PC-Werkstatt¶
(Wer sofort mit den PC-Werkstatt (BEL NET) Seminarunterlagen loslegen will klickt bitte hier Einführung)
Die PC-Werkstatt will in einem kompakten Seminar (ca. 10 Tage / 2 Wochen) die IT von A bis Z in praktischen Übungen und Umgebungen darstellen.
Als IT-Trainer behandele ich die diversen Themenbereiche der PC-Werkstatt in den unterschiedlichsten Seminarformaten.
Beispielhafte alternative Darstellungen der Themenschwerpunkte in solchen Seminarformen stelle ich als Verlinkungen zu meinen anderen Online-Portalen bereit.
Diese Unterlage befindet sich immer wieder in Überarbeitung und Aktualisierung. Für eine jährlich einmalig stattfindende Veranstaltung kann ich die allerletzten Aktualisierungen nicht immer gewährleisten - daher der Verweis auf alternative Online-Infoseiten bzw. Beiträge auf meinen Online-Portalen.
Themenabschnitte
Übersicht über die behandelten Themenabschnitte für die PC-Werkstatt:
INTRO
Infos zur PC-Werkstatt bei der BEL NET GmbH
Windows
Installation, Administration und einfache Vernetzung mit Microsoft Windows Betriebssystemen
Technik
IT-Hardware, PC-Technik, Geräte
Netzwerktechnik
Der Kleber, der alles zusammenhält bis zum Verstehen des Home-Routers
Windows Server
Verwaltung einer Windows Domäne mit Active Directory (AD)
Linux
Die OS-Alternative für Profis, Server und die Home-IT (Smart-Geräte)
Ich wünsche viel Spaß und Erfolg beim gemeinsamen Erarbeiten der Themen für die IT von A bis Z.
Einführung¶
Seminarreihe PC-Werkstatt bei der BEL NET - wir machen uns auf den Weg…
Die PC-Werkstatt richtet sich an Auszubildende der Berufe
Fachinformatiker/-in für Systemintegration
Fachinformatiker/-in für Anwendungsentwicklung
Und natürlich können aktuelle Bezeichnungen der beruflichen Ausbildungen neu hinzugekommen oder namentlich geändert sein.
Gleich zu Beginn des ersten Lehrjahres erhalten die Auszubildenden einen fundierten Einstieg in die IT (von A bis Z).
Die PC-Werkstatt ist aber auch für Auszubildende im zweiten oder dritten Lehrjahr eine sinnvolle Ergänzung zu Berufsschule und betrieblicher Ausbildung. Und natürlich wendet sich das Thema auch an sogenannte Quereinsteiger in die Welt der IT.
Schulungsinhalte:
Hardware
Prozessoren, Bussysteme, Geräteschnittstellen
Motherboard: Chipsätze, BIOS, UEFI, Konfigurationen
Massenspeicher: Festplatten (HDD), SSD, Opt. Medien
Ein- und Ausgabegeräte
Windows
Installation und Konfiguration
NTFS-Berechtigungen (Sicherheit)
Windows im Netzwerk (Arbeitsgruppe - P2P)
Einfache IP-Adressierung im P2P
Einrichten einer Arbeitsgruppe
Freigaben (Berechtigungen)
Linux
Distributionen und Derivate
Installation und Konfiguration
Lokale Benutzer und Gruppen
Sicherheit
Software verwalten und aktualisieren
Grundlagen Virtualisierung
Virtualisierungstechniken (Hypervisor)
komplette Systeme virtualisieren
Snapshots (Prüfpunkte)
Netzwerk virtualisieren
Netzwerk
Grundlagen Netzwerktechnik
Netzwerk-Adressen und Protokolle
Arbeitsgruppen und Domänen
Windows Server 2016 Domäne
Installation und Konfiguration
Dienste: DHCP, DNS, WINS, NAT-Routing, RDS
Domänen mit Microsoft Active Directory
Active Directory verwalten
Clients in Domäne aufnehmen
Einfache Gruppenrichtlinien
Vertiefung Netzwerk
Netzwerkdienste und Hardware
Technik: Hub, Switch, Router, Gateway, Proxy
Konfigurationen und Einrichtungen
VOIP und VPN
Das BEL NET Team und ich wünschen viel Spaß und Erfolg bei der PC-Werkstatt.
Allgemeine Infos¶
Während des Seminars haben die Teilnehmer Gelegenheit, ihre neu erworbenen Kenntnisse in die Praxis umzusetzen. Die Teilnehmer bauen sich eigene Firmen-Netzwerke und etablieren alle nötigen Services für deren Umsetzungen.
Durch die Arbeit in Projektgruppen lernen die Auszubildenden nicht nur Wissen zu erlangen, sondern teamorientiert weiterzugeben.
Die PC-Werkstatt eignet sich ab 5 Teilnehmern auch als firmenspezifisches Exklusivseminar.
Voraussetzungen
Grundlegende PC-Kenntnisse
Zielgruppen
Auszubildende der Fachrichtung Fachinformatiker, IT-Systemelektroniker bzw. IT-Systemkaufleute
IT-Quereinsteiger z. B. aus kaufmännischen Berufen
Kursdauer
10 Tage (kann abweichen)
Persönlich möchte ich noch hinzufügen und hoffen, dass bei den Voraussetzungen auch Spaß und Lust auf IT bei den Trainees vorhanden ist. Ich freue mich auf die gemeinsame Zeit mit den praktischen Umsetzungen der IT von A bis Z.
Roter Faden¶
Diesen Begriff hört man in meinen Seminaren häufiger ;-).
Gemeint ist hier: Das grundsätzliche Verständnis der fraglichen IT-Techniken. Am Besten gleich so, dass man auch nach einer Zeit ohne Beschäftigung mit diesen Techniken sehr schnell wieder zurecht kommt.
Unter einem roten Faden versteht man ein Grundmotiv, einen leitenden Gedanken, einen Weg oder auch eine Richtlinie. „Etwas zieht sich wie ein roter Faden durch etwas“ bedeutet beispielsweise, dass man darin eine durchgehende Struktur oder ein Ziel erkennen kann.
Eine sehr grundsätzliche Erfahrung in der IT ist, dass sich natürlich die IT modernisiert und ändert.
ABER: keine Entwicklergemeinschaft setzt sich dauernd hin und erfindet das Rad neu. Wir werden uns also erarbeiten, wie die Techniken ticken (grundsätzlich funktionieren) und dann profitieren wir einfach mal ein paar Jahrzehnte davon ;-).
An dieser Stelle möchte ich gerne noch einmal die Groblernziele unserer Veranstaltunsreihe zusammenfassen:
PC-Werkstatt - die IT von A bis Z…
Software (Betriebssysteme Windows, Linux)
Hardware (für PCs, Server, Netzwerke)
Netzwerktechnik (für LAN/WLAN, VLAN, WAN, …)
Zentrale Verwaltung und Services (mit Windows Server, Linux Services)
Wir haben also eine Menge vor …
Microsoft Windows¶
Die folgenden Zusammenstellungen zeigen Techniken rund um aktuelle Windows Betriebssysteme auf.
Allgemein sprechen wir über die Versionen der sogenannten Windows NT (New Technology) Betriebssystemtechnik aus dem Haus Microsoft.
Windows¶
Oder genauer: Die Entwicklungen des Microsoft Betriebssystem seit Windows NT (New Technology).
Hier: aktuelle Windows 10 bzw. 11 - aber es geht wie immer um den Roten Faden!
NT-Versionen (32-/64-Bit)
Vorgänger / eine kurzer historischer Abriss:
Hinweis
Bitte nicht mit DOS-Technikfamilie DOS / Windows 3.x / Windows 95 / 98 / ME vermengen/verwechseln!
Übersicht (Tabelle) mit Windows NT Versionen:
Windows NT 4.0 (4.0), Windows 2000 (5.0), Windows XP (5.1) (engl.: eXPerience)
bis hier klassische New Technology Technik mit dateibasierten CD-Installationen
danach: Neuentwicklungen der Oberflächen Windows und Modernisierungen unter der Haube von Windows NT
Windows Vista (6.0) (engl.: Ausblick ;-) - Windows 7 (6.1)
ab Vista dann Image-basierte Techniken siehe Tools wie das WAIK ab Vista oder Nachfolger ab Win8 dann ADK;
DISM, Windows System Image Manager- Win SIM
Microsoft schafft ein neues Benutzerprofil in
C:\Users
und passt die Profile für zentrale Nutzungen über Server anmit dem Aero-Desktop wurde eine moderne Fensterdarstellung geschaffen Versionen:
Ultimate, Enterprise, Professional, Home Premium, Home Basic (ohne Aero), Starter (Netbooks, 1 GB, kein Multi-Monitor)
Firmennutzung mit Extra-Technologien: (Professionell, Enterprise, Ultimate):
Domänen (Windows Server verwaltetes Active Directory), Bitlocker (Verschlüsselung - auch für komplette Festplatten), komplette Benutzer-und Gruppenverwaltung, Remote Desktop Service
Anm.: direkte Upgrades von Vista waren nicht empfehlenswert! Besser: Neuinstallationen!
Hinweis
Die Windows Version (Build) kann man (z.B.) finden mittels:
Eigenschaften - Computer oder über die Befehlszeile
(Win + R cmd => Version 6.1.7601 entspricht Win7 inkl. SP1)
oder über die PowerShell mit $psversiontable
…
(Windows 8.0) - (6.2) Windows 8.1 (6.3)
Microsoft „erfindet die Kacheln“ - eine Oberfläche für die „Apps“ Anm.: Kurzform von Application / Anwendung aus dem Windows Store
Die moderne Kacheloberfläche „Modern UI“ (ursprünglich als „Metro“ bezeichnet) soll das klassische Startmenü beerben und ist für die Nutzung mit Touch-Eingaben und Displays optimiert.
Versionen Windows 8 (früher Home), Windows 8 Pro (früher Professional), Windows 8 Enterprise (wieder für Firmen als Volume Licenses)
Updates von 8.0 auf 8.1 wurden kostenlos über den Windows Store verteilt; alle hier genannten Versionen dann einfach mit 8.1 spezielles Windows 8 System: Windows 8 RT für Tablets ohne
Installationsmöglichkeiten für x86/x64-Software Produkt-Keys bei Kaufsystemen nur noch im UEFI gespeichert (keine Aufkleber mehr) - Auslesen mit spez. Software möglich
Windows 10
eingeführt mit: 6.4 bzw. 10.0.14393 - Übersicht Wikipedia Artikel Windows 10
Versionen 1511, 1607, 1703, 1709, 1803, 1809, 1903 bzw. 19H1, dann 19H2, 20H1, 20H2, 21H1, 21H2, 22H2, …
Als (kostenlose) Upgrade-Variante den Windows 7 / 8.1 Kunden angeboten bis Ende Juli 2016! (auch in 2021 noch möglich!)
Mit dieser Version sollte dann erst einmal Schluss mit neuen Varianten (Windows 11, … ;-) sein.
Es sollte Windows als SaaS (Software as a Service) geben - mit immer laufenden Updates
Microsoft hat die Kacheln - Modern UI - Metro Oberfläche durch ein modernes kombiniertes Startmenü ersetzt, das stets weiter nach Nuzter-Feedback angepasst wird
Programmversionen: (früher hätte man hier von „Service Packs“ gesprochen)
z.B.: NT 10.0.14393, Version 1607, Codename: Redstone 1, „Anniversary Update“
Microsoft nennt das Funktionsupdate
Stand im Seminar 2022:
Windows 10 Enterprise und Pro, NT 10.0.19043, Version 21H1, „April 2021 Update“ vom 18. Mai 2021 (End of Support 13. Dezember 2022)
Man erkennt hier knappe 1,5 Jahre Support und Lebensdauer für ein Funktionsupdate von Windows 10. Das ist für private Anwender natürlich ein ordentlicher Zeitrahmen für Aktualisierungen der Windows 10 Rechner.
Im Enterprise/Firmen-Umfeld wünscht man sich langfristigere Supportzyklen. Hierzu bietet Microsoft den Long-Term Servicing Channel (LTSC) ( MS LTSC ) an. So kommen Firmen auf 5 Jahre Mainstream Support und weitere 5 Jahre Extended Support (Security Updates only) .
Hinweis
Windows 10 wird von Microsoft bis Oktober 2025 supported! Das entspricht dann seit Einführung von Windows 10 einem Supportzeitraum von 10 Jahren!
Die letzte Windows 10 LTSC Version 1809 wird sogar bis Januar 2029 unterstützt!
Windows 11
Und dann ist es eben doch passiert:
Microsoft hat entschieden, Windows 10 doch noch einen Nachfolger zu verpassen: Windows 11.
Windows 11 hatte am 04. Oktober 2021 Markteinführung. Dabei wurde die Versionsvielfalt der Windows 11 Editionen erhöht und die Laufzeiten und Supportzyklen wurden angepasst.
Versionen (Nur als 64-Bit-Variante verfügbar)
Version 21H2 Build 22000 (EOS 10. Oktober 2023 / Edu+Enterprise am 08. Okt. 2024)
Version 22H2 Build 22621 - 2022 Update - 20. September 2022 (EOS 08.Okt. 2024 bzw. 14. Okt. 2025)
Übersichtsseite Microsoft zu Windows 11 Systemanforderungen
Die technischen Anforderungen an
CPU (Prozessorgenerationen Intel, AMD)
TPM 2.0
Secure Boot
führen vor Allem im privaten Umfeld zu vielen Problemen und sollen in dieser Ausarbeitung (und zu diesem frühen Zeitpunkt) nicht weiter diskutiert werden.
Windows 11 bei Microsoft beziehen/herunterladen:
Installationsassistent für Windows 11
Installationsmedien für Windows 11 erstellen
Herunterladen eines Windows 11 ISO (<-)
URL: https://www.microsoft.com/de-de/software-download/windows11
Anmerkung zu den Hardwareanforderungen und Einschränkungen:
Diese lassen sich über Tricksereien bei Installmedien oder Eingriffen in den Installmechanismus überwinden. Das kann man allerdings nicht empfehlen, da solche Tweaks immer durch Microsoft zurückgenommen/deaktiviert werden könn(t)en.
Windows Technik¶
Techniken Pro / Enterprise (also nicht in den Home-Verianten!)
Remotedesktop (Rechner lassen sich fern-verwalten)
komplette Benutzer-/Gruppen-Verwaltung - siehe Verwaltungskonsole
lusrmgr.msc
bzw. als Teil der Computerverwaltung realisiert: Snap-InDomänenzugehörigkeit
Windows Server Domänen verwaltet mit MS Serverprodukten
Bitlocker (Verschlüsselungstechnik - auch für komplette Festplatten/Partitionen)
Virtualisierungstechnik Hyper-V
VMs fast wie in den Serverprodukten von Microsoft
Im Mai 2017 eingeführt: Windows 10 S (für „Schulen“; bzw. S wie Windows Store)
kann/konnte auf Home/Pro aktualisiert werden
in Ende 2019 schon wieder abgekündigt!
Technik wie bei Home/Pro, aber mit starken Einschränkungen für Softwareinstallationen (Beschränkung bei SW auf offiziellen Windows Store) und der Einschränkung von Edge als Standardbrowser!
64-Bit (Hard- und Software)¶
Größter Vorteil: Überwindung der 4-GB-RAM-Barriere
Hinweis
Also: bei 32-Bit-Systemen sind maximal 4 GB physikalischer Arbeitsspeicher (RAM) möglich!
Bei 64-Bit muss man auf Treiber/Kompatibilitäten achten, was heute bei vernünftiger Hardwareauswahl keine Herausforderung mehr darstellen sollte und natürlich bei HW-Anbietern vorab gecheckt werden kann!
Eselbrücken für Rechnungen: (Beachten: Buchstabe i )
210 = 1024 = 1 ki (kilo / kibi)
220 = 1024 * 1024 = 1 Mi (Mega / Mebi)
230 = 1024 * 1024 * 1024 = 1 Gi (Giga / Gibi)
240 = 1024 * 1024 * 1024 * 1024 = 1 Ti (Tera / Tebi)
… Peta / Pebi, Exa / Exbi, Zetta / Zebi, Yotta / Yobi, …
Vergleichstabelle Dezimalpräfixe vs. Binärprefixe gemäß IEC
Anm.: Kleinbuchstabe i also für die 1024er Werte gemäß IEC Binärprefixen!
Beispiel: DVD-R-Medium 4,7 GB (Gigabyte)
Beim Brennen mit einer Software ist dann bei 4,3 GiB (GibiByte - 10243) beim Medium der Füllstand voll erreicht.
Windows Installation¶
Alle Techniken wollen wir uns praxisorientiert erarbeiten.
Installation:
Bereitstellung: Windows 10 Pro / Enterprise (in aktueller Version) als ISOs oder die Nutzung der Hyper-V Vorlage.
Wir nutzen also die Hyper-V-Technik eines Windows Rechners für die Installationen in der PC-Werkstatt, sodass jeder Trainee seine eigenen Umgebung nutzen kann!
Updates:
Für ordentliche Treiberunterstützungen (siehe Grafikkarten) muss ein Windows Update angestoßen werden, das für die Treiberinstallation manchmal hängt.
Man könnte im LAN die Treiber für die Komplettierungen der Systeme auch lokal bereitstellen.
Diskutieren der Ausstattung unserer Systeme mit Hilfe des Gerätemanager (manche Geräte zwar per Plug & Play PnP erkannt, aber noch keine Treiber.
Hinweis: wir installieren lediglich - wir führen keine Aktivierungen der Lizenzen durch!
Lizenzen¶
Bei Komplett-PCs / Notebooks:
meist nur Wiederherstellungs-Techniken mit Boot-CD/DVDs und/oder versteckten Recovery-Partitionen
Also: als Käufer erhält man gar keine funktionstüchtige Install-DVD (!!) oder gar die Lizenz per DVD
Ablage/Info der Microsoft Lizenz-Schlüssel: ( Beispiel-Tool zum Auslesen)
Windows XP Windows Vista Windows 7 |
als Aufkleber an Rechnern und/oder in Rechnungen |
Windows 8.x |
im BIOS/UEFI |
Windows 10 Windows 11 |
online auf Microsoft-Signaturservern (Kombination aus HW-Info und Key zur Wiedererkennung von HW bei Neuinstallationen); Microsoft nennt das „Digitale Signaturen“ |
Die vertrauende Online-Verwaltung der Windows 10 Lizenzen macht vor Allem Neuinstallationen von Systemen sehr einfach.
Installations-DVDs¶
Install-Medien sind erhältlich als
OEM (Original Equipment Manufacturer)
eigentlich mit Hardware ausgelieferte Software - „inklusive“ Lizenz; aber nochmals: Komplettsystemen liegt normaler Weise nur eine Wiederherstellungs-DVD bei - nicht eine echte Installations-DVDs
SBE (System Builder Edition DVD - inklusive Lizenz)
Übung: Preise für Home und Pro Versionen Windows 10 recherchieren (Preise ab 90 €)
MCT-DVD bzw. ISOs (über Media Creations Tools von Microsoft)
für Windows 8 und Windows 10 Betriebssysteme; Beispiellink 1 Winfuture ; Beispiellink 2 Winfuture - ohne Lizenz (!!) - dann kann man mit „Generic Key“ oder eben auch ohne Key die passenden Betriebssysteme installieren und dann später mit eigenem Key aktivieren - Beispieleintrag Forum zu Windows 8.1)
offizielle Microsoft-ISO-Dateien
bei Microsoft und alternativen vertrauenswürdigen Downloadquellen (hier wieder als Beispiel Winfuture)
Evaluation-DVDs aus Microsoft Technet
mit eigenen Lizenz Keys und Laufzeiten - typischer Weise 90 oder 180 Tage
Konto bei Microsoft nötig
Tipp
Auf den MCT-Seiten von Microsoft kann man die ISOs auch einfach direkt downloaden, wenn man sich mit dem genutzten Browser als Nicht-Microsoft-Client (z.B. Safari unter MacOS) ausgibt.
Und selbstverständlich gibt es die Microsoft OS auch auf USB-Sticks - bzw. es lassen sich die Install-DVDs recht einfach mit geeigneten Tools auf einen Install-Stick übertragen!
Ventoy¶
Und am Besten man hat gleich einen Install-Stick mit allen gewünschten Install-Medien parat:
Ventoy Boot Stick (Link Ventoy Boot Stick)
Ventoy modifiziert einen USB-Stick, sodass man von kopierten ISOs booten kann. Der Stick lässt sich parallel auch weiter als normaler Speicherstick nutzen.
De-Bloaten / Verschlanken¶
Für Windows 10/11 finden sich sowohl zum cleveren Installieren oder auch nachträglichen Verschlanken (De-Bloaten) diverse Infoportale und Quellen.
Hierfür mal ein Vorschlag meinerseits:
WinUtil von Chris Titus - https://github.com/ChrisTitusTech/winutil
inkl. diverse Video-Tutorials auf Youtube
Windows Update¶
Installation sollten ständig aktualisiert werden. Das erfordert manchmal sogar mehrere Durchgänge z.B. nach frischen Installationen.
Nutzung der automatischen Aktualisierungen für das Betriebssystem (OS - Operating System) und die Microsoft Anwendungen (später auch MS Office)
Nach Basisinstallationen sind oft mehrere Durchläufe nötig. In Firmen Nutzung wird die Nutzung des WSUS (Windows Server Update Service von Microsoft - Link) empfohlen. Damit organisiert man die Verteilung von Updates für die eigenen Windows- und Softwareplattformen selbst.
Manche Webseiten stellen Downloads/Installpaket aller „Patches“ für Windows-OS bereit: Winfuture Update Packs (als Beispiel - aber hier nur für Win7- und Win8-Systeme).
Hier hatte man alle Aktualisierungen auf einen Schlag, aber ggf. auch Aktualisierungen, die das eigene System gar nicht benötigt hätte
Hinweis auf KB-Nummern der Updates:
Knowledge Base - Wissensbasis - Microsoft Artikel mit Infos zu den Aktualisierungen
Windows Update manuell (Vervollständigung der Systemaktualisierungen)
Wenn die Windows Updates (z.B. Downloads der Grafiktreiber Intel iGPU bzw. Nvidia/AMD) nur tröpfeln, kann man die Treiber manuell (von Support Seiten) herunterladen und installieren, was das Windows Update unterstützt/beschleunigt.
Hinweis
Die Hinweise zu Vorgänger-Windows 7/8 lasse ich hier in der Ausarbeitung, da man vielleicht noch diese Grundinstallationen inklusive der vorhandenen Lizenzen nutzt, um dann auf Windows 10/11 upzugraden.
Windows 7 / 8.1 schneller installieren und die Updates besser im Griff in mehreren Fachartikeln und Online-Veröffentlichungen recherchierbar.
Einstellungen Windows Update Techniken in Windows 10 Pro:
Verteilen der Updates im LAN/WAN,
Aktivieren/Deaktivieren der Updates,
Teilnahmen an den „Windows Insider Preview Builds“ (Vorabversionen);
Wichtig: oft abweichende oder nicht vorhandene Einstellungen bei Windows 10 Home - dort soll alles automatisch und ohne User-Eingriff laufen!
Windows Shortcuts¶
früher: Aero-Desktop vs. Windows- Kacheln
Siehe auch Übersichten zu Shortcuts im Internet: z.B. Microsoft Supportpage Shortcuts )
Win + R
Start - Ausführen
Win + E
Explorer / Dateimanager
Win + L
Desktop sperren
Win + Cursortasten
Fenster navigieren
Win + D
Desktop sichtbar machen, bwz. Win + M für Minimieren
Win + P
Projektor / Multimonitorbetriebe
Strg + Alt + Entf
Menü mit diversen Optionen; inkl. Taskmanager
Win + Pause
Systemeigenschaften - Leider in aktuellen Versionen nicht mehr direkt funktionstüchtig.
Alt + Tab vs. Win + Tab
Durchschalten der Programme/Apps mittelsMaus
Win + X
erhält man Menü (ab Windows 8.1)
Alternative: Win-Logo auf Desktop mit Linker und Rechter Maustaste
Einblenden der Dateierweiterungen über Konfigurationen Ordner- und Suchoptionen des Windows Explorers (Win + E).
Kein Anspruch auf Vollständigkeit - gute Shortcut-Listen im Web… z.B. Support MS Tastatturbefehle
Windows Explorer¶
Anm.: auch in neuen Profilen später die versteckten Systemordner und versteckten Dateien und Ordner einblenden, damit man komplett versteht welche Strukturen auf den Datenträger sind.
Praxis:
Ausblenden der „Erweiterung bei bekannten Dateitypen“ (deaktivieren - sprich Einblenden der Erweiterungen)
Optionen für Explorer-Start in „Mein PC“ (war früher: Arbeitsplatz)
Versteckte / Systemdateien einblenden
Assistent für Freigaben deaktivieren
Hinweis für Firmen/Enterprise-Umgebungen:
Diese Einstellungen lassen sich sehr gut per Gruppenrichtlinien automatisieren.
Tastenkombinationen:
Win + E - Explorer starten
Umschalten + Strg + 1 bis 6 - Ansichten umschalten
Alternativen für den Windows Explorer für die tägliche Arbeit (Mehrfenstermanagement, Dir-Syncs, Zip, …):
Diverse Commander-Clones: Total Commander, Midnight Commander, …
Free Commander (s. a. portableapps.com Portal)
andere Explorer-Alternativen (bitte nur vertrauenswürdige Quellen)
Hinweis
Der Windows Explorer stellt auch die elementare Darstellung des Windows Desktop dar!
Übung/Test: über Task-Manager den Explorer Process restarten.
Windows PowerShell¶
Für viele tägliche Arbeiten mit und an Windows Systemen nutzt man die PowerShell. Dieses Kapitel soll nur eine Kurzdarstellung zur PowerShell darstellen.
In Rahmen der PC-Werkstatt lernen die Trainees die PowerShell mittels Learning by Doing kennen.
Das bedeutet, dass ich im Laufe der Seminarreihe immer wieder mal über die PowerShell Aufrufe und Techniken umsetzen lasse, die ich auch kurz erläutere und in den größeren Rahmen der PowerShell einkleide.
Beispiele:
Aliase wie
dir
oderls
als Aufrufe für CmdletGet-ChildItem
Erl.: das Cmdlet nicht nur für Ordner und Dateien sondern auch für die Registry oder auch ActiveDirectory, …
Analyse des Systems mit
$PSVersionTable
oder$ENV:Path
Windows Desktops¶
In Windows 10 wollen Sie - so sagt es ja auch schon der Name ;-) - Fenster managen. Und das kann auch gerne mal unübersichtlich werden.
Sie sollten mindestens den Klassiker für das Schalten durch Fenster Alt + Tab nutzen!
Aber wir können das noch besser und effizienter über die Desktops von Windows mit den Shortcutkombinationen zu Win + Tab lösen!
Eine (mögliche) Grundidee für die Nutzung der Windows Desktops:
man verteilt die Anwendungsfenstern nach Rubriken auf die verschiedenen (benannten) Desktops.
Neue Desktops lassen sich (nach Win + Tab) einfach per Mausklick oder aber auch per Tastenkombination erstellen. Die Desktopbezeichner lassen sich per Klick umbenennen.
Programme bzw. Programmfenster lassen sich bei den Desktops per Drag & Drop in den gewünschten Desktop ziehen.
Tipp
Man kann Programmfenster auch (siehe Kontextmenü in Win + Tab) auch auf allen Desktops anzeigen lassen oder Drag & Drop in benachbarte Desktops verschieben.
Tastenkombinationen für Windows Desktops
Win + Tab
Windows Desktop - Übersicht
Drag & Drop und/oder Kontextmenü zu Fenstern nutzen!
Win + Strg + D
Neuen Desktop erstellen
Win + Strg + CursorRechts
Auf den Rechten Desktop wechseln
Win + Strg + CursorLinks
Auf den Linken Desktop wechseln
Win + Strg + F4
Schließt den aktuellen Desktop
Und so sieht das Ganze mit Windows 11 aus - wir bekommen also endlich auch individuelle Hintergrundbilder:
Desktops mit der PowerShell
Die Windows Desktops lassen sich auch programmatisch über die PowerShell nutzen: Modul VirtualDeskop aus der PowerShell Gallery.
Einfache Bereitstellung in der PowerShell Umgebung des Users:
Hinweis
Siehe natürlich Get-ExecutionPolicy, ob PS-Skripte ausführbar - z.B.: RemoteSigned
Install-Module -Name VirtualDesktop -Scope CurrentUser
Und schon kann das folgende Mini-Skript automatisch ein paar Programme (hier: Mozilla Firefox, Windows Terminal, Windows Explorer) auf verschiedenen Desktops starten/verteilen:
# Skript to initialize my Virtual Desktops
# Needs Module VirtualDesktop
Import-Module -Name VirtualDesktop -ErrorAction SilentlyContinue -WarningAction SilentlyContinue
Start-Process firefox
sleep 3
Switch-Desktop 1
Start-Process wt
sleep 3
Switch-Desktop 2
Start-Process explorer
sleep 3
Switch-Desktop 0
Und wenn jetzt mit dem Windows Funktionsupdate 21H2 noch die versprochenen individuellen Hintergrundbilder je Desktop kommen, dann sieht es schon ganz gut aus und vieles, dass man aus anderen OS als Workspaces kennt kann immer besser genutzt werden.
Benutzer¶
Verwaltung und Philosopie - ein erster Einblick
Standard-Benutzer (joestandard) vs. Computer-Administrator (joebadmin)
Erinnerung: siehe Windows-Installation - Anlage eines ersten Admin-Benutzers bei Komplettierung der Installation
Benutzerkonzept¶
Grund für Benutzerkonzept:
Trennung von Berechtigungen, Absicherung gegen absichtliche und unabsichtliche Manipulationen
Übung:
Erstellen eines alternativen Standardbenutzer-Kontos und Nutzen/Anmelden des neuen Benutzers als Standardbenutzer
für jedes Betriebssystem gilt also:
Die tägliche Arbeit als „normaler User“ und die administrativen Tätigkeiten als „Admin“ (aktuell wird in Zeitschriften wie c’t diese strikte Trennung „diskutiert“)
Bei unseren Windows Betriebssystemen ergibt sich folgende Gegenüberstellung:
Computeradministrator |
Standardbenutzer |
Benutzerkonto ist Mitglied in der Lokalen Benutzergruppe „Administratoren“ |
Benutzerkonto ist Mitglied in der Lokalen Benutzergruppe „Benutzer |
kann neue Benutzer / Gruppen anlegen und verwalten und für Benutzer neues Passwort festlegen |
kann nur sein eigenes Passwort ändern |
kann Datum/Uhrzeit für das System ändern |
kann nicht Datum/Uhrzeit ändern |
kann Ordner für das Netzwerk freigeben |
kann keine Freigaben erstellen |
kann Datei(en) und Ordner in C:\ erstellen |
kann nur Ordner in C:\ erstellen |
auch CA muss verschiedene Programme/Tools extra „Als Administrator ausführen“ lassen/aufrufen z.B. Eingabeaufforderung (cmd) oder die PowerShell |
muss immer für Admin-Aktionen die Programme/Tools
mit „Rechte Maus - Als Administrator ausführen“ lassen/aufrufen
Alternative:
cmd-Tool |
Bei den Windows Pro/Enterprise Varianten kann man mit speziellen Gruppenzugehörigkeiten (z.B. Gruppe Netzwerkkonfigurations-Operatoren, Remotdesktopbenutzer) für Benutzer zusätzliche Berechtigungen ermöglichen.
Übungen hierzu folgen…
Benutzerkontensteuerung¶
(User Account Control - UAC)
Einstellung für Benutzerkonfiguration (3. oder gerne auch 4. und höchste Stufe) in Kombination mit Standard-Usern
Und wieder meine Empfehlung: (Best Practise)
Saubere Trennung von Standardbenutzer vs. Admins (bzw. besondere Gruppenmitgliedschaften wie Netzwerkkonfigurations-Operatoren, Remotedesktopbenutzer nutzen)!
Benutzerprofile¶
Windows Home-Dir: C:\\Users
Gegenüberstellung der klassischen Windows 2000 / XP Profile mit Vista / Win7 / Win8 / Win10 ergibt:
C:\Dokumente und Einstellungen\username\Desktop
(2000 / Win XP)C:\Users\username\Desktop
(Vista / Win 7 / Win 8 / Win 10)
Hinweis zu Desktop-Ordner: C:\Users\Public\Desktop
Siehe Dateien Desktop.ini
und Löschmöglichkeiten für Dateien auf Desktop
Erläuterung zu „Verbindung(en)“ (Junctions)
Kommandozeilentool für Junctions oder SymLinkD : : mklink
(Hilfe mit mklink /?)
Wenn man jetzt versteht, dass es sich bei manchen „Ordnern/Links“ im Windows Explorer (z.B. „Dokumente und Einstellungen“) um solche Junctions handelt, dann wird klar, dass ein Doppelklick darauf mit einer „Fehlermeldung - Zugriff verweigert“ abbricht, da Doppelklick ein „Öffnen“ bedeutet (als Dateihandler“) und so etwas eben nur bei Dateien/Ordnern geht und nicht bei diesen Junctions!
Tipp
den Benutzerprofile-Ordner AppData
(Pfad: c:\Users\username\AppData\Roaming
) genauer anschauen
Besonders die Roaming Strukturen enthalten z.B. die kompletten Mozilla Firefox Benutzerprofile, die sich nahezu beliebig zwischen verschiedenen Plattform - sogar verschiedenen OS - austauschen lassen oder später zentral auf „Servern“ für Benutzer nutzen lassen.
Übung:
Benutzerprofilordner analysieren - Ntuser.dat
stellt den
benutzerspezifischen Anteil der Registrierdatenbank (registry) dar:
z.B. Mauskonfiguration (linke/rechte Maus,
Doppelklickgeschwindigkeit), Tastatureinstellungen, Windows Explorer
Konfigurationen (Dateierweiterungen ein-/ausblenden, Versteckte
Systemdateien einblenden)
Übung zur Exklusivität von Benutzerprofilordnern:
Benutzer A kann nur in Profil „Benutzer A“ und nicht in die anderen Profilverzeichnisse.
Hinweis
Wichtige Erkenntnis: das trifft auch auf einen „administrativen“ Benutzer zu! Der kann sich natürlich „Besitz“ verschaffen und damit dann den Zugriff.
Verwaltung¶
Die Verwaltung von Windows…
Datenträgerverwaltung¶
Tool: diskmgmt.msc
Übung/Hinweis:
Ändern von Laufwerksbuchstaben, Hinweis auf die Eigenschaften: System, Start, Aktive Partition (siehe Starten Rechner/Windows)
Analyse für Laufwerke: MBR oder GPT verwaltet über Rechte Maustaste - Eigenschaften - Register Volume
Erinnerung: Technet-Artikel (MS) zum Thema Partitionen: „Grundlegendes zu Datenträgerpartionen“
MBR vs. GPT¶
Eine kleine Gegenüberstellung „Master Boot Recort“ vs. „GUID Partition Table“
BIOS (mit MBR) |
UEFI (mit GPT) |
---|---|
klassische Technik seit Anfang PCs (1981) |
moderner Nachfolger 64-Bit, Parallele Abarbeitung, quasi: Mini-OS als Firmware (siehe eigene EFI-Partition) |
max. 4 Partitionen Erweiterte Partition ermöglicht Logische Laufwerke |
max 128 Partitionen beachten: inkl. 1 UEFI-Partition |
Bootet keine HDs > 2,2 TB |
bootet von „beliebigen“ HD-Größen |
kein „Secure Boot“ |
Unterstützt „Secure Boot“ für MS-Betriebssysteme |
Analyse der vorliegenden Festplatten-Partitionsstile mittels der Datenträgerverwaltung - Eigenschaften einer HD - Register Volumes
Hinweis für Windows 8.1/10 Komplettsysteme:
Technik Secure Boot beachten: für Neu- und Parallelinstallationen BIOS Optionen beachten, bei VM-Installationen, …
Für Installation von Windows-Systemen mit UEFI/GPT Partitionierungsstil muss bei der Installation eine „UEFI DVD“ Auswahl gewählt werden!
Tipp
bei ASUS-Boards beim Start F8 für eine erweiterte Bootauswahl (oder auch F2/F11 bei MSI-Boards)
Technet-Artikel (MS) zum Thema Partitionen: „Grundlegendes zu Datenträgerpartionen“
Windows kennt sowohl Basis-Datenträger als auch Dynamische Datenträger.
Zweck / Einsatz von Dynamischen Datenträgern:
flexiblere Größenänderungen und vor Allem Software- RAID
Hinweis: RAID 0 Striping und RAID 1 Mirroring/Spiegelung; Windows Server kennt dan auch noch RAID 5.
Partitionen managen¶
(kurz: Festplatte einrichten)
Trennung von System (Laufwerk C: mit Ordner Windows) und Datenbereich (LW E: über Datenträgerverwaltung eingerichtet) - dann Formatierung mit Dateisystem (hier NTFS - New Technology File System)
Es lassen sich FAT32-LW in NTFS wandeln: convert LW: /FS:NTFS
(Anm.: gerne vorher Backup erstellen ;-)
Tools für Datenträgerverwaltung:
Unter Windows die Datenträgerverwaltung (Management Console
diskmgmt.msc
) und
in der Eingabeaufforderung mittels Profitool diskpart
(siehe auch
Reparaturoptionen der Install-DVD)
Spezialtool mit Anpassungen Partionierungen im „laufenden“ Betrieb: gparted
Das Tool gparted basiert auf einer Linux-Live-Version und benötigt zumindest
Basis-Knowhow über das Gerätemanagement unter diesem Betriebssystem (siehe Bezeichner: /dev/sda
).
Systemeinstellungen¶
Das Windows-System erkunden…
Tools des Tages¶
Computerverwaltung
„Schweizer Messer“ (compmgmt.msc
- Snap-In für Microsoft Management Console: MMC.exe)
Geräte-Manager
Analyse von Plug & Play und Treiberausstattung
Task-Manager
Auslastung des Systems - freier RAM) - siehe hier auch Link zum
Resourcenmonitor ( resmon.exe
)
System
mittels „Win + Pause“ und Eingabeaufforderung cmd
- s.a. Versionsanzeige)
Gesamtübersicht (Windows Tools)
Windows-Onboard-Werkzeuge über Registerkarte „Tools“
von msconfig.exe
(benötigt UAC und zeigt Liste von Tools)
Computerverwaltung¶
MS-SnapIn-Console: compmgmt.msc
Hauptkategorie System:
Aufgabenplanung (Task Scheduler; siehe Windows - Defrag)
Ereignisanzeige (Eventviewer -
eventvwr.msc
)Freigegebene Ordner
Lokale Benutzer und Gruppen (nicht bei Home-Versionen -
lusrmgr.msc
)Leistung (siehe Ressourcenmonitor)
Geräte-Manager (Übersicht HW-Unterstützung - Treiber -
devmgmt.msc
)Datenspeicher - Datenträgerverwaltung (Partitionierungen - Formatierungen;
diskmgmt.msc
)Dienste und Anwendungen - Dienst (Abhängigkeiten, Startmodi;
services.msc
)
Die MS Snap-In-Console findet man im Ordner C:\Windows\System32
.
Systemstart¶
… eines „MBR-Rechners“ - bei UEFI später Nutzung von GPT
Einschalten (Reset - Drücken des Einschalt-Tasters),
BIOS (Basic Input Output System)
neue/aktualisierte Bios-Techniken: UEFI, welches auch klassische BIOS-Techniken beinhaltet),
POST (Power On Self Test),
Bootsequenz abarbeiten - Bootmedien / Bootquellen Netzwerk: PXE Preboot Execution Environment / TFTP, Optische Medien: USB, CD / DVD / BD, klassische Datenträgermedien: HDD/SSD, Diskette
HDD (Hard Disk Drive, oder natürlich gerne auch SSD Solid State Drive)
MBR (Master Boot Record vor den eigentlichen
HD-Daten-/Partitionsbereichen) mit Partitionstabelle
4 Einträge möglich - aktive, primäre Partition finden
speziell: Erweiterte Partition mit logischen Laufwerken (siehe wieder MS Technet Beitrag oben)
Wichtig: die folgenden Daten liegen in einer ersten aktiven Partition mit Namen „System Reserviert“ (ca. 500 MB), die automatisch beim Installieren (Partitionieren) für uns angelegt worden ist.
Tipp: die Partition kann man sich mal kurz per Datenträgerverwaltung mit Laufwerksbuchstaben (z.B. U:) sichtbar/nutzbar machen!
Bootsektor (Anfang - Sektor 0) der aktiven, primären Partition lesen
Hinweis
Das stellt eine Gemeinsamkeit bei allen Microsoft Betriebssystemen seit DOS dar!
hier liegt dann der Windows Bootmanager: bootmgr
mit Boot Configuration Data in Unterordner Boot/BCD
;
Tool: bcdedit
für administrative Konsole; aktuelle BCD-Analyse mit bcdedit /v
in diesem Ordner auch memtest
- ein Tool zum Speichertesten
dann „eigentlicher“ Windows-Betriebssystem-Start mit ersten Dateien aus C:Windows …
Ruhezustand¶
Datei: hiberfil.sys
Datei für Ruhezustand (Suspend to Disk; Erläuterungen auf Wikipedia);
Hinweis auf Hybriden Standbymodus (seit Microsoft Windows Vista);
Ein-/Ausschalten des Ruhezustands über eine administrative Eingabeaufforderung (cmd)
mit Befehl powercfg -H on | off
Die hiberfil.sys
spielt genaus beim aktuellen (sogenannten) Schnellstart (früher: FastBoot) eine Rolle,
sollte aber auch hier nicht genutzt werden, da man heute keine wirklichen Geschwindigkeitsvorteile
bewirkt, aber dem System einen echten Reboot wegnimmt!
Siehe auch Borncity Blog - Windows 10 Schnellstart abschalten
Wichtig: wegen UAC und Benutzersicherheitskonzept müssen auch Admins
die cmd
und PowerShell extra mit hohen Rechten (Als Administrator ausführen…)
starten, um den Befehl powercfg
nutzen zu können.
Automatische Anmeldungen¶
Siehe Tool netplwiz
Anm.: wird gerne auf Nachfrage zu Benutzerkonten und -Nutzungen gezeigt - bitte nur auf Ihren privaten PCs anwenden! Kann auch Benutzerkonten verwalten!
Das Tool netplwiz kann also in Benutzerkonto automatisch anmelden lassen!
Programm vs. Dienst¶
Begriffe treten bei Analyse der Registerkarte System - Erweitert (s.o.) auf
Programme müssen über Benutzerkontext „manuell“ gestartet werden, das wäre technisch gesehen auch bei sogenannten „AutoRuns“ der Fall!
Dienste (engl. Services / Unixoid: Daemons - siehe Dienstenamen wie httpd) können ohne Benutzer automatisch im Systemkontext (bevor also ein Benutzer-Login stattfindet) in Betrieb genommen werden.
Es können auch Abhängigkeiten von Diensten (z.B. erst Netzwerk - dann Firewall) berücksichtigt und konfiguriert werden.
Systemeigenschaften¶
mit Win + Pause
zu den Erweiterten Systemeigenschaften - die fünf Registerkarten:
Registerkarte: Computername
siehe Tool hostname
, Beschreibung, Arbeitsgruppe/Domain)
Änderungen verlangen Neustart
Übung: Rechnernamen/Hostnames für Seminar-Rechner festgelegt PCXX
(mit XX von 01 … 17)
Registerkarte: Hardware
Gerätemanager, Geräteinstallationseinstellungen
Registerkarte: Erweitert
VMM - Virtual Memory Management pagefile.sys, Benutzerprofile, Starten und Wiederherstellen,
Umgebungsvariablen TEMP, TMP
Empfehlung: Systemumgebungsvariablen %temp% und %tmp% auf
Datenlaufwerk auslagern (z.B. E:\\temp
) genau wie die pagefile.sys auf ein Datenlaufwerk konfigurieren;
Anm.: wenn man dann noch den Hibernation-Modus ausschaltet (hiberfil.sys mit Tool powercfg -h off), dann hat man gleich ein paar GB weniger auf C: herumliegen und profitiert beim Erstellen von Images (Abbildsicherungen)
Übungen:
pagefile.sys
konfigurieren, Temp-Variablen für Admin-User und System angepasst
Empfehlung: Benutzervariablen (Adminkonto) und Systemvariablen %temp%
und %tmp%
auf Datenlaufwerk auslagern
z.B. E:\_temp
)
Grund/Beispiel: bei Installationen mit sehr großen Datenmengen (aktuell z.B. Spiele > 100 GB!) wird man zwar angeben, dass man auf
eine große freie Partition installieren soll, aber beim Installationsprozess müssen die Install-Archive erst einmal entpackt
werden - und zwar nach %tmp%
bzw. %temp%
Andere interessante Variablen - beispielhafte Ausgabe mit Befehl :
echo %userprofile%
oder mit Variablen %windir%
, %systemroot%
, %computername%
, %appdata%
Tipp
in cmd mal den Befehl set
eingeben!
Registerkarte: Computerschutz
Wiederherstellungspunkte gesetzt und diskutiert - keine komplette Systemsicherung wie bei Abbildsicherungen / Images!) muss bei frischen Systemen aktiviert werden
Übung: Wiederherstellungspunkte gesetzt (ca. 20 Sekunden für einen Wiederherstellungspunkt) und diskutiert kann aktiviert und eingesetzt werden für kleine Reparaturen nach missglückten Treiberinstallationen oder auch Updates,
Registerkarte: Remote
Remoteuntertützung, Remote Desktop ab Windows 7 Prof Versionen (nicht bei den Home-Verianten!)
hier später (nach Netzwerkeinführung) eine Fernverwaltung als Übung in TN-Gruppe
Registrierdatenbank¶
Wichtigkeit/Bedeutung, Tools: regedit
, regedt32
, reg
)
Erklärung zu HKEY:
Hive Key also „Bienenstock Schlüssel), was auf die Komplexität der Konstruktion hinweist,
Hinweis
in regedit für Windows 10 Version 1703 wurde eine Eingabezeile eingebaut
Warnung
Die Änderungen an der Registry erinnern an Operationen am offenen Herz!
Die späteren Gruppenrichtlinien-Objekte (GPOs) stellen im Grunde solche Manipulationen an der Registry dar.
Erweiterte Startoptionen¶
Früher/klassisch: Aufrufen beim Booten von Windows mit Funktionstaste F8 bzw. Umschalten + F8
Problem: ab Windows 8 mit (UEFI Systemen und) SSDs (Solid State Drives statt Festplatten / HDDs) sind diese Systeme zu „schnell“ für einen Aufruf mittels Funktionstaste F8.
Lösung: bei Windows den Systemstart über Einstellungen - Update und Sicherheit - Wiederherstellung und dann durchklicken zum gewünschten Neustart
Die unterschiedlichen Modi (Abgesicherter Modus, …) wurden kurz angesprochen.
Hinweis: reparieren mit Eingabeaufforderung für Befehlszeilentools
Beispiele:
Partitionieren: diskpart
(erfordert viel Einarbeitungszeit bzw. genaues Nutzen bei Vorgaben)
MBR reparieren: bootrec /fixmbr
Automatische Startreparatur und (seit Windows 8) auch automatisches „System Auffrischen“
Wichtige Unterscheidung: Systemwiederherstellung vs. Systemimage-Wiederherstellung
Systemwiederherstellung (nur kleine Reparatur mit Wiederherstellungspunkten)
Hinweis:
Wiederherstellungspunkt erstellen (in knapp 20 Sekunden!)
vs. Systemabbild-Wiederherstellung (komplette LW-Reparatur mit Hilfe eines vorher erstellten Images
Anm.: bei Komplettsystemen/Notebooks häufig aufgrund vorhandener versteckter Recovery-Partitionen problematisch!
Übung(en):
Systeme im Abgesicherten Modus starten
Internetseite mit Tipps/Tricks rund um Reparaturmechnismen Windows 10 und Anpassen der „Boot Code Configuration - BCD“ (Link)
Laufwerke verwalten¶
Einbinden und Verwalten von Datenträgern mit Windows…
Übung: freien Platze auf Datenträger als Datenlaufwerk (E:) partitioneieren und formatieren!
Defragmentierung¶
Hinweis: bitte nur Festplatten defragmentieren (keine SSDs!)
Windows-Tool defrag
wird vom System „regelmäßig“ genutzt (siehe
Task-Scheduler - also Aufgabenplaner)
Extra-Tool genannt: Defraggler - siehe später Übersicht Softwareausstattung
Dateisysteme - allgemein¶
Windows (Microsoft) Dateisysteme (Filesystem - FS):
FAT (File Alocation Table) mit Bezeichnungen FAT12, FAT16, FAT32 (bzw. VFAT)
NTFS (New Technology File System) für NT-Familie
in Entwicklung/Einführung (in Server / Pro / Enterprise: ReFS Wikipedia ReFS
exFAT (für externe Wechselmedien; Wikipedia exFAT )
Anm.: wird ab Herbst 2019 auch in aktuellen Linux-Kerneln unterstützt!
Alternativen anderer Betriebssysteme:
Linux: ext2, ext3, ext4, XFS, ReiserFS, BtrFS, ZFS
MacOS: HFS, HFS+, APFS
Hinweis: Vorteile und Eigenschaften NTFS kennen!
NTFS Filesystem¶
Technik / Allgemeines: NTFS Versionen 6.x (bzw. 3.x)
Wikipedia: Wikipedia-Artikel zum Dateisystem von Microsoft NT-Systemen
Fachbegriffe (Cluster; dt. Zuordnungseinheiten, 4 kB vs. bis zu 32 kB bei FAT32; Slack dt. Verschnitt - vermehrt bei großen Clustern); Größen für Laufwerke und Dateien bei Filesystemen besprochen (s.a. Skript)
Anm. zu FAT32:
maximal 4 GB große Dateien und
kein Zugriffsschutz auf Benutzerebene!
Partitionierungswerkzeuge (Shortlist):
diskpart
(cmd-Tool von MS)gparted (Link)
Werkzeug (cmd) zum Konvertieren von FAT32 Laufwerken in NTFS-Laufwerke:
convert g: /fs:ntfs
Technikdetails / NTFS-Vorzüge
Zugriffschutz auf Benutzer/Gruppen-Ebene (siehe Eigenschaften Ordner/Dateien Register: Sicherheit) sehr feine Berechtigungen möglich - siehe Vergleich mit einfacheren Freigabe-Berechtigungen (beim Netzwerkzugriff)
Dateien größer als 4 GB möglich
Komprimierung
Verschlüsselung (siehe EFS, Bitlocker)
Hotfixing (Fehler erkennen / beheben im laufenden System)
Journaling Filesystem (also Technik mit Protokollierung/Journal)
Tipp
Laufwerke aufräumen („Schrott löschen) über Kontextmenü (Rechte Maustaste - Eigenschaften) als Benutzer und dann auch als „Admin“
(Übung zur Analyse Sicherheit - Zugriffsschutz auf Benutzerebene)
Übung:
Eigenschaften aufrufen der doppelten „desktop.ini“ Dateien auf dem Desktop (siehe oben) und mittels Register Sicherheit - Erweitert - Effektiver Zugriff (früher Effektive Berechtigungen) für Benutzer unserer Systeme den jeweiligen „Effektiven Zugriff anzeigen“ lassen.
So erklärt sich, warum man eine der desktop.ini auf dem Desktop einfach löschen darf.
Anm.: desktop.ini eine Konfigurationsdatei für den Windows Explorer.
C:\Users\joestandard\Desktop\desktop.ini
und die andere
C:\Users\Public\Desktop\desktop.ini
sich nicht von einem
Eingeschränktem Standardbenutzer löschen lässt
Berechtigungen verglichen:
Benutzerprofil-Ordner per NTFS vor jeglichen Zugriffen anderer Benutzer geschützt
Daten-Ordner und Dateien auf Laufwerk E: die Ordner/Dateien „gehören“ allen Benutzern des Lokalen Windows Systems
NTFS-Berechtigungen¶
NTFSBerechtigungen vs. Freigabe-Berechtigungen
Gegenüberstellung von NTFS (Zugriffsschutz auf Benutzer/Gruppenebene) vs. Freigabe-Berechtigungen
Ergibt: einfache Freigabe-Berechtigungen und sehr viel feinere NTFS-Berechtigungen
Änderungen an Benutzerkonten werden erst nach neuen Authentifizierungen (Logins) wirksam, die Änderungen an Ressourcen (Ordnern, Freigaben, Druckern) werden sofort wirksam.
Kommen wir nun zu einfachen Vernetzungen…
Ordneranalyse C:¶
Dateien in Hauptverzeichnis hiberfil.sys
, pagefile.sys
, swapfile.sys
Ordner C:\Windows
:
Programme: regedit.exe, explorer.exe, notepad.exe
Unterordner: Temp, System32 (bzw. SysWOW64 - Systemfolder on Windows 64 Bit), SoftwareDistribution, Prefetch, …
Einsatzzwecke diskutieren und kurz darstellen…
Auslagerungsdatei (VMM)¶
Datei: pagefile.sys
Auslagerungsdatei zum Auslagern ungenutzter Daten aus physikalischem RAM; siehe auch VMM Virtual Memory Management
Konfiguration mittels Win + Pause (System) - Erweiterte Systemeigenschaften - Erweitert - Speichernutzung - Einstellungen - Erweitert - Virtuellen Arbeitsspeicher
Übung/Recherche zu pagefile.sys durchgeführt
Wichtig: VMM ist nur eine „Krücke“ - echter Arbeitsspeicher ist nicht zu ersetzen!
Windows UI Auslagerungen¶
Datei: swapfile.sys
Optimierungen der Auslagerungstechniken in Zusammenarbeit mit den Apps von Windows 8 / 10 und Optimierungen für Systemstarts der Betriebssysteme; kann nicht einfach rekonfiguriert werden.
Netze (P2P)¶
Einfache Vernetzungen mit Arbeitsgruppenkonzept (Peer-to-Peer) …
Also: Verwalten aller Ressourcen lokal auf den Rechnern (ohne Domänen)…
Netzwerkanalyse¶
(hier nur kurzer Überblick - siehe eigenes Netzwerktechnik-Kapitel)
Netzwerk-Analyse der Windows-Installationen mit Tool
ipconfig /all
ergibt z.B.:
IPv4-Adresse (IPv4): 192.168.3.117
Netzwerkmaske: 255.255.255.0
Schreibweise: 192.168.3.117 / 24 (meint 24 Bit von 32 Bit für die Netzwerkadresse)
Bis hier ist die die LAN-Konfiguration für die Kommunikation mit Rechnern im eigenenen (Sub-)Netz funktionstüchtig konfiguriert.
Für die Kommunikation mit Rechnern im öffentlichen Netz benötigen wir jetzt noch:
Standardgateway (eigentlich Router): 192.168.3.1 (leitet Pakete weiter, die nicht für das eigene Subnetz gemeint sind)
DNS: 192.168.3.1 (löst namentliche Adresse in IP-Adresse auf und
ggf. auch anders herum)
alle TN-PCs haben per DHCP IP-Adressen aus LAN-Netz 192.168.3.0 / 24
bekommen!
Test für Online-Verbindung wieder: ping www.bahn.de
(in der cmd / PowerShell) natürlich)
Tool für „Routen“ durch das Netz: tracert www.nytimes.com
(in einer Konsole)
Ping-Tests im lokalen P2P-Netz - also mit den anderen Win10-PCs - können verlorene Pakete zeigen!
Grund: Aktivierte Firewalls sperren diese Testpakete.
Netzwerk-Freigaben¶
(Technik / Übungen)
Wichtig: bitte immer erst den Freigabe-Assistent deaktivieren
Bereitstellung eines Software-Ordners auf Trainer-PC als Darstellung der Grundlagen und Praxis → TN-Übungen
Beispielhafte Daten auf „Server-/Freigabe“-Seite:
Hostname: trainer
(IP: 192.168.3.205 / 24)
Ordner: E:\tn-daten
Freigabe: tn-daten (als Freigabename) mit Freigabeberechtigung: JEDER / Lesen
Wichtige Erkenntnis für Berechtigungen:
mit JEDER ist Jeder Berechtigte auf dem entsprechenden Authentifizierungssystem - hier: lokales System trainer - gemeint:
hier sind das also die Benutzer der Lokalen Benutzer und Gruppen
Verwaltung (lusrmgr.msc
) auf Host trainer
Übung von TN-PCs: (Nutzen der UNC (Universal Name Convention) Pfade)
\\trainer\tn-daten
(benötigt Netzwerkkennwort - Fernanmeldung)
Diese Fernanmeldedaten (Authentifizierungen durch Benutzer/Kennwort) lassen sich mittels Haken in Fern-Anmeldung im „Tresor“ von Windows Benutzerprofilen speichern (siehe Systemsteuerung - Anmeldeinformationen)
UNC-Pfad / komplette Syntax: \\pc-name\freigabe-name\ordner\unterordner\datei.ext
net (Tool)¶
(siehe Hilfen in cmd mit net /? oder dann net use /?)
Das Netzwerktool in der Eingabeaufforderung (cmd
)
net use
(mappen)
Drucker verbinden oder Netzwerklauf mappen mit
net use z: \\pc15\freigabe
erstellen und mit
net use z: /delete
wieder löschen
net view
zeigt Übersicht über die eigene Arbeitsgruppe/Domain
oder gezielt Freigaben auf entfernten Rechnern mit Aufruf
net view \\pc-15
(Anm.: natürlich nur, wenn man sich vorher mal
authentifiziert hatte!)
Tipp: Authentifizierung an entferntem Rechner ohne Laufwerkmapping:
net use \\pcsys-trainer\ipc$ /USER:dozi
(dann Kennwort eingeben
- fertig)
net share
(zeigt die Freigaben meines Systems; mit net share kann
man diese auch anlegen)
Der „net share“-Befehl bringt uns zurück in die Computerverwaltung - Freigaben
administrative Freigaben:
C$
, E$
, Admin$
(nur für Administratoren zugreifbar)
Sicherheitsrichtlinien müssen ggf. geändert werden für die Nutzung von administrativen Freigaben über das Netz
versteckte Freigaben: anhängen des $ macht die Freigaben unsichtbar
(\\pc15\geheim$
)
Tipp
alle net Befehle mit net /?
- weitere Hilfen mit net share /?
Übung: versuchen Sie mit net share ...
eine Freigabe zu erstellen!
Übungen zu Freigaben
Bereitstellung / Nutzung von Freigabe \\trainer\tn-daten
für
„Digitale Unterlagen / SW“ für das Seminar
Übungen zu net-Tools inkl. Laufwerke mappen mit net use, lokale Freigaben auflisten mit net share und Freigabe auf externen PCs mit net view
Darstellung zu versteckten Freigaben: \\trainer\geheim$
(also
angehängtes $ am Freigabenamen)
net share brachte uns wieder zum „Schweizer Messer: Computerverwaltung - compmgmt.msc - System - Freigegebene Ordner“ zurück
Arbeitsgruppe vs. Domäne¶
Anm.: Zuweisung zu Arbeitsgruppen / Domains in Windows stellt nur Hierarchien/Ordnungen zur Verfügung:
… das hat nichts mit der Netzwerkfunktionalität zu tun!
Arbeitsgruppe |
Domäne |
engl. Workgroup |
engl. Domain |
alle Rechner gleichberechtigt P2P - Peer-to-Peer |
Rechner als Clients und Server Client-/Server-Prinzip aktuelle Serversoftware: Windows Server 2012 R2 / 2016 Clients: die Pro/Enterprise Varianten (keine Home-Varianten) |
lokale Verwaltungen alle Einstellungen lokal an eigener Maschine |
zentrale Verwaltungen Benutzer, Gruppen, Berechtigungen / Richtlinien |
Anmeldungen können „lokal“ oder „am Server“ durchgeführt werden: die Technik heißt immer SAM (Security Account Management) und den Vorgang nennt man Authentifizierung.
Auch die Benutzerprofile liegen standardmäßig immer auf der lokalen (also genutzten) Client-/Workstation-Maschine!
Remote Desktop Protocol (RDP)¶
Client-/Server-Technik für Fernverwaltungen / Fernwartungen von Systemen
Server(-seite):
Auf Pro/Enterprise Systemen mittels Win + Pause - Remoteeinstellungen die Fernverwaltung mit Remote Desktop zulassen/aktivieren
Hinweis: dort ist per Standard die Unterstützung von Authentifizierungen auf Netzwerkebene aktiviert - soll heißen: dann funktioniert der Zugang pder RDP-Client nur mit aktuellen Windows-Clients und nicht per Linux- oder MacOS-Clients oder von „alten“ Windows (z.B. XP) Techniken
Client(-seite):
Mit beliebigem Windows-System die Remotedesktopverbindung - Direktaufruf:
mstsc
MS Terminal Service Client
andere Remote-Techniken: (s.a. Softwareübersichten im Seminar) TeamViewer, VNC-Tools, allgemein: VPN (Virtual Private Network)
Empfehlung/Übung:
Einen User mit der Gruppenzugehörigkeit zu Remotedesktopbenutzer zur Nutzung von RDP qualifizieren, sonst können das standardmäßig nur Administratoren.
Tipp
Die RDP-Übung sollte man auch für Hyper-V-Umgebungen beachten, weil man sich sonst die VMs nicht mit Standardkonten anmelden lassen.
Software¶
(Basisinfos zu Installationstechniken unter Windows)
Wichtig
Wichtg: man braucht nicht generell Adminrechte, um Software in Windows installieren zu können!
Viele (moderne) Softwareentwicklungen bieten Installationen ohne Adminrechte an:
Visual Studio Code mit Extra User Install-Routine
Browser wie Firefox oder Chrome - man bricht die Abfrage mit UAC einfach ab und bekommt User-Installationen
Einfache entpackbare Programme wie z.B. auf Plattform
portableapps.com - Inklusive eigenem Startmenü
WSCC - Windows System Control Center (Systemwerkzeuge)
Aber: sehr oft fordern die Programminstallationen Schreibvorgänge in besonderen Bereichen, wo man die hohen Rechte benötigt:
Verzeichnisse/Unterverzeichnisse von
C:\Windows
undC:\Windows\System32
siehe NTFS-Berechtigungen - Sicherheit für diese Ordner - Effektiver Zugriff
Einträge in geschützten Systembereichen der Windows Registrierdatenbank
Engl. / fachlich: Registry - Admin-Tools für Registry:
regedit
, regedt32
, reg
Leider können bei Deinstallationen von Programmen unter Windows nicht alle diese Installationsvorgänge und Einträge vollständig entfernt werden (siehe Programmbibliotheken *.dll - Dynamic Link Library und Registrierdatenbankeinträge)!
Daher werden Windows-Systeme durch häufige Installations-/Deinstallationsdurchläufe immer mehr „vermüllt“.
Basisausstattung¶
(geplant/To-Do: ausführliches „Programme-Best-Of / A-Z“)
Diskussion von Programmen und Softwareaustattungen
SW-Ausstattungen - beispielhafte Installationen (Anm.: nicht in jedem Seminar):
Office 2016 / 2019 / 365 - kostenpflichtig!
VirtualBox, Vmware, Hyper-V - Virtualisierungen
FreeCommander - Alternative zum Windows Explorer
Notepad++ Alternative zum bordeigenen Notepad / Editor
7-Zip - Installation und Nutzung als Packer/Entpacker
viel schneller und funktioneller als Win-Bordtechnik
Git - Dokumentenversionspflege
effiziente Bereitstellung und Verwaltungen von Dokumenten und Konfigurationen
tbc.. (und mit TN diskutieren)
Spezialtools / Admintools:
WSCC (Windows System Control Center: Tools Sysinternals / NirSoft); Empfehlung als/für „Admin-Schweizer-Messer“
enthält auch Verwaltung für Sysinternals Tools ProcessExplorer, AutoRuns, BGInfo
robocopy (vom Trainer als GGeheimtipp* empfohlenes cmd-Tool - Robust Copier)
sehr effizentes Werkzeug für Dateisicherungen/Abgleiche (siehe YarcGui als Oberfläche zum Konfigurieren)
Windows-Onboard-Tools (nicht vergessen ;-)
msconfig
(siehe hier Registerkarte Tools),Task-Manager -> Ressourcen-Monitor (
resmon
) ,Systemeigenschaften (Win+Pause) bzw.
msinfo32
,Schweizer Messer: Computerverwaltung -
compmgmt.msc
Geräte-Manager (
devmgmt.msc
), Ereignisanzeige (eventvwr.msc
), Datenträgerverwaltung (diskmgmt.msc
), Lokale Benutzer und Gruppen (lusrmgr.msc
), Dienste (services.msc
)
Die MMC - Microsoft Management Consoles findet man in
C:\Windows\System32
.
Paketmanagements¶
Wie auch in anderen Betriebssystemen können wir auch mit Windows Softwareverwaltungen per Paketmanagement durchführen.
Allerdings erhalten wir (aktuell) hier nur die Vorzüge hinsichtlich Bereitstellung und Auslieferung (Deployment) der Software für Windows.
Echte Paketverwaltung bis auf Bibliotheksebene (siehe dll) findet (noch) nicht statt.
Aber die Vorzüge sind auf jeden Fall so groß, dass sich eine Beschäftigung mit möglichen Paketmanagern für windows auf jeden Fall lohnt.
Es folgt eine Kurzdarstellung für
Winget
Chocolatey
Scoop
Wir beginnen mit dem Microsoft Hauswerkzeug ab Windows 11:
Winget
In den aktuellen Windows 11 ist diese Softwareverwaltung bereits direkt verfügbar.
Installieren und Verwalten von Anwendugen mit winget
Winget Paketmanagement benötigt unter Windows 10 den Entwicklermodus und/oder Visual Studio 2019, …
Chocolatey
Solange Microsoft den eigenen Paket-Manager Winget nicht ohne Umwege in Windows bereitstellt, tendiere ich zu Chocolatey zur Installation der gewünschten Software/Tools.
Schnellanleitung Softwareinstallationen mit Chocolatey Paketmanagement
Hinweis
Wir entscheiden uns für die systemweite Nutzung der Installationen!
Das bedeutet, dass wir die PowerShell (Konsole) für Chocolatey Befehle immer mit Adminrechten nutzen.
Hier mal ein paar beispielhafte Installationen:
# Chocolatey bereitstellen: (ggf. schon auf Trainingssystemen installiert)
# ======================================================================
# in Admin-PowerShell Copy&Paste von Chocolatey Seite
# https://chocolatey.org/install
# einfach die Copy&Paste Zeile mit Maus anklicken und in der
# PowerShell Konsole mit rechter Maus wieder einfügen
# ======================================================================
# hier die fragliche Installzeile für die Admin-PowerShell
# Set-ExecutionPolicy Bypass -Scope Process -Force; [System.Net.ServicePointManager]::SecurityProtocol = [System.Net.ServicePointManager]::SecurityProtocol -bor 3072; iex ((New-Object System.Net.WebClient).DownloadString('https://chocolatey.org/install.ps1'))
# die Chocolatey Install Seite zeigt auch, wie man die install.ps1 einfach
# manuell herunterladen kann, um diese vorher zu inspizieren!
# ======================================================================
# Chocolatey nutzen/testen
# ======================================================================
choco version
choco list --local-only # oder kurz: choco list -l
# Alle Packages für Chocolatey online recherchieren:
# https://community.chocolatey.org/packages
# ======================================================================
# Chocolatey CMSOD Installationen:
# Wichtig: Admin-PowerShell nutzen
# ======================================================================
# Browser (mindestens 2 Browser für Entwicklungsumgebungen nötig)
# ======================================================================
choco install -y firefox
choco install -y chromium
# oder auch ungoogled-chromium (!)
# choco install -y opera # hat aktuell leichte Fehlermeldungen
# ======================================================================
# Tools: Editor, Zipper, Windows Werkzeuge, Git
# ======================================================================
choco install -y notepadplusplus --x86
choco install -y vscode
choco install -y 7zip
choco install -y powertoys
choco install -y git
choco install -y riot
choco install -y zeal
# ======================================================================
# Experten-Tools für Websiteentwicklungen (siehe SASS und Co)
# ======================================================================
choco install -y nodejs
choco install -y python3
Der Clou: die gesamte gewünschte Software ließe sich auch mit einem Einzeiler installieren (oder einfach automatisch per Skript).
Für Skripte muss natürlich die Ausführberechtigung der PowerShell gesetzt werden.
# PowerShell vorbereiten: (ggf. schon auf Trainingssystemen konfiguriert)
# ======================================================================
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
Get-ExecutionPolicy # ergibt RemoteSigned
Und natürlich installiert man sich nur die wirklich benötigte Software und nicht noch irgendwelche Extras aus, die man beim manuellen Installieren in den Setup-Dialogen übersehen hat.
Für die Softwareverwaltung reichen dann einfache Befehle
choco /?
choco outdated
choco list
,choco list -l
choco install
,choco install /?
choco upgrade swname
,choco upgrade all -y
in der Windows PowerShell.
Scoop
Ein Command-Line Installer für Windows.
Microsoft Office¶
(nicht in jedem Seminar)
Beispielhafte Installation über ISO (bei Windows 10 einfach per Rechtsklick bereitstellen)
Installation bitte „Anpassen / manuell durchsehen“; spezielle Auswahlmöglichkeiten: Alles Installieren oder bei Erster Anwendung installieren
Office-Installation aktivieren über Kategorie Datei - Konto Programme dann natürlich testen: Dokumente erstellen / speichern / öffnen
Office Updates über die Windows Updates integriert
Hinweis
Bei Office 365 eigene Updatdatechnik unabhängig vom Windows-Update
Drucker¶
Über „Geräte und Drucker“ lassen sich automatische Netzwerkdruckerinstallationen für (z.B.) „HP Laserjet Color 500 Modell m551“ finden und installieren.
Technische Unterscheidung:
bei Netzwerkdruckern liegen Treiber und Druckaufbereitungen auf den jeweiligen Windows-PCs
bei Druckservern liegen Treiber/Druckaufbereitungen zentral auf Druckserver
…tbc…
Datensicherung (Backup)¶
Unterscheidung: Systemdaten vs. Eigene Dateien
Einschätzung von Wichtigkeit und Sicherungstechnik Images für komplette Laufwerke
klassische Trennung:
Datei-/Ordner-orientiert (Daten) vs. Images (System) - Backup-Software kombiniert heute diese Ansätze
Windows Werkzeug:
Dateiversionsverlauf mit Dateisicherungen von Bibliotheken und Desktop
Dort auch Link für Systemabbildsicherung (unten links) verfügbar;
In Vorversionen Vista / Win7 bitte Systemsteuerung - Sichern und Wiederherstellen
Gründe für Datensicherung:
Diebstahl,
Malware,
Feuer,
Wasser, …
Alternative Backup-SW:
Clonezilla (kostenlos, Linux-basiert, englisch, fachlich anspruchsvoll),
Acronis True Image (nicht kostenlos, deutsch, einfach, mulitfunktional: Image und Dateien)
Datensicherungsstrategie (W-Fragen)
Wer? (Verantwortlicher, Stellvertreter), Wann/Wie? (Zeiten, Zyklen, Backupart komplett/ differentiell/ inkrementell), Worauf? (Medien: ext. HD mit USB oder eSATA, NAS, CD/DVDs), Wo? (Aufbewahrungsort, klimatisch passend, räumliche Trennung, sicher),
Dokumentation und Testen der Strategie bitte nicht vergessen!
Special der Zeitschrift c’t aus dem Heise Verlag:
(erschienen am 23.12.2014; aktualisierte Versionen verfügbar) Axel Vahldiek, Rettungsring für Windows 8.1 / 10, c’t-WIMage erzeugt Backups ihrer Systempartition - aktualisiert in 2016 mit Windows 10 Techniken ( Link heise.de)
Sicherheitsprinzipien¶
Die Zusammenfassung und Darstellung der Best Practises zu diesem Topic ist mittlerweile in vielen Online- und Offline- Dokumentationen zu finden. Ich will hier auf die Security Checklisten der Zeitschrift c’t hinweisen.
Seit mehreren Jahren gibt es hierzu jährlich Grundlagenartikel in der Zeitschrift und Online frei verfügbare PDFs.
Die 2023er Version findet sich unter https://ct.de/check2023.
Hinweis
… oder „Wenn das doch nur alle machen würden“ ;-)
Stichworte zu Best Practise beim Umgang mit IT:
Updates
Operating System (OS) und Software (SW) stets aktuell halten
also: Updates durchführen!
Anti-Malware (Anti-„Schädlingssoftware“ - klass.: Antiviren-SW)
ab Windows 8 „Verschmelzung“ des „Windows 7 Defender“ und der „MS Security Essentials“ zu „Windows Defender“
seit Windows 10 unter Namen: Windows Defender Security Center
Erinnerung: c’t Desinfect wird jährlich von Zeitschrift c’t aufgelegt und als Heft-DVD bereitgestellt (z.B. 12/2017 Ausgabe mit Virenjägern von Avira, E.set, F-Secure, Sophos)
Desktop-Firewall
bei Windows mit eingehenden und ausgehenden Regeln als Service (Dienst integriert
UAC-Benutzerkonzept - Windows mit eingeschränkten Rechten nutzen
also: Standardbenutzer vs. Admin
NTFS-Zugriffsschutz auf Benutzerebene
NTFS Dateisystem nutzen sieheRegister Sicherheit; also: NTFS statt FAT32
System vs. Daten
Trennen von System- und Datenbereichen - auch besser für Backup und Co
USB-Medien restriktiv nutzen
USB-Wechselmedien und unbekannte Datenquellen meiden
Technikverständnis bei Anwendern (siehe IT-Schulungen ;-) und Common Sense
also: gesunder Menschenverstand bei Nutzung von E-Mail/Anhängen und speziellen „verräterischen“ Websites
Online Zugang sichern
Online-Zugang über vernünftig vorkonfigurierte „Breitband-Router/ Online-Zugänge“
z.B AVM FritzBox; technisch: NAT-Routing (mehr dazu gerne bei Netzwerken)
Online Technik sauber nutzen
Beim Surfen im Netz auf Websites achten, Downloads kritisch sehen und natürlich auch beim E-Mail-Nutzen die Anhänge spektisch betrachten.
Wie gesagt: Wenn das Alle beachten würden, dann hätten wir weniger Trouble.
Bibliothek, Zeitschriften¶
Hinweis auf Computerfachzeitschriften: (Empfehlung)
c’t (aus dem Heise-Verlag)
Alternativen:
PC Welt
PC Magazin / PC Go
Chip
Auch Sonderhefte mit Themen wie Security, Datenrettung oder Hardware inkl. Rettungsmedien (DVDs) z.B.2017: Projekte
c’t Desinfect
c’t Notfall Windows 2018 und folgende Jahre
Im Seminar (Herbst 2019): c’t Notfall Windows 2020 - Heise online Beitrag
Im Seminar (Herbst 2023): c’t Notfall Windows 2023 - Heise online Beitrag 2023
Buchempfehlung: Das umfassende Handbuch - Windows 10 Pro aus dem Rheinwerk-Verlag (früher Galileo Verlag)
Beim Rheinwerk-Verlag mit Windows 11 - Das große Handbuch (für Einsteiger in Windows) fortgesetzt.
PC Technik (HW)¶
Die Technik für PCs, Server und Co…
Die meisten Darstellungen in diesem Bereich erfolgen per Vortrag und Online-Recherche.
Recherchen / Infos
Wikipedia-Recherche (de.wikipedia.org);
Zeitschrift: c’t (Zeitschrift für Computertechnik aus dem Heise Verlag)
…tbc…
Hardware¶
Allgemeine und besondere Details zu HW-Techniken und -Komponenten
32-/64-Bit Technik¶
Technik hat mit 8-Bit begonnen dann 16-Bit, 32-Bit und aktuell 64-Bit, … (siehe GPU / Grafik-RAM-Anbindung)
Hardware / CPU Technik
Erste 64-Bit-CPU im Massenmarkt: AMD Athlon 64 (ca. 2003!)
64-Bit Technik ist also schon lange präsent. Anfangs war sie aber noch nicht attraktiv, da die nutzende Software (Betriebssysteme / OS, Anwendungen / Programme) noch nicht als 64-Bit-Versionen vorlagen.
Siehe hier vor allem die Software zur Unterstützung/Konfiguration der Hardware: Treiber.
Technische Darstellung: 4 GB Adressbarriere mit 32-Bit-Technik
siehe Rechnung: 232 addressierbare Bytes (4*1024*1024*1024 Bytes)
Eselbrücken:
210 = ki = 1014
220 = Mi = 1024 * 1024
230 = Gi = 10243;
also: 232 = 22 * 230 = 4 Gi
Zusammenspiel HW + SW¶
Zusammenspiel von Hardware (HW) und Software (SW) - hier von oben nach unten:
Hardware (Motherboard mit Chipsatz und Konfigurations-/Verwaltungssoftware BIOS/UEFI)
auf die Hardware wird installiert:
Betriebssytem (Operating System - OS; heute nahezu ausschließlich in 64-Bit-Technik)
auf das Betriebssystem wird dann installiert:
Anwendungsprogramme / Software (sowohl in 32- als auch 64-Bit-Technik)
Wobei dann nur 64-Bit-OS/Programme natürlich auf RAM mit mehr als 4 GiB zugreifen können (klassisches Beispiel: Adobe Photoshop in 32 und 64 Bit)
Wichtiges Grundverständnis im Vorgriff auf Arbeitsspeicher (RAM):
Hinweis
Alle Programme und Daten - egal auf welcher der genannten Ebenen - müssen sich im Arbeitsspeicher befinden für die Programmausführungen!
Die sogenannten Auslagerungsdateien (oder auch Auslagerungspartitionen) stellen nur eine Krücke dar!
Plug & Play¶
Das sogenannte PnP (Plug & Play) beginnt bei der fähigen Hardware und setzt sich dann über das entsprechenden BIOS/UEFI fort bis hin zum entsprechenden Betriebssystem.
Eine Inbetriebnahme von Hardware im laufenden Betrieb wird als Hot PnP bezeichnet.
Central Processing Unit¶
Intel CPU/Hardwareinfo Website INTEL ARK mit Prozessorendetails - ARK: Automated Relational Knowledgebase
Hersteller bzw. CPU-Plattformen:
INTEL
AMD
ARM
Es gab/gibt auch andere Hersteller, deren Bedeutung allerdings (aktuell) vernachlässigbar ist.
Besondere Bedeutung erlangten in den letzten Jahren die ARM Prozessoren durch Ihren Einsatz in Mobil- und Server-Plattformen. Auch im Highend-Bereich gibt es mit den Apple-M1-Rechnern entsprechende Bauformen.
Eine Recherche zu Hardware-Plattformen und CPUs ergibt eine klassische Trennung in Einsatzbereiche:
Desktop,
Mobile und
Server
Die Eigenschaften der unterschiedlichen Einsatzgebiete sollte man diskutieren und kennen.
Sockel (engl. Socket) unterschiedlich für INTEL und AMD CPUs!
(keinerlei Kompatibilitäten - sind immer eindeutig!)
Namensgebungen Intel:
Pentium
Pentium 4
Core
Core i
Core M, Atom (für sehr stromsparende Systeme)
Xeon (Server)
Namensgebungen AMD:
Athlon
Athlon 64
Phenom
AMD A4 / A6 / A8 / A10, AMD FX
Ryzen
Epyc (Server)
Bei Server-CPUs also:
XEON (Intel)
Opteron (klass.) / Epyc (aktuell) (AMD)
Klassische Modellreihen für Einstiegstechniken (günstige Systeme):
INTEL Celeron (oder auch wieder Pentium)
AMD Duron / Sempron
INTEL Sockel¶
(Link Wikipedia Sockel Intel/AMD)
370 (Pentium III)
478 (Pentium IV)
775 (Core Duo, Core 2 Duo)
LGA 1156 (nur kurz im Massenmarkt!
Also: Vorsicht bei gewissen Sockelgenerationen/Sockelwechseln)
LGA 1155 (Core i3, i5, i7 - 2rd/3rd Generation bzw. Sandy Bridge/Ivy Bridge)
LGA 1366, 2011 (oder auch: 2011-v3)
Auflistungen nicht vollständig ;-)
LGA 1150 (Core i3, i5, i7 - 4th Generation bzw. Haswell)
Aktueller Sockel in 6th Generation (Skylake) bzw. 7th Gen. (Kaby Lake) Technik:
LGA 1151 und 1151v2 (mit Core i-Prozessoren mit 6xxx-er / 7xxx-er Nummerierung)
Modellvergleich:
Intel Core i5 7600
Intel Core i5 7600K (freier Multiplikator „41“) siehe: 41 * 100MHz = 4,1GHz)
Intel Core i5 7600T (energiesparsamer)
TDP (Thermal Design Power - Verlustleistungen) von
35 W (T)
65 W bis
91 Watt (K) bei den genannten Core i5 7600 CPUs
in 2017/I: AMD veröffentlich Ryzen Technik und kann wieder sehr gut auch im oberen Leistungsbereich mithalten und legt mit Ryzen Threadripper sogar Ende 2017 noch einen drauf!
in 2021: AMD bestimmt die Highend Systeme bei Desktops und Notebooks. Wegen Lieferschwierigkeiten kann Intel im LowCost und Standard-Segment auf- und überholen.
CPU Technikdetails¶
Prozessoren haben viele technischen Details:
Taktrate (GHz)
Herstellungstechnik (nm - sind 10-9m, also Milliardstel Meter)
Beispiel: Fertigungstechniken INTEL Sandy Bridge 32nm vs. Ivy Bridge 22nm
Technik-(Rück-)Blick: Haswell und Broadwell;
Aktuelle Techniken dann gar nur mit 14 nm oder weniger - Skylake oder aktueller Kaby Lake),
Cache (schneller Zwischenspeicher in kB/MB Größen, Level 1 bis Level 3 - in der CPU integriert)
Verlustleistung (TDP - Thermal Design Power, quasi was die CPUs „verbraten“)
Mehrkern-Technik (klass. also z.B. Core Duo bei INTEL bekannt, auch Quad-Core oder 6-Kern, 8-Kern)
Befehlssätze (Beispiele INTEL: MMX, SSE, SSE2, SSE3, SSE4)
Virtualisierungstechnik (INTEL: VT-x - Vanderpool Technology, bei AMD: Pacifica),
Hyper-Threading (INTEL: „virtuelle“ Prozessoren - s so werden aus Quad-Cores mit HT im Taskmanager 8 Kerne),
Preise
Hinweis Andere CPU-Hersteller: ARM
Komplettsysteme auf ARM-Basis - siehe Tablets / 2-in-1 mit der Einführung von Windows 8 ab Oktober 2012 (!).
Prozessoren z.B.: Nvidia Tegra 2/3, Qualcom Snapdragon für Smartphones und Tablettechniken
Komponenten kühlen¶
CPU werden in der Boxed-Versionen inklusive Standardkühlkörper/Lüfter der Hersteller ausgeliefert.
Diese Intel/AMD sind funktionstüchtig aber oft auch laut.
Anm.: aktuelle Core i Intel liegt auch in Boxed Versionen oft keinen Kühlkörper mehr bei!
Spezielle Kühlkörper von Spezialherstellern (z.B. Scythe, Alpenföhn, Arctic Cooling) sind ab ca. 20-40 Euro aufwärts im Markt erhältlich.
Der Chipsatz auf Motherboard ist fest verdrahtet und und oft mit passivem Kühlkörper abgedeckt.
Formfaktoren¶
Einige Favoriten über die Jahre mit dem Anfang mit dem
AT-Formfaktor (PC-Urahn) dann
ATX (mit verkleinertem Standard Micro / µATX), Abmessungen siehe Wikipedia-Artikel
(Link),
BTX (als Plan für die Bekämpfung von Wärmeproblemen in PC-Gehäusen - hat sich nicht im Massenmarkt durhgesetzt),
ITX (als Mini- oder gar Nano-ITX-Varianten für Mini-PCs in Form von sogenannten „Cubes“ (Barebones) oder Home-Theatre-PCs / HTPCs)
Entwicklungen:
Intel NUC (NUC - Next Unit of Computing; Mini-PCs nach Idee von Apples Mac mini)
Wichtig: bei so kleinen Formfaktoren wie NUC darf dann aber auch wirklich nicht viel „Wärme“ (TDP) erzeugt werden!
Zusammenhang später: ATX-Gehäuse, ATX-Netzteile
ATX-Formfaktor¶
Erinnerung an Übersicht Formfaktoren: AT (alter PC-Standard), ATX, BTX, ITX, Nano-ITX
immer noch aktuell: ATX-Formfaktor - also:
ATX-Gehäuse (Schraubpositionen im Gehäuse, Dimensionen, Rückblenden)
ATX-Motherboard (Verschraubungspositionen, Energieversorgung)
ATX-Netzteil (24-pol. Versorgung Motherboard / 4-pol-/8-pol. 12 V
CPU-Zusatzversorgung, Energieverbraucher: HDD, SSD, Grafikkarte!)
Komplettsysteme (fast immer) als microATX (microATX) : ca. 5 cm schmaler - also weniger Steckplätze; häufig auch nur 2 RAM-DIMM-Sockel
Netzteil¶
Alle bisherigen Teile müssen durch das Netzteil mit der notwendigen Gleichspannungsversorgung - gewandelt aus unserem 230 V / 50 Hz Wechselspannungsnetz - versorgt werden!
Möglichst ohne große Verluste - also mit möglichst hoher Energieeffizienz siehe 80+ und Begriff „Wirkungsgrad“)
Es sind auch passive Netzteile möglich (ohne Lüfter, aber: teuer).
Kabelmanagement: hier insbesondere Versorgungen 12 V Zusatzversorgung für CPUs mit 4/8 Pins oder auch die 6/8 Pin Versorgungen für PCI Express Grafikkarten
Bei Netzteilen also Leistungen, Leitungen und Kabelmanagement beachten!
Gehäuse und Netzteil¶
Recherche zu diesen Baugruppen,
Tipp
Videos von Herstellern und Einblicke in die Techniken erhalten
Hinweis zu Technik-Webseiten/Portalen: tomshardware.de , pcgameshardware.de , caseking.de
Hardware immer spezifisch¶
optimiert für …
Desktop
Preis/Leistung gewünscht, einfacher Einsatz (also große Treiberunterstützung)
Mobile
Energieeffizienz (Energie sparen wegen Akku-Versorgung) - lange Laufzeiten
Server
24/7 (läuft rund um die Uhr), aber natürlich auch Energieeffizienz gewünscht und meist höhere Performance (Geschwindigkeit, Arbeitsspeichergröße)
CPUs für Server:
INTEL Xeon vs.
AMD Epyc (früher: Opteron)
Anm.: auch ARM-Prozessoren im Server-Markt (wegen Stromsparfunktionen)
Motherboard + Chipsatz¶
… sind untrennbar miteinander verbunden und die wichtigste Entscheidung für eine Systemauswahl!
Motherboard¶
(bzw. Mainboard; dt. Hauptplatine)
Zentrale Baugruppe mit:
Sockel (Socket) für Prozessoren (CPU)
Chipsatz
Zentrale für alle Busse, Anschluss- und Schnittstellentechniken - wichtigstes Detail des Boards
Empfehlung: Layout mit Positionen für Sockel und Co besprechen und kennen!
Online-Recherche bei Herstellern ASUS und MSI, Revisionen (Hardware-„Versionen)
Erster Hinweis auf BIOS-Technik (ggf. dann auch Unterstützung neuer CPU-Generationen möglich)
Handbücher (engl. Manuals) als Beilage bzw. Download (normalerweise Englisch - in Ausnahmen auch Deutsch)
Übungen:
genutzte HW analysieren (s.a. CPU-Z)
Chipsatz¶
die Schaltzentrale für gesamte Technik (Wikipedia Link Chipsatz) auf dem Motherboard - legt also alle technischen Möglichkeiten Ihrers Systems fest.
Ein Austausch erfordert in den meisten Fällen die Neuinstallationen von Betriebssystemen!
Die aktuellen Chipsätze sind leistungsfähiger, aber auch ohne alte Aufgaben wie Speicher-Controller (heute oft in die CPU integrierte Speicher-Controller und On-CPU-Grafiken statt früher On-Board-Grafiken).
Der Chipsatz - die zentrale Baugruppe auf den Hauptplatinen von PCs und Notebooks.
Mit diesem Baustein werden alle Eigenschaften unseres System definiert und festgelegt. Bau dem Kauf einer neuen Hardware entscheidet man sich also professionell für den geeigneten Chipsatz!
Es gibt immer mehrere Chipsätze für die Entwicklungstadien bei den HW-Herstellern im Markt.
Beispiel / Momentaufnahme für Intel-Plattformen:
Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake,…
Microprozessorsysteme (allgemein)¶
Die drei Standard-Busse nach Von-Neumann-Architektur:
Adressbus
Datenbus
Steuerbus
Bussysteme nach Von-Neumann-Architektur (1945); allerdings: ähnliche Arbeiten auch schon in den 1930er Jahren durch Konrad Zuse!
HW-Erkennung¶
Automatisch HW-Erkennung und Resourcen-Zuordnung mit Plug & Play (PnP)
früher:
manuelle Konfigurationen mittels Jumpern (Steckbrücken) oder DIP-Schaltern („Mäuseklaviere“) auf Motherboards oder Steckkarten
heute:
Hardware vereinbart automatisch über alle beteiligten PnP-taugliche Techniken die notwendigen Resourcen
beteiligte PnP-Partner:
Hardware
BIOS/UEFI
OS Operating Systems
Resourcen:
IRQ
Interrupt Requests (Unterbrechungsanforderungen von Geräten für/an CPU)
DMA
Direct Memory Access (Direktleitungen in den Arbeitsspeicher für Geräte)
Speicheradressierungen
Reservierung von RAM-Bereichen für Geräte
I/O-Ports
Eingabe/Ausgabe Adressen (quasi Anschrift/Adresse für Geräte/Schnittstellen)
Windows Gerätemanager zeigt dann die Infos über die Geräte und Ressourcen; Unbekannte Geräte sind immer „erkannt“ aber ggf. noch ohne Treiber!
Recherchewebsite für „unbekannte/Treiberlose“ Geräte: (VEN - Vendor/Hersteller-ID; DEV - Geräte-ID)
(INAKTV - 2021) www.pcidatabase.com
Hot-PnP: Erkennen / Inbetriebnahme im laufenden Betrieb
Speichertechnik¶
hier unsere Halbleitertechnologien für ROM, RAM und Co…
Speicher¶
ROM
Read Only Memory: nur Lesen, fest/nicht flüchtig - als BIOS-Baustein
Hier: veränderliche Daten im NVRAM/CMOS-RAM inkl. Batterie-Pufferung, Batterie versorgt auch RTC - Real Time Clock
RAM
Random Access Memory): Lesen / Schreiben, flüchtig(Speicherverlust bei Unterbrechung der Strom/Spannungsversorgung - unsere PC-Arbeitsspeicher sind als DRAM ausgeführt)
SRAM
Static RAM - z.B. in Caches von CPUs verbaut (kein Refresh nötig!)
DRAM:
die Lösung für Arbeitsspeicher (Dynamic RAM - bedeutet muss gepflegt / refresht werden)
Technische Umsetzungen in Form von: (uralt: FP-DRAM, EDO-DRAM, PS/2-Module, …)
SDRAM (Synchronous DRAM) und die Überarbeitungen und Nachfolger
DDR(-SDRAM), DDR2, DDR3, DDR4 (DDR steht allgemein für Double Data Rate);
neuer und speziell:
DDR3L-SO-DIMM (LPDDR3 für Notebooks mit Low Voltage: z.B. ca. 1,35 statt um die 1,5 V)
Intel-Core-i ab der 6. Generation (und deren Chipsätze) unterstützen DDR4 als Standard-Speichertechnik und es sind bis zu 16 GB oder auch 32 GB Speichermodule erhältlich!
Das ergibt (bei 4 Steckplätzen): 64 GB Ausbau bei Skylake/Kaby Lake Motherboards und 128 GB bei den Nachfolgern!
Hinweis
Empfehlung: alle technischen Umsetzungen im Standard-Preissegment diskutieren.
Preisrecherchen: DDR4
Status Februar 2017: ca. 7-8 € / GB
Status Oktober 2018: ca. 8 € / GB
Status Oktober 2021: ca. 5 € / GB
Speicher - technische Parameter¶
Auflistung / Übersicht:
Taktraten, effektive Taktraten
Zugriffszeiten in ns,
CL-Werte (Timing: hier CAS Latency),
Spannungsversorgung (V - Volt)
Bandbreiten (GB/s), Dual-Kanal-Technik
Bezeichner für Module (DDR4 bzw. PC4)
Preise
Pins (Anzahl Anschlüsse/Signale)
Anzahl Kerben (SDRAM 2 Kerben, DDR 1 Kerbe)
DIMM (Dual Inline Memory Module
Bauform mit zweiseitiger Kontaktierung; statt SIMM - Single IMM),
SO-DIMM (Small Outline DIMM, Notebooks, Netbooks, Laserdrucker),
ECC, und Registered (Hinweise auf Inkompatibilität bei Standardboards, Servertechnologien),
SPD (Serial Presence Detect - siehe auch gleichnamige Registerkarte bei CPU-Z)
Anmerkung: Beispielrechnungen für Datenraten und Co in Tabellen des DDR-Wikipedia-Artikel !
Hinweis für Rechnungen: seit Pentium (ca. 1993) ein 64-Bit Datenbus (also 8 Byte breiter „Kanal“ zum RAM)
Tipp
Aufrüstung von „limitierten Systemen“ (Notebooks/Ultrabooks, MicroATX/ µATX) diskutieren und kennen!
Testsoftware für Speicher: www.memtest.org (Memtest86)
Schnittstellen¶
… in einer klassischen Übersicht als Faltposter einer Fachzeitschrift:
Der Scan zeigt auch bereits veraltete Schnittstellen (Stichwort: Legacy).
Schnittstellen (I)¶
PCI-Bus (33 MHz, 32-Bit → 133 MB/s)
klassischer Bus (alle teilen sich Bandbreite, am Anfang und Ende terminiert)
Grafik-Spezialanschluss:
AGP*-Port (1x mit 266 MB/s, Varianten mit 2x, 4x und 8x-AGP)
exklusive Lösung für Grafikkarten bis zur Einführung einer universellen neuen Bus-Technik
PCI Express (PCIe)
PCIe ist die neue Allrounder-Lösung und basiert auf Lanes („Autobahnspuren“, Datenanbindungen).
PCIe-Versionen mit unterschiedlichen Bandbreiten/Geschwindigkeiten:
1.0 - 250 MB/s
2.0 - 500 MB/s
3.0 - ca. 1 GB/s (985 MB/s)
4.0 - ca. 2 GB/s (1969 MB/s)
Steckplätze: lange und kurze Versionen
Die erste lange Version in Nachbarschaft CPU: x16-Platz für Grafikkarte (PEG - PCI Express Graphics)
Kurze Steckplätze x1 (x1 / x4 Lane) für diverse Erweituerungskarten wie NICs, Sound, Speicher oder Anderes
Hinweis
x1-PCI-Karten (also mit kurzer Steckleistee) sind auch in den langen Steckplätzen einsetzbar!
Wichtig: Unterschied zu PCI Steckplätzen auf Motherboards identifizieren!
Schnittstellen (Teil II)¶
Legacy Techniken (alle ohne PnP !):
ISA
PS/2
Serielle Schnittstelle (COM, RS232)
Parallele Schnittstelle (LPT, Centronics bei Druckern)
Eine beispielhafte Anordnung auf der Motherboard-Rückseite:
Interne Laufwerkscontroller:
SATA (Serial ATA)
Serielle schlanke Übertragungskabel; bessere Stromversorgungsstecker; mehr Anschlüsse (min. 6 Laufwerke)
Standards:
SATA-I (1,5GBit/s → 150MB/s)
SATA-II bzw. SATA 3G (3GBit/s → 300MB/s) und
SATA-III bzw. SATA 6G mit 6GBit/s → 600MB/s und damit schnell genug für SSDs im Standard-Betrieb
Vorher IDE / PATA - Parall ATA) für Datenträger / Laufwerke
IDE/PATA techn.: UDMA 66/100/133 also bis zu 133 MB/s mit insgesamt 2*2=4 LW und jeweils 2 Laufwerke (LW) an einem breiten 40-poligen IDE-Kabel.
USB (Universal Serial Bus):
Versionen:
USB 1.0/1.1 (1,5 / 12 MBit/s)
USB 2.0 (480 MBit/s)
USB 3.0 (5 Gbit/s)
Ab USB 3.0 wird auch die Stromversorgung modernisiert
Laden über USB möglich: PowerDelivery (PD).
USB 3.1 (10 Gbit/s)
USB 3.1 - Einführung in 2014 mit 10GBit/s (SuperSpeed+ - Artikel in c’t und Golem.de zu USB 3.1)!
USB 3.2 Gen 2 (10 Gbit/s bei Gen 2)
USB 3.2 Gen 2x2 (20 Gbit/s bei Gen 2x2)
USB 4.0 (40 Gbit/s) Nachfolger von 3.2 und mit Thunderbolt zusammengeführt!
Die theoretischen (maximalen) Geschwindigkeiten (Bandbreiten) mittels Teilung durch 10 ermitteln:
USB 2.0 also 48 MB/s (praktisch ca. 20MB/s) und USB 3.0 also 500MB/s (gute externe 3,5 Zoll USB-HDs erreichen über 150MB/s und mehr).
Neuer frei orientierbarer/drehbarer Stecker / Buchse: Typ C (der wird dann auch bei Thunderbolt genutzt)
Rechenbeispiel zu USB:
Geschwindigkeit für 20 GB Datenübertragung: fast 17 Minuten mit USB 2.0 aber nur gut 2 Minuten mit USB 3.0
Recherche:
Motherboards mit USB 3.0 / 3.1 / 3.2 / 4.0 / Thunderbolt - Steckplätze-Zuordnung Rückseite; Motherboards wieder über Handbuch-Recherche
Thunderbolt - als Multi-Funktionsschnittstelle mit 10 / 20 / 40 GBit/s (Thunderbolt Versionen 1 bis 3),
Nach der Einführung bei Apple auch bei PC-Systemen zu finden (Motherboards, Notebooks) benutzt auch den USB Typ C Stecker, also äußerlich mit USB 3.x Typ C gleich!
besondere Schnittstellen (soll heißen: „älter“/Auslaufmodelle oder ohne Massenverbreitung)
FireWire (IEEE 1394) - vertreten bei Apple und vormals DigiVideoCams; 400 MBit/s oder auch FireWire 800 mit dann 800 MBit/s (in IT auf Rückzug - aktuell sogar als FireWire 3200 Norm)
eSATA - externes SATA; bei ausgewählten Motherboards vertreten; beachten: möglicherweise kein Hot PNP (also Ankoppeln im laufenden System)
Spezielle Notebook-Schnittstellen:
PCMCIA (klassisch) - moderner als ExpressCard ausgeführt (kaum noch vorhanden, da technisch jetzt immer USB genutzt wird)
Grafiktechnik¶
Von der Erzeugung der Pixel bis zur Ausgabe…
Grafiklösungen¶
(techn. Umsetzungsvarianten)
als Grafkkarte mit eigener GPU (Graphic Processing Unit) und eigenem Grafik-RAM
klassische On-Board-Lösung - also im Chipsatz integriert (ohne eigenen Grafik-RAM)
in modernen CPUs integriert (iGPU): Core i5 7400 mit Intel HD Graphic 630
bei AMD sogenannte APUs (Accelerated Processing Unit) wie AMD A8-5600K oder die aktuelleren Ryzen-Prozessoren
bei Varianten b) und c) wird ebenfalls Grafik-RAM benötigt, der hier vom Arbeitsspeicher genommen wird: Shared-Memory!
Übung:
erste Recherchen zu Preisen, Leistungen (auch hier TDP/Wärmentwicklung - Watt - also: aktive Kühlungen/Lüfter)
zusätzliche Stromversorgung(en) durch Netzteil nötig
Grafikausgabe¶
Grafiktechnik mit GPU, Grafik-RAM (GDDR), Ram-DAC (Digital-Analog-Converter),
Ausgänge:
VGA
DVI
HDMI
DisplayPort (DP)
Thunderbolt
Analyse/Übung: analog und/oder digital, mit/ohne Sound
Betriebssystem-seitige Konfigurationen von
Auflösung
Farbtiefe
Bildwiederholrate** (Hz)
Beispielhafte Auflösungen:
1024*768 (4:3)
1208*1024 (5:4)
1600*900 (16:9)
1920*1080 (Full-HD, 16:9)
1920*1200 (16:10)
3840*2160 (UHD oder auch 4k-bezeichnet)
Alles ab FHD für 27+ Zoll Monitordiagonale (Beachten: Dual-Link-Technik bei DVI)
Diese anspruchsvolleren Monitore dann auch mit höheren Auflösungen: 2560 * 1440 oder die neuen 4k / UHD: 3840 * 2160 entspricht 8.294.400 Pixel (eigentlich wäre 4k-Technik mit 4096 Pixeln)
5k-Monitore erhältlich: 5120 x 2880 Pixel; hört sich erst einmal nicht nach mehr an - aber mit insgesamt 14.745.600 Pixeln hat man 77% mehr Pixel als bei der UHD-Auflösung! (Tipp: Anschlusstechnik bedenken)
Und natürlich ist hier nicht Schluss und man kann sich auch 8k-Monitore leisten.
Die Grafik aus der Dell Produktseite zu Modell Dell UltraSharp 32 PremierColor UltraHD 8K Monitor: UP3218K.
Wir berechnen uns mal die Grafiklast pro Monitorbild: 2D-Grafik-Rechenbeispiele:
1280 * 1024 Pixel * 32 Bit/Pixel = 5.242.880 Byte = 5 MiB
1920 * 1080 Pixel * 32 Bit/Pixel = 8.294.400 Byte = 7,9 MiB
Also reichten viele Jahre Grafikkarten mit 4 bis 8 MiB aus!
Die aktuellen großen Grafik-RAM (z.B. 2GB, 4GB, 6GB, 8GB, 11GB !) sind wegen der diversen Grafikzusatztechniken nötig:
3D (Z-Puffer),
Texturen (kleine Bitmaps für Oberflächen),
Gitternetzmodelle (Koordinaten / Berechnungen),
Kantenglättungsberechnungen (Anti-Aliasing, FSAA),
physikalische Berechnungen, …
Hinweis
Die Grafikkarten sind quasi eigene kleine Spezialrechner!
Monitor-Anschlüsse¶
Anschlusstechniken für Monitore:
VGA (analog, der klassiche 15-polige Sub-D-Stecker aus den Röhrenzeiten),
HDMI (eigentlich aus der Home-Video-Ecke, Standards: z.B. HDMI 1.4a; inkl. Sound, UHD mit 60 Hz erst ab HDMI 2.0),
DVI (-A analog, -D digital, -I integrated A und D; Pinbelegungen 5+24, Dual Link ab ca. 1920 * 1200 Pixeln Auflösung, DVI ohne Ton, Adapter DVI-VGA für Analoge Displays/Röhren),
DisplayPort (DP - der aktuelle und zukunftsorientierte Port mit allen genannten Techniken und auch höchsten möglichen Auflösungen - bitte auf mindestens Version 1.2 achten für die neuen 4k/UHD-Monitore, damit 60 Hz möglich sind; aktuell DP 1.4)
Anm.: HDCP (High Definition Copy Protection), alle Bauformen auch jeweils als Mini-Stecker am Markt
Tunderbolt 3: eine Schnittstelle, die „Alles vereint“ mit Hilfe einer digitalen seriellen 40GBit/s Schnittstelle!
Alte Anmerkung (ca. 2018): Die TB-Technik ist in vereinzelten Motherboards (Beispiel: Motherboard Gigabyte GA-Z170X-UD5 TH (rev. 1.0) (Link - ca. 190 €; Notebook Dell XPS 13 9360 ab ca. 1.000 €) - war die aktuelle Empfehlung, falls Sie auf diese Schnittstelle nicht im Massenmarkt „warten“ konnten/wollten.
Auch bei Notebooks ist Thunderbolt (oder demnächst als USB 4.0) als Technik wünschenswert!
Monitore¶
Röhrenmonitor: klassische „Röhre“ (CRT - Cathod Ray Tube), baut Bild zeilenweise mittels Elektronenstrahl,
Bei CRTs sind Bildwiederholraten (Vertikalfrequenzen) für ergonomische Darstellungen (siehe TCO) mit >85 Hz nötig!
Flachbildschirme: Überbegriff TFT (LCD, LED Technologien), Paneltechnologien (Beispiel: TN vs. IPS)
Bilder werden als komplette Frames gewechselt, Bildwiederholraten ab 60 Hz (75 Hz, 85 Hz max. siehe Unterlagen Monitore/Beamer
Anm.: Monitor-Treiber sind nicht technisch notwendig, sondern nur für spezielle OS-Konfigurationen notwendig (z.B. Pivot).
Wichtig
Wichtig: Monitore immer mit nativer Auflösung betreiben
Die Größen von Schriften/Symbolen über das Betriebssystem anpassen.
Merkmale für Monitor:
Preis,
Größe,
Stromverbrauch
Bedienbarkeit (OSD On Screen Display Menü),
Pivot-Technik,
Reaktionsgeschwindigkeit (in ms),
ative Auflösung/Seitenverhältnis,
+Anschlüsse,
USB-Hub,
Audio-Ausgabe,
Displaytechnik, Panels (TN, IPS, VA, PLS, OLED, …)
Farbmanagement, Farbechtheit, Farbraumunterstützung (sRGB, AdobeRGB, …)
Oberfläche (matt / glänzend)
Pixelfehlerklassen
Bildschirmdiagonale in Zoll/Inch (2,54cm)
Auflösungen/Empfehlungen zu
24‘‘ (1920*1080 - FHD)
27‘‘ (2560*1440 oder UHD 3840*2160)
Gute Website für Monitore und Co: www.prad.de
Laufwerke / Datenträger¶
Hier landen unsere Systeme und Daten!
HDD Techdaten¶
Technische Werte:
Bauformen (3,5 / 2,5 / 1,8 Zoll),
Kapazitäten (GB / TB),
Schnittstellen
IDE bis ca. 133 MB/s für 2 Geräte
SATA: bis SATA 6.0Gb/s (entsprechend theoretisch bis zu 600 MB/s Lesen!),
Praktische Datentransferrate HD (> 150 MB/s),
Drehzahl (5400 / 7200 / 10000 U/min und mehr
Ab spätestens 7.200 U/min bitte auf gedämpften Einbau und Wärmeabfuhr/Kühlung achten).
Zugriffszeit (in ms), Cache (in MB),
Stromverbrauch (ca. 5 Watt und mehr);
Advanced Formate Festplatten (Advanced Format - 4k) mit 4096 Byte (4 kB) Sektorgröße (klassisch 512 Byte
Technik klassisch: CHS - Cylinder / Head / Sektor und dann auch LBA - Logical Block Adressing und bestimmte HD-Größengrenzen: aktuell 2,2 TB (mit BIOS/MBR) - hier auch jenseits dieser Größe kein Booten mehr mit BIOS-Technik mehr möglich!
Diagnose von Laufwerken mittels S.M.A.R.T. (Wikipedia-Link)
oder Tools:
Geschwindigkeiten testen mit CrystalDiskMark
oder Atto Disk Benchmark, …
SSD - Solid State Drive¶
Die moderne schnelle Festplattenalternative - quasi: superschneller interner USB-Stick - also ohne mechanische Elemente.
Nachteil: aktuell nur bezahlbare Größen bis ca. 1 oder gerne auch 2 TB. Das heißt natürlich nicht, dass auch mehr geht (aktuell - 2021 Okt: bis zu 8 TB mit dann aber auch Preisen jenseits von 1.000 €).
Vorteil: sehr schnelle Zugriffe (gemessen in IOPS - Input Output Operations per Second - Standard-SSD mit ca. 90.000 IOPS) und hohe Datenübertragungsraten/Bandbreiten (ca. 500MB/s).
Anschlussmöglichkeiten:
2,5‘‘ SATA SSD - also anschließen per SATA wie eine SATA-Festplatte
M.2 SSD - über M.2 Steckplatz auf Motherboard und mittels SATA-Controllertechnik; Standard-M.2-Modul: M.2 SSD 2280 (22mm breit * 80mm lang)
wie SATA SSD: ca. 500 MB/s Lesen (Schreiben geringer)
M.2 PCIe NVMe SSD - den M.2 Steckplatz im besten Fall direkt über 4 PCIe Lanes mit NVMe Protokoll (Achtung: OS Treiber beachten) anbinden (siehe Motherboard-Ausstattung)
höchstmögliche, schnellste Variante:
ca. 3.000 - 5000 MB/s Lesen und 1.500 - 3000 MB/s Schreiben bei ca. 300.000 IOPS
SD- und microSD Karten¶
Sehr großer Markt mit vielen Anbietern und technisch unterschiedlich wertigen Erzeugnissen:
Momentaufnahme: microSD 128 GB Karte von knapp 40 bis 220 € - sehr unterschiedliche Lese-/Schreibperformance
Praxishinweis:
Moderne DSLR (Digitale Spiegelreflex Kamera) erzeugt bei hohen Auflösungen (z.B. 24 Megapixel mit 6000x4000 Pixeln) pro Aufnahme in höchster Qualität und RAW-Format gute 25-30MB pro Bild
Also: 4 Bilder pro Sekunde knipsen verlangt also mindestens gute 100 MB/s Schreibrate (inkl. Caching in der Kamera)
Alt/Vorgängertechnik: CompactFlash Karten
Optische Datenträger¶
CD - Compact Disc - ca. 700MB; Brennbare Versionen CD-R / CD-RW
DVD - Digital Versatile Disc - ca. 4,7GB (DVD-5) bzw. 8,5GB (DVD-9); Versionen: DVD-R/+R, DVD-RW/+RW, DVD-RAM
BD - Blu-Ray Disc - ca. 25 bzw. 50GB
Langzeitzuverlässigkeit bei den gebrannten Medien nicht sehr gut (10 Jahre mehr als fraglich!)
Besser für Langzeitaufbewahrung: magnetische Datenträger oder auch USB-Sticks!
Es gibt allerdings Spezial-DVD bzw. -BD mit dem Versprechen auf Langzeitspeicherung.
Datenträger verwalten¶
Praxis mit der Datenträgerverwaltung und Einsicht in Tool diskpart
Erste Einblicke - Datenträgerverwaltung - Fachbegriffe (Partitionen, Dateisysteme, Formatieren)
RAID¶
Redundant Array of Inexpensive/Independent Disks
(Wikipedia Link) Versuch der Optimierung von Geschwindigkeit und Redundanz/Ausfallsicherheit, Software- vs. Hardware-RAID (Vor- / Nachteile)
Beispielhafte RAID-Level:
RAID 0 (Striping),
RAID 1 (Mirroring - Empfehlung für Serverinstallations-Volume),
RAID 5 (Striping mit Parität)
Anm.: diese 3 RAID-Level werden auch von den Windows Server Betriebssystemen als Software-RAID untertstützt („normale“ Windows Clients können 0 und 1).
Hinweis zur Nutzung von RAID bei NAS (Network Access Storage) und sehr speziellen HW-Unterstützungen (siehe Intel Matrix RAID).
NAS vs. SAN¶
Allgemein: immer Zugriff auf „Netzwerkspeicher“, aber Zugriff …
NAS - auf Ordner/Datei-Ebene per
SMB/CIFS (Win-Freigaben) oder
NFS (Linux-Freigaben/Exports),
FTP (File Transfer Protocol Service)
SAN - auf Blockebene - mit Techniken wie
iSCSI (Einrichtung eines iSCSI-Targets im NAS/SAN)
Zugriff über Clients wie Windows mittels iSCSI-Initiator dann erscheint der Netzwerkblock“ wie ein lokales Laufwerk im Windows Betriebssystem
Anmerkung zu iSCSI: hier benötigen wir keinerlei besondere Netzwerkgeräte, da Alles über das Standard-Ethernet abgewickelt wird. Das sieht bei anderen Techniken wie FC (Fibre Channel) anders aus. Dort kann man aber auch auf FCoE (Fibre Channel over Ethernet zurückgreifen.
BIOS / UEFI¶
Die Firmware und erste Systemzentrale unseres Systems…
Motherboard Handbuch¶
Alle relevanten Techniken eines Systems solltem man anhand eines aktuellen Motherboard-Manuals rekapitulieren können!
Anm.: ein Manual ist der „Rote Technik-Faden“ und die genaue Beschreibung für unsere Firmware-Zentrale.
BIOS¶
Firmware des Motherboards
Rechner einschalten löst Reset aus und startet Firmware des Motherboards
POST: Power On Selftest (Selbstdiagnose),
Abarbeitung der Bootsequenz
Bootmedien: HD 0, 1, 2,
Floppy; Optische LW; USB-Sticks und -HDs
Netzwerkboot mittel z.B. PXE/TFTP
Aufruf des BIOS-Setup über meist Entf / F2 / F10 - Tasten gemäß Handbuch der Hardware;
ASUS und andere Hersteller für manuelle Boot-Auswahl (Boot-Sequence):
F8 für manuelles Boot-Popup-Menü mit Auswahl Startmedium (MSI: F11)
Ausführliche Erläuterungen zum BIOS/UEFI des Motherboard / Notebook im Handbuch (Manual)
Konfiguration (Techniken der Flash-Techniken von AMI, AWARD oder PHOENIX in Form von Flash-ROM / EEPROM Electrically Eraseble Programmable ROM)
Powermanagement (APM ermöglichte erstmals echtes „Runterfahren/Ausschalten“, danach: ACPI
ACPI:
Advanced Configuration and Powermanagement Interface; verwaltet Power/Energieverwaltung und Resourcen (siehe PnP - dann später auch im OS - Ressourcen nur noch automatisch verteilt!)
Speichern/Sichern der Einstellungen (Konfigurationen) des BIOS über CMOS-RAM (bzw. NVRAM) dessen Inhalt über Batterie auf Motherboard gepuffert wird (siehe auch RTC - Real Time Clock / Echtzeituhr).
BIOS Flashen
Verschiedene technische Varianten von den klassischen DOS-Startdisks bis hin zu „Live“-Flashen in Windows
Hinweis
Die genaue Vorgehensweise kann man immer nur einem Manual der Hardware (Motherboard, Notebook, …) entnehmen.
Gründe für notwendiges Flashen:
Systemstabilität,
neue Hardware (CPU, RAM, Grafik, …),
neue Einstellungen
Security Updates (z.B. Intel MicroCodes für Spectre, Meltdown)
UEFI¶
Neue (64-Bit-)Technik für neue Hardware - aber auch noch Altes BIOS vorhanden bzw. unter der Haube: UEFI
Unterstützung Booten von Platten >2,2 TB mit Hilfe von GPT (GUID Partition Table) Verwaltung, Unterstützung und optimale Zusammenarbeit mit modernen 64-Bit-Betriebssystemen:
Kombinationen UEFI / Win 64-Bit / SSD starten so schnell, dass die F8-Taste für die Erweiterten Startoptionen von Windows nicht mehr funktioniert!
Hinweis: beim Installieren von Datenträgern „Win8/10-DVD“ auf Auswahl mit UEFI-Option achten!
Und wieder der Hinweis auf Motherboard-Handbuch:
Anleitungen für Nutzung und Konfigurationsmöglichkeiten; Flashen eines BIOS/UEFI (Vorgehensweise, Gründe zum Flashen kennen) Wichtig: BIOS nur aktualisieren wenn wirklich Grund (z.B. meine neue CPU unterstützen),
Tipp
„Never touch a running system - Niemals ein laufendes System ohne Grund ändern“
Beim Flashen von BIOSen muss auch immer „Worst Case“ bedacht werden: Stromausfall - Lösung: USV.
Rechnerkonfigurationen¶
Beispielhafte Zusammenstellungen diskutieren:
anhand von c’t Artikeln (z.B. Skylake Bauvorschläge „Wünsch Dir was“ 25/2015 Link),
Vergleich aktueller LowCost-Prozessoren Intel vs. AMD (ca. 60 Euro für Gesamtsysteme mit ca. 500 Euro c’t 11/2016) und mit Hilfe von Online-PC-Konfiguratoren (siehe z.B. PC-Konfigurator alternate.de)
Klassische Kostenklassen:
ca. 500 Euro für Standard-PC
ca. 1000 Euro für Multimedia- und erweiterbaren PC
ca. 1500 Euro (und mehr…) für Gaming-/High-End-PC
Anm.: für Notebooks/Laptops ca. 20-30% Aufschlag, bei speziellen Wünschen und Anforderungen an Gewicht, Bildschirmqualität und Leistungen bei CPU/GPU kann es auch deutlich teuerer werden!
Videos¶
(Beipiele zum Selbstlernen)
zu „Preis-/Leistungssystem“ auf Basis eines Asus Z97-C Motherboards von Youtube-Channel LinusTechTips (engl.) zwar gesponsort (Intel) aber dennoch sehr ordentlich und qualitativ hochwertig
Alternative (deutsche) Videos/Anleitungen lassen sich leicht auf Youtube finden (Stichworte: Kaby Lake System bauen, …)
Tools / Analysen¶
Analyse von rohinstallierten Windows-Systemen mit Windows Bordmitteln:
Übersicht mittels Win-Tastenkombi Win + X oder mittels
Systemkonfiguration (msconfig.exe
- Register Tools)
Systeminformationen (msinfo32.exe
);
Management-Konsolen:
devmgmt.msc
(Gerätemanager),diskmgmt.msc
(Datenträgerverwaltung),compmgmt.msc
(Computerverwaltung)mehrere gemeinsame Konsolen - Schweizer Messer
Tool CPU-Z (www.cpuid.com) - Registerkarten nachrecherchiert;
Übung: eigenes TN-System analysieren
Beispiele für Multiplikatoren für CPU-Taktraten:
Grundtakt (hier 100 MHz) wird mit (meist) festen Multiplikatoren auf Standardtakt von z.B. 31* 100 MHz = 3100 MHz gebracht
Anm.: Technik EIST (Enhanced Intel Speedstep Technology) lässt Prozessor in Ruhe dann (z.B.) auf 8 * 100 MHz = 800 MHz „arbeiten“
Task-Manager (Strg + Alt + Entf oder Rechte Maus auf Taskleiste) -> Register Leistung
Ressourcenmonitor (resmon.exe) - für die Anzeige von Auslastungen / freier Arbeitsspeicher
Alternative Tools:
Sisoft Sandra
HWMonitor
Aida/Everest (der Firma Lavalys - Kaufsoftware $$)
HW-Recherchen¶
z.B. „MSI Z370…“ oder andere „Seminaraktuelle Plattform“
hier: Intel-Board mit Sockel 1151v2, Chipsatz Z370, …
Aktuelle alternative Board-Version zu Recherchezwecken oder auch Bauvorschläge wie aus c’t
Handbücher, Bildmaterial recherchieren / dargestellen
Hinweis
Im Seminar aktuelle Hardware (Chipsätze, Sockel) identifizieren und recherchieren.
Netzwerke - Internet¶
Netzwerktechnik ist der „Kleber“, der die aktuellen Betriebssysteme in der vernetzten Online-Welt verbindet.
Am Ende sollten wir auch verstehen, was der „Router“ alles leistet, den wir im Büro oder Privat an der Wand haben.
Netze (Extra)
Als Trainer bereite ich insbesondere die Netzwerktechniken speziell auf, da diese Techniken häufig nachgefragt werden und von besonderer Wichtigkeit sind.
Diese Extra-Infos stelle ich unseren Teilnehmern als klassische PowerPoint-Präsentation im PDF-Format bereit.
Recherchen
Netzwerkhardware reichelt.de
Verkabelungen (Recherchen über reichelt.de und Co) - führt dann später zum Fachbegriff Strukturierter Verkabelung.
Infoseiten (Skripten) von netzmafia.de
Kompendium von kompendium.infotip.de
…tbc… (also: ohne Anspruch auf Vollständigkeit!)
Topologien¶
Hier: grundsätzliche Eigenschaften und technische Umsetzungen
Kurzübersicht:
Ring: keine Kollisionen, Standard als Token-Ring mit Token Passing (IEEE 802.5)
Bus: Kollisionen als Prinzip, Standard als Ethernet mit CSMA/CD (Norm IEEE 802.3
Stern: Umsetzung mittels Hub (inkl. Kollisionen) und Switch (ohne Kollisionen)
Ethernet-Techniken¶
Technisch: IEEE 802.3 (Ethernet mit CSMA/CD)
Geschwindigkeiten: 10 / 100 / 1000 MBit/s (bzw. Mbps - bitte auf Größen und Dimensionen achten)
Kabel: Koaxialkabel RG58, Twisted Pair Kabel (TP - RJ45 Stecker), Kabelqualitäten in Cat 3, 5, 5e, 6 und 7 mit unterschiedlichen Geschwindigkeiten und Mantelungen (UTP, STP, FTP in Kombinationen);
Preise recherchieren und vergleichen
Kabellängen TP: min. 60cm - max. 100m zwischen 2 aktiven Netzwerktechniken, also z.B. NIC (Network Interface Card) und Switch
Spezielles:
NIC im „Promiscous Mode“ für Datenempfang aller Pakete amBus/ Hub
Vortäuschen von anderer MAC-Adresse (MAC-Adress-Spoofing
besondere Bauformen von Switches (Managed Switches, Level 3 Switches)
für z.B. Monitoring oder Logging
Hub vs. Switch¶
Erste Zuordnung im 7-Schichten ISO/OSI-Model: Hub Level 1 vs. Switch Level 2
technisch:
Hub ist Multiport-Repeater
Switch ist Multiport-Bridge
Switch kann MAC-Adressen den Anschluss-Ports zuordnen (MAC-Tabelle)
MAC-Adresse ist 12-stellig hexadezimal (12*4 Bit = 48 Bit)
Arbeitsgruppe vs. Domain¶
Bei diesen Begriffen geht es nicht direkt um die Topologien, sondern vielmehr um die Verwaltung der Netzwerkressourcen:
Arbeitsgruppe: lokal verwaltet, engl. workgroup, technisch: alsPeer-vto-Peer-Netz (P2P)
Domain: zentral verwaltet; bei MS mit Active Directory und Windows Server-Software (aktuell Server 2016 oder 2019)
Netzwerkprotokolle¶
Hier gemeint: oberhalb der Netzzugangs-Schicht - also oberhalb von „Ethernet“
TCP/IP - Protokollfamilie (Suite) aus Entwicklung zum „Internet“ Ende der 60er Jahre
NetBEUI - Microsoft Standardprotokoll bis Mitte/Ende der 90er Jahre (siehe Win98 mit TCP/IP)
AppleTalk - Apples Idee für Netzwerkprotokoll-Technik
IPX/SPX - Novell (siehe Novell Netware Server, Netware Client)
and the Winner is: TCP/IP
Die Informationen zu den Protokollen und Techniken online mittels der RFCs (Request for Comments www.rfc-editor.org ) einsehbar.
TCP/IP¶
(Erste Einblicke - Wiki Link - Wiki Link)
IP steht für Internet Protokoll - Layer 3 des 7-Schichten ISO/OSImModell
Varianten IPv4: klassische Adressen mit Nummern wie 192.168.3.67
Neue Version IPv6: sehr viel länger und erheblich mehr Nummern (mehr dazu später)
Erste Tests in der Befehlszeile (cmd): Tools
ping, ipconfig /all, arp -a
ARP: Adress Resolution Protocol - Zuordnung von MAC zu IP-Adressen („Leimprotokoll“)
Bit & Byte¶
(Grundlagen - Wiki Link Bit)
Binary Digit, 1 Bit ist 0 oder 1,
1 Byte entspricht 8 Bit
2 hoch 10 ist 1 k (1024), 2 hoch 20 ist 1 M (1024*1024), …
also 2 hoch 32 entspricht 4G (4 Milliarden)
Wikipedia kennzeichnet 1024er Werte mit kleinem i (z. Bsp. ki, Mi, Gi)
weitere Zahlenspielereien führen dann auch zu hexadezimalen Zahlen: 0,…,9,A,B,C,D,E,F
Hexzahlen also mit 4 Bit pro hexadezimaler Zahl
7-Schichten-ISO/OSI-Modell¶
eine erste Annäherung… (Wiki Link)
Vergleich mit 4-Schichten DOD-Modell (mit Ethernet/TCP/IP):
Layer 1 (1+2) - 2 (3) - 3 (4) - 4 (5-7)
Netzzugangsschicht ist 1+2 (z.B. Ethernet),
Netzwerkprotokolle sind auf 3+4
Die 7 Layer (Schichten) von „top to bottom“:
7 - application Layer - http, https, ftp. smtp, pop3, imap, …
6 - presentation Layer,
5 - session Layer,
4 - transport Layer - Ports, TCP (verbindungsorientiert, UDP (verbindungslos), SPX
3 - network Layer - IPv4, IPv6, IPsec, ICMP, IPX, Layer-3-Switch
2 - data link Layer - MAC, Bridge, Switch (Multiport-Bridge), CSMA/CD
1 - physical Layer - Kabel, Stecker, Repeater, Hub (Multiport-Repeater)
Hier ein Vergleich der Modelle mit Schwerpunkt „TCP/IP“:
Für die Reihenfolge und Namensgebungen gibt es verschiedene Merksätze:
Tipp
Please do not throw Sausage Pizza away
oder auch
Tipp
All People seem to need Data Processsing
Gerne für die deutschen Layer-Bezeichner ausdenken ;-)
IPv6¶
(Wiki Link IPv4 - Wiki Link IPv6)
Stand heute: die ca. 4 Mrd. IPv4-Adressbereiche (4 mal 8 Bit ergeben 32 Bit für IPv4) sind vergeben (siehe später IANA)!
Mit IPv6 gibt es jetzt Adresssen mit 128 Bit Länge ( 340 Sextillionen)! Das entspricht einer Vergrößerung gegenüber IPv4 um den Faktor 2 hoch 96 (ca. 7,9·10 hoch 28 - das ist eine Zahl mit 28 Nullen!)
Test- und Infoseiten zu IPv6:
Wikipedia Artikel zu IP-Adressen:
Bemerkung
Diese Anzahl reicht aus, um für jeden Quadratmillimeter der Erdoberfläche mindestens 665.570.793.348.866.944 (= 6,65 · 10 hoch 17) IP-Adressen bereitzustellen.
Anm.: das sollte erst einmal reichen ;-)
DNS¶
(Hierarchie - Wiki Link)
Reihenfolge (links nach rechts): (Root-)Server.Subdomains.omains.TLD
Top Level Domains: .com, .de Verwaltung in Händen der IANA
Beispiel: rechnername.subdom.domain.tld. (FQDN - Fully Qualified Domain Name)
Wichtig: technisch also am Ende (rechts) noch ein abschließender Punkt (Root-Level), wenn man es ganz genau nimmt!
Auflösung von Namen (z.B. www.firmaxyz.de) in IP-Adresse (194.95.249.211) als Forward Lookup oder auch umgekehrt als Reverse Lookup
Registrierung über NICs (Network Information Center - DENIC für TLD de); praktisch über Hosting-Anbieter (Beispiele: 1und1, Strato, Hosteurope)
whois Recherche¶
direkt über die NIC (z.B. DeNIC) oder Webportale (Heise Netze, Netzmafia)
Beispiele / Übungen: firmaxyz.de, telekom.de
Domain-Inhaber, Admin-C, Tech-C, Zonen-Informationen mit zuständigen DNS-Servern
Mit Einführung der DSGVO am 28.05.2018 wird die öffentliche Recherche zu diesen Infos vehement diskutiert und in Frage gestellt!
Beispielhafte Recherche bei Denic.de ergibt in Hinweis auf Denic - Anfragen Dritter .
Übungen: Tools whois
auf Linux-System oder Online-Web-Recherche im Vergleich!
Namen auflösen¶
DNS mit Forward und Reverse Lookup: Forward Lookup löst www.firmaxyz.de in 194.95.249.211 auf!
Manuelle Auflösung mittels hosts-Datei (Adminrechte zum Bearbeiten nötig)
Windows:
C:\Windows\System32\Drivers\etc\hosts
Linux:
/etc/hosts
Gründe für hosts-Einträge:
DNS-Probleme lösen (z.B. lange DNS-Auflösungszeiten)
Umleitung von „schädlichen“ Seiten auf 127.0.0.1 (localhost als Sackgasse)
eigene Namen für Maschinen im LAN auflösen (192.168.11.66 www.intranetserver.lokal - VHosts)
speziell: Lokale Auflösung in Windows-Netzen mit Umwandlung der NetBIOS-Namen der Windows Rechner in die Privaten LAN-IPs mittels NetBT (NetBIOS over TCP/IP - siehe Ausgabe von ipconfg /all )
nslookup¶
Recherche (alternatives Linux-Tool dig
oder host
)
oder über bestimmte Internet-Portale und Tools Heise - Netze - DNS-Abfrage)
Befehlszeile (Windows cmd): nslookup
aufrufen
> server dns1.shuttle.de
(zuständigen Server definieren -
optional; gerne auch server 8.8.8.8
ein Public-Google-DNS)
> set querytype=ANY
(alles vorhandenen Daten abfragen: A, AAAA,
MX - Mail Exchanger, die Mailserver der Domain, …)
> firmaxyz.de
(gewünschte Domain)
> exit
(interaktives nslookup verlassen)
Dynamisches DNS¶
Einsatz von DynDNS zur Nutzung von gleicher Adresse (z.B. firmaxyz.dyndns.com) für die täglich wechselnden öffentlichen IP-Adressen (siehe Zwangstrennung der Router beziehungsweise der ISPs).
Router übermittelt mit DynDNS-Client die jeweiligen neuen IP-Adressen des ISP an den DynDNS-Dienst. Auff die Auswahl eines passenden (kostenlosen) Dienstes für die verbauten DynDNS-Clients Ihres Routers achten.
Auswahl: Selfhost, NoIP - nicht vollständig! Die hier genannten DynDNS-Dienste werden von FritzBox und Speedport unterstützt.
IPv4¶
(Rechnungen / Subnetting - WikiLink Netzmaske)
Grundlagen: 32-Bit Adresse geteilt in Netzwerk- und Hosts-Abschnitt mit Subnetzmaske (links Einsen - rechts Nullen)
Beispielrechnung:
81.200.194.40 / 255.255.192.0 bwz. 81.200.194.40/18 (CIDR Schreibweise - Classless Inter-Domain Routing)
also:
18 Bit für das Netzwerk und restliche 14 Bit für die Hosts bedeutet: 2 hoch 14 = 16.384 Kombination also 16.384 - 2 = 16.382 Hosts
2 Möglichkeiten für Hosts abziehen, weil
alle Host-Bits gleich 0 kennzeichnet die Netzwerk-Adresse des Teilnetz
alle Host-Bits gleich 1 kennzeichnet die Broadcast-Adresse des Teilnetz
bestimmen der Adressen über Wandlung der IP-Adresse in Bits und Einsetzen der entsprechenden Host-Bits mit 0 (Netzwerk) oder 1 (Broadcast)
Subnetze können im Oktett für Trennung Netzwerk/Hosts nur Kombinationen 1/0 wie folgt haben:
10000000 = 128 , 11000000 = 192 , 11100000 = 224 , 11110000 = 240 , 11111000 = 248 , 11111100 = 252, 11111110 = 254
Bei allen anderen Kombinationen wären Einsen und Nullen gemischt!
Subnetting¶
Gründe für Subnetting:
bessere Verwaltung großer Netze durch mehrere kleine Netze,
Sicherheit,
Flexibilität,
Übersichtlichkeit,
Verleihen von IP-Räumen an andere ISPs
Übungen Online
zu Subnetting, Hosts, Netzwerk- und Broadcast-Adressen
Einsatz von Tools und Internetseiten zur Subnetz-Berechnung
Übung Subnetting
Vorübung: Netzblöcke der Telekom ermittelt mittels Übersicht auf Ripe-FTP-Server ( Link )
Subnetz-Rechnungen mit:
185.103.92.0 / 22 aus diesen Blöcken
Ebenfalls: ein 16 Mio Hosts Class A Privat-Netz in Teilnetze mit ca. 65.000 Hosts aufteilen -> ergibt ca. 16 Mio / 65.000 => ca. 258 - also 256 Teilnetze
mit 2 hoch Zahlen (1, 2, 4, 8, 16, 32, 64, 128, 256) benötigt man also 2 hoch 8 = 256 Teilnetze => also 8 zusätzliche Bits nach „rechts“
Übungs-IP:
10.150.200.35 / 8 wird zu 10.150.200.35 / 16 und wurde mit IP-Calculator analysiert (Netzwerkadresse, Broadcastadreesse, Hosts: 65.534, …)
IPv4-Adressbereiche¶
Organisation durch IANA (www.iana.org),
Einteilung der „Internet Welt“ in 5 „NIC-Kontinente“ (Europa: Ripe NCC Übersicht Blöcke)
klassisch:
Class A bis C Netze mit Standard-Netzwerkmasken (/8, /16, /24),
Private Adressbereiche für Class A (beginnen bei Most Significant Bit / MSB ganz links mit „0“) bis C (beginnen mit „110“)
Recherche nach IP-Adressen und Nummern mittels Dienst whois (z.B. über Netzwerktool whois auf heise.de)
Trennung von „Privaten IP-Adressen“ (Wiki Link) und „Öffentlicher IP-Adresse“, die meisten Kunden erhalten dynamische (täglich wechselnde) öffentliche IP-Adressen.
Anm.: bei modernen VDSL-Zugängen (Annex-J) wird auf Zwangstrennungen häufig verzichtet. das würde ja auch eine Trennung der Telefonie bedeuten!
Reservierte Adressbereiche¶
(siehe Wikipedia )
IPv4 - Abschnitt „Besondere Adressen“
Private Adressbereiche (10.0.0.0/8; 172.16.0.0/12; 192.168.0.0/16)
Loopback / Localnet 127.0.0.0/8
APIPA (Automatic Private IP-Adressing / Zeroconf / Bonjour) 169.254.0.0/16
Dienste¶
im Internet - eine erste Übersicht (später noch: Ports)
Dienst |
Abk. |
Protokolle |
Clients |
Sicherheit |
---|---|---|---|---|
World Wide Web |
WWW |
HTTP |
Browser: Mozilla Firefox, Apple Safari, Google Chrome, Microsoft Internet Explorer |
HTTPS |
File Transfer Protocol |
FTP |
FTP |
Browser (nicht geschickt!) Filezilla, CMD: ftp |
Secure FTP (ssh) |
Electronic Mail |
Senden: SMTP Empfangen: POP3 / IMAP |
Outlook ($), Lotus Notes Thunderbird |
TLS / SSL; also secureIMAP, secureSMTP |
Diverse Dienste:
NTP - Network Time Protocol (Zeitdienst)
NNTP - Network News Transfer Protocol (Usenet - klassische „Foren“)
Telnet (zeichenorientierter Austausch / Konsole)
IRC (Internet Relay Chat -> heute: IM Instant Messenger)
SSH (Secure Shell - der einzige „sichere Dienst“!
Dienste (Ports)¶
Ports als „Durchwahlnummern, 16-Bit Länge (0…65.535);
Well-Known-Port (0…1023 - WikiLink)
WWW: World Wide Web (Wiki Link), http (Port 80), https (143 - http secure mit SSL - Secure Socket Layer)
Server: Apache, IIS (Internet Informations Server von Microsoft)
Clients: BROWSER (Mozilla Firefox, MS Internet Explorer, Google Chrome)
E-Mail: (Wiki Link) Electronic Mail (Elektronische Postkarten mit Anhängen), smtp (25 - versenden), pop (110 - empfangen klassisch), imap (143 - empfangen - mit Verbleib auf Server), sichere Varianten gewünscht wie z.B. secure imap, secure smtp
Server: Exchange Server (MS), Lotus Domino, hMailserver, postfix. sendmail
Clients: Mozilla Thunderbird, MS Outlook, Lotus Notes, Eudora, Pegasus Mail
FTP: (Wiki Link) File Transfer Protocol (Port 20/21); sichere Variante sftp bzw. secure ftp (Port 22; eigentlich ssh)
Server: IIS, FileZilla Server; Linux: proftpd, vsftpd
Client: Browser (mit Einschränkungen, Wiederaufnahme Downloads), FileZilla
NTP: Network Time Protocol (123);
NNTP: Network News Protocol (119);
Telnet (23); SSH (Secure Shell - Port 22)
Port-Weiterleitung¶
(engl. -Forwarding; oder auch: Port-Umleitung / Portfreigaben bei AVM)
Erkl.: Durchleiten von externen Datenpaket-Anfragen von öffentlicher Adresse an einen internen privaten Host
Beispiel:
http://oeffentliche-ip:56789 weiterleiten an http://lokal-ip:80 (hier Webservice)
Erinnerung: statt „oeffentliche-ip“ gerne auch Einsatz von Dynamischem DNS für dann URL seminar.no-ip.com:56789
Spezialkonfigurationen:
Exposed Host (LAN-Rechner aus Subnetz „direkt“ mit Öffentlichem Netz verbunden) vs.
DMZ (Demilitarisierte Zone - LAN-Rechner in eigenem Subnetz - also getrennt vom Privat-LAN)
Hinweis auf „Honey Pot“
Web-Clients (Browser)¶
Beispiel: Mozilla Firefox mit allen Einstellungen und Konfigurationen, Spracheinstellung (mit Beispiel mozilla-europe.org)
Sicherheitsaspekte und Techniken:
Javascript,
Passwörter,
Chronik,
Lesezeichen,
Cookies,
SSL/TLS für Verschlüsselungen mit https
Alternative Browser:
Microsoft Internet Explorer (hier: ActiveX, BHO - Browser Help Objects), Opera, Google Chrome, Safari
Speziell diskutieren:
Plug-Ins für Adobe Flash (mit Flash „Cookies“, Webcam + Mikro), JAVA (Java Runtime Environment JRE - nicht verwechseln mit JavaScript)
URL¶
(Uniform Ressource Locator - Wiki Link)
Aufbau von „links nach rechts“:
http : //
(Protokoll)
username:passwort@
(Benutzername und Passwort)
subdoms
(Subdomänen)
www
(Webserver Name)
.bahn
(Domain - auch Subdomains subdomain.domain.tld)
.de
(TLD - Top Level Domain; hier ccTLD)
:80
(Port - hier Standard-Port - Well Known Port - obsolet)
/ordner/unterordner/
(Ordnerstruktur auf Server)
index.php
(Webdokument - hier PHP-Skript)
?artikel=BE15&kunde=1234
(Parameter - hier für dynamisches PHP-Skript)
im lokalen Netz als Netzwerkpfad siehe UNC:
\\server\freigabe\ordnerstruktur\datei.ext (zwei \ am Anfang! RST-Problem!)
FTP-Client¶
Beispiele:
FileZilla mit anonymen FTP-Servern (ftp5.gwdg.de) und XAMPP für Windows auf lokaler Maschine 192.168.11.66 www.intranetserver.lokal (ggf. Übung zu Hosts-Datei)
Speziell: Analyse mit Tool
Wireshark (früher Ethereal) zum Nachweis, dass die Benutzerdaten (ohne Verschlüsselung) im Klartext durch das Netz gehen;
Empfehlung: Secure FTP (eigentlich SSH - Secure Shell; nicht verwchseln mit ftps)
E-Mail-Client¶
Mittels Anleitungen Übersicht über passende Konfigurationen zum Mailservice von 1und1 oder anderen Mail-Hostern.
Auch hier Empfehlung:
Secure SMTP und Secure IMAP über entsprechende Ports
Fachbegriff:
Offenes Relay - früher konnten E-Mail ohne weiteres zum Senden von Mails angeleitet werden -> Schließen des offenen Relays: Authentifzierung auch beim Senden fordern;
früher / veraltet / unsicher:
SMTP after POP - also erst Mails abholen (mit Auth.) dann erst Senden dürfen
Speziell: Sicheres Homebanking
Nutzen von https, aktuelle Browser und Systemumgebung, ChipTAN oder MobilTAN nutzen statt der klassischen einfachen TAN-Blöcke, Live-CDs wie Bankix (von der c’t), Bildschirmtastatur
Gateway¶
(bis hoch auf Level 7 - Anm.: Bitte nicht mit MS Standard-Gateway gleichzusetzen - Wiki Link)
Einatz: Vermittlung zwischen Client/Server Seiten mit unterschiedlichen Protokollen
Beispiel: Web-Mail-Gateways die für das Mailing in Browsern (siehe web.de, gmx.net) sorgen
Zusammengefasst: Client und Server nutzen unterschiedliche Anwendungsprotokolle und benötigen ein Gateway für die Vermittlung.
Haustechnik¶
Was benötigen wir alles für einen „Online-Zugang“…
ISP Zugangstechniken¶
(Internet Service Provider)
2-Draht-Kupferkabel kommen im „Haus“ an (POTS - Plain Old Telephony Service)
Analoges Modem 56.000 Bit/s (56k-Modem), oft auch geringere effektive Übertragungsgeschwindigkeit (Verhandlungssache / Handshake) und im Uplink langsamer
ISDN (Wiki Link) mit 2 B-Kanälen zu 64 kBit/s, 1 D-Kanal mit 16 kBit/s, Kanalbündelung 128 kBit/s, garantierte Geschwindigkeit in beide Richtungen
bis hier klassische Zugänge mittels DFÜ (Datenfernübertragung)
Zugangsprotokoll: PPP Point-to-Point Protcol
alte Zugangstechnik für T-Online/BTX inkl. SW T-Online-Decoder war SLIP und ging nur mit der Decoder-SW der Telekom)
dann die „Breitband“ (Broadband) Techniken:
xDSL (Wiki Link) mit diversen Digital Subscriber Line Varianten, größte Verbreitung ADSL (Asymmetrisch, bis 25 MBit/s), VDSL (bis 100 MBit/s) und speziell SDSL (Symmetrisches DSL für Standortverbindungen)
Lösungen jenseits der Kupferkabel für klassische Telefonie:
Mobilfunktechniken (Wiki Link):
GPRS, EDGE (2G), UMTS / HSPA (HSDPA/HSUPA) / HSPA+ (3G), LTE / LTE-Advanced (4G)
Tarife, Kosten, technische Verfügbarkeit, Verbreitung/Abdeckung, Tethering
PowerLine, Satellit und natürlich Kabelnetze (heute mit Rückkanal)
ISDN-Telefontechnik¶
Bussystem S0 mit Terminatoren, bis zu 8 Endgeräte (ISDN-Telefon bzw. -Fax),
Vergabe von MSN an Geräte nötig (um angerufen werden zu können),
Standardanschluss: Mehrgeräteanschluss (siehe Firmen mit Anlagenanschluss),
Analoge Geräte (Tel. und Fax) über a/b-Adapter oder komplette TK-Anlagen (Telekommunikations-Anlagen),
Fax-Geräte müssen auch noch mit korrekter Gerätegruppe angeschlossen sein (Fax Gruppen G3, G4)
Telefonie- und DSL-Haustechnik¶
(Darstellung/Vertiefung auch bei Themen ISDN und strukturierte Verkabelung)
notwendige Techniken für Analog-Techniken (TAE-Dosen, NFN-Kodierte Buchsen / Stecker, Wiki Link)
Betrieb in digitaler ISDN-Technik mittels NTBA, für den Anschluss analoger Endgeräte a/b-Adapter bzw. Einsatz kompletter TK-Anlagen DSL-Technik anschließen über Splitter (Trennung von Analog/DSL bzw. ISDN/DSL),
DSL-Modem baut Verbindung mit DSL-Provider mittels PPPoE (Point-to-Point-Protocol over Ethernet) auf, Anmerkung zu alten Verbindungstechnik mittels T-Online (BTX-Nachfolger-Technik T-Online mittels T-Online Decoder und SLIP - Serial Line Internet Protocol), Triple Play (Internet, TV, Telefonie/VOIP),
VOIP (Voice over IP - Telefonieren über das IP-Netz), Probleme mit Analogen Endgeräten (Notruftasten, Taxirufe, Faxgeräte),
Tarife / Preise klären
Anm.: direkte Nutzung des DSL-Modem mittels PC mit Netzwerktechnik (NIC) möglich, aber besser dann später „Router (genauer NAT-Routing)“nutzen
Strukturierte Verkabelung¶
Patch-Dosen (UAE - Universal Anschluss Einheit - Link Reichelt )
IAE - ISDN Anschluss Einheit, CAT,
Patch-Kabel (inkl. Steckern),
Verlegekabel (von der Kabeltrommel/Rolle),
Rangierfeld (Patchpanel, Patchfeld), CAT (5e / heute besser 6) für Kabel und Dosen,
Hintergrund: jederzeit nachträgliche Zuordnung von Telefon- oder Datensignalleitungen an die Enddosen (am Besten UAE- oder auch nur IAE-Dosen)
WLAN¶
(IEEE 802.11 - WikiLink)
AdHoc Verbindungen (vs. Infrastruktur-Modi),
Access-Point (AP; Geschwindigkeiten Brutto: 802.11b - 11 MBit/s bis 802.11n - 150 oder auch 300 MBit/s und 802.11ac bis ca. 7000 MBit/s), Frequenzen 2,4 und 5 GHz, SSID als Zellname für den AP,
Verschlüsselung mit WPA / WPA2 (kein WEP mehr!)
Sicherheit erhöhen / berücksichtigen:
MAC-Adress-Filterung, Sendestärken optimieren mittels Positionierung AP oder Minderung zum Stromsparen oder zur Sicherung gegen Eindringlinge, WLAN-Gastezugänge, Schalter für WLAN on/off
Router komplett¶
am Beispiel des AVM 7490 Modells (Link):
VDSL- oder ADSL-Anschluss
IP-basiertes, analoges oder ISDN-Festnetz
4 x Gigabit-Ethernet
WLAN AC mit bis zu 1.300 MBit/s
WLAN N mit bis zu 450 MBit/s
2 x USB 3.0 für Speicher und Drucker
DECT-Basisstation für bis zu 6 Handgeräte
ISDN-S0-Bus für ISDN-Telefone oder ISDN-Telefonanlage
2 x a/b-Port für analoge Telefone, Anrufbeantworter und Fax
und noch:
Sicherer Fernzugang über das Internet mit VPN (IPSec);
Unterstützung von IPv6;
WLAN-Taster (manuelles Ein-/Ausschalten von WLAN);
Wi-Fi Protected Setup (WPS); WLAN-Gastzugang – sicheres Surfen für Freunde und Besucher;
Erweiterung der WLAN-Funkreichweite mittels Repeaterfunktion;
Faxfunktion inklusive E-Mail-Weiterleitung (fax to mail);
Mediaserver stellt Geräten im Heimnetz Musik, Bilder und Videos zur Verfügung (SMB, FTP, UPnP AV);
mit MyFRITZ! von überall sicherer Zugriff auf die eigene FRITZ!Box;
FRITZ!NAS – einfacher Zugriff auf alle Dateien im Netzwerk
… ;-)
Sicheres Netzwerken¶
Techniken für sichere Online-Verbindungen…
NAT-Routing¶
(Network Adress Translation bei IPv4)
ermöglicht mittels Zuordnung von Anfragen aus Privatem Netz (LAN - Adresse : Port) zu Antworten aus dem Öffentlichen Netz (WAN - Adresse : Port) die gleichzeitige Nutzung einer einzigen Internetverbindung
mit einer öffentlichen IP und eine (sichere) Blockade nicht gewünschter Pakete in Richtung LAN;
wichtig: mit IPv6 fällt dieser „Schutz“-Mechanismus weg!
Tipp
netstat -an
(zeigt die entsprechenden lokalen und remote Adressen und Ports)
Bei Linux: netstat -tulpen
ausprobieren!
Firewall¶
klassische Filterung der eingehenden und ausgehenden Transportprotkolle (TCP / UDP) in Kombination mit Ports und auch auf höheren Schichten als Application Firewall (Layer 7) oder in Speziallösungen als IDS (Intrusion Detection Systems)
Proxy¶
(„Stellvertreter“ - Wiki Link)
für bestimmte Protokolle als sicherste Trennung zum öffentlichen Netz:
Web-Proxy, FTP-Proxy, Mail-Proxy
Wichtig: die jeweiligen Clients müssen entsprechend konfiguriert sein (siehe Web-Clients Browser)
Einsatz von Proxy-Cache zur Zwischenspeicherung abgerufener Informationen
Reverse-Proxy für das Verteilen von Zugriffen auf das Private Netz inklusive SSL-Technik am Rande des eigenen Netzes (s. a. Edge-Router).
Fernwartungen¶
(eine Kurzübersicht - ohne besondere Einschätzung von Security)
VNC Tools (z. B. UltraVNC); beispielhafte Konfigurationen und Hilfen mit c’t Projekt (Link)
Teamviewer - durch diese Technik sind keine Port-Manipulationen an den Routern nötig; Anm.: nur für Privat kostenlos (Link)
Windows-Bordtechnik: RDP (Remote Desktop) - nur mit den Windows Pro-/Enterprise-Versionen (Windows 7 Professional, Windows 8 Pro) möglich
VPN¶
(Virtual Private Network - Wiki Link)
Geschlossenes sicheres Netzwerk, welches einen externen Host über das öffentliche Netz im privaten Netz integriert.
Techniken mittels: IPsec , Tunnel-Protokollen, Proprietäre Systeme wie Hamachi
Komplettlösungen diverser TK-Unternehmen verfügbar; monatliche Komplett-Pakete (HW / SW) von diversen Anbietern
Speziell: Angebot von AVM mit Fritz-Boxen (Link) und VPN-Software (Youtube Video),
Hersteller Allnet mit Infos / PDFs (Link)
Anm.: auch hier natürlich eigentlich CISCO Marktführer
AD mit Windows Server¶
Die wichtigsten Frage am Anfang: Wofür nutzt man Active Directory mit Windows Server?
Im Grunde reden wir über Domänenkonzepte (im Unterschied zu Peer-to-Peer Konzepten) - das bedeutet:
Die Verwaltung einer Domäne geschieht zentral und nicht lokal.
Gemeint ist hier die Verwaltung von Ressourcen wie Benutzer, Computer, Drucker, …
Sichere Authentifizierung (engl. Authentification)
und Autorisierung (engl. Authorization)
Wir wollen uns die Nutzung der Microsoft Active Directory Domänenkonzepte und der nötigen Infrastrukturdienste (siehe DNS, DHCP) erarbeiten.
Die modernen Windows Server Architekturen bei Microsoft können natürlich immer noch über solche grafische Frontends (GUIs) bedient werden.
Die effizientere - und häufig auch nur noch einzig mögliche - Nutzung geschieht über die PowerShell. Die Microsoft Shell wird also auch immer mal wieder eine Rolle spielen.
Beim Exchange Server oder in der Cloud mit Azure Technik sind die Administratoren sehr oft mit dieser Konsolennutzung konfrontiert.
Windows Server¶
Die maßgebliche Software für die Umsetzung der Microsoft Active Directory Domänendienste ist der Windows Server in seinen unterschiedlichen Versionen (aka Jahrgängen) und Editionen.
Diesen Server gab es über die Jahre in den aktualisierten Versionen und Funktionsleveln (siehe später FL - Functionslevel; dt. Funktionsebene).
Link zu Windows Server-Dokumentation learn.microsoft.com
Die folgenden Kapitel bieten einen ersten Einblick in die Verwaltung von Active Directory mit Windows Servern.
Ein paar Dinge will ich für den sauberen Betrieb eines AD mit Windows Servern vorausschicken.
Man benötigt eine
saubere und funktionstüchtige Netzwerkinfrastruktur (insbesondere DNS) und eine
gute Planung und Dokumentation für die Domänen
Es gibt also immer auch die klassischen Kenntnisse und Fähigkeiten hinsichtlich Netzwerk- und Infrastrukturtechnik zu bedenken.
Editionen¶
Es folgen formale Infos zu den Windows Server Varianten und Editionen.
Man sollte immer eine Übersicht über die Supportzyklen für eingesetzte Software im Auge behalten. Das gilt natürlich insbesondere für die Windows Server Varianten und deren Unterstützungszeiträume.
Quelle Screenshot Windows Server MSS/EOL software-express.de - Herstellerinfos MS - Supportende EOL
Warnung
Für den immer noch im Firmenumfeld sichtbaren Windows Server 2008/2008 R2 endete der Support am 14.01.2020!
Für die Orientierung bietet Microsoft (aktuell) Lifecycle-Richtlinien an und unterscheidet hier grundsätzlich zwischen
Fixed Lifecycle-Richtlinie (tendenziell bei Windows Server)
Modern Lifecycle-Richtlinie (tendenziell bei Clients Windows 10 / 11 /…)
Wir steigen mit den klassischen NT-Versionen ein. Das sollte man
mal gesehen haben, damit man dann auch den einen oder anderen
Bezeichner oder auch Ordnernamen (siehe NTDS
) besser versteht.
NT-Server-Family¶
Anm.: mit Versionen 2008 R2 / 2012 R2 / 2016 / 2019 / 2022 nur noch als 64-Bit Betriebssystemversionen verfügbar!
Client/Server-Betriebssystem-Familie NT - New Technology
NT 3.51 / 4.0 Workstation und Server
Windows 2000 Professional und Server (5.0);
Windows XP / Server 2003 (5.1)
Windows Vista / Server 2008 (6.0) und Windows 7 Professional / Windows Server 2008 R2 (6.1)
Editionen 2008 R2: Web, Standard, Enterprise, Datacenter, HPC (High Perfomance)
Unterschiede bei RAM, CPU / Kerne, Ausstattungen, CALs, Preis, Hot PnP, Technik, Virtualisierungen
Mit den Editionen 2012 R2 Verschlankung der Versionsvielfalt:
Standard
Datacenter
Essentials (spezielle Limitierungen bei Anzahl Clients)
Die Unterschiede finden sich nur noch bei den Virtuellen Instanzen!
Alle Server ab Server 2012 R2 mit Ausrichtung auf die Azure Cloud (Microsoft Wolke).
Server 2016 / 2019 / 2022¶
Die Serverversionen werden von mir hier in einem Kapitelnamen zusammengefasst, weil sie das gemeinsame Funktionslevel 2016 abdecken. Oder anders gesagt: die neueren Windows Server haben ein paar neue Tricks gelernt, aber sprechen alle mit derselben Windows AD Basis-Technik, die mit Windows Server 2016 eingeführt worden ist.
Was die Editionen angeht: es gibt nur noch Standard und Datacenter Editions mit (eigentlich) gleichem Funktionsumfang bis auf die Anzahl für Virtuelle Instanzen.
Links zur Orientierung:
Übersicht Editionen:
Standard
deckt nur 2 Virtuelle Server pro Lizenz ab
2 CPU-Sockel, ca. 650 - 700 € (ohne CALs)
gibt es als 16-Core oder auch 24-Core Varianten
Datacenter
deckt beliebige Anzahl Virtuelle Server ab
2 CPU-Sockel, ab ca. 4400 € (Empf.: Systeme möglichst mit HW bündeln)
gibt es als 16-Core oder auch 24-Core Varianten
Eine weitere spezielle Version stellt die Essentials Edition dar. Sie richtet sich mit dem sehr speziellen und limitierten Angebot an Kleinstfirmen und bietet keinerlei Upgrade-Möglichkeiten!
Essentials
25 Benutzer und 50 Geräte, keine CALs nötig
ca. 350 € (Einzellizenz physikalisch oder virtuell)
Hardwarebeschränkungen: 2 CPUs, max. 64 GB RAM
Nachtrag: Für den Windows Server 2022 wurde eine spezielle Datacenter Azure Edition für den Betrieb als VM in der Azure Cloud angekündigt.
Lizenzen für Domäne¶
Wir benötigen Betriebssystem-Lizenzen Server und Client(s) und zusätzliche CALs (Client Access Licenses) für den Einsatz in der Domäne für Benutzer und/oder Geräte.
Kostenschätzung CALs: ab ca. 25-30 € möglich - das sollte aktuell hinterfragt werden!
Microsoft stellt kostenlose Evaluation-Versionen (180 Tage) zum Testen in eigener Infrastruktur, Azure oder VMs bereit.
Tipp
Microsoft bietet einen kostenlosen uneingeschränkten (> 180 Tage) Hyper-V Server (natürlich als Core) an!
[Nachtrag:] Diese Version wurde von Microsoft mit Hyper-V Server 2019 eingestellt!
CAL - Client Access Licenses
Firmen müssen Lizenzen nach gewünschtem Einsatz modellieren.
Gerät (Device) oder
Benutzer (User)
Eine Einschätzung für die optimale Firmenausstattung mit Lizenzen ist nicht einfach möglich, sondern erfordert genaueste Analyse und oft auch sehr spezielle Expertise.
Microsoft hat bei der Lizensierung nicht nur die Betriebssysteme, die Anzahl und Nutzung von Prozessor-Sockeln und Prozessoren oder auch die CALs im Auge, sondern berücksichtigt auch den Einsatz der Windows Server Lizenzen in einer physischen Betriebssystemumgebung (POSE) oder einer virtuellen Betriebssystemumgebung (VOSE).
Tipp
Einen ersten Einblick in die nötigen Lizenzinvestitionen kann man sich - ohne Gewähr - auf verschiedenen Lizenzrechnern im Netz holen: (z.B.) https://www.sfc-software.de/special/win2019/
Allgemeine Anmerkung: es ist kein Einsatz eines Lizensierungsservices (mehr) nötig.
Hinweis
Das Handling bei den Remote Desktop bzw. Terminal Services TS/RD und den hier nötigen TS/RD-CALs weicht ab und erfordert den Einsatz von Lizensierungsservern!
Spezielle Editionen: Storage Server: an Hardware gebunden - also nur über OEM-Kanäle verfügbar.
Planung / Entwurf¶
Eine gute und möglichst auch dokumentierte Planung der Netz- und Domänenstrukturen sollte den Installationen vorausgehen.
Bemerkung
Dokumentationen sind wichtig! Ich sag ja nur!
Und das darf auch gerne mal handschriftlich geschehen. Hier mal ein Beispiel aus einer vergangenen Seminar:
Es dürfen also gerne auch einmal einfache Scribbles (dt.: händische Zeichnungen) sein.
Im professionellen Umfeld sind dann auch Zeichnungs- und Entwurfprogramme wie Visio, Dia, LibreOffice Draw oder UML-Werkzeuge am Start! Wenn es hilft!?
Entwurf der Netzwerkumgebung¶
Planung der Topologie (Schaltplan) für Übungsfirmen von Trainer und Trainees
Die Anbindung der virtuellen Firmenstruktur geschieht hier
über eigene BU-ROUTER
mit Infrastruktur-Diensten.
DHCP (Dynamic Host Configuration Protocol) und
NAT-Routing (genauer: Source NAT mit Masquerading!)
Bemerkung
Die Topologien und Domainenentwürfe werden in den jeweiligen Seminaren mit den Teilnehmern gemeinsam entwickelt und sind in dieser Ausarbeitung nur beispielhaft dargestellt! Das gilt auch für die Syntax/Bezeichner!
Hinweis: Server bitte immer mit statischen IP-Konfigurationen verwenden oder zumindest mittels DHCP reservierte Adressen ausliefern!
Entwurf der Domainen¶
(Übungsfirma)
Hauptdomäne seminar.local
ggf. mit Sub-Domänen (abt01
bis abt0x.seminar.local
);
Jede Domäne stellt eine eigene Verwaltungsstruktur mit eigenem Active Directory dar.
Ein (möglicher) Grund für die Nutzung von Subdomains: wir wollen nur ein DNS für die Übungsfirma einsetzen.
Dokumentation¶
Tafelbild für Domänenmodell und Netzwerk erstellen / zeigen / entwickeln…
Hinweis
Die genauen Bezeichner werden im Seminar mit den Teilnehmern entwickelt bzw. durch das Seminarumfeld vorgegeben.
Vergabe der Hostnames:
siehe auch Befehle in Eingabeaufforderung hostname
- oder natürlich Win + Pause ;-)
VMXX
(für die Windows Clients - hier: Windows 10 Pro),
SRVXX
(für die Windows Server 2016 „Clients“ / Mitgliedsserver),
DCYY
(Domaincontroller)
Adressen:
statisch für die Router und DCs
dynamisch - also per DHCP für alle Clients
Domain-Hierarchien: (von Rechts-nach-Links; Technisch: FQDN - Fully Qualified Domain Name)
Root-Level - TLD (Top Level Domain) - Domains - Subdomains - Hostname
FQDN Beispiel: (in Standardschreibweise Links-nach-Rechts)
servername.subdom.domain.tld.
Ganz genau also mit Punkt am Ende für Root-Level! Die Verwaltung dieser Strukturen liegt bei der IANA.
Installationen¶
… der Server- und Client-Betriebssysteme (hier: Schwerpunkt Server)
Nicht nur in Seminaren sondern auch in Firmenumgebungen werden die Installationen oft mittels Virtualisierungen (VMware, Hyper-V, ProxmoxVE) durchgeführt. Hier mal ein Eindruck eine Client Windows Hyper-V basierten Installation:
Man erkennt die zwei Grundeditionen Standard und Datacenter und die jeweilige Möglichkeit mit und ohne Desktopdarstellung.
Microsoft empfiehlt die Installation der Windows Server in der Core-Variante - also ohne Desktopdarstellung. Allerdings werden wir in Seminaren immer erst einmal inklusive Desktopdarstellung installieren, um uns besser zurechtzufinden und orientieren zu können.
Die Installation von sogenannten Core-Servern steht aber auch auf der Agenda vieler Windows Server AD Seminare.
Grundanforderungen an Server (siehe auch Anm. bei Installationen von Rollen/Features)
statische IP-Konfiguration
sichere Passwörter
Updates / Aktualisierungen
Anm. zu Updates in einer Firmen/Enterprise Umgebung: dort betreibt man oft einen WSUS Server (Windows Server Update Service). Anm.: das ist der Nachfolger vom SUS (Software Update Service)
Wenn in einer Firma massenweise Installationen von Clients und Servern anstehen, dann sollte man sich mit den Verfeinerungen bei den Installationsszenarien beschäftigen.
Begriffe und Tools für die Image-basierte Installationen (Toolsammlung Microsoft für Imageerstellungen/Anpassungen)
Klassische Basistools: Toolbox WAIK - Windows Automated Installation Kit
Tools: ImageX, DISM, USMT, VAMT, … (Microsoft Link - AIK Win7)
ADK (Windows Assessment and Deployment Kit)
learn.microsoft.com - Herunterladen und Installieren des Windows ADKs
Windows ADK wird im Configuration Manager unterstützt. Der Configuration Manager ist seit Version 1910 Teil des Microsoft Endpoint Manager und ersetzt(e) sukzessive den SCCM - System Center Configuration Manager.
Tool
diskpart
für cmd/PowerShellPartitionen, System-Reservierte Partition (MSR), ESP (EFI System Partition)
Tipp
Zugriff auf cmd
während der Installation mit
Tastenkombination Umschalten + F10
Anm.: später werden alle User Zugriff auf die Domaincontroller (DC) haben - egal, ob Sie an den Clients oder Mitgliedsservern arbeiten, oder natürlich direkt an den DCs!
Infrastruktur (Netzwerk)¶
Erste Anmerkungen zur IP-Konfiguration unter Windows ohne funktionsfähigen DHCP-Service:
Microsoft Betriebssysteme nutzen APIPA - Automatic Private IP Adressing (siehe Privates Subnetz 169.254.x.y / 16)
Die Alternativen hierzu bei anderen Betriebssystemen:
MacOS (Bonjour / Zeroconf)
Linux (oft: Avahi)
allgemein mDNS (Wikipedia Link)
Tool für die Analyse der Netzwerk-/IP-Konfigurationen: ipconfig /all
Für die Konfiguration kann man gerne auch die grafische Umgebung nutzen:
Und selbstverständlich gäbe es hier wieder Alternativen über diverse Kommandozeilentechnik.
Hinweis
Eine saubere Infrastruktur und stetige Analyse und Check der IP-Konfigurationen aller beteiligter Maschinen in unserem Netz ist sehr wichtig.
Insbsesondere die Umsetzung der DNS-Technik ist für Domänenkonzepte von herausragender Bedeutung.
Wichtige Übungen / Praxis:
Vergabe von statischen IP-Konfigurationen passend zur Netzwerkumgebung des jeweiligen Seminars und der geplanten/umgesetzten Domäne.
Für die LAN- und WAN- Anbindungen benötigen wir weitere Dienste.
DHCP-Service (Rolle)¶
Hier: Machine BU-ROUTER
(statische LAN-IP: 10.0.0.254 / 8)
Konfiguration eines Bereichs (Scope) für
privates Teilnetz
10.0.0.0/8
Scope: IPv4-Adressen 10.0.0.100 - .150 mit Subnetmask 255.0.0.0
Plan für DNS-Server:
10.0.0.10 - wenn wir lokalen DNS-Server für Firmendomäne haben
Für öffentliche Namensauflösungen benötigen wir dann Weiterleitung
8.8.8.8 - öffentlicher Google DNS mit Alternative 8.8.4.4 oder
1.1.1.1 - öffentlicher Cloudflare DNS
Anm.: ohne Routing sind WAN-Zugriffe per LAN noch gar nicht verfügbar!
Weitere DHCP-Konfigurationen: (wieder: beispielhaft)
Standard-Gateway (Router): 10.0.0.254
DNS Suffix: seminar.local
Wichtig
Unsere Einstellungen müssen immer durch Tests auf den Client-PCs (PC17 erhält z.B. 10.0.0.100 / 8) gecheckt werden!
Auf Mitglieds-Servern in der Domäne konfigurieren wir dann später statische IPs (10.0.0.10 / .20 / .30 ) und auch die Konfigurationen zu Standard-GW (Router), DNS und DNS-Suffix sollten manuell konfiguriert werden!
Alternative für statische IPs: Vergabe von IPv4-Reservierungen über den DHCP-Service basierend auf MAC-Adressen der fraglichen Server (oder Drucker).
Routing (NAT)¶
Beispielhafte Maschine/Server BU-ROUTER
(oder alternativer Hostname)
Installation und Konfiguration
NAT-Routing (oder genauer: SNAT - Source Nating mit Masquerading)
LAN-NIC 10.0.0.254 - NAT-Routing - 192.168.0.99 WAN-NIC - 192.168.0.254 (DSL-Router)
Das NAT-Routing wird über die über Rolle Remotezugriff installiert.
Anm.: Bei Microsoft Windows Server wird die gesamte Remote-Technik für DirectAccess und VPN gleich mitinstalliert. Das ist für Microsoft eine Technik.
Jetzt funktioniert die Weiterleitung (und Rückleitung) von Paketen zwischen NICs LAN - WAN wie bei unserem heimischen DSL- oder Kabel-Router.
Tipp
Für den schnellen Zugriff auf die Remotezugriffs-Verwaltungskonsole einfach Rechts-Oben RRAS Verwaltung öffnen (Routing und RAS)!
Und nochmals: der hier dargestellte Server BU-ROUTER
in der Struktur
verhält sich jetzt wie Ihr Router zu Hause.
Der Assistent für die NAT-Internetverbindung hat eine Macke, die beim ersten Start die Netzwerkadapter nicht anzeigt. Dann einfach den Assistenten schließen und neu starten.
Wichtig:
Alle Maschinen (Dynamisch oder statisch) müssen natürlich
das Standard-Gateway (Router) richtig eingetragen haben (hier:
10.0.0.254 - LAN-Adapter der Maschine BU-ROUTER
).
DNS:
Damit die LAN-Maschinen auch an das DNS für das Öffentliche Netz
(WAN - Internet) kommen, wurde im DNS-Server DC00
(10.0.0.10)
eine Weiterleitung auf WAN-fähiges DNS eingetragen
(z.B. also wieder 8.8.8.8 von Google oder 1.1.1.1 von
Cloudflare).
Anm.: das geschieht automatisch, wenn die Maschine DC00
richtig vorbereitet wurde!
Domäne mit AD¶
Nach den grundsätzlichen Netzwerkkonfigurationen und Services geht es jetzt um die hierarchische Anpassung der Firmen-Domäne.
Wir nutzen die Active Directory Domänendienste der Microsoft Windows Server für die zentralen Verwaltungen der Firmenressourcen.
Intro / Fachbegriffe¶
Wir wollen uns einen Überblick über die Technik von Domänen mit Microsoft Active Directory verschaffen.
Fachbegriffe¶
… für Domain-Einrichtungen
Gesamtstruktur (Forest)
Domänenstruktur / Domänenstamm (Tree) und
Domäne (Domain)
Symbol für Domäne: Dreieck
Wichtig
Ohne DNS gibt es kein Active Directory (AD).
Domains vs. P2P¶
(Peer-to-Peer; engl.: Peer: Gleichgestellter)
Zentrale Verwaltung in Domäne vs. lokale Verwaltungen in einer Arbeitsgruppe
Anfangs/aktuell alles lokal verwaltet, was auch ein Blick in die
Computerverwaltung (compmgmt.msc
) der Server-Installationen
zeigt: Lokale Benutzer- und Gruppenverwaltung.
Clients und Mitgliedsserver¶
Windows 10/11 Clients und Windows Server 2016/2019 in Trainingsdomänen aufnehmen
Gruppenübung:
Fertigstellung aller Domänenmitgliedschaften für
alle installierten Systeme - auch hier wieder
an den Einsatz von nslookup
denken, damit
die nötige DNS-Auflösung für den Domänennamen gewährleistet ist.
Server in der Domäne (als Clients) Fachbegriff: Mitgliedsserver
Übungsdomain¶
Domain: seminar.local
Wir erstellen eine
neue Gesamtstruktur (Forest) und
neue erste Stammdomäne für Domänenstruktur (Tree)
Installation der Rolle AD-Domänendienste; danach „dcpromo“ (ab 2012 R2 nicht mehr wirklich eigenes Programm) durchgeführt.
Wir erhalten neue Gesamtstruktur mit neuer Domäne.
Tipp
Vorher bei DCs über Systemeigenschaften mittels Win + Pause - Erweiterte Systemeinstellungen - Register Computername - Ändern - Weiter.. - Primäres DNS-Suffix des Computers seminar.local festlegen
Stichworte zu DNS
Verfügbarkeit
Delegierung
Installation / Art
Zonen
AD-integriert
Anm. zu AD-integriert:
Bei einem zweiten DC für Domäne (z.B BDC00) wird über Replikation die DNS-Zone gleich mit repliziert - allerdings ohne eigenständige DNS-Server Rolle auf dem BDC00!
Fachbegriffe:
Funktionsebenen (Function Level FL - auf Ebenen Forest und dann Tree)
Globaler Katalog, RODC (Read Only Domain Controller)
DNS checken mit nslookup¶
(eigene Shell/Eingabeaufforderung; verlassen mit exit)
Darauf achten, dass der richtige DNS angesprochen wird!
Test für Domainauflösungs-Funktion: einfach Name der Domain (hier: seminar.local
) eingeben
Danach kann man technisch sauber (z.B.)
einen Client
PC17
in der Domäneseminar.local
aufnehmen, odereine Sub-Domäne
abt01.seminar.local
für die Stammdomäne seminar.local erstellen!
Tipp
Erst nach erfolgreichem nslookup mit Arbeiten an der Domäne forsetzen!
Reverse Lookup Zone¶
Installation einer Reverse-Lookup-Zone 10.in-addr.arpa
(also für alle IPs in Subnetz 10.0.0.0 /8)
Die Reverse Lookup Zone ist nicht zwingend für die Funktionalität des AD DS nötig, aber sehr sinnvoll für alle weiteren Nutzungen und Strukturen im Firmennetz (Beispiele: Mailserver / Exchange)!
Anm.: mehr Erläuterungen zu nslookup, DNS und Co im Seminarteil „Netzwerk- und Internettechnik“
DHCP Server autorisieren¶
(LAN 10.0.0.254 - BU-ROUTER
- 192.168.0.99 WAN)
Wenn man den BU-ROUTER
in die Domäne aufnimmt, um von DDNS (Dynamic DNS:
„Zusammenarbeit“ von DHCP mit DNS) zu profitieren,
muss der DHCP entsprechend autorisiert werden!
Hinweis
In der Domäne muss sich ein solcher DHCP-Server erst einmal als „offiziell ausweisen“: DHCP autorisieren!
Anm.: autorisierendes AD-Konto muss mindestens zu den Organisations-Admins zugehören!
Sub-Domain Controller¶
Wird selten für Trainingsdomänen der TN benötigt!
DC01
für Subdomäneabt01.seminar.local
undDC02
für Subdomäneabt02.seminar.local
Hinweis
Anm.: ist oft nicht Teil der Seminare…
Die Maschinen DC01
(10.0.0.11 / 8) und DC02
(10.0.0.12 / 8)
können zu Domänencontrollern für Subdomains abt01 und abt02.seminar.local
promotet werden.
Die DCs erhalten statische IPs 10.0.0.11 / 8 und 10.0.0.12 / 8 mit
lokalem DNS 10.0.0.10 (für AD / LAN und WAN als Weiterleitung auf
DNS-Server) und Standard-Gateway 192.168.0.254 (für WAN)
für die Subdomains werden keine eigenständige DNS-Server installiert,
sondern Sub-Zonen in bestehendem DNS auf DC00
erstellt.
Wichtig: alle Einstellungen natürlich wieder intensiv mit
nslookup
vor und nach den dcpromo checken
AD Werkzeuge¶
Eine kleine Übersicht mit Werkzeugen (Tools) für die Konfigurationen und die Administration von AD Domänenen.
Microsoft hatte vor Jahren die Einstellung verschiedener grafischer Werkzeuge angekündigt. Allerdings hat das Feedback Microsoft dann veranlasst die GUI-Werkzeuge im System zu belassen. Das sieht in modernen Infrastrukturen wie der Azure Cloud häufig ganz anders aus!
Wir starten mit der Systembegrüßung - dem Server-Manager, der immer auch
nachträglich mittels oobe
aufrufbar (Out-Of-Box-Experience) ist.
Server-Manager¶
Der Server-Manager ist die grafische Verwaltungszentrale für unsere Server. Das gilt sowohl für die lokale Installation eines Server, als auch für die Remoteverwaltung für andere physikalische oder virtualisierte Server.
Technisch handelt der Server-Manager (meist) PowerShell-Skriptings ab, die sich auch offen in weiteren Tools einsehen lassen (siehe unten AD Verwaltungscenter).
Installation der gewünschten Server-Software für (Anm.: Bottom-to-Top-Prinzip - erst einmal schlankes System…)
Rollen (die großen Dienste / Services)
Features (Erweiterungen wie Gruppenrichtlinienverwaltung, Dot.Net Framework, …)
Über den Link Tools (oben rechts) lassen sich alle verfügbaren Verwaltungswerkzeuge auflisten und über Verwalten nachinstallieren.
Wenn wir über die nötigen Administrations-Tools verfügen (siehe auch später RSAT), dann lassen sich die Dienste einfach per Rechte-Maus verwalten.
Während in der grafischen Übersicht zwischen Rollen und
Features unterschieden wird, kennt die PowerShell nur das
beiderseits funktionstüchtige Install-WindowsFeatures
.
dsa.msc¶
Oder ausführlich und in deutsch: Active Directory-Benutzer und -Computer!
Über dsa.msc
lässt sich das Werkzeug eben auch einfach schnell aufrufen,
wenn die Oberfläche mal schwächelt.
Und die Snap-In Console lassen sich natürlich in C:\Windows\System32
finden.
Active Directory Verwaltungscenter¶
Neueres Tool zur AD-Verwaltung: blendet alle Objekte des Active Directory standardmäßig ein!
Tipp
Hier lassen sich sehr gut die PowerShell Techniken für das AD kennenlernen!
Zugriff per Copy & Paste auf die entsprechenden PowerShell Skriptzeilen zur Durchführung in der neuen Befehlszeilemit
Windows Admin Center¶
In 2018 eingeführte Weboberfläche zum Verwalten von Windows Servern und Clients - ehemaliger Codename: Honolulu
Links zum Admin Center:
Hier noch ein weiter Blick auf das Windows Admin Center. Nach Aussagen von Microsoft soll diese und ähnlich Umgebungen in der Azure Cloud zusammen mit der allgegenwärtigen PowerShell die Admin-Umgebung der Zukunft sein und soll heute eingesetzt werden.
Übung: Admin Center auf Client installieren und mit DC verbinden.
Active Directory¶
Man sollte für den Einstieg auf jeden Fall mal die Benutzer und Gruppen erkunden - genauer gesagt:
Standard-Container und Objekte
Builtin
Computers
Domain Controllers
Users
Tipp
Bitte keine neuen AD-Objekte in den Standard-Containern anlegen! Immer mit Organizational Units (OUs) arbeiten.
Und wo wir gerade bei Empfehlungen sind: Bitte später Berechtigungen immer über Global Gruppen zuweisen - niemals einzelnen Benutzerobjekten!
Also: für alle neuen Objekte (Benutzer, Gruppen) werden neue Orgnizational Units (OUs) erstellt.
BPA (Best Practise Analyzer)¶
Erst Leistungsindikatoren starten (über Server-Manager) - dann per PowerShell (mit Admin-Rechten):
Get-BpaModel | Invoke-BpaModel
Anm.: ggf. diverse „gelbe/rote“ Warnungen/Fehler können ignoriert werden!
In der AD DS Serververwaltung findet man jetzt BPA Einträge:
Alle OUs vor versehentlichem Löschen schützen (Warnung)
Hinweis (Fehler) auf NTP / Zeitserver - Stichwort: PDC Betriebsmasterrolle
gewünschter 2. Domaincontroller - Stichwort: Redundanz (Anm.: sehr wichtig!)
Tipp
Die Best-Practise Vorschläge diskutieren!
Betriebsmasterrollen¶
(siehe Thema: Domänen-Migrationen)
FSMO-Rollen (Flexible Single Master Of Operation):
Schema-Master,
Domänennamen-Master,
PDC-Emulator,
RID Master,
Infrastruktur-Master
Link mit weiteren Erläuterungen
Für Migrationen benötigt man dann noch spezielle Anleitungen und Tools!
Remote-Techniken¶
(Übersicht) für Windows Clients / Mitgliedsserver
RDP / Remote Desktop - nur für 2 gleichzeitig Zugriffe ohne komplette RD-Server Rolle: Remotedesktopdienste
Remoteserver Verwaltungstools (Remote Server Administration Tools - RSAT)
inklusive Server-Manager und allen Verwaltungstools (z.B.
dsa.msc
Active Directory Benutzer und Computer) auf Windows 10 Clientüber Server-Manager Verbindung zum entsprechenden DC (z.B. DC01) herstellen und ggf. die nötigen Features nachinstallieren
Windows 10 RSAT downloaden - Link und installieren des „Windows Updates - *.msu“
AKTUELL:
Ab dem Windows 10-Update vom Oktober 2018 ist RSAT als Sammlung von „Features bei Bedarf“ in Windows 10 selbst enthalten.
Wechseln Sie stattdessen in „Einstellungen“ einfach zu „Optionale Features verwalten“, und klicken Sie auf „Feature hinzufügen“, um die Liste der verfügbaren RSAT-Tools anzuzeigen.
Windows Admin Center
PowerShell: Remote Sessiones und WebAccess
Fremdsoftware wie Teamviewer & Co
MMC (mit Windows Management Interface - WMI): „Auslaufmodell“
… ;-)
Globale Benutzer und Gruppen¶
Wir verwalten unsere Mitarbeiter/Innen geschickt über Gruppenkonzepte…
A-G-DL-P Regel¶
Wir beginnen mit dem Klassiker für die Verwaltung von Benutzer und Gruppen in Domänen: der A-G-DL-P Regel:
A ccounts (Benutzerkonto) - Mitglied von
G lobal Group (Globale Gruppen) - Mitglied von
D omain L ocal (Lokal in Domäne) - führt zu
P ermissions (Berechtigungen)
In den Seminaren erstelle ich hierzu auch immer gerne ein Scribble:
Übung / Praxis: Analyse der Benutzerrechte auf den Clients für Domänen-Benutzer und Domänen-Admins ergibt die lokale Client- Verdrahtung der globalen Gruppen in den jeweiligen lokalen Benutzergruppen!
Wichtig
Immer werden Accounts (Konten) Mitglieder in Globalen Gruppen und dann mit diesen Gruppen Berechtigungen zugewiesen!
Bitte nie die Mitgliedschaften direkt in den Domain Lokalen Gruppen oder auch später bitte keine einzelnen Benutzerkonten bei Berechtigungen für Freigabe/NTFS eintragen, sondern immer globale Gruppen definieren und zuweisen!
Beispiele für verfügbare/bzw. nicht verfügabare Berechtigungen bei Benutzern bzw. Admins auf den Clients:
Fähigkeit Freigaben für Ordner/Drucker einrichten können (siehe Hauptbenutzer)
Netzwerk konfigurieren (siehe Netzwerkkonfigurations-Operatoren)
Datei in Hauptverzeichnis C:\ erstellen
Datum/Uhrzeit einstellen
Remotedesktop nutzen (siehe RemotedesktopBenutzer)
Für die diversen Spezialfähigkeiten halten Lokale Benutzer und Gruppen Verwaltungen spezielle Benutzergruppen vor, mit deren Mitgliedschaften man die Fähigkeiten an den Clients erhält!
Gruppentypen und -Bereiche¶
Gruppentypen:
Sicherheit (siehe dann Sicherheitsgruppe - die „Standard“-Globale Gruppe),
Verteilung (etwas für Maillisten und Co)
Gruppenbereiche:
Lokal (in Domäne)
Global
Universal (kann auch Benutzer und Gruppen aus anderen Domänenstämmen und Gesamtstrukturen aufnehmen)
Der Einfachheit halber spricht man meist von Globalen Gruppen und meint hier dann ganz genau Globale Sicherheitsgruppen.
Übung Globale Gruppe¶
Szenario:
Außendienstmitarbeiter mit Notebook
Benutzer seminar\joestandard soll bei Nutzung Notebook
PC17
das Netzwerk konfigurieren dürfen
Anm.: Ausführliche Übungen mit TN planen und durchführen…
Mögliche Vorgehensweise - wie immer führen viele Wege zum Ziel:
Benutzer joestandard in OU anlegen oder bereits vorhanden (wie immer in einer OU nach Wahl)
Neue Globale Gruppe Netzwerker erstellen
Benutzer joestandard Mitglied machen von Globaler Gruppe seminar\Netzwerker
In der Lokalen Benutzer- und Gruppenverwaltung von
PC17
bei Lokaler Gruppe Netzwerkkonfigurations-Operatoren die Gruppe seminar\Netzwerker zum Mitglied machen - dadurch ergeben sich die nötigen Mitgliedschaften:Useraccount joestandard Mitglied von Globaler Gruppe Netzwerker und
Netzwerker wird Mitglied der Lokalen Benutzergruppe Netzwerkkonfigurations-Operatoren von
PC17
Hinweis
Die Mitgliedschaft einer Globalen Gruppe (hier
Netzwerker) zur Computer PC17
Lokalen Gruppe
Netzwerkkonfigurations-Operatoren kann man auch über
eine Gruppenrichtlinie (Computerkonfiguration) erzeugen.
Alternativszenario / Nachtrag / Überlegungen
Benutzer sollen Remotedesktop-Technik nutzen können
Benutzer seminar\joestandard soll bei Nutzung Notebook
PC17
die RDP Technik nutzen dürfenAnm.: bei Hyper-V VMs nötig für Erweiterte Sitzungen!
Anm.: das ist dann bei Terminal Server / Remotedesktopdiensten später dasselbe Vorgehen:
Man muss dann wieder die User für die Remotedesktop-Nutzungen in die Lokale Gruppe Remotedesktopbenutzer des Terminal Servers „packen“.
Das kann man dann wieder zentral organisieren/automatisieren (per Gruppenrichlinien), falls man das mal bei sehr vielen PCs/Laptops machen müsste!
Benutzerprofile in Dom¶
Wir unterscheiden die Benutzerprofile nach Ort:
lokal (local)
servergespeichert (serverbased)
und nach Eigenschaft:
veränderlich
verbindlich (mandatory)
Wichtig: jeder Benutzer arbeitet standardmäßig immer mit einem „veränderlichem Lokalen Benutzerprofil“
Klassische Alternative: servergespeichertes Benutzerprofil (serverbased profile) - siehe Profil-Kontenblatt des Benutzers
Die Datei ntuser.dat
stellt den
benutzerspezifische Registrierdatenbankteil dar.
Ein Profil kann man als unveränderliches (mandatory) Profil konfigurieren
indem man die ntuser.dat
umbenennt in ntuser.man
(mandatory profile).
Problem der servergespeicherten Benutzerprofile:
Profile wurden über die Zeit und die Client-OS immer größer und konnten teils nur schlecht und/oder fehlerhaft synchronisiert werden!
Lösung:
Nur die variablen und interessanten Teile des Benutzerprofils werden auf einen Server umgeleitet (Roaming Profiles)
Diese Ordnerstrukturen werden dann als Offline Ordner auf den Clients gepflegt und clever mit den Serverfreigaben synchronisiert.
Profilanalyse
Analyse der Verzeichnisstrukturen unsere Windows Installationen und der Benutzerprofile:
C:\Users
- Anm.: Ordner Benutzer im Windows Explorer „nur eingedeutscht“
Technik für Aufruf / Anzeige / Analyse:
Eingabeaufforderung (cmd) mit
Befehl dir /a
(alles im Verzeichnis anzeigen lassen)
So erkennt man: Dokumente und Einstellungen ist eine Junction
(Abzweigung) zu C:\Users
Anm.: das erklärt Fehlermeldung bei Doppelklick, da ein Doppelklick nur auf Dateien, Ordner oder einfache Links/Verknüpfungen funktioniert (Handler open).
Im Benutzerprofil C:\Users\%username%
(Anm.: Variable für
Benutzername!) finden sich Hinweis
auf Ordnerstrukturen und Junctions.
Besonderes Interesse:
C:\Users\%username%\AppData
mit Unterordnern
Local
LocalLow und
Roaming
Der Ordner .\AppData\Roaming
wird uns bei unseren Übungen zu den
Roaming Profiles wieder begegnen (Ordnerumleitung AppData (Roaming).
Gruppenrichtlinien (GP)¶
Ein erster Einstieg mit Thema Kennwortrichtlinien!
Erstes Beispiel für did Sichtbarkeit und Wirkung von Policies:
secpol.msc
(Lokale Sicherheitsrichtlinie) aufrufen.
Beim Aufrufen von Verwaltung - Lokale Sicherheitsrichlinie - Kennwortrichtlinien - alles GRAU/unbearbeitbar - ist eben alles Lokal!
Einstellungen können mittels Gruppenrichtlinienverwaltungs-Konsole geändert werden! Wir arbeiten mit GPOs (Group Policy Objects).
Links erkennt man die Gruppenrichtlinienverwaltung und rechts die
Gruppenrichtlininienobjekte (GPO) im Policies
des Servers.
Tools:
gpmc.msc
- Group Policy Management ConsoleBearbeiten mittels Rechte Maus (
gpedit.msc
- GP Editor)Default Domain Policy - Computerkonfiguration - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Kontorichtlinien - Kennwortrichtlinien
Übung: Ändern der Default Domain Policy - Anpassen der Kennwortrichtlinien
Konsoletools für Gruppenrichtlinien
Wichtige cmd-Tools für die GPOs:
gpupdate /force
- Erzwingen der Richtlinienaktualiserung für Computer und Benutzerdcgpofix
- Wiederherstellen von Default Domain und/oder Default Domain Controllers Policy
Man kann sich also jederzeit die Standards für die wichtigen beiden Default GPOs wiederherstellen lassen.
Gruppenrichtlinienobjekt¶
(Group Policy Objects - GPO)
GPOs sind in Management Konsole unter Gruppenrichtlinienobjekte zentral
organisiert (Gruppenrichtlinienverwaltung - gpmc.msc
) und werden dann
als Verknüpfungen den jeweiligen Objekten zugewiesen!
In der Gruppenrichtlinienverwaltung stehen darüber hinaus Analyse- und Modellierungswerkzeuge für spätere intensive Beschäftigungen mit Gruppenrichtlinien bereit.
In der Konsole gibt es das Tool gpresult
und als
Snap-In Console rsop.msc
(Resultant Set of
Policies - Richtlinienergebnissatz) für die Analyse der
Richtlinien.
GPOs werden mit GP-Editor bearbeitet ( gpedit.msc
).
Group Policy Objekte (GPOs) bestehen aus zwei Teilen:
Computerkonfiguration (machine - wird beim Starten der Maschine gelesen) und
Benutzerkonfiguration (user - wird beim Anmelden des Benutzers gelesen)
GPOs stellen prinzipiell Registry-Tweaks dar. Und wie immer ist bei der Nennung dieser zentralen Windows-Technik sorgfältig vorzugehen.
Welche Zielobjekte für GPOs gibt es? Welchen Objekten in unserem Active Directory können wir GPOs zuweisen?
Gesamtstruktur,
Domäne,
DCs,
Standorte,
OUs / UnterOUs
GPO-Basis-Optionen:
nicht konfiguriert
aktiviert
nicht aktiviert
Optionen geben dann mit Vererbung über die Hierarchien sinnvolle Anwendungen (z.B. bei verschachtelten OUs).
Die Richtlinien und Skripte auf einem System werden in einer klar definierten Reihenfolge abgearbeitet.
GPO Residenz: auf HD des DC:
C:\Windows\SYSVOL\sysvol\seminar.local\policies
bzw.
C:\Windows\SYSVOL\domain\policies
(Anm.: mit …\domain\ als Verknüpfung)
Übungen mit GPOs¶
In meinen Seminaren orientiere ich die Übungen zu GPOs oft nach den Interessen und Wünschen der Trainees. Die folgenden Übungen sollen also nur Anregungen darstellen.
GPO-Übung 01¶
Übung: Anzeigeoptionen für Benutzer einer OU deaktivieren
Benutzerkonfiguration - Richtlinien - Administrative Vorlagen - Systemsteuerung - Anzeige - Einstellung: Systemsteuerungsoption „Anzeige“ deaktivieren
Anm.: kann man ohne Neuanmeldung mittels gpupdate /force
auf Client „erzwingen“
GPO-Übung 02¶
Übung: Roaming Ordner (am Beispiel Desktop oder Documents)
Planung und Entwurf der GPO-Technik:
Gruppenrichtlinie für Ordnerumleitungen Eigene Dokumente -
C:\Users\%username%\Documents
auf einen Ordner auf Server
Deutsches Webportal zum Thema Gruppenrichtlinien (mit Tipps, Tricks, Übersichten)
Arbeiten auf Server:
Active Directory - hier wollen wir sauber mit eigens konstruierter Globaler Sicherheitsgruppe arbeiten.
Neue OU roamers
mit neuem Benutzer joeroamer
und
Gruppenzugehörigkeit zu neuer Globaler Gruppe roamers
erstellen.
Anm./Erinnerung: bei den folgenden Berechtigungen immer die Globale Gruppe für Berechtigungen nutzen!
Datenträger/Explorer auf Server (hier: DC00
):
Daten-LW-Freigabe: E:\roaming-ordner
erstellen und freigeben
mit Freigabename roaming-ordner
und folgenden
Standardberechtigungen: (Microsoft-Vorschlag / „Best Practises“)
Freigabe-Berechtigung: seminar\roamers mit Vollzugriff (oder aber „anonyme“ Globale Gruppe Jeder)
NTFS-Berechtigung: seminar\roamers mit Berechtigung Ändern Gruppenrichtlinienverwaltung:
Neues GPO roaming-documents
erstellen und mit GP-Editor bearbeiten:
Benutzerkonfiguration - Richtilinien - Windows Einstellungen - Ordnerumleitungen - Dokumente - Rechte Maustaste - Konfigurationen vornehmen; siehe auch Extra-Register für „Exklusive Zugriffe“ und „Verschieben/Behalten“ von Dateien
Da GP-Objekt roaming-documents
mit OU roamers
verknüpfen!
Das kann man schnell einmal vergessen.
Gruppenrichtlinien aktualisieren oder einfach einen Moment warten!
Arbeiten auf Client:
Neuen User seminar\joeroamer
anmelden. Wir checken jetzt im
Benutzer-Profil, ob der Ordner Documents lokal noch vorhanden ist
(checken mit cmd - dir)!
GUI: In Eigenschaften von „Dokumente“ sieht man den UNC-Pfad:
\\DC00\roaming-ordner\joeroamer\Documents
(Anm.: in Pfadzeile des Explorers leider nicht mehr erkennbar!)
Anmerkung zur technischen Umsetzung auf Client: Offline-Ordner für „Eigene Dokumente“ (siehe Systemsteuerung - Synchronisierungscenter - Offlinedateien)
In Windows 10 werden entsprechende Ordner mit Symbol für die Offline-Sync-Technik ausgestattet.
Group Policy Beispiele¶
Weitere Möglichkeiten für Computer- und Benutzerkonfigurationen:
die „Netzwerker“ lassen sich per GP (Computerkonfiguration) lösen,
Softwareverteilungen mit msi-Paketen,
Desktophintergrund (Wallpaper) zentral bereitstellen und in Benutzerprofilen konfigurieren,
… (wieder ;-)
Anm.: fast 15.000 Richtilinien out-of-the box verfügbar - da sollte sich mit etwas Google-Geschick etwas finden lassen.
Aber bitte gut planen / strukturieren / testen und bei Online-Recherchen auf Darstellungen zu den richtigen Client/Server-Systemen achten.
Tipp
Mindestens die Nennung von Server 2012 bei den GPO Eigenschaften beachten.
Tipp für TN-Frage nach Bitlocker in meinen Seminaren:
Man muss häufig mittels Richtlinie Bitlocker ohne TPM überhaupt erst einmal möglich machen:
Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten - Bitlocker-Verschlüsselung - Betriebssystemlaufwerke - Einstellung: Zusätzliche Authentifizierung bei Start erforderlich
Eine persönliche Anmerkung: so einfach und wirkungsvoll Bitlocker auch ist, so problematisch sind dann doch immer wieder die praktischen Erfahrungen: Backup, PC-Zugang nach UEFI-Updates, Firmware-Topics Speichermedien, …
Kommen wir zurück zu den GPO-Techniken und zur Erweiterungsmöglichkeit mittels Administrativer Vorlagen (ADMX/ADML).
Administrative Vorlagen¶
Engl. Original für nachfolgende (dt.) Erläuterung:
https://learn.microsoft.com/en-us/windows/client-management/understanding-admx-backed-policies
(dt. - in verbesserter Version gegenüber Original DE-MS-Website ;-) In einer ADMX-Richtlinie enthält eine administrative Vorlage die Metadaten einer Windows-Gruppenrichtlinie und kann im Editor für lokale Gruppenrichtlinie auf einem PC bearbeitet werden. Jede administrative Vorlage gibt die Registrierungsschlüssel (und deren Werte) an, die einer Gruppenrichtlinie zugeordnet sind, und definiert die Richtlinieneinstellungen, die verwaltet werden können.
Administrative Vorlagen organisieren Gruppenrichtlinien in einer Hierarchie, in der jedes Segment im hierarchischen Pfad als Kategorie definiert ist. Jede Einstellung in einer Gruppenrichtlinie administrativen Vorlage entspricht einem bestimmten Registrierungswert.
Diese Gruppenrichtlinie Einstellungen werden in einem standardbasierten XML-Dateiformat definiert, das als ADMX-Datei bezeichnet wird. Weitere Informationen finden Sie unter Gruppenrichtlinie ADMX-Syntaxreferenz.
Tipp
Bitte immer auch das Original der learn.microsoft.com Plattform lesen. Die Beiträge lassen sich sprachlich einfach über die Lokalisierungen en-us und de-de im Pfad wechseln!
Group Policies - Central Store¶
Die Organisation von ADMX (ADML Sprachdateien) mit Hilfe eines zentralen Speichers erläutern die folgenden Beiträge:
-
Empfehlung: das englische Original für das Studium der Technik nutzen!
Auszug aus Erläuterungen der eben genannten Quellen:
Um einen zentralen Speicher für ADMX- und ADML-Dateien zu erstellen, erstellen Sie am folgenden Speicherort (Beispiel) auf dem Domänencontroller einen neuen Ordner mit dem Namen PolicyDefinitions:
\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions
Wenn Sie schon einen solchen Ordner mit einem zuvor erstellten zentralen Speicher haben, verwenden Sie einen neuen Ordner, der die aktuelle Version beschreibt, wie etwa:
\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions-1803
Download-Beispiel für ADMX(L) Dateien:
Administrative Templates (.admx) for Windows 11 2022 Update (22H2)
https://www.microsoft.com/en-US/download/details.aspx?id=104593
Die ADMX-Templates für Windows 11 sind abwärtskompatible zu Windows 10. Man sollte allerdings beachten, dass ein paar GPOs ausschließlich mit Windows 11 funktionieren.
Administrative Templates (.admx) for Windows 10 2022 Update (22H2)
https://www.microsoft.com/en-us/download/details.aspx?id=104677
Verschiedene Vorlagen
Microsoft Edge - Business Portal mit ADMX (als CAB)
https://www.microsoft.com/en-us/edge/business/download?form=MA13FJ
GPO Spreadsheets¶
Der Versuch von Übersichten zu Vorlagen für die Clients Windows 10 und 11:
Windows 11:
https://www.microsoft.com/en-us/download/details.aspx?id=103668
Windows 10:
https://www.microsoft.com/en-us/download/details.aspx?id=104677
Viel Spaß beim Durchstöbern und Auswendig lernen ;-).
PowerShell für AD¶
Natürlich kann man viele Umsetzungen im Windows Server Active Directory immer noch manuell über die Grafikoberflächen (GUI Tools) erledigen.
Eine einfache GUI-Tools-Übersicht findet man bei AD Werkzeuge.
An dieser Stelle nur eine kleine Einführung und Orientierung zur PowerShell für das Active Directory.
Eine der herausragenden Möglichkeiten der PowerShell besteht in der Nutzbarkeit für beliebige Technikumgebungen. Alles was man benötigt ist ein sogenannter Provider (dt.: Ermöglicher).
Für die allermeisten Dienste im Firmen- oder Cloud-Netz finden sich Erweiterungen - also spezielle Module - für die Nutzung der Dienste über die PowerShell.
Wir benötigen die folgenden Komponenten, um AD-Services sauber mit der PowerShell verwalten zu können:
PowerShell Kenntnisse
AD-Module und PowerShell-Technik für die Services
Fachwissen über Active Directory und genutzte Services
Entscheidend sind unsere Kenntnissse über die PowerShell!
Die praktischen Umsetzungen will ich in meiner hier vorliegenden Ausarbeitung nur anreißen. In den Fachbüchern und im Netz gibt es tonnenweise Lösungen.
Microsoft stellt diesen Provider in Form diverser PowerShell Module bereit, die automatisch auf den Servern oder über RSAT auch auf Clients verfügbar sind.
Die Hauptrollen bei der AD-Verwaltung spielen die folgenden Module:
ActiveDirectory
ADDSDeployment
Wir werden in unseren Seminarumgebungen praktische Beispiele für den Einsatz durchspielen.
Bei der Erstellung einer Gesamtstruktur (engl. Forest) ergibt sich der folgende PowerShell-Code, den man aus der Server-Manager Installroutine für die ADDS Services abspeichern kann.
Allgemein lässt sich über die Nutzung der PowerShell im Active Directory feststellen, dass es (natürlich) einige Besonderheiten gibt.
Datenträgermanagement¶
Grafische Verwaltung mittels Snap-In Console: diskmgmt.msc
Kurz-Rekapitulation zu Booten mit bootmgr
und /boot/bcd
(Boot Code Configuration),
Fachbegriffe:
MBR vs GPT
Basisdatenträger vs. Dynamische Datenträger
z.B. für Software RAID mit Windows Server)
GPT (GUID Partition Table) Volumes
Hinweise zu UEFI: Schneller, sicherer, Booten ab 2,2 TB, 64-Bit
Technet-Artikel (MS) „Grundlegendes zu Datenträgerpartionen“ Windows (Server) kennt Basis (Datenträger) als auch Dynamische Datenträger
Dynamische Datenträger: flexiblere Größenänderungen und natürlich Software-RAIDs
Windows Server-RAID¶
Redundant Array of Inexpensive/Independent Disks
Versuch der Optimierung von Geschwindigkeit und Redundanz/Ausfallsicherheit, Software- vs. Hardware-RAID (Vor- / Nachteile),
RAID-Level;
Server-SW-RAID-Level:
RAID 0 Striping (ohne Redundanz / Ausfallsicherheit)
RAID 1 Mirroring/Spiegelung (Redundanz / Ausfallsicherheit - Empfehlung für Serverinstallationspartition!)
RAID 5 Striping mit Parität (min. 3 Datenträger - 1 Platte darf ausfallen - 1/n wird für Parity-Infos benötigt)
Netzwerkfreigaben¶
Nutzung von administrativen und eigenen Freigaben in der Domänen…
Standardfreigaben¶
NETLOGON
: Freigabepfad zu C:\Windows\SYSVOL\sysvol\dombu.lokal\scripts
Anm.: klassische Anmeldeskripte seit NT - meist mit Dateiendung *.cmd statt als *.bat Dateien
SYSVOL
: Freigabepfad zu C:\Windows\SYSVOL\sysvol
(eine
Freigabe über die dann auch die GPO mit Ordner policies erreichbar
sind)
C$
, Admin$
: Administrative Freigaben mit angehängtem $ (das $
am Ende versteckt die Freigabe im Netz)
Übersicht mit net share
in der Befehlszeile;
alternativ siehe Computerverwaltung - Freigegebene Ordner - Freigabe oder über den Server-Manager - Datei-/Speicherdienste - Freigaben
Freigaben¶
Hinweis: Berechtigungen bitte immer ohne Freigabe-Assistent erstellen
Windows Explorer konfigurieren: Organisieren - Ordner- und Suchoptionen - Register Ansicht - Freigabe-Assistent deaktivieren
Freigaben kennen nur einfache Berechtigungen: Vollzugriff, Ändern, Lesen
Erläuterung / Erklärung zu Security-Principal (Spezialgruppe) Jeder: Jeder / Lesen - hier ist wieder „Jeder Berechtigte“ gefragt, also meine AD-Benutzerkonten plus die Domänenbenutzer, denen meine Domäne vertraut
siehe: Active Directory-Domänen und -Vertrauensstellungen
Syntax bei Freigabenamen: mit $ am Ende sind „versteckt“;
administrative Freigaben C$, E$
NTFS und Freigaben¶
Zugriffsschutz auf Benutzerebene (Register „Sicherheit“) nicht vergessen!
viel feinere Berechtigungen gegenüber Freigabe-Rechten;
NTFS-Rechte vererben; Besitz übernehmen
Effektive / Effiziente Berechtigungen für Benutzer / Gruppen anzeigen lassen:
Effektiver Zugriff in den erweiterten Sicherheit-Einstellungen
Vertrauensstellungen¶
Wichtig für die Erkenntnisse für die „Spezialgruppe: JEDER“
Management-Console: Active Directory-Domänen und -Vertrauensstellungen;
Fachbegriffe:
bidirektional,
eingehende und ausgehende Vertrauensstellungen,
transitive Vertrauensstellungen (automatisch bei Domänenstamm / Tree)
net (Befehle)¶
net share
- Freigaben auflisten oder auch erstellen
Tipp - Freigabe mit Eingabeaufforderung/cmd erstellen:
net share roaming=E:\roaming /grant:"seminar\Domänen-Benutzer,FULL" /remark:"Freigabe für Roaming-Technik"
Anm.: die Anführungszeichen/Strings in cmd nicht unbedingt nötig - aber Tipp falls mal in PowerShell unterwegs!
net view
- eigene (oder auch andere) Domains/Arbeitsgruppen
auflisten / Freigaben anderer Rechner anzeigen
net use
- Netzwerkresourcen mappen (Netzwerklaufwerke und
-Drucker)
net /?
(listet Befehlsoptionen) und net use /? (listet die net
use Optionen)
klassische Anmeldeskripte¶
mit Freigaben auf DCs und mit Netzlaufwerk per NETLOGON-Skript lw-n-mappen.cmd
Einzeiler: net use N: \\dc00\projectX
Skript lw-n-mappen.cmd
wird im Kontenblatt Profil eines AD-Users
konfiguriert (Anm.: erfordert also manuellen Eingriff des Admin!)
Berechtigungen für Freigabe und NTFS:
Freigabe: Jeder / Vollzugriff
NTFS-Sicherheit: gewünschte Globale Gruppe (z.B. Domänen-Benutzer) / Ändern
Befehl für Mapping von Netzresourcen (Freigaben / Drucker):
net use
(mit Schaltern /?, /persistent, /delete)
Anm.: die Übung ist gut für praktische Erfahrungen mit Skripten und Netzwerklaufwerken
die modernen Varianten dann später per Gruppenrichtlinien und Start-/Stop Skripten als normale Skripte (*.cmd) oder PowerShell-Varianten (*.ps1)
Anm. zum späteren Skripting per GPOs: die Pfade zu den Skriptordnern führen in die User-Unterordner des jeweiligen GPO!
Hinweis: seit Windows 8.1 werden die Login-Skripte standardmäßig mit einer Verzögerung von 5 Minuten (!) durchgeführt, was selbstverständlich wieder durch eine Gruppenrichtlinie angepasst werden kann!
(Darstellung windowspro.de - GPO Caching und PS Skriptverzögerung)
Druckserver¶
Bei den technischen Vergleichen mit Netzwerkdrucker - alles wie immer:
bei Druckserver (also der Client/Server-Technik) sind die Treiber (und ggf. auch Druckaufbereitung) zentral auf Server,
während Netzwerkdrucker (zwar auch im Netz verbunden sind) die Treiber jeweils auf den nutzenden Clients hätten!
Druckeranschlüsse:
Local: USB, LPT
TCP/IP
Vendorspecific: HP JetDirect
IPP (Internet Printing Protocol)
LPD (Line Printer Daemon für Unix)
Hinweis zu Treibern auf Druckserver: wir benötigen die Client-spezifischen Treiber (XP / Vista / Win7 / 32-Bit, Win7 32-Bit/64-Bit / Win 8.1 / Win 10)
Spooling (Druckaufträge in Speicher auf Datenträger zwischenspeichern) mit Spoolordner:
C:\Windows\system32\spool\PRINTERS
Spool-Ordner immer besser auf Datenlaufwerk oder Speziallaufwerk - z.B.:
E:\__spool
) unterbringen
Begriffe: Queuing, Druckpriorität (von 1 - gering bis 99 maximale Dringlichkeit), Druckerpool, Treiber
Übung:
Installation / Einrichtung „Druckserver“ auf DC00
und
veröffentlichen im „Verzeichnis“
Dann auf Clients mit freigegebenem Drucker verbinden bzw. „Drucker hinzufügen“ (Domänen-Benutzer und alle „Vertrauten“ sind berechtigt)
Hinweis auf Gruppenrichtlinie in Benutzerkonfiguration für das automatisierte „Verbinden“ mit den Druckservern im AD Server-Manager;
Siehe auch Tool: Druckverwaltung
Server-Sicherung¶
Backupstrategien und Konzepte („W-Fragen?“; siehe auch Modul PC-Systemsupport-Infos)
Einrichtung der Windows Server-Sicherungsfeatures über Windows Server Manager -> Features - Feature „Windows Server-Sicherung“ hinzufügen
Sicherung konfigurieren / eingerichten über
Konsolen-Tool: wbadmin
(für die Konsole - siehe wbadmin /?
)
Hinweis: Sicherung im laufenden Betrieb mit Hilfe von VSS (Volume Shadow Service - Volumenschattenkopien. Diese Technik wird auch für die sogenannten Vorgängerversionen verwendet.
Hinweis zu Meldungen beim Sichern: wenn wir EFI-Partition mit sichern wollten - diese aber mit FAT32 partitioniert sind - gibt es Probleme, da VSS nur auf NTFS-Laufwerken funkitonieren kann!
Alternative Software: (eine kleine Auswahl)
[Legacy] Microsoft System Center 2012 R2 bzw. 2016 mit Data Protection Manager,
EMC 2 Data Protection Suite,
Bibliothek Windows Server¶
Bücher zum Thema Windows Server gibt es viele und ich will an dieser Stelle nur eine kleine eigene Übersicht anhängen.
Hinweis
Texte und Anmerkungen zu den Büchern von Amazon bzw. den Verlagen.
Hier die Infos zu den Büchern:
Windows Server - Das Handbuch¶
Peter Kloep, Karsten Weigel, Raphael Rojas, Kevin Momber, Annette Frankl
Der Windows Server ist das Herzstück Ihrer Firmen-IT – und dieses umfassende Handbuch zeigt Ihnen, wie Sie den sicheren Betrieb gewährleisten. Dazu erläutert es Ihnen alle Serverrollen und gibt praxisorientierte Antworten auf alle Fragen des täglichen Betriebs.
Das Autorenteam aus Microsoft Premier Field Engineers und erfahrenen Administratoren liefert Ihnen detaillierte Hintergrundinformationen und zahlreiche Praxistipps, die dafür sorgen, dass Ihnen die Konfiguration reibungslos gelingt.
Infrastruktur, Installation, Konfiguration, Administration
Alle Serverrollen erklärt: Active Directory, Hyper-V, DHCP- und DNS-Server, Datei-, Druck- und Webserver
Windows Admin Center, Server Manager, WSUS, Azure Hybrid Cloud, PowerShell
Peter Kloep, Karsten Weigel, Raphael Rojas, Kevin Momber, Annette Frankl
Herausgeber: 2. Auflage; Rheinwerk Computing; 2021
Sprache: Deutsch
1320 Seiten, 2021, gebunden
ISBN 978-3-8362-8367-0
E-Book-Formate: PDF, EPUB, MOBI/Kindle, Online
Anm.: ich führe keine Aktualisierungen von Auflagen und Auflageinfos durch!
Tipp
OpenBook vom Rheinwerk Verlag (früher Galileo Verlag) zum Windows Server 2012 R2
Der (natürlich in die Jahre gekommene) 1400-Seiten-Wälzer von Ulrich B. Boddenberg als OpenBook (Offline-Webseite)
Sichere Windows-Infrastrukturen¶
Peter Kloep, Karsten Weigel
Assume the breach! Heutzutage ist nicht mehr die Frage, ob Ihre Infrastruktur Ziel eines Angriffs wird, sondern wie Sie dagegen gewappnet sind. Microsoft gibt Ihnen dazu einen Reihe Werkzeuge an die Hand, und dieser Leitfaden zeigt Ihnen, wie Sie sie richtig einsetzen. Mit den richtigen Administrationsmethoden erschweren Sie so den Angriff und sorgen dafür, dass wichtige Daten sicher bleiben und kein Schaden entsteht.
Zahlreiche Best Practices und Hinweise aus der Praxis erklären Ihnen, wie Sie Ihre Systeme absichern und sich auf den Ernstfall vorbereiten.
Absicherung der administrativen Konten mit Tier-Modell und Admin-Forest
Kerberos, PKI und CA, Credential Guard und Bitlocker richtig nutzen
Patching, Auditing, Monitoring und Reporting
Peter Kloep, Karsten Weigel
Herausgeber: Rheinwerk Computing; 2022
Sprache: Deutsch
763 Seiten, 2020, gebunden
ISBN 978-3-8362-7321-3
E-Book-Formate: PDF, EPUB, MOBI/Kindle, Online
Anm.: ich führe keine Aktualisierungen von Auflagen und Auflageinfos durch!
Windows Server - Joos¶
Thomas Joos
Handbuch Reihe zum Windows Server beim O’Reilly Verlag
Hinweis
Microsoft Windows Server 2019 bzw. 2022 - O-Ton O’Reilly Verlag
Das Handbuch - Von der Planung & Migration bis zur Konfiguration und Verwaltung
Insider-Wissen - praxisnah und kompetent
Dieses Handbuch behandelt alle wichtigen Themen über Windows Server 20XX, von der Planung, Migration, Administration bis zur Konfiguration und Verwaltung. Dazu profitieren Sie von den zahlreichen praxisnahen Beispielen und Workshops. Komplett überarbeitet und aktualisiert gibt Ihnen dieser Klassiker einen tiefgehenden Einblick in den praktischen Einsatz von Windows Server 20XX.
Das Buch richtet sich sowohl an Neueinsteiger:innen in Microsoft-Servertechnologien als auch an Umsteiger:innen von Vorgängerversionen. Planung und Migration, Konzepte und Werkzeuge der Administration sowie die wichtigsten Konfigurations- und Verwaltungsfragen werden praxisnah behandelt.
Alle wichtigen Funktionen werden ausführlich vorgestellt, ebenso die effiziente Zusammenarbeit mit Windows 10-Clients. Es erwarten Sie über 1000 Seiten praxisnahes und kompetentes Insiderwissen mit vielen hilfreichen Anleitungen und Profitipps.
(Topics zu 2022 Version des Joos Windows Server Handbuchs)
Alle Neuerungen von Windows Server 2022 und Änderungen im Vergleich zu Windows Server 2019
Lizenzierung und Installation
Verwalten von Datenträgern und Speicherpools, Hochverfügbarkeit Datensicherung und -wiederherstellung
Secured Core Server, Secure DNS und weitere Sicherheitsneuerungen in der Praxis
Lokale Rechenzentren an Microsoft Azure anbinden
Betreiben und Erweitern von Active Directory
Verwaltung mit dem Windows Admin Center
Hochverfügbarkeit und Lastenausgleich
Windows Server Update Services (WSUS)
Diagnose und Überwachung für System, Prozesse und Dienste
Viele neue PowerShell-Befehle für die Verwaltung von Windows Server 2022
Windows Server Container, Docker und Hyper-V-Container
Virtualisierung mit Hyper-V
Fehlerbehebung und Troubleshootingg
Thomas Joos
Herausgeber: OReilly (dpunkt); 2019 bzw. 01/2022
Sprache: Deutsch
ca 1100 Seiten, gebunden
ISBN 978-3-96009-100-4 (Windows Server 2019)
ISBN 978-3-96009-182-0 (Windows Server 2022)
E-Book-Formate: erhältlich über kostenpflichtigen O’Reilly Plus Account
Anm.: ich führe keine Aktualisierungen von Auflagen und Auflageinfos durch!
Linux (GNU/LInux)¶
Hinweis
Als ein Schwerpunkt meiner Schulungen betreibe ich für das Thema Linux / Linux-Zertifikate ein eigenes Infoportal linux.joe-brandes.de mit ausführlichen Darstellungen.
Hier folgen Ausführungen zu Linux (bzw. GNU/Linux) am Beispiel aktueller openSUSE und Debian Distributionen. Aber wie immer: es geht um den Roten Faden!
GNU/Linux¶
GNU ist ein sich selbst wiederholendes Akronym - GNU is not Unix ;-)
Linus ist der Freie Betriebssystemkern
Fachbegriffe Kernel (Betriebssystemkern): monolithisch, wobei aktuelle Entwicklungen nicht mehr nur starr monolithisch statt Microkernel sind!
Wikipedia-Artikel Link)
engl.: Kernel (siehe Website für den Kern auf kernel.org - Lizenz GNU Public License
Erste öffentliche Erwähnung durch Linus Torvalds in Newsgroup comp.os.minix am 26. August 1991 (Wiki-Link L. Torvalds)
Distributionen¶
Eine kurze Auflistung:
Debian - Nummer 1 bei den Server-OS für Web-Services und Co
Ableger: Ubuntu, Ubuntu-Varianten (Kubuntu, Edubuntu, Mythbuntu, …)
Red Hat - Firma mit Serverlizenzen Red Hat Enterprise Linux
Ableger: Fedora mit den offenen/freien SW-Paketen, CentOS
Suse (Novell) - SLES Suse Linux Enterprise Server
Ableger: openSUSE - freie Community-Variante (siehe`de.opensuse.org <http://de.opensuse.org/>`__) - mit Version 42.1 hat Novell die Entwicklungspfade von SLES und openSUSE zusammengelegt (s. Versionen: 13.1 - 13.2 → 42.1 - 42.2 - 42.3 → 15.0 - …)
Distro |
Ableger der Distro |
Paketmanagement |
---|---|---|
Red Hat (Link) |
Fedora, besser: CentOS Kaufversion: RHEL |
RPM (Red Hat Package Management) Standardtool: rpm (ohne Auflösung Abhängigkeiten), yum |
Novell (Suse) (Link) |
openSUSE (Link) Kaufversion: SLES |
RPM mit YaST2-SW-Verwaltung, zypper, yum |
Debian (Link) |
Ubuntu(s), Linux Mint |
DEB (Debian Pakete) Standardtool: dpkg (ohne Auflösung Abhängigkeiten) APT-Tools: apt-get, apt-cache, … , aptitude |
Entscheidung für Suse-Distro:
Verbreitung in Deutschland, Nähe zur Enterprise Edition (SLES - Suse Linux Enterprise Server), gute deutschsprachige Community, Install- und Konfigurationsmöglichkeiten mit YaST (guter Einstieg in Administration von Linux Systemen), …
Enscheidung für Debian-Distro:
weltweit Nummer 1 bei Webservices und Internet-Servern, die Basisdistribution für Derivate wie Ubuntu, Kubuntu, Mint, …
weitere Distributionen: ArchLInux, Linux Mint, Gentoo, Mandriva, … - the list goes on and on (s. a. www.distrowatch.com)
Hinweis
Aktuell muss und sollte man sich zwischen Enterprise/Company- und Community-betriebenen Linux Distributionen entscheiden.
In 2023 haben deswegen viele Nutzer und auch Firmen wieder/zurück zu Debian gefunden.
Links zu openSUSE¶
Portal: https://www.opensuse.org/
Wiki deutsch: https://de.opensuse.org/Hauptseite
Wiki Leap: https://de.opensuse.org/Portal:Wiki
Leap Download: https://software.opensuse.org/distributions/leap
Documentation english: https://doc.opensuse.org/
Upgrades: https://de.opensuse.org/SDB:Distribution-UpgradeDistribution-Upgrade
(kürzer/besser: engl. Variante des Upgrade DB Eintrags)
Tumbleweed rolling upgrades: https://software.opensuse.org/distributions/tumbleweed
Links zu Debian¶
Und natürlich ist die folgende Auflistung ohne Anspruch auf Vollständigkeit ;-)
Debian Portal - https://www.debian.org/
Debian Standard Download - https://www.debian.org/download
Inkl. Non-Free Software und als Netinst-Variante - Anleitungen und Informationen zu Prüfsummen beachten
Debian Long Term Support - https://wiki.debian.org/LTS
Debian Forum (engl.) - https://forums.debian.net/
Debian Installationsanleitung - https://www.debian.org/releases/stable/amd64/
Anm.: sehr wenig Grafik / Screenshots in Kombination mit sehr viel (!) Infos
Debian auf Wikipedia (dt.) - https://de.wikipedia.org/wiki/Debian
Darstellungen zu Veröffentlichungen, Zyklen, LTS, Namen (Toy Story)
Debian Administrationshandbuch - Raphaël Hertzog und Roland Mas
https://debian-handbook.info/browse/de-DE/stable/
Aktuell zu Ausgabe 11 (Bullseye)
Debian Anwenderhandbuch - Frank Ronneburg
FOSTips Debian - Infoportal FOSTips for Free and Open Source (sehr Ubuntu-lastig)
Und wie gesagt: es lassen sich sicherlich noch viele weitere (wertige) Quellen im Netz finden und auch bei Youtube sind die aktuellen Debian Versionen 11 und 12 sehr gut vertreten.
Installation / Inbetriebnahme¶
Install-Medien:
CD (Netzwerk-Install; aktuell ca. 100 MB; bei Installation werden
alle Pakete aktuell nachgeladen: ca. 3-4 GB),
DVD (auch als Live-DVD),
Netzwerk-Quellen (FTP, HTTP, NFS, SMB/CIFS, PXE/TFTP);
immer auch Quellen in 32- und 64-Bit und für andere Hardware (also nicht nur Intel x86 bzw. x86_64)
Hinweis:
Bereitstellung von Checksums (sha256) zur Verifizierung der Unversehrtheit und Originalität der Downloadarchive (Isos)
Spezialität von openSUSE: YaST - Yet another Setup Tool (Installations- und Setup/Konfigurationswerkzeug)
Partitionen - Mounts¶
Gerätenamen /dev/sda
(für den ersten Datenträger - dann /dev/sdb, ...
)
eingerichtete Partitionen mit Nummern:
/dev/sda1, /dev/sda2, ...
Anm. bei MBR dann /dev/sda5
als erste logische Partition (log.LW) in einer erweiterten Partition
früher bei EIDE-Geräten: /dev/hda
;
die sda-Bezeichner dann für SCSI, SATA und heute auch USB-Medien
Alternativ: Verwendung von Geräten-ID-Bezeichnern (siehe später GRUB oder auch /etc/fstab
)
Aktuelle Distributionen: UUID als eindeutige Bezeichner für die Partitionen/Datenträgerbereiche
Vorteil UUID:
dann werden die Datenträgerbereiche auch sauber gemountet,
wenn diese mal statt auf /dev/sda2
auf /dev/sdb1
liegen sollten!
Hinweis
die folgenden Beispiel oft für openSUSE - wir nutzen aber auch gerne Debian in der PC-Werkstatt!
Installation mit folgenden Partitionen angelegen:
Also: Abweichung von Install-Vorschlag aus der Setup-Install-Routine von openSUSE (siehe YaST):
openSUSE würde gerne BtrFs als Dateisystem für das System ( rdner /
bzw. /boot
)
und xfs für die Daten (siehe /home
) vorschlagen, aber wir wollen hier die „klassischen“
Ext-Dateisysteme Ext4 nutzen!
Dateisysteme:
ext2, ext3 (Anm.: ext2 mit journaling FS), ext4, xfs, BtrFS,
ReiserFS, Fat16, Fat32 (VFat), NTFS
grobe Einteilung/Partitionierung (hier: bei MBR gibt es 4 Partitionen):
hier: 3 primäre Partitionen /dev/sda1
bis /dev/sda3
Mount |
Nutzung |
Eigenschaften |
---|---|---|
/ |
Root-Partition |
Größe: 100 GiB
Gerät: |
/home |
Benutzerverzeichnisse |
Größe: 100 GiB
Gerät: |
swap |
Auslagerungspartition, VMM Virtual Memory Management |
Größe: 8 GiB
Gerät: |
Erste Analyse und Tools rund um unsere Partitionen:
lsblk
, fdisk -l /dev/sda
, cfdisk
möglicherweise Problem bei Darstellungen mit Konsolentool cdisk:
Lösung: env LANG=C cfdisk
Erklärung: in Umgebung (env) wird als Sprache C eingestellt, was der Sprache/Kodierung des Programms entspricht (hier „englisch“)
System aktualisieren¶
(z.B.: im Seminar: openSUSE DVD von August 2017 -> über 100 Pakete zu aktualisieren plus neuer/aktualisierter Kernel)
Aktualisierungs-Gadget“ (Package-Kit) aus der Kontrollleiste - geht später in Kollision mit Shell-Tools
Vorgriff auf Befehlszeile: Aktualisierung mit Tool zypper
(siehe auch Aktualisierung mit KDE-Systemtool)
Anm.: „stabile“ Desktop-Umgebungen (KDE5 Plasma) manchmal erst nach Neustarts;
Standardwerkzeuge (KSnapshot für Bildschirmfotos mit Druck
-Taste
wurde in 42.1 in Rente geschickt - removed) und stattdessen die modernere Alternative „Spactacles“ installiert
Grundkonfiguration: automatische Bildschirmfoto-Dateien mit Umschalten + Druck
YaST - Yet Another Setup Tool¶
openSUSE Verwaltung (Kontrollcenter)
ein erster Rundgang; Hinweis auf Root-Rechte, Fachbegriffe (z.B.: NTP, LDAP, Samba, iSCSI)
Rundgang durch YaST:
Beachten: der User root hat in YaST Einzelklick-Modus für die Maus!
Techniken in den Kategorien ansprechen und Fachbegriffe erläutern
Software
hier dann die Verwaltung der Softwarepakete (Aktualisierungen, Installationen / Deinstallationen)
Übungen:
Repositories - Deaktivieren der Install-DVD (Übersicht in Shell mit zypper lr
),
Suche nach Paketen (z.B. xeyes, vlc, thunderbird)
s.a. SUSE-Onlineportal: Software openSUSE
Anm.: inkl. 1-click-Installationen inkl. Repository-Aufnahme (Hinweis auf mögliche Updates bei Dist-Upgrades)
Installation von „Midnight Commander“ (Paketname mc) mit Abhängigkeit mc-lang (Installation durchgeführt)
Hardware
Hardware-Informationen (Shell: hwinfo
Tools; z.B. Netzwerkadapter: hwinfo --netcard
),
Drucker (wird extra thematisiert)
System
Bootloader (GRUB2 konfigurieren), Datum und Zeit, Partitionierer (Datenträger verwalten), Dienste-Verwaltung (systemd - Runlevel verwalten)
Netzwerkeinstellungen (Konfiguration von Netzwerkadaptern)
Hinweis auf Netzwerkkonfigurationen mit Wicked (Desktops) oder NetworkManager (Laptops)
Netzwerkdienste
Rechnernamen (bearbeitet /etc/hosts)
Sicherheit und Benutzer
Firewall (hier muss später sshd freigegeben werden!), Benutzer- und Gruppenverwaltung
Virtualisierung
Unterstützung, Verschiedenes
Anm.: es gibt natürlich auch eine textbasierte Oberfläche in der Konsole oder auch als Terminal-Aufruf mit Parametern Erkenntnis zu den grafischen Kontrollcenter-Tools:
letztendlich bieten diese nur Grafische Oberflächen für die tatsächlichen Einstellungen im System (den Konfigurationsdateien)
Einfaches Beispiel:
YaST-Werkzeug „Rechnernamen“ ist einfach nur ein Dialog für die
Bearbeitung von /etc/hosts
Datei!
Einstellungen (Benutzer)¶
Systemeinstellungen (Suse KDE Desktop)
Systemeinstellung - Benutzereinstellungen ( systemsettings
)
Beispielhafte Einstellungen Systemeinstellungen (Benutzer):
Anzeige und Monitor - Bildschirmauflösungen
Eingabegeräte - Maus (siehe Doppelklick)
Energieverwaltung - Bildschirmschoner und Co konfigurieren
Mittels der Rubrik „Systemverwaltung“ kommt man dann auch zu weitergehenden Einstellungen und YaST
Linux Technik¶
Aufbau / Hierarchien der Techniken:
Linux Kernel → X-Server → Windows Manager / Desktop
Kernel - technisch ist Linux erst einmal nur der Kernel (Wiki-Link) und damit kann man dann direkt auch eine Shell (z.B. die Bash) nutzen (siehe später: Runlevel 3 ohne Grafikdesktop / in Sprache Targets: multi-user.target)
X-Server - Zusätzlich kann man eine Grafikausgabe mit Hilfe des (klassischen) X-Servers
(Wiki-Link)
nutzen (X Windows System, X Server 11 - kurz X11, neu: x.org Server)
mit deren Hilfe einfache Grafikfensteranwendungen (siehe xterm
,
xeyes
;-) genutzt werden können.
Window Manager bzw. Desktop - Oder man baut noch gleich einen
kompletten Desktop inklusive Management und Zusatztools (siehe
konsole
, kwrite
, KDE-Office) oben drauf!
Desktops¶
KDE : erste Gehversuche mit Desktop, Einstellung Doppelklick mit
Systemeinstellungen-Werkzeug (systemsettings
/ KDE-Infozentrum)
Alternativen:
Gnome (Standard-Desktop bei Debian), LXDE, XFCE, TWM, IceWM (in openSUSE vorinstalliert neben KDE5/Plasma), Unity (Ubuntu)…
Übung: Aufrufe für verschiedene KDE-Standardtools (Dolphin, Kate, Konsole, Standard-Browser: Mozilla Firefox, Bürosuite LibreOffice, …)
Übersichtsseite mit Window-Managern und kompletten Desktops: XWinMan
Dateimanager¶
Dolphin (aktuell der Standard-Dateimanager bei KDE) vs. Konqueror,
Zwei-Fensteransichten (F3), Favoriten-Leisten, Konsole (Shell-Kommandos) mit F4
Anm.: Konquerer auch Browser und früher der Standard-Dateimanager von KDE - heute ist es Dolphin
Übung: Einblenden der „versteckten“ Dateien/Ordner mit Tastenkombination Alt + . (beginnen ja auch mit .);
Bei Gnome ist Nautilus der Standardmanager.
Konsolen / Terminals¶
(tty - Teletyper)
Aufruf von Programmen im Desktop mit Alt + F2 → Programmname
bei openSUSE:
Terminals 1 bis 6 (ohne Desktop) mittels Strg + Alt + F1 … F6
zurück zu Desktop mittels (Strg +) Alt + F7
Beenden eines Terminals mittels exit
(Anm.: logout
nur bei Login-Shells)
erste Gehversuche in der Konsole (shell) mit: ls -a
, ls -al
,
cd
, su
, who
, whoami
, ping
, ifconfig
wichtig: ifconfig
nur mit kompletten Pfad als Standard-User
aufrufbar: /sbin/ifconfig
oder erst nach Nachinstallation von Paket net-tools verfügbar.
Anm.: die Superuser/Root haben den Pfad /sbin
in Ihrem Pfad
Pfade anzeigen mit echo $PATH
(Pfadvariable)
Erste Hilfe in Terminal/Konsole¶
Man-Pages (z.B. man rm
) oder Befehl mit –help (z.B. rm --help
),
gerne auch Hilfe zur Hilfe mit man man
Alternative: info
Pages
Tricks in Terminal/Konsole¶
Befehle/Verzeichnisse/Dateien mittels Tabulator komplettieren,
mit Cursor-Tasten wiederholen (durchblättern),
nach oben blättern mittels Shift + PgUp (Seite hoch) bzw. Shift PgDown;
die Historie aller Shell-Aufrufe des Users in ~/.bash_history
;
Rekursive Suche in History mittels Strg + R
(vorwärts dann mit
Strg + S
)
Löschen der Konsole mittels Strg + L
Anfang und Ende Kommandozeile mit Strg + A
und Strg + E
Löschen der Kommandozeile von Cursor bis Anfang mit Strg + U
Kopieren und Einfügen (mittlere Maustaste) in der Konsole
Software-Ausstattung¶
(Überblick)
Browser: Firefox;
Office: LibreOffice;
PDF: Okular;
Sound/Musik/Streams: Amarok;
Brennsoftware: K3b;
Mails: KMail, Thunderbird;
Bildbearbeitung: Gimp
Installationswünsche aus Diskussionen häufig: VLC, Thunderbird, Xeyes (;-)
Anm.: man kann auch gerne mal mit einer paketorientierten Testinstallation einer Software auf Linux-Systemen experimentieren. Durch die Paketverwaltung kann man Software sehr sauber wieder entfernen.
Infos zu Softwareverwaltungen folgen…
tar¶
Archivieren, Packen (Tape Archiver; mit Packertechnik)
tar cvzf Archiv.tar.gz ./Dokumente
(packen mit gzip)
tar xvzf Archiv.tar.gz
(entpacken mit gzip)
Beispielaftes Entpacken:
Wichtig: nach dem Parameter f muss ein/der Datei-/Archivname folgen - alle anderen hier gezeigten Parameter in Reihenfolge frei
c - compress/create
v - verbose (mitteilungsfreudig, „geschwätzig“)
z - Kompression Gzip (Alternative: j - bzip2)
f - Dateiname
x - Extrahieren
Midnight Commander¶
(installiert mit zypper install mc
bzw. apt install mc
)
aufrufen in Shell/Konsole mit mc
F10
zum Beenden; Strg + O
zum ein-/ausblenden des Commander-Fensters
Tipp
Gnome: für das gnome-terminal
in den Eigenschaften die F10 deaktivieren!
VIM (VI improved)¶
unterschiedliche Modi:
Einfügenmodus (z.B. mit Taste i), Kommandomodus (ESC)
Kommandos: (nach ESC-Taste)
:w
(schreiben),
ZZ
(Schreiben und beenden VI);
:q
(Quit - mit :q!
Beenden erzwingen)
Tipps:
vi test.txt
(gleich Datei laden bzw. erstellen);
vi -R test.txt
(nur Lesen-Modus)
Anmerkung: auch als Fensterprogramm verfügbar gvim
(also eigentlich aus der Gnome-Ecke)
Im Internet finden sich viele Hilfe- und Tutorial-Seiten zum Vi (s.a. cheat sheets).
System und Booten¶
Das Linux-System unter der „Haube“ und der Startvorgang…
Bootvorgang¶
Eine exemplarische Darstellung inklusive Erläuterungen zu Linux-Bootvorgängen:
Einschalten (Reset, POST - Power On Self Test)
BIOS / UEFI mit Bootsequenz (Startreihenfolge; engl: Bootsequence / Startmedien)
Übersicht Bootmedien:
USB (Sticks / HD), Netzwerk (PXE / TFTP), Festplatten / SSDs, Optische Medien (CD/DVD)
MBR lesen- Masterbootrecord mit Partitionstabelle
(maximal 4 Partitionen: 4 Primäre oder 3 Primäre und 1 Erweiterte)
Hinweis:
für das Booten von HDs > 2,2 TB wird UEFI mit GPT (GUID Partition Table) benötigt
Erinnerung / Tipp: (ggf. nach Fehlschlag Parallelinstalation zu Windows)
Win-Systeme benötigen als Bootstandard eine Aktive primäre Partition inkl. eines „sauberen“ MBR (Generischer MBR)
→ Reparatur-Tipp zum MBR: mit Win-DVD:
bootrec /fixmbr
(bzw.bootrec /fixboot
für Bootsektor) in ReparaturkonsoleDarstellung zu Partitionierungen:
exemplarische Szenarios für Parallelinstallation mit Windows - Linktipp MS
Linux-Bootmanager: GRUB2 (Übersicht Bootmanager und Technik Bootmanager folgt)
Vorgänger / Bootalternativen: GRUB (Version 1), LILO (Linux Loader)
Kernel und initrd (klassisch: init Ramdisk - initrd laden; Anm.: die Ramdisk ist optional)
Symlinks bei openSUSE: vmlinux (komprimierter Kernel), initrd
Analyse Kernel-Version:
uname -a
bzw.uname -r
systemd (Erster Prozess mit ID „1“) (früher: SysVInit mit Urprozess init)
Anm.: openSUSE (und fast alle anderen Linuxe benutzen systemd („abwärtskompatibel“ zu init),
Ubuntu hatte zwischenzeitlich upstart als init-Lösung (aktuell: auch systemd ab Ubuntu 16.04 LTS)
Gründe für Abkehr von SysVinit zu alternativen init-Techiken:
Effizienter, Parallel arbeitend, Abhängigkeiten von Prozessen cleverer lösend
Tipp zur Startanalyse:
systemd-analyze blame
(erzählt in ms - Millisekunden - die Geschichte der „Starts“)
oder auch: systemd-analyze plot > grafische-analyse.svg
(erstellt SVG-Grafik)
Technisch: systemd arbeitet mit Targets (z.B. default.target) statt den klassischen Runleveln
Befehle:
init
, telinit
, runlevel
, systemctl
(statt sysctl
bei init-Technik), journalctl
(für Analyse/Logging)
Bootmanager GRUB2¶
Lilo (sehr alt und unflexibel), GRUB (Version 1 bzw. GRUB Legacy - Erläuterungen auf openSUSE Portal)
aktuell: GRUB2 (technisch extrem zu GRUB abweichend und mächtiger!)
GRUB-Ordner: /boot/grub2
GRUB konfigurieren mit /etc/default/grub
und den /etc/grub.d/
Dateien
GRUB aktualisieren mit Befehlen
grub2-mkconfig -o /boot/grub2/grub.cfg
(so bei Suse - andere OS haben ein kleines Hilfsskript namens
update-grub
, welches diese Syntax ersetzt)
Grub2-Techniken bedürfen genauer Recherche und Betrachtungen!
Hinweis zum Bootloader mittels YaST - System - Bootloader mögliche Speicherorte für GRUB: MBR (Master Boot Record), Bootsektor einer Partition
Erläuterungen zu GRUB2: Link Ubuntuusers-Wiki (Achtung „Ubuntu-Brille“),
Runlevel¶
(klassischer Begriff - systemd arbeitet mit Targets)
Grundlagenartikel systemd von Heise.de)
0 - Stop/Halt
1 / s / S - Single User (zu Wartungsarbeiten)
2 - Multi-User (mit und ohne Netzwerk - je nach Distribution)
3 - Multi-User und Netzwerk (klassische Serverumgebung LAMP und Co)
4 - unbenutzt
5 - Multi-User, Netzwerk, X-Server (heute mit Desktops wie KDE oder Gnome)
6 - Reboot
Klassischer Ordner für Skripte /etc/init.d
mit Unterordnern fürdie Runlevel
Momentaufnahme openSUSE 42.1 Runlevel 5:
/etc/init.d/rc5.d
beinhaltet noch 3 Dienste mit entsprechenden (S
Start - K Stop/Kill) Skripten
hier: avahi-daemon, postfix, udev
diese init-Skripte arbeiten dann mit Parametern start | stop | restart | reload
Momentaufnahme openSUSE 42.3:
keinerlei Skripte mehr in den Runlevel-Unterordnern
/etc/init.d/rc0.d
bis rc6.d
(Anm.: nur noch in ./boot.d für
AppArmor)
Anm.: Red Hat (und Co) arbeiten mit /etc/rc.d
als
Haupt-Skriptordner - siehe auch SymLink rc.d auf init.d bei openSUSE
systemd¶
(Reference Manual Chapter: The systemd Daemon)
init-Technik wird durch systemd-Technik ersetzt bei Beibehaltung der alten (abwärtskompatiblen) init-Skript-Techniken und Ordnerstrukturen nach SysVinit;
dadurch werden die Start-/Stoppmechanismen durch teils gleichzeitiges Abarbeiten von Aufrufen beschleunigt - siehe S- und K-Links in Runlevel-Ordnern alle mit gleicher Nummerierung (hier 50 - S50… / K50…)
Nur noch Skripte, die nicht sauber mit systemd arbeiten - oder noch nicht umgeschrieben worden sind - konnte man noch in diesen Ordnern finden!
Hinweis ab openSUSE 42.3:
Aktuell befinden sich nur im „allgemeinen“ Bootordner /etc/init.d/boot.d noch Start-/Stop-Skripte für AppArmor!
Runlevel-Tools:
runlevel
, init X
(X = S, 0, 1, 3, 5, 6) ,
shutdown
, halt
, reboot
Hier mal eine ausführlichere Gegenüberstellung:
SysVinit |
systemd |
Bemerkungen |
---|---|---|
Runlevel |
Targets |
Bezeichungen für gewünschte Bootumgebung |
/etc/inittab |
keine /etc/inittab (!!) in Ordnern diverse Dateien: (z.B.) /usr/lib/systemd/system |
Konfigurationsdatei(en) |
runlevel init telinit sysctl chkkonfig |
runlevel (wegen Kompatibilität) init (w. K.) telinit (w. K.) systemctl journalctl systemd- (z.B. systemd-analyze blame) |
Tools |
service sshd status |
systemctl status sshd.service |
Status openSSH Server |
service sshd start |
systemctl start sshd.service |
Starten openSSH Server |
service sshd stop |
systemctl stop sshd.service |
Stoppen openSSH Server |
service sshd restart |
systemctl restart sshd.service |
Restarten openSSH Server |
service sshd reload |
systemctl reload sshd.service |
Konfiguration openSSH Server neu laden |
chkconfig sshd on |
systemctl enable sshd.service |
openSSH im Runlevel/Target aktivieren |
chkconfig sshd off |
systemctl disable sshd.service |
openSSH im Runlevel/Target deaktivieren |
Man. Suche in Logdateien |
journalctl -u sshd.service |
Journal für openSSH (als root) |
chkconfig –list |
systemctl list-unit-files systemctl list-dependencies multi-user-target |
Übersicht Dienste in Runleveln/im Target |
init 3 (oder) telinit 3 |
systemctl isolate runlevel3.target systemctl isolate multi-user.target |
in Runlevel 3 wechseln bzw. in multi-user.target |
init 5 (oder) telinit 5 |
systemctl isolate runlevel5.target systemctl isolate graphical.target |
in Runlevel 5 wechseln bzw. in graphical.target |
… |
systemctl isolate default.target |
in Standard-Runlevel wechseln bzw. in default.target |
init 0 (oder) telinit 0 shutdown -h poweroff |
systemctl isolate runlevel0.target systemctl isolate poweroff.target shutdown -h poweroff |
Rechner ausschalten |
init 6 (oder) telinit 6 shutdown -r reboot |
systemctl isolate runlevel6.target systemctl isolate reboot.target shutdown -r reboot |
Rechner rebooten |
Tabelle zu SysVinit vs. systemd (siehe auch Link Fedoraprojekt (Link)
Übungen: systemctl start | stop | enable
Verzeichnisstruktur¶
(eine kurze Übersicht - siehe auch ausführlicher Beitrag zu FHS auf Wikipedia)
Einige Verzeichnisse:
/bin
- Binaries, ausführbare Programme
/boot
- Kernel vmlinuz (komprimiert, mehrere Versionen mit
Nummern), initrd (Ramdisk)
/boot/grub2
- Bootmanger (hier nicht konfigurieren - siehe
/etc/default/grub)
/dev
- Geräte (/dev/fd0, /dev/sr0, /dev/sda, /dev/sdb, /dev/null,
/dev/urandom, …)
/etc
- Konfigurationen (/etc/fstab, /etc/hosts, /etc/hostname,
viele Konfigurations-Unterordner: /etc/skel, …)
/etc/X11
- der Ordner für den X-Server (Grundtechnik
Grafikausgabe)
/home
- Benutzerprofile (/home/username)
/lib
- Programmbibliotheken (Libraries; siehe auch /lib64)
/lost+found
- bei journaling File Systems Daten für
Fehlersuchen/Behebungen (siehe auch Toolreihe fsck)
/media
- klassischer Mountpoint für Wechselmedien (bei openSUSE nicht mehr vorhanden)
/run/media/username
- neuer Mountpoint für Wechselmedien bei openSUSE und Co
/mnt
- Mountpoint (der alte Standardmount für manuelle Mounts)
/opt
- optionale Software (hier am Beispiel XAMPP Lamp Server -
Link); auch: kommerzielle Software
/proc
- Prozesseverwaltung (siehe Ordner mit PID-Nummern)
Übung: cat /proc/meminfo
; cat /proc/interrupts
; cat /proc/cpuinfo
/root
- Homedir für SuperUser root
/sbin
- Programme mit hohen Privilegien (SuperUser)
/srv
- Serverdienste (Verzeichnisse z.B. für Webserver - diese
findet man gerne auch unter /var/www ;-)
/tmp
- Temporärer Ordner; gemeinschaftlich im System (später:
besondere Zugriffsrechte)
/usr
- Großteil der installierten Software im System (Unix System Resources)
/var
- Variable Daten
Unterscheidung/Gruppierung von Daten auf Unix/Linux Systemen gemäß File Hierarchy Standard (FHS):
veränderliche / dynamische vs. statische und
gemeinsam genutzte vs. nicht gemeinsam genutzte Verzeichnisse
gemeinsam nutzbar |
nicht gemeinsam nutzbar |
|
statisch |
/usr /opt |
/etc /boot |
dynamisch |
/var/mail /var/spool/news |
/var/run /var/lock |
beispielhafte Darstellungen:
Linux Community - Linux User Zeitschrift (Link - Linux User Ausgabe 11 / 2011)
Mounten¶
Das Einbinden von Datenspeichern/Datenträgern und anderen Komponenten (siehe virtuelle Systeme) in das System.
Befehle: (Geräte/Datenträger werden automatisch erkannt und per Klick gemountet)
mount
(der eigentliche Hauptbefehl zum Einbinden von Laufwerken/Mounten)
umount
(Mounten beenden)
Hinweis: heutzutage bei allen Wechselmedien (optische, USB) automatisches Mounten durch User (technisch: im Userspace → FUSE)
Aktuellen Mount-Status anzeigen:
mount
ohne Parameter (oder natürlich alternativ:
cat /etc/mtab
cat /etc/mtab | grep ^/dev/
(nur die Einträge mit /dev am Anfang - also Geräte)
Anweisungen für das System zum Mounten beim Systemstart:
cat /etc/fstab
Darstellung der Techniken und Vorgehensweisen mit einem USB-StickTools:
fdisk
, mkfs.ext4
, mount
Alle Analysen wieder mit Hilfe von
lsblk
, blkid
, fdisk -l
, cfdisk
Prozesse¶
Starten von Programmen in der Konsole im Hintergrund (Background - bg):
kate mittwoch.txt &
bzw. natürlich auch:
kdesu kate /etc/hosts &
Konsole meldet Prozess-ID; Recherche im Verzeichnisbaum:
/proc/...
(Ordner mit PIDs)
ps
in Kombination mit grep
zum Suchen bestimmter laufender
Prozesse (z.B. sshd)
Befehle: fg
, bg
, jobs
, ps
ps ax | grep firefox
(bitte wieder an ps --help
und man ps
denken)
hier: grep für „Filtern“ von Daten (Wikipedia Link - global regular expressions print)
Tools:
ps, pstree, pstree -p, top, kill
(Signale beachten)
Anm.: „Overkill SIGKILL“ mit -9, Standardsignal SIGTERM ist -15
Prozesseigenschaften:
PID, Status (running, sleeping, zombie)
Tipp: Grafische Übersicht mit Strg + Esc (oder Aufruf/Suche mit System…)
Paketverwaltung¶
Linux-Systeme managen ihre Softwareverteilung mit Hilfe von Paketmanagern…
Kurzüberblick Paketmanagement¶
(s.a. Extra-Beitrag auf dieser Seite für die Nutzung der Paketmanagements mit den diversen Tools)
Distro |
Ableger der Distro |
Paketmanagement |
---|---|---|
Red Hat (Link) |
Fedora, besser: CentOS Kaufversion: RHEL |
RPM (Red Hat Package Management) Standardtool: rpm (ohne Auflösung Abhängigkeiten), yum |
Novell (Suse) (Link) |
openSUSE (Link) Kaufversion: SLES |
RPM mit YaST2-SW-Verwaltung, zypper, yum |
Debian (Link) |
Ubuntu(s), Linux Mint |
DEB (Debian Pakete) Standardtool: dpkg (ohne Auflösung Abhängigkeiten) APT-Tools: apt, apt-get, apt-cache, … , aptitude synaptic (grafische Oberfläche - Gnome) |
Arch Linux |
Arch Linux |
pkg.tar.xz bzw. pkg.tar.gz Tool: Pacman |
Slackware |
Slackware |
früher: tar.gz heute: TXZ (tar.xz) |
OpenWrt z.B. Router |
Linux auf Routern |
ipkg |
für die Einstimmung auf Software-Verwaltung (Installation/Deinstallation) mit YaST-Tools
Tool für das Wandeln von DEB in RPM (und umgekehrt): alien
(kann
man probieren!)
RPM / DEB¶
Software verwalten / aktualisieren
openSUSE verwendet RPM (Red Hat Packages) mit diversen Tools, am einfachsten natürlich YaST2 mit dem Softwareverwaltung betreuen, hier werden auch gleich alle Paketabhängigkeiten analysiert und aufgelöst,
Standard-Konsolentool rpm
in RPM-basierten Distros besser: yum
(standardmäßg nicht bei
openSUSE installiert)
openSUSE: Tool ``zypper`` (dann klappt es auch in der Konsole mit der automatischen Auflösung von Paket-Abhängigkeiten);
Anleitung zur Benutzung von zypper
auf einem openSUSE-Info-Portal
(Link)
bei Debian/Ubuntu Paketmanagement (DEB, Standard-Konsolentool
dpkg
) heißt die entsprechende Toolreihe apt (bzw. apt
, apt-get, aptitude, synaptic
)
Vergleichsseite von RPM vs. DEB Techniken und Aufrufen (Link)
Beitrag: Übersicht Paketmanagement RPM vs. DEB
openSUSE: zypper und rpm¶
Red Hat Package Mangement (in openSUSE Distribution)
Haupttool: rpm
für die Konsole;
Beispiele:
(Hinweis: man nutzt in Praxis eigentlich nur rpm -q..
Aufrufe
für Abfragen)
rpm -i <paket>
(installiert Paket);
rpm -e <paket>
(löscht Paket);
rpm -U <paket>
(aktualisiert Paket)
``rpm -q <paket>`` (Abfrage/Query an Paket)
Wichtig: rpm kann die Abhängigkeiten der Pakete nur erkennen - aber nicht automatisch auflösen, daher sehr „unhandlich“
Tipps zu rpm: (Infos und Analysen zu Paketen und Installationen
mittels rpm -q
; q für Query/Abfrage)
rpm -qa | grep Firefox
(findet die installierten Mozilla Firefox Pakete)
rpm -qa | grep ^mc
(findet Pakete die mit mc in der rpm-Ergebniszeile beginnen)
besseres Konsolenwerkzeug openSUSE:
zypper
(hier klappen die automatischen Auflösungen der
Paketabhängikeiten)
zypper refresh
(aktualisiert manuell die Quellen)
zypper update
(aktualisiert die Pakete/Installationen)
zypper install <paket>
(installiert ein Paket)
Quellen für Pakete: Repositories (CD, DVD, FTP, HTTP, Lokal)
Übersicht über Repositories über YaST-Softwareverwaltung
zypper lr
bzw. zypper repos
Hinweis auf Paketgruppen, Suchen/finden/installieren/deinstallieren von Paketen, Schemata
Community Repos erweitern die Quellen für Pakete:
Online: Build Service (software.opensuse.org) ermöglicht Zugriff auf teilweise aktuellere Softwareversionen oder Software, die es nicht in den offiziellen Suse-Repositories gibt; Repos werden mit eigener Signatur (Key) in Repo-Verwaltung hinterlegt
Weitere Spezialität openSUSE:
automatische Installation mit Hilfe von YaST Meta Packages (*.ymp) in Form von 1-Click-Installs bei openSUSE
siehe SUSE-Onlineportal: https://software.opensuse.org/search
Alternative Softwareinstallationen:
Software mit eigenem Setup/Installer oder
Source-Tarballs: Quellcodearchiv (Sources)
nach Auspacken müssen die Quelldateien (Sources) dann mit dem passenden Compiler (GCC - GNU C Compiler) übersetzt werden
Benutzer- und Gruppenverwaltung¶
Suse: mittels YaST2 - Benutzer-/Gruppenverwaltung aktuelle Benutzer und Gruppe analysiert;
Systembenutzer/Gruppen müssen erst extra ausgewählt (gefiltert) werden;
Anzeige zu Benutzern mittels Befehlen whoami, who, id, groups
Dateien der Benutzer/Gruppen:
/etc/passwd, /etc/shadow, /etc/group
Inhalte und Aufbau der Dateien erläutert und recherchiert;
Rechte analysiert und Benutzer- und Gruppen-IDs kennen gelernt;
weitere Benutzereigenschaften:
Home-Dir-Pfad, Shell (Standard /bin/bash
; speziell: siehe wwwrun: /bin/false
), Sekundäre Gruppen
Abschlussübung: neue Benutzer mit YaST-Modul angelegt und angemeldet und getestet
Tests mit gegenseitigen Zugriffen der Benutzer - hier ist „Lesen/Stöbern“ in anderen Home-Dirs möglich
Wir werden erst mehr über die speziellen Berechtigungen lernen
siehe cat /etc/shadow
mit normalem Benutzer → keine Anzeige mit Hinweis „Keine Berechtigung“
Benutzer-Wechsel¶
(eine Zusammenfassung)
su
, su -
Switch User (mit - geschieht Wechsel in das Home-Dir)
kdesu
- der su für den KDE-Desktop (siehe Aufruf YaST oder
manuell für Grafik-/Fensterapplikationen)
Tipp Gnome: Tool gksudo
sudo
(quasi ein „Ausführen als“) - muss extra konfiguriert werden
(siehe Gruppe sudoers und Konfigurationen in /etc/sudo)
Benutzer- und Gruppenverwaltung (Teil II)
Tools für Benutzer- und Gruppenerstellungen / Anpassungen:
useradd
, usermod
, userdel
,
groupadd
, groupmod
, groupdel
Empfehlung: vorher useradd -D
- zeigt die Defaults/Vorgaben für
User) mit Home-Dir und anderen Defaultkonfigurationen.
Profitipp:
die Konfiguration für Standarduserumgebung kann mit
/etc/default/useradd
vom root angepasst werden!
beispielhafter 2-Zeiler für Standarduser:
# useradd -m -c "Teilnehmer 01" -s /bin/bash tn01
(Schalter -m wichtig für Home-Dir-Erstellung)
# passwd tn01
(Passwort setzen)
Dateiberechtigungen¶
in detaillierter Liste (ls -l
)die Berechtigungen r (read), w (write), x (eXecute) für
u - Benutzer/Besitzer (u - user),
g - Gruppe (g - group) und
o - „alle Anderen“ (o - others) hergeleitet,
Standard-Berechtigungen in der (oktalen) Form 755 oder 644 erläutert
(technisch 3 mal 3 Bit = 9 Bit)
Hinweis auf umask
(hier openSUSE: 0 022) mit
Standardberechtigungen für Ordner (777 - 022 = 755) und Dateien
(666 - 022 = 644)
Befehl chown (bzw. chgrp) zum Ändern von Besitzer und/oder Gruppe
chown -R wwwrun:wwwrun /var/www/html
(Ordner html für Apache2
User:Gruppe konfigurieren)
Anm.: chown kann auch einfach Gruppe setzen mit chown :groupname
Befehl chmod
eingeführt und nachrecherchiert (für Gruppen chgrp
);
Beispiele:
chmod -R 750 testordner
(Ordner testordner rekursiv auf 750)
chmod u+x skript.sh
(Datei skript.sh für Benutzer/Besitzer ausführbar machen)
Alt.: Berechtigungen mittels Eigenschaften Dialogfenster mit Dateimanager Dolphin angesehen (Rechte Maus - Eigenschaften) Übung mit „chmod“ bzw. Dateiberechtigungen über Dolphin (Dateimanager) und Eigenschaften:
Ordner /home/donnerstag
mit Berechtigungen 750 und 700
ausstatten, und Tests mit ls mit anderen Usern (joeb, mittwoch)
Für chmod
(Change Modus) an Unterordnern muss -R (Achtung: hier
großes R für –recursive) gesetzt werden.
Beim Dolphin muss ein Haken für das Anwenden auf die Unterordner aktiviert werden.
Sonder-Berechtigungen:
zusätzliche 3 Bit Berechtigungen
chmod 4740
: SetUIDchmod 2740
: SetGIDchmod 1777
: Sticky-Bit
Beispiel SetUserId-Bit - Passwortänderungstool passwd
:
`` - rwsr—– root shadow /usr/bin/passwd `` (siehe Besitzer: root)
Sinn:
auch normale User müssen Passworte für sich wechseln können -
dazu braucht man aber Schreibzugriffe root auf Passwort-Datei /etc/shadow
!
SetGroupId-Bit: dasselbe Verhalten bei Ausführung von Programmen mit Gruppen-Rechte-Übernahme
Beispiel Sticky-Bit - Temporärordner /tmp
:
d rwxrwxrwt root root /tmp
der Temp-Ordner für Alle - im wahrsten Sinne, aber durch Sticky-Bit werden Dateien/Ordner-Berechtigungen und Besitz/Gruppe mit in den Ordner /tmp transportiert und sind so gegen die anderen Nutzer von /tmp schützbar
Netzwerke¶
1) ifup - die klassische Technik der Einbindung von NICs und Netzwerkumgebungen
So findet man eine grafiklose Serverinstallation vor (siehe Hoster, Cloud-Services)
Tools/Dateien: ip
, ifup
, ifdown
, ifconfig
, Datei: /etc/network/interfaces
NetworkManager
eine Red Hat Technik mit Applet (Miniprogramm für Windows Manager KDE
kde5-nm-connection-editor
, Gnome und Co)
Wicked Service (seit openSUSE 13.2)
Wichtig: entweder / oder mit NetworkManager nutzen Konfiguration mittels YaST - Netzwerkeinstellungen - Global Options Wicked-Service als Standardkonfiguration auf Desktop-Systemen.
Anm.: bei Notebooks weiterhin NetworkManager als Standard konfiguriert
Diese kurze Übersicht ist nicht vollständig!
Befehle Netzwerktechnik:
ping -c 10 www.bahn.de
traceroute www.vhs-braunschweig.de
Analysewerkzeuge:
ip, route, dig
, host
, nslookup
, arp
, ifconfig
(auch Konfigurationen), iwconfig
(für WLAN)
Konfiguration DNS-Namenserver: /etc/resolv.conf
(natürlich auch
alles per YaST einstellbar)
manuelle Namensauflösung für Seminarnetz mit /etc/hosts
(Rechnernamen linux01, …, linux17)
Zusammenfassung Netzwerkanalyse mit Linux:
IP-Konfiguration |
Shellaufrufe |
---|---|
IPv4-/IPv6-Adresse Subnetmask |
|
Standardgateway (bzw. Router) |
|
DNS-Server |
|
Es gibt es auch diverse Tools/Skripte, die diese Aufgaben/Aufrufe zusammenlegen, aber wir wollen auch immer die Basics bemühen und „Linux“ verstehen!
SSH¶
als Übung:
ssh installiert? 2) Prozesse analysieren 3) Dienste-Verwaltung 4) Firewall
eine beispielhafte Vorgehensweise mit Techniken aus der bisherigen Woche:
1) Recherche zu ssh (Paket openssh) - ist „ssh“ installiert?
rpm -qa | grep ssh
(Vorgriff auf morgige Darstellungen zu
Paketmanagement und Softwareverwaltung) bzw. dpkg -l | grep ssh
(bei Debian)
zypper search ssh (zypper nur bei Suse!) bzw. apt search ssh (besser: openssh)
YaST Softwareverwaltung
Anm. zu openSUSE: Paket heißt auch openssh und beinhaltet sowohl ssh-Client also auch ssh-Server Software
2) Läuft der ssh-Dienst (sshd)?
ps ax | grep sshd
(zeigt uns: Nein - da läuft kein sshd!)
systemctl status sshd.service
(siehe auch andere Übungen)
3) Dienst sshd für unseren Standard-Runlevel 5 (genauer graphical.target für systemd) konfigurieren:
YaST2 - System - Dienste-Verwaltung - sshd (enable und starten) - Einstellungen sichern, oder
systemctl enable sshd.service
Neuer Test, ob sshd läuft? Ja!
4) Für Netzwerkzugriff
von ssh-Client (z.B. r203pc17 - 192.168.3.117)
auf ssh-Server (z.B. r203pc11 - 192.168.3.111)
jetzt noch die Firewall auf Serverseite mittels
YaST - Sicherheit und Benutzer - Firewall - Allowed Services (Erlaubte Dienste) konfigurieren und den Dienst „Secure Shell Server“ hinzufügen und Firewall-Konfiguration sichern.
Auf Debian-Systemen läuft keine Firewall bzw. es werden keine Pakete gefiltert!
Auf den ssh-Server dann mittels ssh Aufrufen verbinden:
ssh username@ip-adressse
(bzw. @ machinename - Anm.: ohne Leerzeichen um das @-Symbol)
(für namentliche Adressen linux11 benötigt man DNS oder /etc/hosts
Einträge)
Gerne per SSH auch Programmaufrufe inkl. Fenstermanagement (X-Server):
ssh -X ...
(erstellt ssh-Verbindung mit Fernaufruf für
X-Fenster-Programme)
Anm.: bei Erstverbindung Signatur/md5-Fingerabdruck bestätigen
ssh mit Windows:
wir brauchen einen ssh-Client und am Besten gleich noch einen X-Server (für „Linux-X-Fenster“)
putty (Link) - der Klassiker (die ssh-Tools als Sammlung oder einzeln; ohne X-Server (siehe cygwin)
MobaXterm (Link) - die geniale „all-in-one“ Lösung als kostenlose Installation, Zip oder kostenpflichtige Enterprise-Version
Drucken¶
verschiedene Nutzungen und Installationen unter Linux
manuelles Installationsarchiv des Druckerherstellers
oft mit Installationsskript, das erst noch mit
chmod u+x install-script.sh
zum Ausführen vorbereitet werden muss und sauber per absolutem oder relativen Pfad
./install-script.sh
ausgeführt werden muss.
lpd - Line Printer Daemon,
der klassische Dienst zum Verwalten von Druckern, Druckjobs, Printqueues
Kommandozeilentools:
lp
(siehe wieder lp <tab tab> zeigt:lpq
,lpr
,lpc
,lpstat
,lpinfo
)YaST2 Modul Drucker
zum Installieren oder Verwalten von Druckern bei Suse-Systemen
Desktopmanager Druckerkonfiguration (KDE, Gnome, XFCE)
Tipp: sind möglichst zu vermeiden, weil diese Tools manchmal individuelle Konfigurationen verwenden!
CUPS - Common Unix Printing Service (Apple)
der aktuelle Standard, Distro-unabhängig und per Weboberfläche verwaltbar:
Webadresse (im Browser)
localhost:631
(also Port 631)
Beispielinstallation eines „HP Color 500 Laserjet (m551)“ mit Hilfe der HP Linux Imaging and Printing Toolserie auf hplip.net Website bzw. des entsprechenden Pakets
hplip (zypper search hplip
, zypper info hplip
, zypper install hplip
);
damit werden alle nötigen Dateien (Druckertreiber, ppd-Dateien) und Konfigurationen für HP Geräte (Drucker, Scanner, Multifunktionsgeräte) erstellt und eine passende HP-Installation bereitgestellt:
hp-setup
- Anm.: für das saubere Finden der HP-Drucker im
Netzwerk muss ggf. kurz die Firewall gestoppt werden:
systemctl stop firewall.service
(später natürlich wieder starten oder einfach neustart abwarten)
Empfohlene Verwaltung der Druckserver-Umgebung dann mit CUPS
Dokumenteninfos¶
Hier folgen abschließend noch die Meta-Infos zur Dokumentenversionspflege mit Hilfe von restructuredText:
RST¶
Dokumenttechnik: restructuredText
Seit Mitte 2017 erstelle ich neue Seminarunterlagen in restructuredText (RST) und wandele bestehende Dokumentationen und Seminarbegleitungen in RST um.
Für gelegentliche „Typos“, die schon verhanden waren oder beim Konvertieren entstanden sind, bitte ich um Verständnis. Bitte einfach unter Angabe der Kapitel-Info an mich übermitteln - hierfür Danke im Voraus.
Für Kenner meiner Seminarunterlagen hier kurz die wichtigsten Gründe für die teils aufwändigen Arbeiten:
Flexibilität
Word- (.docx), LibreOffice- (.odt) und PDF-Dokumente lassen sich zwar einfach erstellen!
Aber solche Dokumente lassen sich leider überhaupt nicht geeignet und sauber in HTML (gegliedert / oder als eine Seite), JSON, XML, Manpages, Texinfo oder gar EPUB wandeln/exportieren!
Metainfos
Meta-Techniken, Fußnoten oder Indizes lassen sich einheitlich in den unterschiedlichen Formaten an einer Stelle pflegen.
Versionsmanagement
Eine Versionsverwaltung wie Git (Online-Plattform: github.com oder auch gitlab.com, codeberg.org, …) arbeitet am effizientesten mit einfachen Textdokumenten. Auch manuelles Diffen ist mit Rohtexten eine mächtige und einfache Technik, während bei Word/PDF-Dokumenten immer sehr aufwändige und unübersichtliche Techniken eingesetzt werden müssen.
Conclusio:
Man nutze ein einziges grundlegendes Dokumentformat restructuredText und Werkzeuge (RstTools, DocUtils, Pandoc oder Sphinx) zum sauberen Erzeugen der gewünschten Dokumentformate (HTML, SingleHTML, Latex, PDF, EPUB, ODT, DOCX,…)
RST auf Wikipedia¶
Kurzinfos:
reStructuredText (kurz ReST, reST oder RST) ist eine vereinfachte Auszeichnungssprache (Markup) mit dem Ziel, in der reinen Textform besonders lesbar zu sein.
Die reST-Dokumenten lassen sich nahezu beliebig in gewünschte Formate wandeln:
ODT - OASIS Open Document Format for Office Applications
Kurzform: OpenDocument, ODF – engl. Offenes Dokumentformat für Büroanwendungen
Textformate wie für LibreOffice, Microsoft Word
HTML - diverse HTML-Varianten (Websitestile)
LaTex
professioneller Schriftsatz mit Exportmöglichkeiten nach PostScript und PDF
PDF (bzw. PostScript)
Epub - Standard für eBooks
Desweiteren lassen sich die Dokumente
professionell verlinken (taggen)
indizieren und
durchsuchen.
Bildinfos¶
Alle Bildmaterialien in dieser Ausarbeitung wurden nach bestem Wissen recherchiert und sind gemäß ihrer geforderten Bedingungen hinsichtlich des Autors kommentiert.
Die entsprechenden Bildmaterialien entstammen folgenden Quellen:
Eigene Bildmaterialien
oder Bildkompositionen
Wikipedia
Link zum Wikipedia Bild (inkl. Autorennennung)
Unsplash¶
Aus dieser Quelle werden alle Bildmaterialien mit Bildname attributisiert.
Erklärung zum Bildcode:
Info |
Inhalt |
---|---|
Bildname |
magnet-me-beCkhUB5aIA-unsplash.jpg |
Unsplash Autor |
magnet-me |
Bildcode |
beCkhUB5aIA |
Aus dem Unsplash-Bild-Code (hier: beCkhUB5aIA) lässt sich der Bildlink zum Unsplash-Portal zusammenbauen:
https: // unsplash.com / photos / Bildcode
https: // unsplash.com / photos / beCkhUB5aIA
Abweichende Bild-Quellen wurden entsprechend kommentiert/dokumentiert.
Status dieser Unterlage¶
Meine inhaltlichen Aufbereitungen zu den Themen unserer Seminarreihe unterliegen ständigen Änderungen und Aktualisierungen.
Fragen Sie also gerne auch einmal später nach einer aktualisierten Variante dieser Ausarbeitung und beziehen sich dabei bitte auf die entsprechende Versionsnummer des Dokuments (oder der angegebenen Versionierung).
Bemerkung
Diese Dokument befindet sich in stetiger Überarbeitung. Fehlerbereinigung (Typos) oder eine ggf. noch fehlende Indexierung der Dokumente ist ein Work in Progress und findet auch im Seminar statt.
Hier folgen jetzt noch Meta-Infos zur Dokumentenversionspflege:
- Version:
5.0
- Language:
de
- Description:
- Unterlagen zum PC-Werkstatt Seminar Trainer Joe Brandes.Erstellt mit restructuredText / Sphinx / sphinx_typo3_theme!
- Keywords:
PC-Werkstatt, Seminarunterlage, Joe Brandes, BEL NET
- Copyright:
Joe Brandes
- Author:
Joe Brandes
- License:
GNU General Public License, either version 2 of the License or any later version.
- Rendered:
15.10.2023