2000 im Netz

Inhaltsverzeichnis

Angesichts von Plug&Play, ACPI, Spiele- und Multimedia-Schnittstellen geht fast unter, dass Windows 2000 hinsichtlich der Netzwerkfähigkeiten gegenüber seinem Vorgänger Windows NT mächtig dazugelernt hat. Das gilt nicht nur für die Server-Varianten, sondern auch für die Professional-Version auf der Workstation. Und: Es betrifft durchaus auch die Kopplung zweier Rechner, den Zugang zum Internet und das Bereitstellen desselben für den Zweit- und Dritt-PC.

Diverse Vorzüge von Windows 2000 Professional im Netz lassen sich ohne die Server-Versionen indes nur begrenzt betrachten und vor allem nutzen. Viele Funktionen sind ohne entsprechenden Server im Hintergrund erst gar nicht präsent. Ob dieser Produktpakt eine wettbewerbsrechtliche Verzerrung darstellt, untersucht derzeit die Europäische Union: Ergebnisse gibt es noch nicht; bis jetzt wurde lediglich bekannt, dass Microsoft für den Fall relevante Papiere termingerecht beigebracht hat. Ähnliche Untersuchungen in den USA werden inzwischen nicht mehr ausgeschlossen.

Sei es drum. An dieser Stelle geht es primär um die Professional-Version. Wie schon in früheren Veröffentlichungen in c't zu Windows 2000 [1, 2] handelt es sich um eine Mixtur aus der Vorstellung neuer Fähigkeiten und aus praktischen Hinweisen zum Umgang damit - für manchen mag das den Anstoß zum Umstieg geben, andere mag es abhalten. Im folgenden Artikel ab Seite 112 geht es dann um die Server-Versionen - hier mit der Prämisse, besondere Fähigkeiten herauszuarbeiten und sie vom Mitbewerb abzugrenzen.

Windows 2000 Professional bringt alles mit, was man braucht, um Daten mit anderen Systemen über eine Direktverbindung auszutauschen, in Peer-to-Peer-Netzen mit anderen Systemen Kontakt aufzunehmen und an das Internet heranzukommen. Ähnlich wie in der zweiten Ausgabe von Windows 98 enthält es sogar eine Funktion, um für andere PCs den eigenen Internet-Zugang zur gemeinsamen Nutzung bereitzustellen. Darüber hinaus kann man - gewusst wie - von einigen Schmankerln profitieren, die Microsoft eigentlich für den Einsatz mit dem Server vorgesehen hat.

NT-Tücken

Insbesondere für Umsteiger von Windows 9x weist Windows 2000 Tücken auf. Das gilt vornehmlich für den gemischten Einsatz mit Windows 9x oder womöglich 3.x in einem Netz. Diese Systeme kennen im Peer-to-Peer-Betrieb nur ein Sicherheitsmodell, nämlich Sicherheit auf Freigabe-Ebene; das heißt sie schützen Ressourcen mit einem freigabespezifischen Passwort, das für alle Benutzer gilt. Windows 2000 hingegen unterscheidet grundsätzlich die Benutzer, kennt also keinen freigabespezifischen Passwortschutz - unter anderem deshalb bringt Windows 2000 auch eine eigene Benutzerdatenbank mit.

Beim Einrichten einer Freigabe unter Windows 2000 kann der Anwender angeben, wer Zugriff darauf erhalten soll. Das jedoch muss er explizit veranlassen. Ansonsten trägt Windows 2000 den Platzhalter ‘Jeder’ ein. Das bedeutet jedoch nicht, dass jeder x-beliebige Benutzer, sondern nur, dass jeder dem System bekannte Benutzer auf die Freigabe zugreifen darf. Man kommt deshalb meist nicht umhin, alle Benutzer in die Benutzerdatenbank von Windows 2000 einzutragen, um ihnen den Zugriff übers Netz zu erlauben.

Für das Eintragen weiterer Benutzer hat Microsoft unter Windows 2000 zwei Wege vorgesehen: in der Systemsteuerung ‘Benutzer und Kennwörter’ und in der Computerverwaltung (erreichbar über das Kontextmenü des Arbeitsplatzsymbols unter Verwaltung). Im Grunde nehmen sich die beiden Werkzeuge nicht viel. ‘Benutzer und Kennwörter’ ist im Vergleich zu der anderen Verwaltungsfunktion und dem aus NT 4 bekannten Benutzermanager etwas vereinfacht.

Damit ein Benutzer über das Netzwerk auf Windows 2000 zugreifen darf, genügt es, ihn unter ‘Benutzer und Kennwörter’ einzutragen. Wer sich fragt, was er dort konkret eintragen muss: Für den Zugriff mit einem Client unter Windows 3.x oder Windows 9x ist der Name entscheidend, der beim Anmelden an das jeweilige System eingegeben wird. Diesen Namen benutzen diese beiden Versionen für jeden Netzwerkzugriff - egal, ob er über ein LAN, eine Wählverbindung oder eine PC-Direktverbindung (Nullmodem-Kabel) erfolgt.

Weder Windows 3.x noch Windows 9x bieten bei Zugriffen übers Netz eine Möglichkeit an, einen anderen als den bei der Anmeldung benutzten Namen zu benutzen. Bei Windows NT und 2000 ist das anders: Sie können als Client Verbindungen zu verschiedenen Servern im Netz mit unterschiedlichen Benutzernamen aufbauen; erzwingen kann man das auf der Kommandozeile mit dem Befehl ‘net use * \\\ /user:’ (mehr über diese Funktionen liefert der Aufruf ‘net help’).

Wem die Benutzerverwaltung zu umständlich und Sicherheit in seinem Netz egal ist, der kann alternativ auch das Gastkonto unter Windows 2000 aktivieren. Aus Sicherheitsgründen ist es nach der Installation gesperrt. Sobald man die Sperre aufhebt (nur mit der Benutzerverwaltung in der Computerverwaltung), sind Zugriffe auf für ‘Jeder’ freigegebene Verzeichnisse möglich, auch ohne dass ein passender Benutzer definiert ist. (Die gängigen Clients probieren es schlichtweg als Gast, wenn mit dem aktuellen Benutzernamen der Zugriff scheitert.)

Der Zugriff als Gast hat aber einen Haken: Gibt man etwa einen Ordner auf dem Desktop eines Rechners frei und liegt NTFS als Dateisystem darunter, dann klappt zwar der Zugriff auf die Freigabe, nicht aber der auf die Dateien. Von sich aus räumt Windows 2000 solchen Verzeichnissen nämlich nur beschränkte Rechte ein: Der Eigentümer darf alles, alle anderen dürfen nichts. Man müsste bei einer Freigabe für Gäste also die NTFS-Rechte noch entsprechend setzen. Letztlich ist es wohl doch besser, Benutzer einzurichten.

Gemeinsames

Gegenüber diesen Sicherheitstücken nehmen sich die anderen Hürden, die man nehmen muss, um beispielsweise einen PC mit Windows 95 und 2000 im Netz miteinander reden zu lassen, vergleichsweise harmlos aus: Auf beiden PCs muss ein einheitliches Netzwerkprotokoll eingerichtet (NetBEUI, IPX oder TCP/IP) sowie ein identischer Arbeitsgruppenname und ein unterscheidbarer Rechnername gewählt sein (Sonderzeichen, etwa Umlaute, sollte man dabei ebenso meiden wie Namen, die länger als acht Zeichen sind).

Bisher galten NetBEUI und IPX gegenüber TCP/IP für den gelegentlichen Datenaustausch im Netz als Empfehlung, weil sie ohne die umständliche Konfiguration von individuellen IP-Adressen pro Arbeitsstation auskommen. Mit Windows 2000 (und den moderneren Windows-9x-Versionen) gilt das eigentlich nicht mehr: Übernimmt man dort den Windows-Vorschlag, die IP-Adresse automatisch zu beziehen, einigen sich die Systeme automatisch auf individuelle Adressen, selbst wenn im Netz keine Instanz existiert, die sich um die Vergabe von IP-Adressen kümmert (DHCP-Server).

Das dahinter steckende Verfahren arbeitet wie folgt: Stellt Windows beim Starten fest, dass ihm im Netz offenbar kein DHCP-Server eine IP-Adresse zuteilt, nimmt es sich selbst eine Adresse aus dem Bereich 169.254.x.x. Anschließend ermittelt es mittels Ping, ob diese Adresse schon ein anderes System belegt. Kommt etwas auf das Ping zurück, alterniert die Station die Adresse und versucht es erneut. Die einzige Krux an diesem Verfahren, das als APIPA bekannt ist, besteht darin, dass man so den Ausfall eines DHCP-Servers im Netz erst gar nicht bemerkt.

Beim Experimentieren mit Netzwerkeinstellungen, insbesondere beim Ändern von Arbeitsgruppen- oder Rechnernamen, aber auch von IP-Adressen, sollte man geduldig sein. Oft braucht Windows mehrere Minuten, bis sich Änderungen im Netz herumgesprochen haben (selbst bei nur zwei PCs). Schuld daran sind die Browser-Dienste, die eine Liste der Rechner im Netz sammeln [3]. Wer ungeduldig ist, kann auf der Kommandozeile prüfen, ob er einen anderen PC im Netz erreicht (etwa ‘net view \\computername’), oder mit der in der grafischen Oberfläche angebotenen Suchfunktion.

Soll Windows 9x Ressourcen für Windows 2000 bereitstellen, so ist dort von Hand der ‘Datei- und Druckfreigabedienst’ für Microsoft-Netzwerke zu installieren. Windows 2000 installiert von sich aus sowohl den Client für Microsoft-Netze als auch den entsprechenden Server-Dienst. Wer die Einstellungen von Windows 2000 prüfen möchte, kommt am einfachsten heran, indem er im Kontextmenü der auf dem Desktop abgelegten Netzwerkumgebung die Eigenschaften aufruft. Alternativ finden sich eine Verknüpfung mit diesem speziellen Ordner auch im Startmenü unter Kommunikation.

Für jede in einem System eingebaute Netzwerkkarte (und nicht nur die, dazu gleich) existiert dort normalerweise ein Symbol. Über die Eigenschaften im Kontextmenü eines solchen Symbols lässt sich die Konfiguration näher betrachten und manipulieren. Auf Wunsch blendet Windows 2000 im Tray-Bereich des Taskbar ein Symbol für die Netzwerkkarte ein, das Auskunft über deren Aktivität gibt und auf eventuelle Netzwerkstörungen aufmerksam macht, etwa wenn das Kabel im laufenden Betrieb aus der Buchse rutscht.

Ins Internet

Um eine Verbindung ins Internet aufbauen zu können, muss das System entweder ein externes Modem, ein ISDN-Terminaladapter oder eine ISDN-Karte erkannt haben. Letztere taucht im Gerätemanager als Netzwerkkarte auf. Die anderen Geräte finden sich im Gerätebaum unter Modems. Ist das nicht gegeben, so sollte man zunächst nach der Ursache fahnden. (Leider ist es mit der Unterstützung älterer ISDN-Karten unter Windows 2000 nicht allzu weit her - zu allem Übel laufen die alten NT-4-Treiber nicht.) Anders als bei NT 4 genügt das Vorhandensein der Geräte, die Installation eines speziellen Diensts (RAS) ist nicht mehr nötig.

Ist entsprechendes Gerät vorhanden, dann bietet Windows 2000 es im Assistenten zum Einrichten neuer Verbindungen an, dazu gehören neben den üblichen Verdächtigen wie Modem und ISDN-Karte auch die serielle und parallele Schnittstelle, um zwei PCs direkt miteinander zu verbinden. Die unter Windows 9x noch verstreuten Funktionen sind unter Windows 2000 jetzt also zusammengefasst - hinter den Kulissen steckten PC-Direktverbindung und Remote Access Service (RAS) beziehungsweise DFÜ-Netz schon immer unter einer Decke.

Die Frage des beim Konfigurieren einer neuen Verbindung auf den Plan tretenden Assistenten, ob man sich mit einem privaten Netz oder dem Internet verbinden will, sollte man wahrheitsgemäß beantworten: Im ersten Fall muss man zwar weniger Formulare abarbeiten, im zweiten Fall aber generiert Windows die bessere Konfiguration. Das aus zwei Gründen: Zum einen führt der Internet-Weg zu einer sicheren Konfiguration (dazu gleich mehr) und zum anderen kann man im Nachhinein die zur Anmeldung beim jeweiligen Dienst nötigen Daten ändern (Benutzername und Passwort).

Bei einer Verbindung in ein privates Netzwerk hingegen lassen sich die Zugangsdaten nur ändern, indem man die Verbindung löscht und neu anlegt. Das ist ärgerlich und macht dann ernsthafte Schwierigkeiten, wenn man die Funktion zur gemeinsamen Nutzung des Internets, also die in Windows 2000 integrierte Gateway-Funktion für andere Rechner verwenden möchte. Wer also das Firmennetzwerk als Einstiegspunkt ins Internet nimmt, es aber auch für den Zweit-PC nutzen will, wählt besser ‘Internet-Verbindung’.

Sieht man davon ab, dass der Internet-Assistent zusätzlich auch ein E-Mail- und News-Konto konfiguriert, unterscheidet sich das Ergebnis außer in der bereits erwähnten Möglichkeit, Benutzer und Passwort zu ändern, und den gewählten Bindungen. Mit diesem Mechanismus schichtet Windows seine Netzwerkmodule: Im Fall eines privaten Netzes respektive Firmenzugangs packt es auf das TCP/IP-Protokoll den Client und Server für Microsoft-Netze. Damit ist ein Datenaustausch mit dem Netzwerk auf Freigabe-Ebene möglich, zum Beispiel der Zugriff von daheim auf Dokumente des Arbeitsplatzrechners.

Beim Internet-Zugang hingegen sorgt der Internet-Assistent von sich aus dafür, dass Client- und Server-Dienst inaktiv sind. Das mindert zum einen das Risiko, dass Bösewichte aus dem Internet den Rechner mit DOS-Attacken lahm legen, und stellt zum anderen sicher, dass fürs Netz freigegebene Verzeichnisse nicht im Internet sichtbar sind. Diese Einstellungen kann man natürlich von Hand über die Eigenschaften einer Verbindung manipulieren.

Insgesamt scheint der Internet-Zugang vernünftig in Windows 2000 integriert. Das gilt insbesondere auch für das Zusammenspiel mit dem Internet Explorer und seinen Beigaben. Das an sich nimmt kaum Wunder, stammen doch die Infrastruktur und der Browser aus einer Hand. Der Hauptvorteil liegt im automatischen Verbindungsauf- und -abbau. Zudem kriegt es Windows 2000 vernünftig auf den Schirm, zwischen stationärem Betrieb im LAN und mobilem Betrieb mit Modem zu wechseln: Man kann die jeweilige Betriebsart über das Internet-Applet in der Systemsteuerung bequem umschalten.

Unter ‘Neue Verbindung einrichten’ versteht Windows 2000 auch das Aufsetzen eines Einwahlservers, also die Freigabe etwa einer ISDN-Karte, sodass sich andere Systeme dort einwählen können; im Gegensatz zu Windows 9x fungiert Windows 2000 dabei für die Clients automatisch als Router, das heißt, sie haben nicht nur Zugriff auf den Einwahlrechner selbst, sondern auch auf das Netz, in dem dieser hängt. Windows 2000 erlaubt es aber, diese Funktion abzuschalten.

Pseudo-Netz

Das Einrichten einer Direktverbindung als Host stellt letztlich nur einen Spezialfall des zuvor beschrieben Einwahlservers dar. Ein Gast, entweder Windows 9x mit seiner PC-Direktverbindung oder ein anderer Rechner mit Windows 2000, kann über die parallele, serielle oder IRDA-Schnittstelle eine Verbindung zum Host aufbauen. Damit das auch mit TCP/IP klappt, müssen unter den Eigenschaften dieser ‘Verbindung’ ebenso wie für den ‘echten’ Einwahlserver geeignete IP-Adressen eingetragen werden.

Hinter den Kulissen der Direktverbindung arbeitet wie bei Windows 9x das Point-to-Point-Protocol (PPP); es ist also grundsätzlich möglich, auch mit anderen Rechnern, etwa einem Macintosh (mit modernem Mac OS), Kontakt zu Windows 2000 über ein Nullmodemkabel aufzunehmen [4]. Der wichtigste Unterschied zwischen Einwahlserver und Direktverbindung ergibt sich an einem Konfigurationsdetail: Im ersten Fall muss man einzelnen Benutzern die Einwahl über den in Verbindungseigenschaften erreichbaren Benutzermanager gestatteten, im zweiten Fall erlaubt Windows 2000 auch Gästen den Zugriff (etwa für PDAs et cetera).

Internet für alle

Zurück zum Internet: Nach erfolgreicher Konfiguration eines Internet-Zugangs erlaubt es Windows 2000, diesen für die gemeinsame Benutzung durch andere Computer im LAN freizugeben, den jeweiligen PC also als eine Art Gateway einzurichten. Er dient dabei als Übersetzer, indem er IP-Pakete aus einem privaten Netz in solche mit einer offiziellen Nummer umwandelt und weiterleitet. Die Antworten aus dem Internet übersetzt er zurück und stellt sie dem Absender im privaten Netz wieder zu - im Volksmund NAT (Network Address Translation, unter Linux Masquerading).

Leider fallen die Einstell- und Überwachungsmöglichkeiten, die für diese Betriebsart bereitstehen, sehr dürftig aus. Ist die Funktion aktiv, ‘verkonfiguriert’ Windows 2000 ein eventuell schon eingerichtetes IP-Netzwerk. Die ‘Gemeinsame Nutzung’, so der offizielle Begriff, versieht das Gateway mit einer festen, privaten IP-Adresse (192.168.0.1) und startet für seine Kunden im LAN einen Mini-DHCP-Server, der ihnen IP-Adressen aus diesem Netz zuteilt.

Das ist nicht das einzige Manko der kostenlosen Beigabe: Die Freigabe einer Internet-Verbindung ist für andere Rechner nur so lange erreichbar, wie der Administrator am Gateway angemeldet ist. Arbeitet daran jedoch ein normaler Benutzer, scheitert der Verbindungsaufbau eines Client zum Provider mit einer Nachricht auf das Gateway, dass die Benutzerdaten falsch seien. Erst wenn der angemeldete Benutzer einmal von Hand die richtigen Daten eingegeben hat, klappt der Client-Zugriff über das Gateway. Damit eine Änderung der Daten überhaupt möglich ist, muss die jeweilige Verbindung mit den Internet-Assistenten angelegt worden sein.

Alternativ bietet sich auch eines der zahlreichen, schon längere Zeit am Markt präsenten Produkte an, die diese und viele andere Aufgaben meist mit mehr Souveränität bei zusätzlichen Funktionen erledigen, zum Beispiel solche aus [5]. Weitaus besser hat Microsoft diese Funktion im Server realisiert. Er bietet zwar auf Wunsch auch diese Schmalspurvariante an, darüber hinaus aber existieren Funktionen innerhalb des Remote Access und Routing Service für Network Address Translation (NAT), die auf ein vorkonfiguriertes Netz zurückgreifen können, also nicht zwangsweise einen DHCP-Server etablieren.

Sonstiges

Bleiben die ‘Abfallprodukte’, die Microsoft zu guten Teilen für den Einsatz im Netz zusammen mit seinem Active Directory in die Professional-Version eingebaut hat: Die Offline-Dateien lassen sich zum Beispiel auch ohne Microsoft-Server verwenden. Man markiert kurzerhand die Dateien auf einem anderen Rechner als offline-verfügbar und kann sie dann bearbeiten, selbst wenn der andere Rechner nicht mehr erreichbar ist. Beim Anmelden oder in regelmäßigen Intervallen prüft Windows, ob der andere Rechner wieder erreichbar ist und gleicht die Dateien ab. Voraussetzung, damit das funktioniert, ist ein SMB-Server auf der anderen Seite; Samba genügt also.

Windows 2000 kann mehr als die kleinen Brüder im Netz, erfordert aber mehr Aufwand vor allem wegen der anderen Sicherheitsmentalität. Für die schon lange fälligen Funktionen zum gemeinsamen Nutzen eines Internet-Zugangs gibt es überzeugendere Ansätze von anderen Anbietern. Mehrwert verspricht die Summe der Kleinigkeiten, wie die aufgeräumte Verbindungsverwaltung, die Offline-Dateien, die Direktverbindung über ein Parallelkabel und die Fähigkeit, bei Bedarf weitere ISDN-Kanäle einer bestehenden Verbindung hinzufügen. (ps)

Literatur

[1] Peter Siering, Der letzte Zug, Windows 2000 auf dem Prüfstand, c't 4/00, S. 180

[2] Peter Siering, Mit Zuckerbrot und Peitsche, Windows 2000: Handreichungen für Installation und Betrieb, c't 5/00, Seite 148

[3] Jörg Rech, Schnitzeljagd, Netzwerkumgebung und Browser-Dienst im Windows-Netzwerk, c't 12/99, S. 224

[4] Peter Siering, Wahlverwandtschaften, Einwahl-, Auswahl- und Nullmodem-Verbindungen, c't 11/99, S. 106

[5] Jürgen Kuri, Jürgen Schmidt, Familien-Surfbrett, Internet-Zugang fürs LAN mit dem Internet Connection Sharing, c't 15/99, S. 92 (ps)