices und dort auf Install Guest Additions... VirtualBox blendet jetzt ein ISO-Image mit den Treibern in das CD-Rom-Laufwerk ein. Das zum Betriebssystem passende Image kann es auswählen, da dieses ja beim Einrichten des virtuellen Rechners angegeben wurde.

Bei den meisten Betriebssystemen dürfte beim virtuellen Einlegen der CD ein Dialog erscheinen, der das Ausführen des Programmes zu Installation der Treiber bewirkt.

Virtualbox-8.png

Nach der Treiber-Installation kann die Desktop-Auflösung des virtuellen Rechners auch über eine Größenänderung am zugehörigen Fenster erfolgen. Damit sind nahezu beliebige Desktopauflösungen möglich. Auch Tastatur und Maus lassen sich nur problemlos zwischen den Fenstern bewegen.

9.1.3. Crossover Office

Einen ganz anderen Weg als VMWare gehen das freie Wine (http://www.winehq.com) bzw. seine leistungsfähigere aber kommerzielle Version CrossOver Office von Codeweavers (http://www.codeweavers.com). Diese Software emuliert die Programmierschnittstelle (API) von Windows. Damit ist keine Windows-Installation und auch keine Windows-Lizenz notwendig, um Windows-Program­me nutzen zu können. Leider hat Microsoft die Windows-API nicht vollständig dokumentiert. Au­ßerdem sind nicht alle Anwendungen so sauber geschrieben, dass sie nur über die API auf Betriebs­system-Funktionen zugreifen. Dadurch ist nicht jedes Windows-Programms in die­sem Emulator lauffähig.

Eine wachsende Teilmenge von Windows-Anwendungen wie die Textverarbeitung, die Tabellen­kalkulation und die Präsentation von Microsoft Office kann auf Linux-PCs mit installiertem Crosso­verOffice direkt ohne ein Windows laufen, als wären sie auf Windows nativ installiert. Crossover Office integriert Microsofts Office- und Internet-Programme dabei sehr elegant in KDE.

Die Installation von Crossover Office ist denkbar einfach. Man legt einfach die gelieferte CD in das Laufwerk und starten von der grafischen Oberfläche aus das Programm „install.sh“.

Der Installer fordert Sie zunächst auf, die Lizenzbedingungen zu akzeptieren. Wenn Sie das Pro­gramm nutzen wollen, bleibt Ihnen keine andere Wahl. Danach kommt dann die erste Konfigurati­onsmöglichkeit.

Rechnernetze-096.png

Crossover Office installiert sich selbst in ein Verzeichnis cxoffice im Heimatverzeichnis des Benut­zers, der es installiert. Dabei belegt es etwas über 40MByte Plattenspeicher.

Die Anwendungsprogramme, die Sie in einem zweiten Schritt installieren, landen im Verzeichnis .cxoffice. Bei Bedarf können Sie hier den Installationspfad verändern.

Nach einem Klick auf Begin Install startet dann die eigentliche Installation von Crossover. Ein Laufbalken informiert Sie dabei über den Stand der sehr schnellen Installation.

Die Installation von Windows-Anwendungen ist genau so einfach, wie die Installation von Crosso­ver selbst. Als Beispiel soll hier die Installation von Office 2000 dienen.

Ausgehend vom letzten Fenster der Installation klicken Sie auf Installieren bzw. Install. Sollten Sie das Fenster schon geschlossen haben oder später einmal Software installieren wollen, so finden Sie die Funktion im KDE-Menü unter Crossover • Office-Konfiguration.

Rechnernetze-097.png

Zu sehen ist eine Liste der Programme, für deren Installation Crossover vorbereitet ist. Wählen Sie hier das zu installierende Programm aus und klicken Sie auf Weiter.., wobei Sie das Installation­smedium der Software eingelegt haben sollten. Nach kurzer Zeit startet das Installatiosnprogramm der Windows-Anwendung.

Rechnernetze-098.png

Die nächsten Schritte laufen jetzt genau so ab, wie Sie es von einer Installation unter Windows ge­wohnt sind. Es folgt also die Abfrage der Lizenz-Informationen und weiterer Angaben zur Installati­on. Einen Unterschied gibt es erst später im Laufe der Installation.

Wenn der Installer Ihnen mitteilt, dass er das Betriebssystem neu starten möchte, brauchen Sie sich keine Gedanken über ihr Linux zu machen. Crossover simuliert den Windows-Neustart. Kurz da­nach geht die Installation ganz normal weiter. Am Ende der Installation beendet sich der Office-In­staller und Crossover teilt Ihnen mit, dass die Installation abgeschlossen ist. Nun können Sie z.B. Word aus dem Crossover-Menü heraus starten.

Rechnernetze-099.png

Die von Crossover vorgenommene Installation ist so gut, dass Sie im Konqueror aus dem Kontext-Menü von Office-Dokumenten heraus die Office-Anwendung starten können.

Das Office-Installationsprogramm installiert Ihnen auch den Internet-Explorer auf Ihrem System, wie Sie an dem entsprechenden Icon auf dem Desktop sehen können. Auch dieses Programm ist un­ter Crossover ganz normal nutzbar.

Mit Hilfe von Crossover ist eine große Zahl weiterer Programme unter Linux nutzbar. Dazu gehö­ren u.a.:

  • Adobe Photoshop
  • Dreamweaver MX
  • Lotus Notes
  • Microsoft Project
  • Microsoft Visio
  • Quicken

Diese Liste wächst ständig, die aktuelle Version finden Sie immer auf den Webseiten von Codewea­vers.

9.2. Einrichten von vielen Rechnern

Die Installation eines aktuellen Betriebssystems auf einem Rechner ist mit recht hohem Zeitauf­wand verbunden. Dabei sind mit Installation folgende Schritte gemeint:

  1. Grundinstallation des Betriebssystems
  2. Einbindung in das lokale Netz mit Anbindung an die Infrastruktur
  3. Aktualisierung des Systems und Einspielen aller Patches
  4. Installation der benötigten Anwendungssoftware
  5. Konfiguration der Anwendungssoftware

Bei WindXP kann allein der Punkt 3) schon mal eine Stunde dauern, je nach Aktualität der Grundi­nstallation. Ein halber Arbeitstag ist in der Regel nicht viel, wenn es um eine sorgfältige Installati­on geht. Auch wenn ein Rechner mit vorinstallierter Software beschafft wird, so verringert das nur den Zeitaufwand für Punkt 1).

Bei der Neuinstallation eines gesamten Computerraumes mit etwa 15 Rechnern ist es nicht mehr vertretbar, jeden Rechner einzeln zu installieren. Es ist daher naheliegend einen Rechner sorgfältig einzurichten und diese Installation dann durch Kopieren (Clonen) auf die anderen Geräte zu vertei­len.

Zum Kopieren gibt es grundsätzlich mehrere Möglichkeiten,

  • direkt von Festplatte zu Festplatte,
  • von DVD auf Festplatte und
  • über ein Netzwerk.

Das direkte Kopieren von Festplatte zu Festplatte geht recht schnell und es gibt auch preiswerte Tools dafür (Norton Ghost unter Windows und dd unter Linux). Es muss dann aber die Festplatten­geometrie passen und man muss die Rechner alle aufschrauben.

Bei Kopieren von DVD bzw. übers Netz gibt es prinzipiell nur geringe Unterschiede. In beiden Fäl­len muss man die Installation von der Original-Festplatte in eine Image-Datei kopieren und diese auf der DVD bzw. einem Datei-Server ablegen. Diese Image-Datei wird dann auf dem Zielrechner eingespielt.

Generell ist es bei der Installation vieler Rechner wichtig, möglichst wenig Einstellungen individuell vornehmen zu müssen. Die Rechner sollten möglichst identisch sein, sich im Idealfall nur in der MAC-Adresse ihrer Netzwerkkarte unterscheiden.


9.2.1. Bootmedien

Für alle Ansätze braucht man aber ein zusätzliches Bootmedium um die Daten sichern bzw. einspie­len zu können. Die meisten Betriebssysteme lassen nämlich im Betrieb keinen vollständigen Zu­griff auf ihre Dateien zu. Man benötigt daher eine bootfähige CD oder DVD für diese Zwecke. Denkbar wäre es auch das System per PXE oder von einem USB-Datenträger (z.B. einem USB-Stick) zu be­ziehen. Disketten als Bootmedium sind nicht mehr ganz zeitgemäß, da manche Rechner nicht mehr über entsprechende Laufwerke verfügen.

Bootfähige Systeme benötigen übrigens nicht nur Systemverwalter in Schulen zum Kopieren von Installationen, sondern eigentlich alle Nutzer. Ein Virenscanner kann nämlich nur dann wirklich zu­verlässig arbeiten, wenn er von einem mit Sicherheit sauberen System gestartet wurde. Es gibt eine Vielzahl von Schadprogrammen, die die üblichen Virenscanner angreifen und ausschalten können bzw. sich vor ihnen verstecken.

Ein Rootkit, das sich vor den Programmen des WindXP sehr effektiv verstecken kann, hat das Mu­siklabel Sony BMG eine Zeit lang als Kopierschutz beim Abspielen von Musik-CDs automatisch installiert (http://www.heise.de/newsticker/meldung/68034) und erst nach massiven Protesten auf den weiteren Einsatz verzichtet. Aber etwa 5 Millionen derartiger CDs sind verkauft worden. Die Mechanismen dieses Rootkits sind inzwischen analysiert und von „Hackern“ adaptiert worden.

Mit Linux kann man da auf ein breites Angebot an fertigen Boot-Systemen zurückgreifen, z.B. auf die Knoppix (http://www.knopper.net/knoppix/) Distribution. Mit Windows ist das etwas schwierig­er, hier kann aus lizenzrechtlichen Gründen niemand bootfähige Systeme ausliefern. Da­her wird hier sogar oft noch mit DOS-Systemen gearbeitet, von denen es freie Versionen gibt (http://www.drdos.de/). Hier bleibt dann aber immer das Problem der Netzanbindung des Systems. Zu nennen wäre hier:

Die Website Bart Lagerweij ist hoch spannend. Der hat zwar die Entwicklung seiner Boot-Disketten eingestellt, hat aber ein System namens PE-Builder herausgebracht, über das man WindXP-Systeme erstellen kann, die von CD booten http://www.nu2.nu/pebuilder/. Er liefert dazu die Software, mit der man sich von der eigenen Installation ausgehend eine solche CD erstel­len kann.

Die Computer-Zeitschrift c't hat den PE-Builder in den Heften 18/05 und 26/08 beschrieben und auch weiterentwi­ckelt (http://www.heise.de/ct/05/18/122/default.shtml). Es gibt direkt eine c't-Editi­on vom PE-Buil­der. Die neueste Version des PE-Builder kann auch mit Vista umgehen.


9.2.2. Problem NTFS

Da für das Clonen von Window-Installationen oft Linux- oder DOS-Systeme zum Einsatz kommen bildet das NTFS-Dateisystem ein Problem, welches unter WindXP normalerweise zum Einsatz kommt. Die Spezifikationen für dieses Dateisystem sind geheim und nicht veröffentlicht. Wer also für Linux oder DOS entsprechende Treiber schreiben möchte, der muss also mit Reverse-Engenee­ring an das Problem herangehen.

Für Linux gibt es inzwischen mehrere Lösungen, um auf NTFS-Dateisysteme zugreifen zu können. Der lesend­e Zugriff war nie ein Problem, aber der schreibende Zugriff galt lange Zeit als experimentell.


9.2.3. Das Problem SID, Produkt-Key und Aktivierung

Neuere Windows-Varianten wie Wind.2000 und Wind.XP versehen jede Installation mit einer SID (Security Identifier), die eindeutig sein muss, wenn die Rechner gemeinsam in einem Netz sein sol­len. Will man Windows-Systeme clonen, so muss die SID unbedingt beim Erstellen ders Images entfernt werden. Microsoft liefert für diesen Zweck das System Preparation Tool (SysPrep) mit aus. Mit diesem Tool lässt sich der letzte Installationsschritt auf dem Zielrechner weitgehend automati­sieren.

Auf dem Rechner, der die Vorlage für das Clonen liefert, muss direkt unter C[/c:/sysprep :\sysprep] das Syprep-Tool vorhanden sein. Auf diesem Rechner wird dann zum Abschluss der Befehl

c:\sysprep\sysprep -mini -reseal -quiet

ausgeführt. Jeder geclonte Rechner führt dann beim ersten Start eine spezielle Konfigurationsrouti­ne aus, die sich vollständig automatisieren lässt.

Gesteuert wird die Konfiguration durch die Datei sysprep.inf im Sysprep-Verzeichnis.

;SetupMgrTag

[Unattended]
OemSkipEula=Yes
KeepPageFile=1

[GuiUnattended]
AdminPassword=geheim
OEMSkipRegional=1
TimeZone=110
OemSkipWelcome=1

[UserData]
ProductID=12345-12345-12345-12345-12345
FullName="Hansa Gymnasium"
OrgName="hansa"
;ComputerName="Windxp00"
ComputerName=*

[Display]
BitsPerPel=24
Xresolution=1024
YResolution=768
Vrefresh=65

[RegionalSettings]
LanguageGroup=1
SystemLocale=00000407
UserLocale=00000407
InputLocale=0407:00000407

[URL]
Home_Page=http://rechner.hansa.hh.schule.de/aktuell.htm
Search_Page=HTTP://www.google.de

[Proxy]
Proxy_Enable=1
Use_Same_Proxy=1
HTTP_Proxy_Server=192.168.1.1:3128
Proxy_Override=rechner.hansa.hh.schule.de;

[GuiRunOnce]
;Command0="rundll32 printui.dll,PrintUIEntry /in /n \\192.168.1.7\Port2"

[Identification]
DomainAdmin=root
DomainAdminPassword=abcdefg
JoinDomain=ARBEITSGRUPPE

[Networking]
InstallDefaultComponents=Yes

[sysprepcleanup]

An diesem einfachen Beispiel kann man etwa sehen, welche Möglichkeiten vorhanden sind. Hier meldet sich der Rechner sogar automatisch an der Domäne an.

Hier taucht aber das nächste Windows-Problem auf. Normalerweise ist der Produkt-Key nur für eine einzige Installation gültig, die dann anschließend auch noch aktiviert werden muss. Da das für die Betreiber vieler Systeme sehr unpraktisch ist bietet Microsoft spezielle Volumen-Lizenzen an, zu denen ein einziger Produkt-Key gehört. Installationen mit einem derartigen Key müssen auch nicht aktiviert werden. Schulen sollten also immer nur Volumen-Lizenzen erwerben.


9.2.4. Partitionierung

Eine Festplatte ist normalerweise in mehrere Partitionen aufgeteilt. Hierbei ist es immer sinnvoll Daten und Programme voneinander zu trennen und in unterschiedlichen Partitionen abzulegen. Bei der Neu-Installation des Betriebssystems gehen so die Daten nicht verloren.

Eine PC-Festplatte kann dabei über vier sog. primäre Partitionen verfügen. Falls diese Zahl von Par­titionen nicht ausreicht, so kann man eine dieser Partitionen zur erweiterten Partition erklären und darin weitere logische Partitionen anlegen.

Unter Linux tragen die primären Partitionen die Nummern 1 bis 4 und alle Nummern ab 5 weisen auf logische Partitionen hin. Windows möchte immer auf einer primären Partition installiert sein, weitere Laufwerke legt Windows dann üblicherweise auf logischen Partitionen an. Linux ist die Art der Partition egal, es lässt sich auch auf logischen Partitionen installieren.

boss:~ # fdisk -l

Platte /dev/hda: 80.0 GByte, 80026361856 Byte
255 Köpfe, 63 Sektoren/Spuren, 9729 Zylinder
Einheiten = Zylinder von 16065 × 512 = 8225280 Bytes

   Gerät  boot.     Anfang        Ende     Blöcke   Id  System
/dev/hda1   *           1        4717    37889271    7  HPFS/NTFS
/dev/hda2            4718        9729    40258890    f  W95 Erw. (LBA)
/dev/hda5            4718        4781      514048+  82  Linux Swap / Solaris
/dev/hda6            4782        6087    10490413+  83  Linux
/dev/hda7            6088        6151      514048+  83  Linux
/dev/hda8            6152        6413     2104483+  83  Linux
/dev/hda9            6414        7719    10490413+  83  Linux
/dev/hda10           7720        8371     5237158+  83  Linux
/dev/hda11           8372        9728    10900071   83  Linux

In diesem Beispiel befindet sich auf der ersten Partition, einer primären, ein NTFS-Dateisystem. Die zweite Partition ist eine erweiterte Partition und innerhalb dieser erweiterten Partition liegen noch sieben logische Partitionen, alle mit Linux Datei-Systemen. Hierbei ist die Partition fünf, eine Linux Swap-Partition, hier werden Speicherinhalte ausgelagert, wenn Speicher knapp wird. Auch Windows hat eine Swap-Funktion, die entsprechenden Daten wer­den aber normalerweise auf der System-Par­tition mit abgelegt.

Hinweis: Das jeweilige Dateisystem wird erst nach dem Partitionieren angelegt, beim Formatieren der jeweiligen Partition. Beim Partitionieren muss man aber schon den Typ des Dateisystems festle­gen.

Genau eine der Partitionen kann als aktiv gekennzeichnet sein, in der Tabelle gekennzeichnet mit einem Stern (*). Auf Rechnern mit mehreren paral­lelen Betriebssystem-Installationen gibt es zusätz­lich noch einen Bootmanager. Das ist fast eine Art Betriebssystem, dessen Aufgabe nur darin besteht, die verfügbaren Betriebssysteme zur Auswahl an­zubieten und das gewählte System zu starten.

Sowohl Linux als auch Windows liefern entsprechende Bootmanager mit. Windows ist hier aber wenig kooperativ, ein vorhandenes Linux als Betriebssystem bindet es nicht in den Bootmanager ein. Linux hingegen nimmt bei der Installation ein bereits vorhandenes Windows mit in seinen Bootmanager aus. Daher installiert man besser zuerst Windows und anschließend dann Linux, wenn man beide Systeme nebeneinander benutzen möchte.

Für die Partitionierung gibt es unter eigentlich allen Be­triebssystemen ein Komman­dozeilen-Tool namens fdisk. Zusätzlich sind dann in der Regel auch noch Programme mit grafischer Oberfläche vorhanden.

Bei WindXP findet sich die­ses Tool relativ versteckt un­ter Systemsteuerung → Ver­waltung → Computerverwal­tung → Datenträgerverwal­tung.

Rechnernetze-0991.png

Die Vista-Version der Daten­trägerverwaltung ist sogar in der Lage auch die System­partition zu vergrößern.

Weit verbreitet sind auch Festplattentools, die von CD gebootet werden. Verände­rungen an Festplatten sind einfacher, wenn die Partitio­nen nicht gemountet sind.

Rechnernetze-0992.png

Ein freies grafisches Tool zum Partitionieren ist gpar­ted. Dieses GNU-Programm nutzt man in der Regel mit Hilfe einer LiveCD, die vom Projekt unter http://gparted.sourceforge.net/ ebenfalls angeboten wird.

Beim aktuellen openSUSE wirkt die Festplattenverwal­tung dagegen auf den ersten Blick etwas spartanisch, weil sie mit einer textbasierten Oberfläche aufwartet. Dafür verfügt sie über eine Fülle von Funktionen.

Rechnernetze-0993.png

Man kann mit diesem Tool Volumes einrichten, RAID-Verbünde und verschlüsselte Partitionen bzw. Bereiche.

Dabei sind Volumes quasi virtuelle Festplatten, die aus mehreren physikalischen Festplatten bzw. Partitionen bestehen können. Volumes lassen sich durch Hinzufügen von physikalischen Festplatten jederzeit vergrößern, ohne dass das Betriebssystem mehr bemerkt, als die neue Größe.

Verschlüsselte Partitionen sollten für vertrauliche Daten selbstverständlich sein, vor allem auf Lap­tops. Selbst Geheimdienste verlieren gelegentlich Laptops, der Schaden besteht dann darin, dass die Daten in falsche Hände geraten können. Liegen die Daten auf verschlüsselten Partitionen, so können Finder bzw. Dieb nicht an die Daten heran.

RAID (redundant array of independent disks) Verbünde sind relativ weit verbrei­tet. Auch hier werden mehrere Partitionen bzw. Festplatten zusammengefasst. Ziel hierbei ist es entweder die Geschwindigkeit der Platten zu erhöhen (Raid 0) oder die Datensicherheit durch Redundanz (Raid 1 bzw. Raid 5). Aufgebaut werden solche Arrays entweder mit Hilfe spezieller Festplatten-Controller oder als Soft­ware-Raid. Die Funktionsweise ist ansonsten identisch.

Beim Raid 0 werden zwei identische Platten so zusammen geschaltet, dass die Zu­griffe gleichmäßig auf beide Platten verteilt werden. Hierdurch vergrößert sich die Zugriffsgeschwindigkeit, aber auch das Ausfallrisiko.

Quelle: Wikipedia http://de.wikipedia.org/w/index.php?title=Datei:RAID_0.svg

Beim Raid 1 werden zwei Platten so gekoppelt, dass sie die gleichen Datenbe­stände haben. Das hat kaum Einfluss auf die Geschwindigkeit, erhöht aber die Datensicherheit, da eine der Platten ausfallen kann, ohne dass es zum Ausfall des Systems kommt.

Quelle: Wikipedia http://de.wikipedia.org/w/index.php?title=Datei:RAID_1.svg

Beim Raid 5 werden vier Platten so zusammen geschaltet, dass sowohl die Zugrif­fe verteilt werden, als auch Redundanz vorhanden ist. Damit werden Geschwin­digkeit und Sicherheit erhöht.

Quelle Wikipedia: http://de.wikipedia.org/w/index.php?title=Datei:RAID_5.svg

Bei manchen Raid-Systemen ist es möglich, eine der Platten im laufenden Betrieb auszuwechseln. Sowie die neue Platte dann eingebaut ist synchronisiert der Controller das System, so dass nach kurzer Zeit der gesamte Verbund wieder bereit ist.

9.2.5. DHCP oder wo kommen die IP-Adressen her?

In IP-Netzen müssen sich Rechner mit einer eindeutigen Adresse ausweisen. Generell gibt es zwei Möglichkeiten, IP-Adressen im lokalen Netz zu verteilen:

  • feste Adressen per Individualeintrag und
  • dynamische Adressen per DHCP.

Bei der ersten Methode gibt man jeden Rechner individuell eine feste IP-Adresse. Dieses Verfahren erfordert eine gute Übersicht und Dokumentation, da niemals zwei Rechner mit der gleichen IP-Adresse im Netz aktiv sein dürfen.

Einfacher zu verwalten ist eine automatische Adress-Zuordnung per DHCP (Dynamic Host Control Protocol). Hierfür benötigt man einen DHCP-Server, der anderen Geräten im Netz, also auch den Windows-Rechnern, IP-Adressen dynamisch zuteilt.

Die Zuordnung einer IP-Adresse zu einem Rechner bezeichnet man als Ausleihe (lease). Um Dop­pelausleihen auszuschließen, vermerkt der DHCP-Dämon seine Ausleihen in der Datei /var/lib/dhcp/dhcpd.leases. Jede Ausleihe besitzt eine einstellbare Gültigkeit (lease-time). Dadurch kann man erreichen, dass der DHCPD den Rechnern im Netz jedes Mal die gleiche IP-Adresse zu­ordnet.

Den DHCP-Server kann man auf dem DSL-Internet-Modem/Router oder auf dem (Linux-)Server betreiben. Auf dem Linux-Server muss man den DHCP-Server meist nachträglich installieren, da die Standardinstallation ihn nicht einrichtet.

Rechnernetze-0994.png

Nach der Installation muss man die Kon­figurationsdatei /etc/dhcpd.conf erstellen.

Im ersten Schritt geht es um die Namen und Adressen, die der DHCP-Server übermitteln soll, in der Regel seine eige­nen.

Jetzt fehlen dem DHCP-Server noch An­gaben, aus welchem Bereich er die IP-Adressen vergeben darf.

Im folgenden Beispiel vergibt der Server die IP-Adressen aus dem Bereich 192.168.1.20 bis 192.168.1.200 und lässt die darüber und darunter liegenden Bereiche für Sonderaufgaben frei.

Rechnernetze-0995.png

Bei den Leasing-Zeiten können wir zu­nächst die Vorgaben übernehmen, bei denen jeder Client die von ihm ausgelie­hene IP-Adresse alle 4 Stunden verlän­gern muss. Wenn eine Verlängerung nicht möglich ist, verfällt die Ausleihe spätestens nach 2 Tagen.

Im letzten Schritt der Konfiguration kön­nen wir entscheiden, ob der DHCP-Ser­ver beim Systemstart gleich mit starten soll, oder ob Sie ihn lieber manuell star­ten möchten. Außer in Testumgebungen sollte der DHCP-Server automatisch starten.

Die erzeugte Konfigurationsdatei hat dann folgenden Inhalt.

/etc/dhcpd.conf

option domain-name "lokales-netz.de";
option domain-name-servers 192.168.1.2;
option routers 192.168.1.2;
option netbios-name-servers 192.168.1.2;
ddns-update-style none;
default-lease-time 14400;
max-lease-time 172800;

subnet 192.168.1.0 netmask 255.255.255.0 {
  range 192.168.1.20 192.168.1.200;
  default-lease-time 14400;
  max-lease-time 172800;
}

Im ersten Teil stehen die allgemeinen Einstellungen, wie der Domain-Name, die Adressen der Na­meserver und die Adresse des Routers. Weiter unten folgen die lease-Zeiten (Ausleihzeiten bzw. Leasing-Zeiten bei YaST) für die IP. Die IP wird hier nach vier Stunden aktualisiert und verfällt nach zwei Tagen.

Soll der Client hingegen die Ausleihe nur noch einmal täglich mit einer maximalen Gültigkeit von einer Woche erneuern, damit er immer die gleiche IP anfordert, so lange er nicht länger als eine Woche außer Betrieb ist, müssten wir die Zeiten so ansetzen:

default-lease-time 86400;
max-lease-time 604800;

Die Zeile ddns-update-style enthält eine neue Funktion des DHCPD für die Windows-Namen der Clients:

ddns-update-style none;

Wenn wir hier statt none den Wert ad-hoc angeben, kann der DHCPD die Windows-Namen der Clients auch gleich in den Nameserver eintragen.

Anschließend folgen Einstellungen für das Netz.

subnet 192.168.1.0 netmask 255.255.255.0 {
  range 192.168.1.20 192.168.1.200;
  default-lease-time 14400;
  max-lease-time 172800;
}

Das Subnetz 192.168.1.0 verfügt über die Netzmaske 255.255.255.0. Dies legt fest, dass alle Rech­ner, deren IP-Adressen sich nur in der letzten Zahl unterscheiden, zum gleichen Subnetz gehören. Der Server wählt die IP-Adressen aus dem Bereich 192.168.1.20 bis 192.168.1.200 und lässt die darüber und darunter liegenden Bereiche für Sonderaufgaben frei.

In der Regel wird man mit der dynamischen Adressvergabe gut zurecht kommen. Für einen Printser­ver oder für Linux-Terminals mit spezieller Hardware kann man aber auch einzelne IP-Adressen fest vergeben. Dazu ordnet man Hardware-Adressen (MAC-Adressen) einzeln IP- Adressen fest zu.

host printserver {
  hardware ethernet 08:00:07:26:c0:a5;
  fixed-address 192.168.1.7;
}

Hier bekommt z.B. ein Printserver eine feste IP-Adresse. Dazu benötigt DHCP die Hardware-Adresse von dessen Netzwerkkarte. Diese Hardware-Adressen stehen normalerweise auf dem Ge­häuse derartiger Geräte. Der Printserver startet so immer mit seiner festen IP-Adresse. Der DHCP-Server erkennt ihn anhand seiner Hardware-Adresse.

Im Prinzip kann man so allen Rechnern im Netz eine feste IP-Adresse dynamisch zuordnen, man muss nur die Einträge in der Konfigurationsdatei entsprechend pflegen. Der Vorteil gegenüber fest eingetragenen IP-Adressen im jeweiligen Rechner besteht darin, dass man nach dem Clonen der Festplatte nicht noch einmal extra an die Netzwerkkonfiguration heran muss, hier sollte immer der automatische Bezug aktiviert sein.

Wenn auf dem Client die dynamische Adresszuteilung eingeschaltet ist, müsste der DHCP-Server diesen eine IP-Adresse zugewiesen haben. Man sollte dann prüfen, ob das dynamische Zuordnen von IP-Adressen geklappt hat. Je nach Windows-Version gibt es hierzu verschiedene Programme.

Bei Windows 9x-Rechnern ermittelt man die IP-Adresse mit Start • Ausführen

winipcfg 

Windows zeigt dann in einem kleinen Fenster die IP-Adresse des Rechners.

Rechnernetze-0996.png

Wenn man hier eine korrekte IP für den Rechner sieht und auch die IP des Linux-Rechners richtig eingetragen ist, kann man die IP-Verbindung nutzen.

Bei Windows Vista/XP/2000/NT ruft man mit dem Zubehör-Programm Eingabeauff­orderung das Programm ip­config mit dem Schalter /ALL auf, um alle Verbindungen zu sehen:

ipconfig   /ALL

Rechnernetze-0997.png

9.2.6. Namensauflösung

IP-Adressen identifizieren Rechner im Internet eindeutig. Diese Art der Adressierung ist für Ma­schinen ganz praktisch, aber nicht für Menschen. Diesen kommt das hierarchische System von Do­main-Namen in der Form www.lern-server.de oder allgemeiner Host.ServerDomain.TopLevelDo­main entgegen.

Ruft jemand eine Webseite des Servers www.lern-server.de auf, so muss der Browser die IP-Num­mer von www. lern-server.de herausfinden. Diese Aufgabe überlässt er dem Domain Name Service (DNS).

Jedes Programm, das einen Host-Namen mitgeteilt bekommt, versucht sofort, ihn in eine IP-Adres­se aufzulösen. Dazu benutzen Internet-Clients folgendes Verfahren:

Zuerst suchen sie eine Datei hosts, bei Windows 9x im Windows-Verzeichnis (meist c:\windows), bei Windows XP/Vista unter Windows\system32\drivers\etc, bei Linux im Verzeichnis /etc. Dort prüfen sie, ob in der Datei zu dem Domain-Namen eine IP-Adresse steht. Wenn nicht, nehmen sie mit den DNS-Servern Kontakt auf, die auf dem Client in den Eigenschaften von IP als DNS-Server eingetragen sind.

Host-Dateien auf Clients lokal zu pflegen, ist sehr aufwändig. Daher nimmt man gern die Dienste von DNS-Servern in Anspruch.

Eigene Name-Server sollte man immer dann einrichten, wenn man im lokales Netz Dienste anbietet, also Printserver, Fileserver oder ähnliches im Einsatz hat, die über Rechnernamen angesprochen werden sollen.. Lokale Name-Server haben folgende Aufgaben:

  • Verwalten der Namen für das lokale Netz (Hosting genannt),
  • Weiterleiten der DNS-Anfragen an den DNS-Server des Providers (Caching).

Bis 1984 pflegte das Network Information Centre (NIC) die Zuordnung zwischen Namen und IP-Adressen in Form einer großen Tabelle. Als diese Liste zu groß wurde, hat die Netzgemeinde den hierarchischen Domain Name Service eingeführt.

Bisher gab es hauptsächlich zwei Arten von Top-Level-Domains, die nationalen, die mit zwei Buch­staben ein Land identifizieren und die ursprünglichen, die jeweils aus drei Buchstaben bestehen.

Rechnernetze-0998.png

Die beiden Arten von Top-Level-Domains werden ver­schieden verwaltet: nationale NICs – Network Information Centers (www.nic.de, www.­nic.at, www.nic.ch, www.­nic.fr) – verwalten die Lan­desdomains wie de (Deutsch­land), at (Österreich), ch (Schweiz) und fr (Frank­reich).

Inzwischen verwalten zahl­reiche konkurrierende Fir­men die Drei-Buchstaben-Domains aus der Anfangszeit des Internet (com, edu, gov, mil, net, org, int). Hier kommt es immer häufiger zu Pannen wie Doppelvergabe. Für die neuen Top-Level-Domains biz, info etc. konnten sich Firmen um die Domain-Verwaltung bewerben. Auch wenn die Vergabe nicht immer ganz transparent geworden ist, ist die eindeutige Zuständigkeit geklärt. Der Ablauf einer Namens-Anfrage ist folgendermaßen:

  1. Ruft jemand in den USA die Web-Adresse www. lern-server.de auf, so landet dessen Name-Server-Anfrage über Zwischenschritte beim zentralen Name-Server des NIC, dem root-Ser­ver.
  2. Dieser übergibt die Anfrage an den Name-Server des De-NIC, der Sie dann an den für lern-server.de zuständigen Name-Server (ns.namespace4you.de) weiter gibt, von wo er nun end­gültig die IP-Adresse (85.214.46.129) bekommt.
  3. Diese IP-Adresse geht dann auf dem langen Weg über die beteiligten Nameserver an den an­fragenden Rechner weiter.

Da sich die meisten Name-Server Adressen in einem Cache merken, nehmen Anfragen nur selten diesen langen Weg. Dieser Cache hat aber auch den Nachteil, dass es je nach Konfiguration ein paar Tage dauern kann, bis der letzte Name-Server einen neuen Eintrag oder eine Änderung mitbekom­men hat.

Zusätzlich zu diesen Anfragen, zu einem Namen eine IP-Adresse zu ermitteln, muss ein Name-Ser­ver auch umgekehrt den Namen, der zu einer IP-Adresse gehört, ermitteln. (Reverse Lookup). Auch die Zuordnung eines zuständigen Mailservers für einen Adressbereich erfolgt über den Name­server. Hierfür sind die MX-records (Mail Exchanger-Einträge) zuständig.

In kleineren Netzen ist ein eigener Name-Server nicht notwendig. Hier kann man die vorhandenen Rechner einfach in die Hosts-Datei eines jeden Rechners eintragen. Das Format dieser Datei ist für Linux und Windows identisch. Bearbeiten können Sie die Datei entweder direkt mit einem Texteditor:

/etc/hosts

#
# hosts       This file describes a number of hostname-to-address
#             mappings for the TCP/IP subsystem.  It is mostly
#             used at boot time, when no name servers are running.
#             On small systems, this file can be used instead of a
#             "named" name server.
# Syntax:
#
# IP-Address  Full-Qualified-Hostname  Short-Hostname
#
127.0.0.1       localhost
 
# special IPv6 addresses
::1             localhost ipv6-localhost ipv6-loopback
 
fe00::0         ipv6-localnet
 
ff00::0         ipv6-mcastprefix
ff02::1         ipv6-allnodes
ff02::2         ipv6-allrouters
ff02::3         ipv6-allhosts
 
192.168.1.2     boss.lokales-netz.de    boss

Zumindest die Zeilen, die den lokalen Rechner beschreiben, hier die beiden hervorgehobenen Zei­len, müssen sich immer in der Hosts-Datei finden. So kann der Server zumindest seine eigenen Adressen immer auflösen.

Einen großen Teil der Datei können Sie ignorieren, er ist für die Erweiterung des IP-Adressformates auf 16Byte bedeutsam.

Mit der Konfiguration eines Nameservers hat man nicht nur im lokalen Netz zu tun, sondern even­tuell auch, wenn man eine eigene Domain besitzt und unter deren Adresse Internetdienste anbietet. Wenn man den Webspeicherplatz und die Domainverwaltung beim gleichen Provider bucht, dann hat man immer dann Probleme, wenn man das Speicherplatz-Angebot wechseln möchte. Außerdem bieten einen nicht viele der Speicherplatz-Anbieter auch Zugriff auf den Nameserver. Am flexibels­ten ist man, wenn man die Domainverwaltung bei einem extra Provider, z.B Domainfactory (http://www.df.eu) vornehmen lässt. Hier hat man sehr bequemen Zugriff auf den Nameserver:

Rechnernetze-0999.png

Man kann hier recht bequem eine Vielzahl von Einstellungen vornehmen. Domainfactory bietet eine Art Catchall-Funktion an, über den Eintrag *.lern-server.de sind (fast) alle Subdomains angespro­chen, solange sie keinen individuellen Eintrag besitzen. Die fett hervorgehobenen Einträge muss man aber immer individuell überschreiben, da DF dafür sonst eigene Einstellungen vorgibt.

Für jeden Eintrag muss man den Typ auswählen und dann das Ziel.

Rechnernetze-0982.png

Nicht alle Typen aus der Liste sind allgemein bekannt. Die Hilfe-Seiten bieten dazu aber genügend Informationen.

Rechnernetze-0981.png

Was man bei Domainfactory natürlich nicht einstellen kann, ist die Rückwärtsauflösung der IP-Adresse zu einem Domainnamen. Das ist relativ logisch, da beliebig viele Domains zur gleichen IP-Adresse auflösen können, die IP-Adresse aber nur zu einer einzigen Domain.

Will ein Rechner wissen, welche Domain zur IP-Adresse 85.214.46.129 gehört, so landet diese Anfrage immer beim Eigentümer des zugehörigen IP-Blockes 85.214.16.0 – 85.214.139.255, in die­sem Fall der Strato AG.


9.2.7. Zugriff auf das Internet mittels Proxy

Um in Unternehmen und Bildungseinrichtungen und sonstigen Einrichtungen im Interesse des Ju­gendschutzes Seiten zu filtern, benötigt man Zusatzprogramme, die Seiten mit unerwünschten In­halten wie bestimmten Text- oder Grafikobjekten und von einschlägigen Web-Sites ignorieren.

Hierzu kann man in lokalen Netzen die von den Anwendern besuchten Seiten zentral speichern. Ei­nerseits kommt der Geschwindigkeitsvorteil für das erneute Laden allen zugute, da die Ladezeiten im lokalen Netz vergleichsweise kurz sind. Andererseits können Systemverwalter damit das Surf­-Verhalten der Anwender auch dann überwachen, wenn diese die lokalen Speicher nach ihrem jewei­ligen Arbeitsende löschen.

Für diesen Zweck setzt man auf Kommunikations-Servern einen Proxy-Server, bei Linux meist Squid, ein.

Zusätzlich zu der Cache-Funktion verfügt Squid über eine Stellvertreter- (Proxy) Funktion. Bei der Einwahl ins Internet stellt der Provider nur eine einzige offizielle IP-Adresse zur Verfügung, die der Linux-Server bekommt. Die anderen Rechner im Netz verfügen nur über lokale IP-Adressen, an die Web-Server keine Antworten schicken können. Diese lokalen Rechner fordern WWW-Seiten in­direkt vom Squid an, welcher sie mit der IP-Adresse des Linux-Routers aus dem Internet abruft, so­fern er sie nicht schon lokal gespeichert hat.

Ein Proxy-Cache hat mehrere Aufgaben und Vorteile:

  • er beschleunigt den Internet-Zugriff, da schon einmal geladene Seiten nicht erneut übertra­gen werden,
  • er hat eine Stellvertreterfunktion für die Rechner im Netz;
  • er kann kontrollieren, welche Inhalte die Benutzer im lokalen Netz anfordern dürfen und
  • er dokumentiert, wer wann von welchem Endgerät welche Web-Seiten angefordert hat.

Wie sehr der Proxy-Server das Laden von Web-Seiten dadurch beschleunigt, dass er mehrfach ange­forderte Seiten aus dem lokalen Netz statt aus dem Internet bereitstellt, hängt in der Praxis davon ab, wie viele Nutzer die gleichen Seiten anfordern und sich eine vielleicht nur schmalbandige Inter­net-Anbindung teilen müssen.

Die Proxy- (Stellvertreter-) Funktion ist die einfachste Möglichkeit, beliebig vielen Rechnern im In­tranet den Zugriff auf WWW-Seiten zu ermöglichen. Da dabei nur der Proxy Anfragen ins Internet stellt, kommt man mit einer einzigen offiziellen IP-Adresse aus.

Proxies können gezielt einzelne Seiten oder ganze Internet-Domains sperren, damit kein Browser, der sie anfordert, solche Seiten überhaupt sehen oder laden kann. Da ein Proxy alle Zugriffe protokollieren kann, lässt sich überwachen, wer welche Seiten aufgerufen hat.

Anfragen von Client-Browsern gehen nicht mehr direkt ins Internet, sondern zum Proxy-Server. Dieser prüft, ob er eine aktuelle Version der angeforderten Seite gespeichert hat. Wenn die Seite vorliegt und noch aktuell ist, liefert er sie direkt aus dem lokalen System heraus an den Browser.

Hat er die Seite nicht im Speicher oder ist sie nicht mehr aktuell, so lädt der Proxy sie aus dem In­ternet, speichert sie im lokalen Netz und stellt sie dann den Browsern der Clients zur Verfügung.

Da alle Linux-Distributionen Squid enthalten, lässt er sich einfach durch Auswahl des zugehörigen Pakets einrichten.

Konfiguriert wird Squid über eine recht umfangreiche Textdatei squid.conf. Wichtigster Inhalt die­ser Datei sind die Zugriffsregeln.

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

# Example rule allowing access from your local networks. Adapt
# to list your (internal) IP networks from where browsing should
# be allowed
acl freiedomain dstdomain "/etc/squid/freiedomain.acl"
acl webtoolsdomain dstdomain "/etc/squid/domain.acl"
acl webtoolsregexp url_regex -i  "/etc/squid/regexp.acl"
acl webtoolsuser proxy_auth "/etc/squid/user.acl"
acl webadmin proxy_auth "/etc/squid/admin.acl"
http_access allow webadmin
http_access allow freiedomain
http_access deny webtoolsdomain
http_access deny webtoolsregexp
http_access deny webtoolsuser
http_access deny !password
acl our_networks src 192.168.0.0/255.255.0.0
http_access allow our_networks
http_access allow localhost
 
# And finally deny all other access to this proxy
http_access deny all

Mit dem Schüsselwort acl wird die Definition von Zugriffsregeln eingeleitet. Diese Regeln können sich z.B. auf die Zieldomain (dstdomain) beziehen, oder auch auf reguläre Ausdrücke (url_regex) innerhalb der angeforderten URL. Meist gibt man als Vergleich eine Datei an, in der dann die be­treffenden Domains bzw. Ausdrücke stehen.

Rechnernetze-0983.png

Die Zeilen, die mit http_access beginnen, schal­ten dann die vorher definierten Regeln scharf, indem sie den Zugriff erlauben oder verbieten. Hier kommt es sehr auf die Reihenfolge an. Im vorliegenden Beispiel wird zuerst überprüft, ob der Benutzer in der Liste der Webadmins steht, bevor die Listen mit den gesperrten Do­mains und Ausdrücken berücksichtigt werden. Ein Webadmin kann also problemlos die ge­sperrten Seiten erreichen.

Damit Client-Browser den Proxy-Cache nut­zen können, müssen Sie ihn aktivieren. Dazu muss man im jeweiligen Browser die IP-Adresse des Proxy-Servers und seine Portnum­mer (voreingestellt 3128) eintragen. Den Browser Mozilla konfiguriert man unter Bearbeiten • Einstellungen • Erweitert • Netz­werk • Verbindung • Einstellungen... Er öffnet ein Formular, in dem Sie Parameter für verschiedene Protokolle einstellen können. Für HTTP, HTTPS (Sicherheit) und FTP gibt man die IP-Nummer oder den Namen des Kommuni­kations-Servers und den Port 3128, die Voreinstellung von Squid an. Die restlichen Zeilen bleiben wie voreingestellt. In dem großen Eingabefeld kann man Adressen (im lokalen Netz) angeben, für die der Browser den Proxy nicht benutzen soll.

Beim Microsoft Internet Explorer finden sich die gleichen Ein­stellmöglichkeiten unter Extras • Internetoptionen • Verbindun­gen • LAN-Einstellungen. Geht man hier auf Erweitert, so öffnet der Explorer einen weite­ren Dialog mit der praktischen Einstellmöglichkeit Für alle Pro­tokolle denselben Server verwenden.

Rechnernetze-0984.png

Ähnlich wie beim Mozilla Firefox gibt es auch hier ein weiteres Formular für die verschiedenen Protokolle.

Rechnernetze-0985.png

Auch hier kann man wieder die lokalen Adressen ausnehmen.

Bei Opera findet man die entsprechenden Einstellungen in einem einzigen Formular unter Extras • Einstellungen • Erweitert • Netzwerk • Proxyserver.

In manchen Netzen kann man die Proxyeinstellungen auch automatisch ermitteln lassen. Dazu muss der Serverbetreiber nur an der richtigen Stelle eine Datei namens wpad.dat ablegen, die die Informationen über den Proxyserver enthält. Die Datei kann der Client dann per DHCP oder auch beim Start des Browsers automatisch beziehen.

9.2.8. Nutzung externer Sperrlisten – SquidGuard

Die meisten Anwender wären damit überfordert, regelmäßig die Liste der unerwünschten Internetsei­ten aktualisieren zu müssen. Daher gibt es Anbieter, die zentral derartige Listen pflegen und verbrei­ten. Darunter finden sich kommerzielle Anbieter wie z.B. Time for Kids (http://www.time-for-kids.­de) aber auch freie Projekte, wie SquidGuard (http://www.squidguard.org/). Time for Kids gibt an, bereits mehr als 5 Mrd. Webseiten kategorisiert zu haben.

Grundsätzlich ist es so, dass ausgehend von einem vorhandenen Squid, ein Hilfsprogramm instal­liert wird, welches die zusätzlichen Listen auswertet, die aufgrund des Umfangs in einem optimier­ten Format vorliegen müssen. Diese Listen werden in regelmäßigen Abständen von den Anbieter-Seiten aktualisiert und neu geladen.

SquidGuard bietet zusätzlich auch Logdateien, in denen die Sperraktionen protokolliert werden.


9.2.9 Laufwerke im Netz

In einem Netzwerk mit verschiedenen Arbeitsplätzen ist es wünschenswert, dass die Benutzer ihre Dateien nicht lokal auf dem jeweiligen Arbeitsplatz speichern, sondern zentral auf Laufwerken im Netz. Dadurch spielt es keine Rolle, an welchem Arbeitsplatz ein Nutzer am nächsten Tag arbeitet, er findet auf alle Fälle all seine Dateien wieder. Für den Administrator erleichtert dies auch die Si­cherung der Dateien, da sie auch bei ausgeschaltetem Arbeitsplatz zugänglich sind.

Für das Nutzen von Netzwerklaufwerken gibt hauptsächlich es zwei Systeme:

  • Samba
  • NFS

Unter Linux ist der Samba-Dienst ist ein Nachbau der Funktionalitäten der Windows-Server (Server Message Block-Servers). Ein Samba-Server ist für die Arbeitsstation kaum von einem Windows-Server zu unterscheiden, er stellt Laufwerke und viele andere Dienste zur Verfügung.

In einem reinen Unix-Umfeld ist Samba nicht notwendig, hier steht das Network File System (NFS) zur Verfügung. Per NFS lassen sich Verzeichnisse auf Servern so in den lokalen Dateibaum des Rechners einbinden, dass sie für Anwendungen wie lokale Verzeichnisse wirken. Dieses System kann man in großen Installationen, wie z.B. Der Informatik, nutzen, um Anwendungen nur einmal zu installieren und trotzdem an allen Arbeitsplätzen nutzen zu können.

Zu diesem Zwecke werden Anwendungen in einem speziellen Zweig des Dateibaumes, oft /opt/, in­stalliert. Dieses Verzeichnis wird dann per NFS exportiert und auf den Arbeitsplätzen als Verzeich­nis /opt in den Dateibaum integriert. Das ganze funktioniert solange, wie die Anwendungen keinen schreibenden Zugriff auf diesen Pfad erfordern, sonst käme es zum Chaos. Unter Unix ist aber in der Regel sehr sauber geregelt, in welche Ordner eine Anwendung schreiben darf und in welche nicht.

Im Extremfall kann man mit NFS Rechner einrichten ohne jegliche lokale Festplatte. Man muss dann nur darauf achten die Ordner, in die temporäre Daten geschrieben werden müssen in besondere Bereiche, z.B. RAM-Laufwerke auszulagern. Die Benutzerdaten landen ja sowieso in den Home-Laufwerken auf dem Server.

Es gibt mehrere erfolgreiche Projekte, die das Einrichten von festplattenlosen Arbeitsplätzen er­leichtern. Am bekanntesten dürfte LTSP, das Linux Terminal Server Projekt (http://www.ltsp.org/), sein. Relativ jung noch ist OpenSLX (http://www.openslx.org/), aber es basiert auf Installationen an der Universität Freiburg. Bei diesen Projekten wird auch das komplette System aus dem Netz ge­bootet.

Bei Windows-Systemen ist NFS leider nur mit zusätzlicher Software möglich, daher gibt es auch wenig Beispiele für festplattenlose Windows-Arbeitsplätze. Dabei hat NFS gegenüber Samba den Vorteil, dass es auch über das Internet funktioniert. Die meisten Router blockieren die für Samba notwendigen Ports, aber generell war dieses Protokoll auch nie wirklich routingfähig, da es sehr viel mit Broadcasts arbeitet. NFS über das Internet ist nicht ungewöhnlich, sinnvoll eingebundene NFS-Laufwerke sind transparenter in der Nutzung, als FTP-Dienste.

10. Anwendungen über das Netz – Remote Desktops

Die ständig wachsende Zahl von Computer-Arbeitsplätzen, auch in Schulen, fürhrt zu einem sehr hohen Wartungsaufwand, der kaum noch zu leisten ist, dabei gibt es Lösungen.

Anwender können lokal an einem Computer arbeiten (lokales Computing) oder ihr Endgerät über ein Netz mit einem Computer verbinden, auf dem ihre Anwendungen ablaufen (Network Compu­ting). Bei lokalem Computing sind die Anwender-Peripheriegeräte Bildschirm, Maus, Tastatur, Lautsprecher, Drucker, Scanner usw. direkt an den Computer angeschlossen, der die Anwendungen ausführt.

Wenn Anwender vom Home-Office oder mobil auf zentralen Büroanwendungen arbeiten sollen, be­nötigen sie sichere Weitverkehrszugänge auf diese Anwendungen. Beim Network Computing sind die Peripheriegeräte an ein weiteres Endgerät (ein Terminal) angeschlossen, das seinerseits seine Benutzerein- und -ausgaben über ein Netz mit einem anderen Computer austauscht, auf dem die Anwendungen laufen. Damit Computer, auf denen Anwendungen laufen, und die Endgeräte der Be­nutzer ihre Ein- und Ausgabedaten austauschen können, verwenden sie ein Übertragungsprotokoll.

Hierfür gibt es verscheidene Möglichkeiten:

  • standardisierte und frei zugänglich dokumentierte Protokolle aus der Unix/Linux-Welt,
  • proprietäre, durch Urheberrecht geschützte Protokolle von Microsoft und Citrix sowie
  • das plattformunabhängige Virtual Network Computing (VNC )

Bei Unix/Linux ist es seit Mitte der 90er Jahre des letzten Jahrhunderts selbstverständlich, dass man von einem beliebigen Rechner aus eine Desktop-Sitzung auf einem anderen PC nutzen kann. Das Massachusetts Institute of Technology (MIT) hatte schon damals auf der Basis der Vorgängerpro­jekte »V« und »W« das X-Window-System als grafische Benutzeroberfläche für Unix-Systeme ent­wickelt. Der Anwendungsserver und das Benutzer-Endgerät kommunizieren dabei über das X11-Protokoll. Dabei sind die Begriffe Server und Client anders als gewohnt definiert, da sie den Blick­winkel der Anwender und nicht des Rechenzentrums verwenden:

  • Am Benutzer-Endgerät läuft ein X-Server, der Benutzereingaben (Maus, Tastatur) entgegen­nimmt und Ausgaben auf seinem Bildschirm darstellt.
  • Anwendungen, sogenannte X-Clients wie Textverarbeitung, Mail etc., nutzen diese grafische Oberfläche, indem sie von ihr die Benutzereingaben erhalten und ihr Daten zur Ausgabe auf deren Grafikbildschirm schicken.

Den Datenverkehr zwischen X-Server und X-Client reduziert das Protokoll NX von NoMachine, ei­nem Unternehmen des italienischen Softwarehauses Medialogic.

Microsoft machte Ende des letzten Jahrhunderts sein Serverbetriebssystem Windows NT 4 Server Terminal Server Edition mit Hilfe von Citrix transportfähig und pflegt diese Eigenschaft bei seinen Serverbetriebssystemen Windows 2000 Server, Windows 2003 Server und Windows Server 2008.

Zudem hat Microsoft seine Desktop-Betriebssysteme Windows XP und Vista für je eine einzelne Sitzung ein wenig nach außen geöffnet, damit Anwender von zu Hause auf ihren XP- und Vista-Bü­rorechnern weiterarbeiten können, ohne dafür zusätzliche freie oder kommerzielle Software zu be­nötigen. Für den Datenaustausch zwischen eigenen Terminalservern sowie nach außen geöffneten XP/Vista-Desktop-Sitzungen einerseits und den Benutzer-Endgeräten andererseits setzt Microsoft sein proprietäres Remote Desktop Protocol (RDP) ein. Dieses unterscheidet sich von dem Citrix-Protokoll Independent Computing Architecture (ICA) für die Kommunikation zwischen dessen Ter­minalservern (Citrix Presentation Server, heute Citrix Xen App) und Benutzer-Endgeräten.

Das Citrix-Protokoll wird auf den Verwaltungs-Arbeitsplätzen in Hamburgs Schulen intensiv ge­nutzt.

Die Schnittstellen für X.11 und NX für Benutzer-Endgeräte sind öffentlich dokumentiert. Microsoft hat die Spezifikationen für sein RDP inzwischen auf seinem MSDN (Microsoft Developer Net­work) veröffentlicht. Auch schon eine relativ lange Tradition hat das plattformunabhängige Virtual Network Computing (VNC). Auch diese ursprünglich von Olivetti und dem Oracle Research Labo­ratory entwickelte und inzwischen quelloffene Lösung zeigt den Bildschirm des Rechners, auf die VNC-Serversoftware läuft, auf einem Rechner, auf dem die VNCViewer-Software arbeitet, an und sendet Maus- und Tastatureingaben an den VNCServer.

Das Protokoll ist so flexibel, dass man damit seine Rechner von mobilen Endgeräten aus steuern kann.


10.1. X11

Recht einfach ist das Arbeiten über das Netz auf Linux-Systemen mit einer OpenSUSE-Installation. Hier muss eigentlich nur der X-Zugriff über das Netz erlaubt werden. Dazu muss in der Datei kdmrc (bei einem KDE-System) eine Zeile verändert werden

[Xdmcp]
# Whether KDM should listen to incoming XDMCP requests.
# Default is false
Enable=true

Danach kann dann ein entferner Linux-Rechner mittels:

X -query 192.168.1.1 :1

auf den Server hier zugreifen.

Dabei startet X das Programm-Xserver auf der Konsole :1, also als zweiten grafischen Bildschirm. Das -query 192.168.1.1 gibt an, welcher Server der X-Client sein soll.

Rechnernetze-101.png

Bei diesem Verfahren startet der neue Xserver immer im Vollbild und man muss mit den Tastenkombinationen Strg+Alt+F7 bzw. Strg+Alt+F8 zwischen den beiden Desktops wechseln.

Etwas flexibler wird man mit der Server-Erweiterung Xnest, die den neuen Desktop in den vorhandenen Desktop einbindet. Der Auf­ruf unterscheidet sich nur ge­ringfügig.

Xnest :1 -query 192.168.1.1

Das X11-Protokoll hat leider ein paar kleine Nachteile. Der Datenverkehr zwischen Server und Cli­ent ist sehr hoch, daher gibt es Abwandlungen des Protokolles, die diese Nachteile vermeiden.


10.2. Virtual Network Computing (VNC)

Das plattformunabhängige Protokoll Virtual Network Computing (VNC) lässt sich für viele Anwen­dungen nutzen:

  • Benutzer bitten Sie aus der Ferne um Hilfe an ihren Desktops.
  • Sie wollen einen Windows-Desktop zusätzlich auf Ihrem Linux-PC nutzen oder umgekehrt.
  • Sie wollen das Fernsehbild und den Ton Ihrer mit Linux gepatchten Nokia-D-Box auf ihrem Windows- oder Linux-Desktop sehen und hören.

Virtual Network Computing stammt aus dem Jahre 1998. Ursprünglich wurde es an den AT&T La­boratories in Cambridge entwickelt und 2002 in ein ausgegründetes Unternehmen namens RealV­NC (http://www.realvnc.com/) eingebracht. Neben der kommerziellen Variante, die sich beispiels­weise in Fernsteuer­lö­sungen für Serverhardware (Keyboard, Video, Maus) findet, existieren eine freie Version und einige freie Weiter­ent­wicklungen und Verbesserungen, wie UltraVNC (http://www.uvnc.com) oder TightVNC (http://www.tightvnc.com/).

Letzteres ist in der Linux-Welt verbreiteter Standard und steht unter der GPL-Lizenz für freie Soft­ware. VNC erlaubt den Zugriff auf einen gemeinsamen Desktop von verschiedenen Rechnern, die unterschiedliche Betriebssysteme verwenden können.

VNC löst das Problem anders als X.11. Es stellt den kompletten Desktop des einen Rechners in ei­nem Fenster auf einem weiteren Rechner dar. VNC ist auf die optimale Nutzung schmaler Band­breiten getrimmt und hat damit dem einfachen Remote-X.11 einiges voraus. Die benötigte Band­breite für flüssiges Arbeiten hängt von der CPU (ein etwas älterer PentiumIII reicht aus), von der Bildauflösung sowie der Farbtiefe ab. Passiert nichts, fallen keine Daten an. Je größer jedoch das zu transportierende Bild und je besser die Farbtiefe, desto mehr Daten müssen bei jeder Änderung des Desktop-Inhalts übermittelt werden. Ganz extrem sind Videosequenzen.

Das VNC-Paket besteht aus zwei Komponenten, dem Server und dem Client, in der VNC-Sprache Viewer. Der Server greift die Daten vom laufenden Desktop ab und kann diese an einen oder meh­rere Clients über das Netzwerk weiterreichen. Clients verbinden sich auf laufende VNC-Server und sorgen für die lokale Darstellung des entfernten Desktops in einem Fenster der grafischen Oberflä­che, von der sie gestartet wurden. Während unter Windows genau eine Möglichkeit zur Verfügung steht, gibt es bei Linux zwei Varianten, um einen VNC-Server zu betreiben:

  • Entweder Sie starten den Server als eigenen Prozess mit dem Kommando vncserver. Dieser Server öffnet keinen grafi­schen Desktop auf der Maschine, auf der er gestartet wurde. Damit können Sie mehr als einen VNC-Export anbieten. Es bedeutet aber auch, dass eine aktive X.11-Session auf diesem Wege nicht exportiert werden kann.
  • Oder Sie schalten das x11vnc-Modul in Ihrer X-Server-Konfiguration ein und erlauben da­mit den entfernten Zugriff auf einen lokal laufenden Desktop. Dieses entspricht dem von Windows gewohnten Verhalten.

Im Gegensatz zu einer X.11-Sitzung, die mit dem Abschalten des Remote-Displays automatisch alle darin gestarteten Prozesse beendet, kann eine VNC-Sitzung ewig weiterleben. Der Client hängt sich lediglich vom Server ab, veranlasst jedoch nicht dessen Herunterfahren. Damit bleibt der VNC-Ser­ver aktiv, auch wenn sich alle VNCClients abgemeldet haben und alle in der Session gestarteten Programme laufen weiter. So kommt man bei der erneuten Verbindung zu exakt dem Zustand zu­rück, an dem der Client beendet wurde.

Den VNC-Server darf ein normaler Nutzer starten, er wird dann nur noch einem Passwort gefragt, welches dann auf dem entfernten Rechner angegeben werden muss.


10.3. Nomachine NX

Bei X-Programmen tauschen der X-Client und X-Server über das Protokoll X.11 Fragen und Ant­worten miteinander aus und warten dabei auf alle Antworten auf jede Frage. So eine Frage mit Ant­wort heißt auch Roundtrip . Bereits oben wurde am Beispiel eines animiert aufklappenden Menüs erklärt, dass ein- und dieselbe Ausgaben viele oder wenige Dialoge erfordern kann.

X-Programme wissen bei ihrer Ausführung auf einem X-Client nicht, wo sich der zugehörige X-Server befindet. Sie können bei einem über ein WAN erreichbaren X-Server nicht selbständig Roundtrips zwischen X-Server und X-Client einsparen. Auf dieses Problem zielt die Erweiterung NX des X.11-Protokolls der Division Nomachine von Medialogic S.p.A..

NX beschleunigt den Aufbau von X-Bildschirmen durch:

  • Cachen (Speichern und aus dem Speicher wieder verwenden) bereits einmal übertragener Daten und differentielle Übertragung,
  • Einsparen der meisten X-Roundtrips sowie
  • Verdichten der verbleibenden X-Kommunikation.

Durch diese Effizienzverbesserung können Nutzer mit Network-Computing zufriedener sein als bei Technologien wie reinem X.11. Nomachine NX unterstützt Linux-, Solaris- und Windows-Anwen­dungsserver sowie Windows-, Solaris-, Linux- und MacOS/X- Clients.

Rechnernetze-102.png

Die Server-Version von NX steht naturgemäß nur für Unix-Server zur Verfügung. Über einen Unix-Server als Router ist aber auch der Zugang auf Windows-Server problemlos möglich.

10.4. Microsofts Remote Desktop Protocol

Mit dem Remote Desktop Protocol liefert Microsoft seit Ende des letzten Jahrtausends seine Termi­naldienst-Sitzungen von den Terminalserver-Versionen seines Serverbetriebssystems an Benutzer-Endgeräte. Um von einem Server aus mehrere Benutzer Sitzungen bereitstellen zu können, hatte Mi­crosoft dazu die sogenannte MultiwinTechonologie von Citrix lizenziert, nicht aber deren Übertra­gungsprotokoll Independent Computing Architecture (ICA). Die Multiwin-Technologie erlaubt es, auf Windows-Servern getrennte Benutzersitzungen ablaufen zu lassen und deren Benutzer-Dialoge aufzusplitten. Microsoft bietet die Terminaldienste seiner Windows-Server für drei Anforderungen von Unternehmen an:

  • Fernwartung der Windows-Server,
  • mit wenig Aufwand zu wartende und sicherere Anwendersitzungen als Antwort auf die aus­ufernden Gesamtkosten von Anwender-PCs und dabei
  • Benutzerbetreuung durch gleichzeitiges Darstellen und Steuern der Anwendersitzungen auf einem Endgerät im Helpdesk.

Die Terminaldienste erlauben, viele populäre Windows-Programme auf Windows-Servern ablaufen zu lassen und über das RDP-Protokoll an Benutzer-Endgeräte zur Darstellung zu übermitteln. Da Windows-Anwendungen aber als Ein-Benutzer-Programme entwickelt sind und teils direkt auf PC-Hardware zugreifen wollen, lassen sich etliche Windows-Programme selbst mit erheblichem Pro­grammier-Aufwand nicht über Terminaldienste bereitstellen.

Als Alternative zu Terminaldiensten bietet sich inzwischen der Fernzugriff auf XP/Vista-Rechner an. Seit Windows XP verwendet Microsoft sein Remote Desktop Protocol auch für den Fernzugriff (Remote Desktop Connection – RDC) auf Anwender-PCs. Damit können Anwender vom zu Hause aus ihrem Home Office oder von unterwegs auf offene Sitzungen ihres Büro-PCs zugreifen, ohne wegen der Einschränkungen von Terminaldiensten auf eine Auswahl der auf Terminalservern lauf­fähigen Windows-Programme angewiesen zu sein. Dieser Fernzugang wird inzwischen mehr und mehr dazu genutzt, um Desktops mit XP und Vista zentral aus Rechenzentren bereitzustel­len.

Rechnernetze-103.png

Die Version 6.0 von RDP hat Microsoft im Jahr 2007 mit Windows Vista eingeführt, die Vorgänger 5.2 mit dem Service Pack 2 von Windows XP und 5.1 zuvor mit dem Service Pack 1 von Windows XP, aktuell ist RDP 6.1. Gegenüber der Fünfer-Version hat Microsoft u. a. die Farbtiefe des Bildschirms erhöht und das Verschlüsselungsverfahren geändert.

Will man unter WindXP Prof. Die Terminal­dienste aktivieren, so geht dies über System­steuerung → System → Registerkarte Remo­te.

Hier muss bei Remotedesktop das Häkchen gesetzt werden. Will man auch Benutzern den Zugang erlauben, die keine Administratoren sind, so muss man diese unter Remotebenutzer auswählen angeben.

Will man nun von einem Arbeitsplatz aus auf den fernen Rechner zugreifen, so bnötigt man dazu einen RDP-Client. Für WindXP wird dieser von Microsoft mit ausgeliefert und findet sich unter Programme → Zubehör → Kommunikation → Remotedesktopverbindung.

Rechnernetze-104.png

Hier gibt man den Zielrechner und die zugehörigen Benutzerdaten an. WindXP ist für die Remote-Nutzung nur eingeschränkt tauglich, da nur ein Nutzer zur Zeit aktiv sein kann, ein eventueller loka­ler Benutzer wird abgemeldet.

Die Server-Versionen lassen natürlich mehr Remote-Nutzer zu.

Auch unter Linux gibt es ein Client-Programm für RDP, das Programm Rdesktop (http://www.rdesktop.org/), von dem auch der Screenshot stammt. Rdekstop ist eigentlich ein Konsolen-Pro­gramm, es gibt aber eine Reihe von graphischen Frontends.

Recht interessant ist es, bei RDP-Verbindungen mit den Sound-Einstellungen zu spielen. Man hat nämlich die Wahl, ob der Sound auf dem lokalen Rechner oder auf dem fernen Rechner erscheinen soll. Im Windows-Client finden sich die Einstellungen im Reiter Lokale Ressourcen, bei rdesktop geht es auch über die Kommandozeile.

rdesktop -0 -r sound:local 192.168.1.152

bzw.

rdesktop -0 -r sound:remote 192.168.1.152

Für NX:

http://h1020819.serverkompetenz.net/plugin/nxapplet.html

Oder

http://nx.lokales-netz.de/plugin/nxapplet.html

Es fehlen noch

-Zentrale Verwaltung der Benutzerdaten

Arbeitsgruppe/Domäne

NIS

LDAP

...


-Schlanke Endgeräte

X-Terminals

LTSP

LDC