Triton beim Sichern

Nun wurde es doch keine Woche draus allerdings konnte ich sonst auch nicht so früh damit anfangen. Da der Plattentausch vom Netserver reibungslos von statten ging konnte ich mich gestern an den Windows Server “Triton” machen und dort die Platte Tauschen. Wie ich schon im letzten Blogeintrag erwähnte ist das einfache neu installieren eines Domänencontrollers der obendrein auch noch eine Vertrauensstellung mit einem anderen DC hat nicht möglich. Möglich ist es zwar allerdings dürft ihr euch dann sicher sein dass euer Netzwerk zusammenkracht und gar nichts mehr geht und ihr euch nicht mehr in der Domäne mit eurem Konto anmelden könnt da die Master-Rollen und die SIDs nicht mehr stimmen.

Jedenfalls musste ich auch bei Triton handeln, und machte als ersten Schritt erst mal mit dem hausinternen Sicherungsprogramm vom Windows 2000 Server ein simples Backup und sicherte auch den Systemstatus. Danach griff ich zu einer Knoppix CD, einem Linux das komplett von CD Startet, ohne Installation.

Der Windows Server "Triton"

die ich dann booten lies, und wartete bis ich auf der Shell war. Auf der Shell dann musste ich erst mal der Netzwerkkarte eine IP geben da bei mir für DHCP der Triton verantwortlich war, der ja gerade indisponiert war. Nachdem ich das getan habe Mountete ich erst mal mit CIFS eine Netzwerkfreigabe meines normalen Arbeitsrechners.

Jetzt kopierte er eine wunderbare 1:1 RAW-Kopie der Festplatte samt Bootloader und Bootsektor in die Freigabe des Gastrechners. Jetzt hieß es

Die Knoppix-Shell

erst mal Abwarten und Kaffee trinken… Nach 5 Stunden hatte er 6 GB in ein IMG-Image geschrieben. Jetzt konnte ich das System runterfahren um endlich die Platte zu Wechseln. Auch hier war wieder die Festplatte in einem Caddy, allerdings ohne Adapter denn einiger Hersteller stecken die Platte direkt an. Nachdem der Wechsel vollzogen war und ich den Computer wieder anschaltete und Knoppix wieder Bootete konnte ich das gleiche wieder machen wie vorher, also Freigaben mounten, IP vergeben etc. Das zurückspielen des Plattenimages dauerte im Gegensatz zum Sichern nur knapp eine halbe Stunde.

Nun gut Image war auch der neuen Platte, allerdings müsste man normal noch etwas Basteln, und zwar müsste man eigentlich den Bootloader und die Masterboottabelle neuschreiben. Allerdings war Tritons scheinbar nicht normal, denn der Sauhund startete einfach so als ob nichts gewesen sei!! Rotzfrech strahlte mich wieder der Desktop meines Servers an… Ich kann mir selber nicht erklären wie das ging, jedenfalls sparte mir das jede menge Arbeit! Alles ging wieder, sogar die Vertrauensstellung und das Active Directory hatte überlebt.

Nachdem der Serverschrank steht und soweit alles provisorisch läuft, und alles so funktioniert wie ich mir das dachte, stand eines auf dem Programm: Die Konfiguration des Servers.

Windows 2000 Server bootet...

Ein Windows Server ist meist für größere bzw. verantwortungsvollere Aufgaben in einem Netzwerk verantwortlich. Beispielsweise werden in Firmen Windows Server meist als Domänencontroller oder DNS/WINS eingesetzt, die zusammen mit anderen Firmenservern Vertrauensstellungen, Replikationen oder gar Clustering betreiben. Ebenfalls werden Windows Server auch als Webserver eingesetzt, allerdings aber eher selten da in Sachen Webserver und Webhosting die Unix basierten Betriebssysteme die Nase vorne haben. Die Verfügbarkeit solcher Server in Firmen ist meistens mehr wert als Geld, denn ein Ausfall eines Servers der beispielsweise mehrere Workstations in einer Domäne verwaltet, oder gar Oracle oder SQL Datenbanken beinhaltet, bedeutet Verlustgeschäft! Darum werden Windows Server meistens noch mit sogenannten Backup DCs betrieben, den Backup Domänencontrollern die bei einem Ausfall des Primärservers für den einen einspringen. Damit Daten und Benutzerkonten auf beiden Rechnern Synchron gehalten werden damit ein reibungsloser Übergang vom meinen Server zum anderen vollstatten geht, wird meistens Dateispiegelung mit DFS, dem Distributed Filesystem verwirklicht. Wenn’s Um WINS Einträge geht ist es auch kein Problem diese mit einem Replizierungspartner zu teilen bzw. synchronisieren zu lassen.

Desktop von Windows 2000 Server

Eine Vertrauensstellung ist ein Zustand zweiter oder mehrerer Server die sich gegenseitig vertrauen. Jeder einzelne Server ist in diesem Falle für eine eigene Domäne zuständig und befinden sich meistens in einem VPN z.B von Firma A und einer Partner Firma B oder einer anderen Abteilung z.B Verkauf oder Versand. Um den Benutzen von Workstations in der gesamten Firma den Zugriff auf die gleichen Ressourcen z.B Dokumente die auf dem Domänencontroller in Firma A liegen, zu erlauben ist es erforderlich eine Gesamtstrukturelle Vertrauensstellung zu haben. Diese erlaubt durch das gegenseitige Vertrauen auf Ressourcen oder Rechner ohne Anmeldung zu gewährleisten. Außerdem können sich dann Workstations egal in welcher Abteilung sie sich befinden, an die ganzen Domänen die sich in der Ganzen Firma oder sich in der VPN Wolke befinden, anmelden.

Ähnlich ist es bei mir in unserem Privaten VPN das es erlaubt das ich mich Domänen einloggen kann die von einem DC verwaltet werden der z.B in einem ganz anderen Bundesland befindet, wenn ich ein Domänenkonto besitze. Um Triton soweit zu bekommen das er diese Aufgaben bewältigt, war es allerdings noch ein wenig Arbeit. Denn erst mal musste ich Triton so platzieren das nicht Dauernd das Netzkabel dafür gesorgt

Die OUs und Benutzer

hatte das er ausging. Diese Wackelige Angelegenheit hatte schon für Ausfälle bei ritti gesorgt, denn er setzt dieses Server-Notebook nämlich bis vor kurzem selber als seinen Linux Server ein. Triton ist im übrigen der Netbios Name meines Windows Servers der hier in meinem Netzwerk als DC dient. Nachdem Triton einigermaßen Platz gefunden hat mussten Monitorkabel und Tastatur eingepasst werden um auch in das BIOS zu kommen damit die Zeit und Datum eingestellt werden können. Zuvor wurde das Server Betriebssystem installiert und das System selbst auf einer FAT Partition die 2GB groß ist abgelegt und der Rest auf einer 3 GB NTFS Partition. Die mit 2 GB bemessene FAT Partition war allerdings etwas zu klein bemessen denn nach dem „Hochpatchen“, also dem einspielen aller aktuellen Sicherheitsupdates, wurde der Platz schnell knapp sodass wir zwei Anläufe brauchten, weil wir erst die Temporären Updatedateien löschen mussten. Am Ende blieben auf der gesamten FAT Partition grade mal 70 MB übrig die klar zu wenig waren um das Active Directory bzw. den Server zu Promovieren. Promovieren nennt sich das Hochstufen eines Windows Servers zu einem Domänencontroller. Dadurch wird das Active Directory erstellt, sozusagen das Herzstück eines jeden DCs wo alle Benutzer, Clients und Informationen über die Domäne gespeichert werden. Dieses Verzeichnis muss nach vorgaben von Microsoft mit NTFS Formatiert sein um einen Ordnungsgemäßen Betrieb zu gewährleisten. Allerdings wäre das so oder so, so gekommen weil wir auf C: eh nur noch 70 MB Platz hatten und es außerdem eine FAT Partition ist.

Mit dem klick auf ‚Start‘ -> ‚Ausführen‘ „dcpromo“ rufen wir einen Assistenten auf der uns durch die Promovierung unseres Windows Servers führt. Nachdem wie alles ausgefüllt und ausgewählt haben was unseren Wünschen entsprach, dauerte es ca. 10 Minuten bis Windows unseren Server zu einem echten DC gemacht hat, denn man muss hinzufügen das unser Heim Windows Server nur einen 300 MHz Prozessor hat und 192 MB Arbeitsspeicher. Nachdem er Zu ende gerödelt hatte war ein Neustart fällig, was natürlich reine Vertrauenssache ist in unserem falle denn unser Server hat wie schon erwähnt einen kaputten Bildschirm und ist nur über Terminal Sitzungen erreichbar. Nachdem wir unseren Server wieder Pingen konnten, und alles wieder gestartet ist, konnten wir in Startmenü unter „Verwaltung“ neue Einträge sehn. Einträge zur Verwaltung von Computern und Benutzer des Active Directorys sowie diverse Konsolen für die Verwaltung von Sicherheitsrichtlinien.

Bearbeiten einer Orginistationseinheit

Wo wir gerade von Sicherheitsrichtlinien und Computerrichtlinien reden… Richtlinien die von einen DC ausgeteilt werden verhalten sich wie ein Ticket System. Man bekommt ein Ticket und man kommt überall rein. Allerdings haben Tickets auch ihre Beschränkungen die auch gewollt sind, denn diese Beschränkung, teil der Sicherheit ist die auch der Hauptgrund für Domänen sind. Richtlinien sorgen dafür das man auch bestimmten Nutzern die ein Konto in der Domäne verfügen, bestimmte Rechte entziehen kann, z.B das deaktivieren der Systemsteuerung oder das „Branden“ des Browsers, also das der Firmenname im Useragent sowie in der Titelleiste steht. Solche Tickets laufen allerdings nicht immer sodass in den meisten Fällen ein Ticket eine Laufzeit von 20 – 30 Tagen hat und nach dieser Zeitspanne sich wieder mit dem Domänencontroller in Verbindung setzten muss da man sich sonst nicht mehr einloggen kann.

Hauptkonsole von Triton

Triton hat jedenfalls seinen Regulären Dienst hier bei mir angetreten, allerdings warten neue Herausforderungen, z.B das die Interne Festplatte bald den Geist aufgeben wird da diese recht laut wird, und das ein deutliches Anzeichen dafür ist das der Sensenmann sehr bald meine platte in das Reich der toten führen wird. Was kann man also machen? Klar eine neue Festplatte, allerdings mit einer Vertrauensstellung und einem DC der auf eine Domäne hört und sich komplett eingegliedert hat eine Neuinstallation zu wagen ohne im Schema rum zu doktern ist schier Wahnsinn. Denn das würde einen bösen knall im Netzwerk geben! Windows Server sind als DC für die Ewigkeit gemacht, deswegen werden in großen Firmen auch RAID5-Verbände sowie Cluster verwendet um eine höchstmögliche Verfügbarkeit zu garantieren. Ein Backup machen kann man, allerdings erzähle ich das erst ein andermal.

Der Login am Remoteserver

Viele fragen sich vielleicht für was das Programm “Remotedesktop” in vielen Windows Installationen da ist. Wobei das Gerücht umgeht das man mit diesem Programm JEDEN PC Fernsteuern kann der die Funktion “Remote Verbindungen zulassen” aktiviert hat. Das stimmt so nicht! Ein Remotedesktop ist nichts anderes als ein entfernter Desktop… Um aber mit so einem zu arbeiten ist ein Server Betriebssystem erforderlich auf dem Zielrechner. Ich habe hier bei einem bekannten einen Account auf einem Windows 2003 Server und habe einen kompletten Desktop für mich. Der root Bildschirm des Servers ist meistens aus und die Steuerung geschieht nur über

Der Remotedesktop eines Windows 2003 Servers

Remotedesktop. Das kennt man eventuell von manchen Firmen die auf den Arbeitsplätzen nur eine Tastatur und einen Bildschirm haben. Diese “PCs” nennt man Workstations und beinhalten im Fuß des Monitors eine Netzwerkkarte, einen kleinen ROM Speicher wo ein Windows CE, ein Embedded System, installiert ist und das Programm Remotedesktopverbindung. Das Windows CE braucht man damit das Programm überhaupt lauffähig ist… Wir melden uns auf dem Server an und geben unsere Logindaten ein… Wir sehen einen kompletten Windows Desktop aufdem wir arbeiten können. Dieser Server hier steht allerdings ganz woanders, sodass wir über unsere Internetleitung ihn ansteuern. Das geht recht langsam und hakt ab und zu. Normal ist es nur dazu da einen Server zu steuern der im LAN also im Netzwerk ist da man dort 100MBit und das da flüssig wie auf einem normalen Desktop von statten geht. Windows 2000 und ältere Betriebssysteme haben das Remotedesktop Programm nicht dabei, man kann es aber bei Microsoft runterladen. Bei Remotedesktop werden auch Töne und Videos, wenn man über das LAN verbindet, wiedergegeben werden.