Windows 2003 Server

Microsoft hat sich mit dem Windows Server 2003 besonnen: Das Server-Betriebssystem ist übersichtlicher und einfacher zu bedienen. Dieser Beitrag zeigt, wie Sie den Server schnell installieren und in Betrieb nehmen.

(erschienen 2003 in PC-Professionell)

Bei der Installation von Windows Server 2003 kann schon einmal nicht viel schief gehen. Dennoch gibt es einige, kleine Fallstricke. So sollte der Installateur darauf achten, gleich die richtige Art der Lizenzen einzugeben, denn per Default sind fünf Clientlizenzen eingestellt. Und im Normalfall kommt die Standard-Edition mit zehn Client-Lizenzen.

Bei der Installation sucht sich der Server eine eigene IP-Adresse, sofern im Netzwerk ein DHCP-Server vorhanden ist und die Standardeinstellungen gewählt werden. In den meisten Fällen ist jedoch für den Server eine feste IP sinnvoller. Deshalb sollte gleich bei der Installation die Option Benutzerdefinierte Einstellungen zum Zuge kommen.

Hier zeigt sich das bekannte Einstellungsfenster für die Netzwerkkomponenten , in dem Sie unter Internetprotokoll (TCP/IP) eine fixe IP-Adresse nebst Gateway- und DNS-IP einstellen.

Nach der Installation steht das System erst einmal blank da. Alle Server-Dienste hat Microsoft von vornherein abgeschaltet. Damit will Redmond möglichen Sicherheitslücken vorbeugen. Denn ein nicht eingeschalteter Dienst stellt auch keine Sicherheitslücke dar. So ist es die Aufgabe des Systembetreuers, nach und nach die gewünschten Dienste einzuschalten und zu konfigurieren.

Windows 2003 als Fileserver

Haupteinsatzgebiet des Windows-Servers ist in der Regel der Fileserver. Bevor die Festplatte Dateien aus dem Netz entgegennimmt, gilt es, den Fileserver einzuschalten. Dies geht in Serververwaltung über Funktion hinzufügen oder entfernen mit einem Klick auf Weiter und Dateiserver. Nach einem Klick auf Weiter fragt der Assistent, ob er Standardkontingente festlegen soll. Hier empfiehlt es sich, eine Sicherheitsgrenze von 100 oder 200 MByte einzurichten, gerade wenn die Benutzer viel mit Multimedia-Dateien arbeiten oder dazu neigen, zu viele Daten auf den Server zu schaufeln.

Wer seine Nutzer nur sanft auf überschrittene Kontingente hinweisen möchte, lässt die Option Speicherplatz bei Überschreitung der Speicherplatzbeschränkung verweigern abgeschaltet und legt eine Warnstufe fest, die rund 20 Prozent unterhalb der Höchstgrenze liegt. Wird diese Option eingeschaltet, macht der Server beim Überschreiten des Kontingents dicht. Dies ist beispielsweise dann sinnvoll, wenn der bei Windows 2003 mitgelieferte POP-Server zum Einsatz kommt. Hier ist ein striktes Kontingent Pflicht, um Mailbombings abzuwehren. Globale Kontingente lassen sich übrigens später immer noch in den Eigenschaften eines Datenträgers einstellen. Dort klickt man auf den Registerreiter Kontingent.

Weiter geht’s mit der Installation: Der Indexdienst für den Server sollte abgeschaltet bleiben. Nur wenn die Benutzer viel nach Texten in Dokumenten suchen, lohnt es sich möglicherweise, diesen Ressourcen und Rechenzeit fressenden Dienst einzuschalten.

Mit diesen Einstellungen ist die Fileserver-Konfiguration schon erledigt. Im Anschluss daran hilft noch der Ordnerfreigabe-Assistent beim Einrichten von frei gegebenen Ordnern. Auch dieser Assistent fragt detailliert nach Zugriffsrechten und gibt Gelegenheit, neue Ordner anzulegen.

Ist auch dieser Assistent durch, zeigt sich nach kurzer Zeit der Dateiserver in der Serververwaltung und der Server ist fertig für den Netzwerkeinsatz.

Active Directory aktivieren

Zweite große Aufgabe eines Servers ist die Benutzerverwaltung im Netzwerk. Dafür hatte Microsoft mit der Umstellung von NT auf Windows 2000 das Active Directory eingeführt und das alte NT-Konzept des Domänen-Controllers abgeschafft. Viele Administratoren sind vor der Einrichtung des Active Directory zurück geschreckt und lieber bei NT geblieben. Solche Hemmungen sind in 2003 unbegründet.

Wie gehabt führen alle Wege über die Serververwaltung und das Hinzufügen einer neuen Funktion. Diesmal gilt der Klick dem Domänencontroller (Active Directory). Im Normalfall richtet man einen Controller für eine neue Domäne in einer neuen Gesamtstruktur ein. Den Domänennamen kann sich der Verwalter aussuchen, sofern der Server im Intranet bleibt. Kombinationen mit der Endung .local sind für erste Tests gut geeignet, beispielsweise meinefirma.local. Abhängig von gewählten Domain-Namen schlägt der Assistent einen NETBIOS-Namen vor, den Sie ebenso wie die weiteren Voreinstellungen getrost übernehmen dürfen. Mit der neuen Domäne will Windows 2003 noch einen DNS-Server installieren. Diesem Vorhaben stimmen Sie zu und installieren den Server wie vom Assistenten vorgegeben. Weitere Konfigurationsarbeiten am DNS-Server sind aber vorerst nicht notwendig.

Ein wichtiges Kriterium bei der Installation ist: Sind noch Rechner mit Betriebssystemen wie Windows 9x oder NT im Netzwerk? Falls ja, ist in jedem Fall die entsprechende Prä-Windows-Option zu wählen. In allen anderen Fällen bleibt es bei der Voreinstellung. Nach der Eingabe eines Wiederherstellungskennwortes werden Active Directory und DNS-Controller endlich installiert. Danach muss der Server neu gestartet werden.

Benutzer und Gruppen verwalten

In der Benutzer- und Gruppenverwaltung muss der Netz-Verwalter ohne Assistenten auskommen. Dennoch ist die Aufgabe lösbar. Am schnellsten geht es mit einem Klick auf Benutzer und Computer im Active Directory verwalten in der Serververwaltung. Anschließend sucht sich der Verwalter das Objekt mit dem Namen der eigenen Domäne, zum Beispiel meinefirma.local. Ist dieser Name markiert, blendet Windows Symbole zum Erzeugen neuer Benutzer oder Gruppen ein. Ein Klick darauf oder auf das Menü Aktion/Neu/User öffnet das Eingabefenster für den neuen Benutzer.

Im Fenster landen Vorname, Name und Anmeldename und nach einem Klick auf Weiter kommt das eigentliche Problem: Das Kennwort muss den neuen Kennwortrichtlinien von Microsoft entsprechen. Die besagen: Ein Kennwort darf nicht weniger als sechs Zeichen haben und muss aus drei unterschiedlichen Arten von Zeichen bestehen, also Groß- und Kleinbuchstaben sowie Ziffern oder Sonderzeichen. Außerdem darf das Kennwort keine Zeichenketten enthalten, die Heraus kommen Konstrukte wie 1#uGkl.

Diese Art der Kennwörter ist besonders sicher aber unkomfortabel. Wer aber in einem kleinen Netzwerk zu Gunsten des Komforts auf diese Sicherheit verzichten will, kann diese komplexen Kennwortvorgaben abschalten. Dazu öffnet der Administrator in der Serververwaltung mit einem Klick auf Benutzer und Computer in Active Directory verwalten die Benutzerverwaltung und öffnet die Eigenschaften aus dem Kontextmenü des Domänen-Objekts. In der Gruppenrichtlinie öffnet er per Doppelklick die Default Domain Policy. In Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien befindet sich der Punkt Kennwort muss Komplexitätsvoraussetzungen entsprechen, den es zu deaktivieren gilt. An derselben Stelle besteht auch die Möglichkeit, die minimale Kennwortlänge einzustellen.

Doch Vorsicht: Mit einer solchen Änderung geben Sie Hackern bessere Chancen. Denn ohne die Komplexitäts-Richtlinien werden die Benutzer verleitet, Eigennamen oder leicht zu erratende Begriffe als Kennwörter zu verwenden. In großen Netzen und sicherheitsrelevanten Bereichen sollten die Kennwörter komplex bleiben – auch wenn die User sich darüber beschweren.

Windows Server 2003 im Intranet

Im Gegensatz zu den Vorversionen ist bei Windows 2003 der Internet Information Server von vornherein abgeschaltet. Zu viele Würmer haben sich über versehentlich eingeschaltete und nicht gesicherte II-Server verbreitet.

 

Um den Server einzuschalten gehen Sie über die Serververwaltung und den Menüpunkt Funktion hinzufügen oder entfernen. Gewählt wird der Anwendungsserver (IIS, ASP.NET). Sofern im Intranet nur eine einfache Website entstehen soll, bleiben die Optionen FrontPage-Servererweiterungen und ASP.NET aktivieren ausgeschaltet. Merke: Je weniger der Server kann, desto geringer ist die Angriffsfläche. Nach der Installation ist der Server schon eingeschaltet. Dies lässt sich mit jedem Browser und der Eingabe der Serveradresse überprüfen. Sofern noch keine Seiten bereit liegen erscheint nur die Meldung In Bearbeitung.

Eine kleine Sicherung sollte jeder Administrator in seinen Intranet-Server einbauen. Über das Ein- und Ausschließen von IP-Adressen lassen sich Zugriffe von Fremden abblocken. Die hierfür notwendigen Einstellungen befinden sich in der Konfiguration für Anwendungsserver, die mit einem Klick auf Diesen Anwendungsserver verwalten in der Serververwaltung zu erreichen ist. Unter Internetinformationsdienste-Manager wählen Sie den Namen des lokalen Computers und Websites. Per Rechtsklick auf Standardwebsite und mit Eigenschaften/Verzeichnissicherheit geht es weiter.

Mit Bearbeiten unter Einschränkungen für IP-Adressen und Domänennamen öffnet sich ein Dialog, in dem zunächst die Option Zugriff verweigert eingeschaltet wird. Danach lassen sich mit Hinzufügen Ausnahmen festlegen. Der Server akzeptiert die Eingabe einzelner IP-Adressen oder ganzer Gruppen. Als Grundsicherung reicht es, bei einem 192.168er-Netzwerk einer Gruppe von Computern den Zugriff zu erlauben und als Netzwerkkennung die 192.168.0.0 und als Subnetzmaske die 255.255.255.0 hineinzuschreiben.

Windows 2003 als Mail-Server

Was Linux-Server schon lange haben, hat Microsoft nun endlich auch seinem Server spendiert: Die Benutzer können E-Mail aus POP-Postfächern abholen. Ein SMTP-Server ist ebenfalls an Bord; den gab es auch schon in den Vorversionen von Windows Server.

Um den Server einzuschalten, wählen Sie wie gehabt Funktion hinzufügen oder entfernen und danach Mailserver (POP3, SMTP). Als Authentifizierungsmethode sollte es bei Active Directory-integriert bleiben. Darunter muss nochmals der Domänenname eingegeben werden. Die nachfolgende Installation dauert eine Weile. Danach meldet sich der Computer als Mailserver.

Als nächstes muss der Netzverwalter Postfächer für die einzelnen Benutzer anlegen. Dies erledigt er über Diesen Mailserver verwalten. Im Verwaltungsfenster ist die zuvor eingerichtete Mail-Domäne unter POP3-Dienst und dem Rechnernamen zu wählen. Es folgt ein Klick auf Postfach hinzufügen

Anschließend lassen sich neue Postfächer hinzufügen. Auf Wunsch erzeugt der Server auch automatisch zu den Postfächern gehörende Accounts. Mit der Eingabe von Benutzernamen und Kennwort ist die Arbeit schon erledigt. Wichtig: Damit Benutzer mit einem Mail-Client wie Outlook Express auf die Mail zugreifen können, muss dort die gesicherte Kennwortauthentifizierung eingeschaltet sein.

Fazit: Windows Server 2003 hat in Sachen Bedienbarkeit und Komfort seinem Vorgänger eine Menge voraus. Gegenüber einem Standard-Linux verbucht Windows Server 2003 Vorteile in der Bedienbarkeit. Teilzeit-Administratoren können mit dem 2003er ein funktionierendes, sicheres Netzwerk aufbauen.

Test Windows 2003 Server

Beim neuen Server-Betriebssystem von Microsoft helfen zahlreiche Assistenten, die tägliche Wartungsarbeit zu erledigen: Der Windows 2003 Server ist verständlicher und durchgängiger gestaltet. Nach der einfachen Installation wartet ein Startbildschirm auf den Administrator und bietet alle zur Server-Verwaltung notwendigen Optionen. Hinter denen verbergen sich hilfreiche Assistenten. Die machen den Administrator zum Beispiel auch darauf aufmerksam, dass man für die Installation des Active Directory und des DNS-Servers doch besser eine statische IP-Adresse verwenden sollte. Und der Assistent bietet gleich noch einen Button an, der zur Einrichtung der IP-Adresse führt. So vergisst man nichts und es bleiben lästige Suchaktionen erspart.

Dennoch gehen die Assistenten nicht immer weit genug. Beim Schreiben von Adress-Zuweisungen im DNS-Server muss man sich wieder mit der entsprechenden Management-Konsole auseinander setzen. Doch immerhin ist die über die Serververwaltung schnell zu erreichen.

Mehr Sicherheit

Microsoft fährt mit Windows 2003 Server eine neue Sicherheits-Strategie. Statt wie bisher gleich möglichst viele Serverdienste einzuschalten, bleibt der Server zunächst stumm. Der Netzverwalter muss jeden Dienst explizit einschalten – und sei es nur der Fileserver. Auf diese Weise will Microsoft Würmern und Hackern möglichst wenig Angriffsfläche bieten.

Kommt ein Angreifer doch einmal durch, soll zumindest der Schaden minimiert werden Aus diesem Grund läuft zum Beispiel der Internet Information Server mit einem speziellen Account, der praktisch ohne Rechte ist. Ähnlich rechtlos ist dann auch ein Wurm, der sich möglicherweise im IIS einnistet.

Weitere Neuerungen

In großen Netzwerken ist das Clustering interessant. Für den User transparent verteilen die Server untereinander die Last und sorgen so für bessere Antwortzeiten von Serveranwendungen. Für mehr Sicherheit auf dem Server selbst sorgt die Recovery-Funktion, die nach einem Crash hilft, den Urzustand des Systems schnell wiederherzustellen. Eine eher lästige Neuerung: Wer den Server herunterfahren möchte, muss immer einen Grund angeben – und sei es nur ein „Ich möchte Feierabend machen“.

Fazit

Mit dem Plus an Sicherheit und der – für Microsoft Server – phänomenal einfachen Bedienung kann Windows 2003 Server punkten. Selbst hartgesottene NT-4-Freunde sollten sich das Paket einmal ansehen. Viele Stolpersteine aus Windows 2000 Server sind beseitigt. Microsoft hat seine Hausaufgaben gemacht.

 

Testprotokoll

Plus: Schnelle Installation und Konfiguration, einfachere Bedienung mit Assistenten

Minus: Assistenten helfen nur beim Einstieg, beim Herunterfahren des Servers muss immer ein Grund angegeben werden.

Tipps und Tricks zum Windows 2003 Server

Auch wenn es Puristen erschrecken mag: Nicht jeder Server läuft Tag und Nacht. Möchte aber der Admin zum Feierabend sein Windows 2003 herunterfahren, muss er sich Fragen gefallen lassen. „Warum fahren Sie den Server herunter?“

Zur Auswahl hat man Antworten wie „Zu Wartungszwecken“ oder kann eine selbst formulierte Antwort eingeben. Das mag zwar helfen, ein großes Netz zu kontrollieren, doch im kleinen Netz ist diese Fragerei nervig. Zum Glück lässt sich das abschalten. Dazu wird über Start/Ausführen und die Eingabe von gpedit.msc der Gruppenrichtlinienobjekt-Editor geöffnet. Unter Computerkonfiguration/Administrative Vorlagen/System befindet sich der Parameter Ereignisprotokollierung für Herunterfahren anzeigen. Mit einem Doppelklick darauf und der Auswahl von Deaktiviert hat die Fragerei ein Ende.

Und noch ein Schönheitstipp. Microsoft hat seinem Server nur das dröge Aussehen von Windows 2000 spendiert. Denn die aufwändigere XP-Optik kostet unnötig Ressourcen. Dennoch ist das XP-Design Windows Server 2003 dabei – nur versteckt. Mit Start/Ausführen und der Eingabe von services.msc holen Sie die Liste der Dienste auf den Bildschirm. Suchen Sie dort nach Designs. Per Doppelklick öffnet sich das Einstellungsfenster. Hier muss der Starttyp auf Automatisch gestellt und der Dienst mit einem Klick auf Starten gestartet werden. Danach steht der Registerreiter Design im Eigenschaften-Menü des Desktop zur Verfügung.

Ähnliche Beiträge

Teilt diesen Beitrag - Danke 🙂
  •  
  •  
  •  
  •  
  •  
  •  

Schreibe einen Kommentar