Einführung
Bis jetzt kennen wir nur die grundlegendsten Netzwerkfunktionen.
Wir haben ein Netzwerk eingerichtet und auch eine Freigabe erstellt und
den Drucker ins Netzwerk eingebunden. Doch es steckt so viel mehr im Netzwerk.
Einige, für den Privatnutzer interessante Funktionen möchte
ich in diesem Workshop erklären und zusammen mit Ihnen einrichten.
Freigaben
und ihre Probleme
Im Workshop über die Netzwerkgrundlagen haben wir uns schon mit Freigaben
befasst, die man auf dem eigenen PC anlegt um sie den anderen Benutzern
des Netzwerks zur Verfügung zu stellen. Bisher ist man davon ausgegangen,
dass jeder auf seinem eigenen PC Freigaben erstellt. Ist der PC nicht
an, so sind auch die Dateien nicht verfügbar. Manchmal nervt es einen
auch, dass andauernd jemand auf den PC zugreift, da man gerade eine sehr
rechenintensive Arbeit von dem Computer erledigen lässt (Videos encodieren,
mp3s encodieren, 3D-Rendering, Spiele, CD-Brennen, Defragmentieren).
Fileserver
Viel komfortabler ist es, wenn ein PC alle Daten speichert
und dieser PC kümmert sich immer ausschließlich um die Bereitstellung
der Daten. Man spricht von einem sogenannten Fileserver. Dieser muss für
den Privatgebrauch nicht sonderlich leistungsfähig sein, so dass
man auch den ausrangierten Zweit-PC dafür nutzen kann. Eigentlich
braucht dieser PC keine Tastatur, Maus und keinen Monitor. Man kann Ihn
einfach in den Keller stellen. Mit Tools wie RealVNC (mehr
dazu) kann man von den Client-PCs den Computer fernsteuern.
Was man bei dieser Konstellation jedoch beachten muss, ist, dass nun alle
Daten auf einem Computer liegen und dadurch bei ein Platten-Crash auch
alle Daten weg sind. Man sollte des öfteren Backups der Daten anlegen
mit CD- oder DVD-Brennern ist dies jedoch sehr schnell und einfach gemacht.
Außerdem sollte man beachten, dass ATA-Platten (die normalerweise
in Heim-PCs verbaut sind) nicht für den Dauerbetrieb ausgelegt sind.
Darum ist ein Platten-Crasher wahrscheinlicher. Wer ernsthaft einen Fileserver
betreiben will, der sollte sich bei eBay eine SCSI-Platte mit zugehörigem
Controller zulegen, diese sind für den professionellen Dauerbetrieb
ausgelegt und das Risiko eine Plattencrashs ist geringer. Auch nicht zu
vernachlässigen sind die Stromkosten, man muss bedenken: Nun läuft
der PC ununterbrochen mit voller Leistungaufnahme, das ist unwirtschaftlich
und kostet Strom.
Außerdem sind die Freigaben auf Windows-PCs nur sehr undifferenziert
konfigurierbar. Für alle Dateien eines Verzeichnisses gelten die
gleichen Regeln, will man nicht allen Benutzern den Zugriff zu allen Freigaben
erlauben, so müssen die Berechtigten jedesmal ein Passwort eingeben,
wenn Sie auf die Freigabe zugreifen wollen. In den Grundlagen habe ich
es schon angesprochen: Die Lösung heißt Zugriff auf Benutzerbasis.
Zugriff
auf Benutzerbasis
Mit dem Zugriff auf Benutzerbasis kann man für jeden Benutzer die
Befugnisse einzeln verteilen. Logisch ist jedoch, dass man dafür
natürlich eine gesonderte Verwaltungsinstanz benötigt: den Domaincontroller.
Dieser zählt zu den professionellen Features des Netzwerks und ist
folglich in den Home-User-Versionen von Windows nicht verfügbar.
Offiziell ein Fall für den Windows Server, der ist natürlich
unverschämt teuer und mit für den Heim-User unnötigen Features
überfrachtet. Für den Heim-User erschwinglicher ist folgende
Lösung eine NT- oder Windows2000/XP Professional-Workstation. Diese
kann auch Anwenderkonten verwalten und kann so als Anmeldeserver (Domaincontroller)
missbraucht werden. Eine Einschränkung hat dies jedoch: Es werden
nur bis zu zehn gleichzeitig verbundene User unterstützt. Für kleinere
Arbeitsgruppen sollte dies jedoch reichen.
Der Zugriffstyp ist dann von Freigabeebene auf Benutzerebene umzustellen,
wobei alle bisherigen Freigaben gelöscht werden. Statt des Zugriffstyps
findet man nun eine Liste mit Usern, die mit ihren Zugriffsrechten angezeigt
werden.
Über die Schaltfläche Hinzufügen... öffnest du
den Dialog Benutzer hinzufügen. Links befindet
sich ein Fenster mit den Anwendern. Markiere dort einen Eintrag und verschiebe
ihn in eines der drei rechten Fenster Schreibgeschützt, Alle Zugriffsrechte und Benutzerdefiniert indem du auf die gleichnamigen Buttons davor klickst. Interessant ist
der Zugriffstyp Benutzerdefiniert. Damit lässt
sich eine spezielle Kombination aller Zugriffsberechtigungen zusammenstellen.
Wähle dazu im Freigabe-Register den Anwender mit dem Zugriffsrecht Benutzerdefiniert und klicke danach auf Bearbeiten....
Zugriffsrechte
auf Benutzerbasis verteilen
Du gelangst in den Dialog Zugriffsrechte ändern.
Dort kannst du die sieben möglichen Berechtigungen dem gewählten Benutzer
erteilen.
Die Begriffe Recht und Berechtigung wurden zwar früher in der Welt von Microsoft klar definiert, werden inzwischen
aber wieder austauschbar verwendet.
Berechtigungen werden beim Zugriff auf Verzeichnisse erteilt, Rechte dagegen
können nur unter Windows NT/2000 vergeben werden und sind eng an das System
gebunden. So gibt es zum Beispiel das Recht Lokale Anmeldung
am System, das dem User erteilt werden muss. Mit Verzeichnisberechtigungen
hat das nichts zu tun.
Fileserver
auf Linux-Basis
Besonders für ältere Rechner lohnt es sich auf Linux umzusteigen,
da dieses Ressourcenschonender ist. Mit dem Sambaserver stellt man
anderen Computern (u.a. auf Windows-Basis) Dateien zur Verfügung.
Fernzugriff auf Linux-Rechner
Wie schon bei dem Windows-Fileserver muss der Server nicht unbedingt in Reichweite des Administrators stehen. Man könnte den Rechner also wieder per Fernzugriff administrieren. Dafür gibt es ein super Windowsprogramm mit dem Namen Cygwin/X (Infos | Download), dieses kann den Desktop vom Linux-Rechner auf den Windows-Rechner transferieren.
Installieren Sie das Programm, bei Select Packages wählen Sie dann unter X11 den Eintrag "X-Startup scripts: Cygwin/X startup-scripts". Das Setup-Programm markiert dann alle weiteren benötigten Pakete.
Zum korrekten Start schreiben Sie sich am besten eine Batchdatei:
@echo off
SET CYGWIN_ROOT=\cygwin
SET PATH=.;%CYGWIN_ROOT%\bin;%CYGWIN_ROOT%\usr\X11R6\bin;%PATH%
set NODE=Servername
start /B XWin.exe -query %NODE% -once -dpi 86 -ac -clipboard -from %COMPUTERNAME%
Setzen Sie für Servername die IP-Adresse oder den Rechnernamen des zu fernsteuerenden Rechners ein. (Script für Win XP)
Auf der Windows-Seite ist jetzt alles klar, unter dem fernzusteuernden Linux-Rechner müssen noch einige Einstellungen geändert werden.
Bei Linux (SuSe 9.x) muss die Datei /etc/X11/xdm/xdm-config geändert werden, laden Sie sie dafür in einen Editor und setzen in der letzten Zeile vor DisplayManager.requestPort ein "!"; außerdem muss noch in der Datei /etc/opt/kde3/share/config/kdm im Abschnitt [Xdmcp] die Zeile Enable=false auf Enable=true geändert werden.
Starten Sie dann die Rechner neu und nun können Sie unter Windows den KDE-Desktop des Linux-Rechners sehen und auf diesem arbeiten.
Mappen
Wenn man oft auf den Fileserver zugreifen muss, dann ist es ganz schön
umständlich immer in die Netzwerkumgebung zu wechseln, dort den Fileserver
heraus zu suchen und abschließend noch die Freigabe auszuwählen.
Für solche Zwecke ist es viel zweckmäßiger die Freigabe
als eigenes Laufwerk in den eigenen Computer einzubinden. Das geht! Es
nennt sich mappen und wurde schon einmal in den Grundlagen behandelt,
ich möchte an dieser Stelle jedoch noch einmal erklären.
Beim Mappen erhalten die Freigaben einen Laufwerksbuchstaben zugewiesen,
so dass du mit dem Netzwerklaufwerk arbeiten kannst wie mit einem lokalen
Laufwerk. Um eine Freigabe auf einen Laufwerksbuchstaben zu mappen, öffne
den Windows-Explorer und wähle aus dem Extras-Menü
den Punkt Netzlaufwerk verbinden.... Im folgenden
Dialog verbindet Windows einen sogenannten UNC-Pfad (Universal Naming
Convention) mit dem nächsten freien Laufwerksbuchstaben auf deinem PC.
Der UNC-Pfad beschreibt eine Freigabe auf einem vernetzten Computer und
beginnt immer mit einem Doppel-Backslash gefolgt von einem Computernamen.
Daran wird der Name der Freigabe mit einem Backslash davor angehängt.
Wenn der Computer also z.B. FServer heißt und die Freigabe Docs lautet, so sieht der UNC-Pfad davon so aus: \\FServer\Docs
Kreuze im Kontrollkästchen Verbindung beim Start wiederherstellen an, nun mappt Windows das Laufwerk bei jedem Start automatisch neu.
Schutz
des Fileservers
Im Internet wimmelt es nur so von Viren, an allen Ecken und Enden wird
man übers Ohr gehauen; da fängt man sich sehr schnell einen
Virus ein. Das lokale Heimnetzwerk bietet auch noch optimale Bedingungen
zur Verbreitung der Viren im ganzen Netzwerk. Natürlich auch auf
den Fileserver. Dieser enthält aber die wichtigsten Daten und es
wäre wohl am schlimmsten, wenn gerade dieser Rechner von einem Virus
dahin gerafft wird. Sie sollten mit einer Firewall und einem Virenscanner
ihre Daten schützen.
Professioneller Fileserver
Pyramid bietet mit Ben Hur einen professionellen Fileserver; jedoch für Privatpersonen kostenlos. Laden Sie sich einfach die Image-Datei der bootfähigen Installationsdatei (Infos + Download) herunter und booten Sie von dieser. Nach der Installation haben Sie einen professionellen Fileserver auf Linuxbasis.
Router
Ein Router stellt die Verbindung zwischen dem Netzwerk und dem Internet her. Ein Router nimmt Websiteanfragen der einzelnen an ihm angeschlossenen Rechner mit ihren verschiedenen IPs an und leitet diese unter seiner eigenen IP an den Server weiter, die Antwort leitet er dann an den entsprechenden Rechner. Dieses Verfahren nennt sich NAT (Network Adress Translation). Dieses Vorgehen ist erforderlich, da meist nur eine Leitung ins Internet vorhanden ist, auf die nur eine IP zugreifen kann, bei der Nutzung des Routers eben nur der Router.
Dank einer Unzahl an DSL-Angeboten kennt fast jeder die Hardware-Router, die neben der eigentlichen Routing-Fähigkeit auch noch die Aufgaben einer Switch, eines WLAN-Accesspoints und einer Firewall übernehmen können. Der Router ist in diesem Fall ein kleines Gerät, dass man mit der bestehenden Verkabelung (wenn es diese schon gibt) verbindet und den man dann meist per Webinterface administrieren kann. Bei der ersten Nutzung muss er konfiguriert werden; anschließend lassen sich immer wieder Regeln der Firewall ändern, Ports freischalten oder Updates einspielen.
Was weniger bekannt ist, es gibt auch Software-Router; eine sehr mickrige Version davon ist die Internetverbindungsfreigabe von Windows. Aber im Grunde arbeiten die anderen Lösungen auch nicht viel anders; der PC auf dem der Software-Router läuft wird bei allen anderen PCs als Gateway eingetragen und nimmt die Anfragen entgegen, leitet sie ins Internet weiter und empfängt die Antwort und leitet sie an den entsprechenden PC.
Für diese Aufgabe kann ein ausgemusterter PC verwendet werden, der sich dann lediglich um diese Aufgabe kümmert und nebenbei auch noch weitere Aufgaben wie die eines Mail-, Print- oder Fileservers oder einer Firewall übernehmen kann. Empfehlenswert ist hier die fli4l-Linuxdistribution (Infos | Download | Addons) die auf eine einzelne Diskette passt und auch auf einem alten 486er läuft; der janaserver (Infos | Download) ist "nur" ein Proxyserver, der einem aber auch Internetzugang verschaffen kann.
Will man die Routingfunktion nur nebenbei nutzen und braucht man keine jederzeit verfügbare Verbindung ins Internet, so kann man auch Routingprogramme wie WinRoute (Infos | Download) nutzen, die man nebenbei laufen lassen kann, nutzen.
Bei der Softwarevariante ist besonders auf die Absicherung durch einen Virenscanner und eine Firewall zu achten!
Mailserver
Wenn das Netzwerk etwas größer ist, dann wünscht man sich ein Kommunikationsmittel, um sich effektiv mit anderen Benutzern unterhalten zu können. Man könnte dies natürlich auch über E-Mails auf dem konventionellen Weg über das Internet machen, doch wer keine Flatrate hat, für den ist diese Lösung nicht akzeptabel. Durch den Mailserver kann man die "Zettelwirtschaft" abschaffen, außerdem bieten E-Mail die Möglichkeit Attachments mitzusenden.
Was spricht also dagegen sich einen
Mailserver einzurichten. Mit dem janaserver ist dies in Sekundenschnelle geschehen. Einfach Mailaccounts anlegen, dann die jeweiligen Mailclients konfigurieren und schon kann man mailen ganz so, als wäre es über das Internet.
Wer mehr Wert auf Funktionen legt (IMAP), für den ist Mercury (Infos | Download) besser geeignet. Hierbei handelt es sich um einen vollwertigen Mailserver den man auch im Internet nutzen kann.
Achten Sie bei den Mailservern immer darauf, dass Sie nur die aktuellste Version nutzen; ältere Versionen können Sicherheitslücken beinhalten, die Spammer ausnutzen können, um in den Server einzubrechen und von dort Spam zu versenden!
Printserver
In meinem Workshop Einrichten eines Netzwerkdruckers bin ich schon auf die Vorteile eines Printservers eingegangen; man muss nicht jedesmal den Rechner einschalten an dem der Drucker lokal angeschlossen ist, wenn man drucken will.
In dem Workshop bin ich davon ausgegangen, dass eine Steckkarte in dem Drucker die Netzwerkfähigkeit bereitstellt. Doch es gibt noch weitere Möglichkeiten zu drucken ohne den anderen Computer einschalten zu müssen: Printserver.
Im Grunde genommen ist im Netzwerkdrucker nur ein kleiner Printserver integriert; es geht aber auch größer. Mit einem "richtigen" Printserver kann man auch mehrere (nicht netzwerkfähige) Drucker im Netzwerk bereitstellen.
Ein Printserver hat etwa die Größe eines Routers oder einer Switch. Er hat einen Ethernetanschluss und mehrere Parallel oder USB-Ports an die man die/den Drucker anschließen kann und - wie im Workshop berichtet - einfach und bequem ausdrucken kann.
Eine billigere Alternative sind sogenannte
Druckerwarteschleifen, die nur die Aufträge sammeln und wenn der Computer eingeschaltet ist der Reihe nach an den Drucker weiterleiten.
Vergessen Sie nicht den Printserver abzusichern, man glaubt es zwar nicht, doch es ist gefährlich den
Printserver ungeschützt zu lassen. Je nach Modell werden die Daten die ausgedruckt werden abgespeichert und sind im schlimmsten Fall offen im Internet einsehbar, außerdem könnten "Scherzkekse" den Drucker missbrauchen und so einen finanziellen Schaden anrichten!
Webserver
Wenn Sie Ihre Firmen- oder Privathomepage nicht in fremde Hände geben wollen, sondern selbst hosten, dann gibt es auch die Möglichkeit sich einen Webserver einzurichten. Das bringt jedoch einige Probleme mit sich, zum einen benötigt man eine breitbandige Leitung die auch hohe Uploads (nicht wie DSL mit läppischen 128 KBit) leistet, außerdem muss diese Leitung immer stehen, sonst ist man nicht erreichbar, normalerweise wird auch eine feste IP benötigt. Wenn man die Website professionell betreiben möchte, führt also kein Weg um eine Standleitung herum (die natürlich nicht gerade billig ist). Für weniger anspruchsvolle Home-User gibt es mit DynDNS einen Dienst, der bei jedem Einwählen die aktuelle IP ermittelt und in der Datenbank speichert, so dass man über eine DynDNS-Datei immer erreichbar ist. Das wichtigste ist jedoch, dass Webserver besonders gesichert werden müssen. Wenn man alle Nachteile beachtet, lohnt sich ein eigener Webserver nicht wirklich.
Sollten Sie sich trotzdem für einen Webserver interessieren, dann kann ich XAMPP (Infos | Download für Windows) empfehlen; es handelt sich um eine Distribution bestehend aus dem Apache Webserver, PHP, einem MySQL Server und weiteren Tools. XAMPP wird einfach in Linux oder Windows installiert und ist fortan betriebsbereit.
Firewall
Ich habe jetzt schon mehrmals darauf hingewiesen, dass eine ausreichende Absicherung der einzelnen Netzwerkkomponenten erforderlich ist. Jetzt ist es Auslegungssache, was als ausreichend gilt. Das kommt immer darauf an wie wichtig und wertvoll die Daten sind, die im Netzwerk ausgetauscht werden. Ein Unternehmen braucht mehr Schutz als der ambitionierte Homeuser.
Aber eine Firewall zum Schutz gegen Skriptkiddies und Gelegenheitshacker sollte, wenn man das Internet intensiv nutzt schon installiert werden. Die Netzwerkarchitektur, die wir bis jetzt kennengelernt haben begünstigt auch den Einsatz einer Firewall. Es ist einfach beim Router (viele Hardware-Router haben eine Harewarefirewall installiert) eine Firewall zu installieren. Das kann im Fall eines Softwarerouters eine Firewall wie ZoneAlarm sein. Für fli4l gibt es auch ein Firewall-Plugin, so das der Router abgesichert ist. Wer ein großes Sicherheitsbedürfnis hat, kann auch eine alleinstehende Firewall im Netzwerk installieren, ob man für den Privatmann die Linux-Distribution IPCop installiert, die einen absichert oder in eine hochsichere zusätzliche Hardwarefirewall investiert, bleibt einem selbst überlassen.
|