Client/Server

Theorie Benutzerrechte, Serverdienste, VirtualMachine, WIN & MAC-Tipps

15. Juni 2021

Inhalt Teil-A «BENUTZERRECHTE»

Inhalt Teil-B «SERVERDIENSTE»

Inhalt Teil-C «VIRTUAL-MACHINE»

Inhalt Teil-D «WIN & MAC-TIPPS»

Teil-A: «BENUTZERRECHTE»

1.1 Betriebssystemfunktionen

  • Die Benutzerverwaltung ist keine zentrale Aufgabe eines Betriebssystems (Nicht jedes Betriebssystem unterstützt eine Benutzerverwaltung wie z.B. das ältere Betriebssystem DOS, das keine keine Benutzer und keine Zugriffsrechte kennt)
  • Der Speicher muss verwaltet werden wie z.B. der Sekundärspeicher in Form von Harddisks über ein Filesystem wie z.B. NTFS, FAT, EXT
  • Das Filesystem sollte heutzutags Zugriffsrechte unterstützen (FAT32 unterstützt dies z.B. nicht)
  • Zugriffsrechte bzw. Dateiberechtigungen erfordern eine Benutzerverwaltung

1.2 Benutzerszenarios

Um uns der Problematik Zugriffsrechte und Benutzer-Accounting zu nähern, möchten wir uns vorerst einmal ein paar Gedanken machen, welche Betriebsszenarions für ein elektronisches Gerät grundsätzlich in Frage kommen:

  • Taschenrechner, Personalcomputer: Sind Geräte und Daten nicht gefährdet (Lesen/Schreiben/Löschen etc.) und auch nicht vernetzt, kann auf die Benutzerverwaltung mit Vergabe von Zugriffsrechten verzichtet werden. Ohne eine solche Zugriffsregelung ist auch kein Useraccounting nötig. Sollten trotzdem mehrere Benutzer ein Gerät teilen, wie das z.B. bei einem Kopierautomaten der Fall ist, vergibt man so allerdings auch die Chance, die Gerätenutzung personenbezogen abzurechnen.
  • PC-Sharing, IT-Umgebung: Hier sieht das nun anders aus. Da möchte man seine Daten vor fremdem Zugriff geschützt wissen. Darum werden nun Zugriffsrechte nötig. Dies bedingt aber auch eine Benutzerverwaltung (Useraccounting). Das heisst, man muss sich zuerst gegenüber dem System mit persönlichem Usernamen und Passwort ausweisen (Authenifizierung). Diese Massnahme ist erst recht unverzichtbar, wenn das Gerät zusätzlich an ein Netzwerk angeschlossen ist, weil dadurch ein Gefährdungsrisiko von ausserhalb besteht.

Bilden von Gruppen:

In diesem Fall werden die Zugriffrechte zu den Verzeichnissen bzw. Dateien nicht pro Benutzer sondern pro Gruppe geregelt. Damit wird die Benutzeradministration erheblich vereinfacht, weil neue Benutzer durch Hinzufügen in die entsprechende Gruppe sofort alle für diese Gruppe notwendigen Berechtigungen erhalten.

In M117-Kurs (Peer-toPeer-Netze) wird das Useraccounting lokal auf den PC beschränkt. In einer modernen IT-Umgebung geschieht dies allerdings auf einem zentralen Server und ist somit wesentlich flexibler. (Stichwort Directory Services, bei WIN Activ Directory)


1.3 Zutrittsregeln

1.4 Datenzugriff Intern und Extern

Der Dateizugriff für lokale Benutzer ist über die Zugriffsrechte geregelt. Für externe Benutzer existiert noch zusätzlich eine Hürde, nämlich die Dateifreigabe:

1.5 Zugriff auf Dateien und Verzeichnisse

Es kann auf Daten lesend und schreibend zugegriffen werden. Wobei die Dateien in einer baumartigen Verzeichnisstruktur abgelegt sind. (Verzeichnis oder Directory und Datei oder File)

1.6 Zugriffsrechte am Beispiel von UNIX/LINUX

Auf was wird zugegriffen:

  • Datei (File): Text, Bild, Ton, Film, Programm, Tabelle …
  • Verzeichnis (Directory): Verzeichnis = Dateiliste (und somit auch ein File)
  • Die Benutzer dürfen gemäss erteilten Berechtigungen auf Dateien oder Verzeichnisse zugreifen

Es werden die drei folgenden Zugriffsarten auf Verzeichnisse bzw. Dateien unterschieden:

  • Lesezugriff (READ): Datei lesen, Bild anschauen, Ton hören …
  • Schreibzugriff (WRITE): Text schreiben, Bild erstellen …
  • Ausführender Zugriff (EXECUTE): (=Ausführrechte für ein Programm wie z.B. word.exe oder ein Batchfile)

Wobei diese drei Benutzerkreise existieren:

  • Benutzer (=Owner, Eigentümer der Datei/Verzeichnis)
  • Gruppe (=Group, Eigentümergruppe der Datei/Verzeichnis)
  • Rest der Welt/Die anderen (=Others)

Nachteil dieses Systems: Es kann nur eine Person oder Gruppe Eigentümer sein. Alle anderen gelten als «Others» oder «Rest der Welt». (Dieser Nachteil wird übrigens mit ACL behoben.)

Ein Verzeichnis ist auch eine Datei: Das Leserecht auf ein Verzeichnis bedeutet, dass man berechtigt ist, den Verzeichnis-Inhalt zu lesen bzw. aufzulisten. Schreibrechte auf einem Verzeichnis wiederum, dass man am Verzeichnis Änderungen vornehmen darf, wie z.B. darin eine neue Datei/Verzeichnis erstellen, eines umbenennen oder gar löschen.
Um Berechtigungen mit chmod, chown oder chgrp zu ändern, muss man am Verzeichnis, in dem sich das File befindet, die entsprechenden Rechte besitzen.

So ändert man die Benutzerrechte mit dem UNIX-Befehl «chmod»:
Die Berechtigung wird mit 9 Bit, aufgeteilt in 3-er Gruppen angegeben. Die erste Gruppe bezieht sich auf den Owner, die zweite auf die Gruppe und die dritte auf Others.

Beispiele:

  • chmod 664 myfile.txt bedeutet: Owner:rw, Group:rw, Other:r
  • chmod 755 myfile.txt bedeutet: Owner:rwx, Group:rx, Other:rx

Alternative Variante für die Vergabe von Rechten:
Als Beispiel soll myfile.txt folgende Berechtigungen erhalten: Owner=rwx, Group=rx, Other=none
Und die entsprechenden drei nacheinander ausgeführten Befehle lauten:

  1. chmod u=rwx myfile.txt
  2. chmod g=rx myfile.txt
  3. chmod o= myfile.txt

So ändert man den Besitzer: chown <neuerOwnerName> <FileName>
Beispiel: chown felix /home/felix

So ändert man die Gruppe: chgrp <neuerGroupName> <FileName>
Beispiel: chgrp users /home/felix

Die Erweiterung ACL (Access Control List)
Im Unterschied zu einfachen Zugriffsrechten sind ACL’s feiner einstellbar. So können einer Datei für mehrere Benutzer und Gruppen unterschiedliche Rechte vergeben werden, während reguläre Zugriffsrechte nur die Rechtevergabe für einen Benutzer, eine Gruppe und den „Rest der Welt“ zulassen.


2. Sicherheitseinstellungen bei Microsoft-Windows

Obwohl auf Dateien und Ordner nur lesend, schreibend oder ausführend zugegriffen werden kann, wird in Microsoft noch etwas detaillierter unterschieden. Und zwar in der beschränkten bzw. erweiterten Sicherheitseinstellungen. Ausserdem wird jeder Datei und Verzeichnis ein Zugriffskontrolldeskriptor zugeordnet, der eine ACL enthalten kann.

Um Berechtigungen anzupassen bzw. zu ergänzen, muss zuerst die Vererbung unterbrochen bzw. deaktiviert werden.

2.1 Die beschränkte Sicherheitseinstellung bei Microsoft-Windows

  • Lesen: Nur Leserechte. Dateiausführung & Verzeichnisdurchsuchung nicht erlaubt.
  • Schreiben: Nur schreibender Zugriff. Dateiausführung & Verzeichnisdurchsuchung nicht erlaubt. Setzen von Datei/Verzeichnis-Attributen erlaubt. Nur Leserechte auf Berechtigungen von Dateien/Verzeichnissen.
  • Lesen, Ausführen: Objektänderungen (inkl. untergeordneten) nicht erlaubt. Leserecht für alle Attribute & Inhalte.
  • Ordnerinhalt auflisten: Auf Verzeichnisse bezogen: Gleich wie „Lesen, Ausführen“. Lesen/Durchsuchen von Verzeichnis & Unterverzeichnissen. Lesen von Objekt-Attributen.
  • Ändern: Änderungen & Löschen des Objekts Ändern der Berechtigungen & Besitzübernahme nicht erlaubt Kein Löschen von untergeordneten Objekten. Leserecht auf alle Objektoptionen.
  • Vollzugriff: Alle Rechte auf Objekt und untergeordnetem Objekte. Lesen/Schreiben/Löschen/Modifizieren/Besitzübernahme

2.2 Die erweiterten Sicherheitseinstellungen bei Microsoft Windows

2.3 Zulassen oder Verweigern?

Windows bietet für das Setzen der Zugriffsberechtigung zwei Möglichkeiten:

  • «Zulassen» bedeutet, das darf dieser Benutzer tun
  • «Verweigern» bedeutet, das darf dieser Benutzer nicht tun

«Verweigern» hat höhere Priorität als «Zulassen». Ist ein Benutzer Mitglied von zwei unterschiedlichen Gruppen, von der die eine zugelassenen Zugriff auf eine Datei hat und die andere verweigerten Zugriff, hat dieser Benutzer im Endeffekt keinen Zugriff auf diese Datei. Darum im Normalfall auf die Option «Verweigern» verzichten. Wenn die Zugriffsberechtigung nicht zugelassen wird, d.h. kein Häckchen bei «Zulassen» gesetzt ist, wird dieses Zugriffsrecht auch nicht gewährt. Es braucht dazu kein spezielles «Verweigern».


2.4 Microsoft-Windows Zugriffsrechte in der Praxis

Zugriffsrechte unter WIN: Die Zugriffsrechte unter MS-WINDOWS findet man in den «Dateieigenschaften» unter der Rubrik «Sicherheit».

Vererbung von Zugriffsrechten: Berechtigungen werden standardmässig an die untere Hierarchieebene vererbt. Das heisst, dass im Unterverzeichnis dieselben Zugriffsrechte gelten, wie im Übergeordneten. Will man diese Vererbungskette aufbrechen, muss man bei WINDOWS in den erweiterten Sicherheitseinstellungen die «Vererbbaren Berechtigungen des übergeordneten Objekts» ausschliessen. Danach hat man die Möglichkeit, die übergeordneten Berechtigungen zu kopieren oder zu entfernen.

Freigabe: Externen Benutzern können sie Verzeichnisse über die Dateifreigabe zur Verfügung stellen. Dazu müssen sie die Eigenschaften des Verzeichnis aufrufen und in den Freigaben die «Erweiterte Freigabe» wählen. Danach geben sie diesen Ordner frei, indem sie einen geeigneten Freigabenamen wählen und die Berechtigungen vergeben. In unserem Fall ist es OK, wenn sie dem Benutzer «Jeder» Lesen und Ändern erlauben. Nun kann zwar jeder Benutzer, der auf dem System eingetragen ist, die Freigabe wählen, aber nur derjenige Benutzer, der auch die entsprechenden Zugriffsrechte hat, kann weiteres tun. (Zugriffsrechte siehe Dateieigenschaften-Sicherheit)

UNC-Pfad: UNC-Pfad bedeutet Unified Naming Convention Pfad und ist ein Standard zur Bezeichnung von Netzwerkadressen in der Form:

  • \\Hostname\Freigabename
  • \\IP-Adresse\Freigabename
  • \\FQDN\Freigabename

FQDN = Full Qualified Domain Name wie z.B. pc01.tbz.local. Der Domainname muss aber von einem DNS-Server aufgelöst werden können.
Der UNC-Pfad wird z.B. beim Verbinden von Netzlaufwerken angegeben.

Freigabe nutzen: Windows-Explorer öffnen (Windows-Taste und «E»-Taste) und in der Adresszeile den UNC-Pfad der Freigabe eingeben. Anschliessend muss man sich gegenüber dem dateifreigebenden System mit einem dortigen lokalen User authentifizieren.

Netzlaufwerk verbinden / Freigabe einbinden: Windows-Explorer öffnen (Windows-Taste und «E»-Taste) und im Menubereich «Netzlaufwerk verbinden» wählen. Damit können sie dem freigegebenen Netzwerkordner einen Laufwerksbuchstaben zuweisen. Wenn die entsprechende Checkbox angewählt ist, wird die Verbindung bei erneuter Anmeldung sogar wiederhergestellt. Wenn eine Netzlaufwerkverbindung zum ersten Mal erstellt wird, muss man sich gegenüber dem dateifreigebenden System mit einem dortigen lokalen User authentifizieren. (Wir erinnern uns: In Modul 117 wird nur die lokale Benutzerverwaltung thematisiert. Im späteren Modul 159 werden zentrale Verwaltungskonzepte sog. Directory Services bzw. Windows Aktiv Directory behandelt.)

Umstellen des Anmeldefensters: Sobald mehrere Benutzer im System erfasst sind, wird das Standardverfahren beim Einloggen etwas mühsam. Unter Standardverfahren ist gemeint, dass die Benutzer als Benutzersymbole im Anmeldefenster angezeigt werden. In den Sicherheitseinstellungen (secpol.msc) kann unter

  • Sicherheitseinstellungen / Lokale Richtlinien / Sicherheitsoptionen / Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen AKTIVIEREN

das Anmeldefenster dahin geändert werden, dass anstelle der Benutzersymbole nun eine Eingabezeile «Benutzername» angezeigt wird.


3. Benutzer und Berechtigungskonzept erstellen

Gemäss IPERKA soll vor der Realisierung des Vorhabens dieses gemäss dem Pflichtenheft exakt geplant werden:

  • Welche Personen erhalten einen Zugang zum System?
  • Welche Gruppen sollen erstellt werden?
  • Welche Benutzer gehören in welche Gruppen? (Benutzer können mehreren Gruppen angehören)
  • Namenskonzept für Benutzernamen und Gruppennamen (Max. Anzahl Charakters, Umlaute, Spezialzeichen, Vorgehen bei Namensvettern etc.)
  • Organisation und Bennenung der Dateiablagen
  • Wer hat auf welche Dateien und Verzeichnisse welche Zugriffsrechte
  • Wer soll von ausserhalb welche Ressourcen nutzen dürfen? (Dateifreigaben und Druckerfreigaben)

Beispiel: Benutzer- und Gruppenmatrix

Beispiel: Verzeichnis- und Berechtigungsmatrix

Teil-B: «SERVERDIENSTE»

4. DHCP

Im folgenden wird von einem DHCP-Server gesprochen. Gemeint ist damit die Server-HW, auf der ein DHCP-Dienst läuft.

DHCP bedeutet Dynamic Host Configuration Protocol.

Warum DHCP?

Ein PC benötigt neben seinem Hostname in einem IPv4-Netzwerk folgende Angaben:

  • Eine im Netzwerk einmalige IP-Adresse
  • Subnetzmaske
  • Router (Standard- oder Default-Gateway)
  • DNS-Server
Um den IP-Adress-Verwaltungsaufwand, damit ist u.a. die Inbetriebnahme von Neugeräten und Ressourcenfreigabe von Altgeräten gemeint, in Grenzen zu halten und Netzwerkfehler wegen IP-Adress-Doppelvergabe zu vermeiden, kann eine Art «IP-Adress-Verleihsystem», einen sogenannten DHCP-Server, installiert werden.

  • Statische Variante → Netzwerkeinstellungen lokal am Host: Die Netzwerkparameter werden trotz eines allfällig vorhandenen DHCP-Servers am jeweiligen Gerät unter den Netzwerkeigenschaften eingegeben. Empfohlen ist dies bei Servern, Druckern und Routern, damit sie immer unter derselben IP und unabhängig von einem DHCP-Server erreichbar sind. Einstellung in den Client-Netzwerkeigenschaften: Adressen von Hand eingeben.
  • Statische Variante → Netzwerkparameter via DHCP: Der Client verlangt beim DHCP-Server nach «seiner» exklusiv für ihn reservierten IP-Adresse. Der DHCP-Server erkennt den Client anhand seiner MAC-Adresse und liefert ihm die gewünschte IP-Adresse. Einstellung in den Client-Netzwerkeigenschaften: Adressen automatisch beziehen.
  • Dynamische Variante → Netzwerkparameter via DHCP: Die IP-Adresse und weitere Parameter werden von einem DHCP-Server geliefert. Der DHCP-Server liefert aus seinem IP-Adresspool eine zurzeit freie bzw. nicht benutzte IP-Adresse. Empfohlen bei PC’s und Portables. Einstellung in den Client-Netzwerkeigenschaften: Adressen automatisch beziehen.
Hinweis: Setzt man einen DHCP-Server ein, sollte man «seinen» Usern dringend nahelegen, dass sie die Finger von den lokalen Netzwerkeigenschaften lassen. Die Host’s beziehen die Netzwerkparameter automatisch, d.h. von «meinem» DHCP-Server und es wird nicht von Hand daran herumgebastelt. Ausser der DHCP-Server hat in seinen DHCP-Einstellungen einen IP-Adress-Ausschlussbereich, der von den Usern für Experimente genutzt werden kann.


4.1 DHCP Nachrichten

Der PC/Notebook, bei dem in den Netzwerkeigenschaften "Adressen automatisch beziehen" eingestellt ist, muss zuerst mit einem DHCP-Server kontakt aufnehmen. Der darauf folgende Ablauf besteht dann aus folgenden Nachrichten:

  • DHCP-DISCOVER: Ein Client ohne IP-Adresse sendet eine Broadcast-Anfrage nach Adress-Angeboten an alle DHCP-Server im lokalen Netz
  • DHCP-OFFER: Die DHCP-Server antworten mit entsprechenden Werten auf eine DHCPDISCOVER-Anfrage
  • DHCP-REQUEST: Der Client fordert eine der angebotenen IP-Adressen, weitere Daten sowie Verlängerung der Lease-Zeit von einem der antwortenden DHCP-Server
  • DHCP-ACK: Bestätigung des DHCP-Servers zu einer DHCP-REQUEST-Anforderung oder die Übermittlung von Konfigurationsparametern, die vorher durch DHCP-INFORM vom Client angefordert wurden
  • DHCP-NAK: Ablehnung einer DHCPREQUEST-Anforderung durch den DHCP-Server
  • DHCP-DECLINE: Ablehnung durch den Client, da der Client mit einem ARP-Request herausgefunden hat, dass die IP-Adresse schon verwendet wird
  • DHCP-RELEASE: Der Client gibt die eigene Konfiguration (IP-Adresse) frei, damit die Parameter wieder für andere Clients zur Verfügung stehen
  • DHCP-INFORM: Anfrage eines Clients nach weiteren Konfigurationsparametern, z. B. weil der Client eine statische IP-Adresse besitzt

4.2 Der DHCP-Ablauf im Überblick

4.3 Der DHCP-Ablauf anhand eines konkreten Zahlenbeispiels

4.4 APIPA / Zero-Conf

Sollte wegen Netzwerkunterbruch oder Server-Down kein DHCP-Server verfügbar sein , kommt beim WIN-Client APIPA (Automatic Private IP Adressing) zum Zug. Auch unter dem Namen Zero-Conf bekannt.
IPv4-APIPA-Bereich: 169.254.x.y; Subnetmask: 255.255.0.0

DHCP ist eine Erweiterung des Bootstrap-Protokolls (BOOTP), das für Arbeitsplatz-Computer ohne eigene Festplatte (Diskless-Workstation) notwendig war, wo sich der Computer beim Startvorgang zunächst vom BOOTP-Server eine IP-Adresse zuweisen liess, um danach das Betriebssystem aus dem Netzwerk zu laden. DHCP ist weitgehend kompatibel zu BOOTP und kann entsprechend mit BOOTP-Clients und -Servern (eingeschränkt) zusammenarbeiten.


5. DNS

Im folgenden wird von einem DNS-Server gesprochen. Gemeint ist damit die Server-HW, auf der ein DNS-Dienst läuft.
DNS bedeutet Domain Name System. Der DNS-Dienst ist für die Namensauflüsung von einem Domänennamen (FQDN, URL) zu der entsprechenden IP-Adresse (oder umgekehrt) zuständig.

5.1 Die Webanfrage richtig adressieren

Eine Webseite über die IP-Adresse des Webservers aufzurufen, ist wenig konfortabel. Besser wäre es, wenn dies über einen einprägsamen Namen erledigt werden könnte. Unumstösslich jedenfalls ist, dass das Internet-Protokoll ausschliesslich mit der IP-Adresse zurecht kommt. Im folgenden wird gezeigt, wie ein Webseitenaufruf ablaufen kann:

  1. Kommunikation über das Netzwerk (Bild 1):
    • Der IP-Header benötigt zur Adressierung des Webserver-Anfragepakets nicht den Server-Hostname sondern seine IP-Adresse
    • Die IP-Adresse ist aber wenig einprägsam
  2. Die lokale Host-Tabelle (Bild 2):
    • Die Problematik ist, ein praktikables Namenskonzept für weltweit ca. ¼ Milliarden Webserver zu erstellen
    • Weiter gilt es, sämtliche lokalen Host-Dateien aktuell zu halten
  3. Die Lösung für das Namenskonzept (Bild 3):
    • Hierarchisches Namenskonzept: www.Secondlevel-Domain.Toplevel-Domain
    • Aber als Nachteil immer noch die dezentrale bzw. lokale Namensauflösung
  4. Eine zentrale Namensauflösung (Bild 4):
    • Die Namensauflösung erfolgt über zentrale Systeme, sogenannte DNS-Server
    • Bessere Wartbarkeit als bei lokaler Lösung
  5. DNS-Domänennamespace (Bild 5): Die hierarchische Struktur bzw. Organisation des Namenraums

5.2 Die Domäne oder Domain

Eine Domain ist ein zusammenhängender Teilbereich des hierarchischen Domain Name System (DNS). Im Domain-Vergabeverfahren ist es ein im Internet weltweit einmaliger und eindeutiger und unter gewissen Regeln frei wählbarer Name unterhalb einer Top-Level-Domain. Die exakten Regeln für die Namensvergabe legt die Vergabestelle (NIC = Network Information Center) der jeweiligen Top-Level-Domain fest. Eine Domain kann beliebig in durch Punkte getrennte Subdomains unterteilt werden. Mit jedem so gebildeten voll qualifizierten Domain-Namen (FQDN = Fully Qualified Domain Name) kann ein beliebiges physisches oder virtuelles Objekt weltweit eindeutig adressiert werden. Die Verbindung zwischen dem FQDN und dem tatsächlichen Aufenthaltsort des Objektes wird über Einträge in Nameservern hergestellt, die letztlich auf die IP-Adresse eines Servers verweisen.

5.3 Top-Level-Domain

TLD (Top-Level-Domain bezeichnet den letzten Abschnitt (rechts vom Punkt) einer Domain im Internet und stellt die höchste Ebene der Namensauflösung dar. Ist der vollständige Domain-Name eines Rechners beziehungsweise einer Website beispielsweise www.juergarnold.ch, so entspricht das rechte Glied (.ch) der Top-Level-Domain dieses Namens. TLDs werden von der IANA in Gruppen unterteilt:

  • Allgemeine TLDs: generic TLDs (gTLDs), unterteilt in sponsored TLDs (sTLDs) und unsponsored TLDs (uTLDs)
  • Länderspezifische TLDs: country-code TLDs oder ccTLDs

5.4. Subdomain

Als Subdomain bezeichnet man eine Domain, welche in der Hierarchie unterhalb einer anderen liegt.

  • Die Subdomain unterhalb der Top-Level-Domain nennt man Second-Level-Domain.
  • Normalerweise meint man mit Subdomain Domains in der dritten oder einer weiteren Ebene.
  • Zur logischen und physischen Trennung von Diensten innerhalb der Domain einer Organisation werden üblicheweise Sub-Domains verwendet (z.B. Webserver = www.abc.ch / Mailserver = mail.abc.ch). Ein Webserver kann genau so gut auf einem Computer mit dem Domainnamen web.abc.ch oder abc.ch betrieben werden.

5.5. Fully Qualified Domain Name

Der vollständige Name einer Domain wird als FQDN (Fully Qualified Domain Name) bezeichnet und ist eine absolute Adresse:

Hostname . Secondlevel-Domain . Toplevel-Domain . Root-Label (z.B. www.sbb.ch.)
Hostname . Subdomain . Secondlevel-Domain . Toplevel-Domain . Root-Label (z.B. ftp.shop.muster-gmbh.com. oder server01.verwaltung.mustergmbh.local.)

Das Root-Label bleibt allerdings immer leer, so dass der FQDN mit dem Punkt abschliesst. Bei Adresseingaben in Browsern wird daher auf den Punkt verzichtet. Allerdings wäre es dann, genau genommen, keine absolute Adresse mehr, sondern eine relative. Bei der Angabe in Resource Records auf Nameservern muss zwingend der volle Name mit Punkt angegeben werden.

5.6 URL

Eine URL (Uniform Resource Locator) identifiziert und lokalisiert eine Ressource (z.B. Webseite, FTP-Server etc.) über die zu verwendende Zugriffsmethode/Protokoll (z.B. HTTP, FTP) und den Ort in Computernetzwerken.

Schema://Host:Port/Pfad?Query#Fragment
https://www.beispiel.ch:443/index.html?p1=A&p2=B#htmltextmarke1

5.7 DNS-Zonen

  • Zone = Teil des Domänenbaums, für den ein Nameserver zuständig ist.
  • Eine Zone besteht aus Resource-Records, die in einer Zonendatei gespeichert sind.
    Bsp.: A-Resource Record = IPv4 Adresse eines Hosts.
  • Eine Zone kann eine gesamte Domain umfassen. Normalerweise werden Subdomänen aber durch eigene Zonen repräsentiert.

5.8 Unterschied zwischen Domain und Zone

  • Eine Domain umfasst den gesamten untergeordneten DNS-Namensraum.
  • Eine Domäne kann in mehrere Zonen aufgeteilt werden, indem man die Zuständigkeit für Subdomains delegiert.
  • Von einer Zone spricht man auch, wenn man die physische Realisierung meint.
    (Auf welchem Server und in welcher Zonendatei die DNS-Einträge liegen)

5.9 Resource Record (RR)

Ein Resource Record (RR) ist die grundlegende Informationseinheit im Domain Name System. Er tritt in ASCII-Darstellung in Zonendateien oder in komprimierter Form in DNS-Transport-Paketen oder DNS-Caches auf.

RR-Format in Zonendateien

NAME [TTL] [CLASS] TYPE [RDLENGTH] RDATA
[..] → Optional
CLASS → Meistens IN (Internet)

  • NAME: Domänenname
  • TTL: Gültigkeitsdauer in Sekunden
  • CLASS: Protokollgruppe
  • TYPE: Typ
  • RDLENGTH: Länge von Resource Data (MX-Records → Priorität bei mehreren Mailservern)
  • RDATA: Resource Data (z.B. IP-Adresse, Hostname)

Einige RR-Typen

  • A: IPv4 Adressrecord (Forward Mapping: Name→IP)
  • AAAA: IPv6 Adressrecord (Forward Mapping: Name→IP)
  • PTR: Pointer (Reverse Mapping/Lookup: IP→Name)
  • CNAME: Canonical Name, verbindet Domain mit einer anderen Domain
  • DNAME: Delegation Name, Alias
  • MX: Mail eXchange
  • NS: Name Server (keine IP-Adresse erlaubt → Adress-Record erstellen oder Nameserver eintragen, von dem DNS-Einträge übernommen werden sollen)
    In jedem Zonenfile muss mindestens ein NS-RR vorhanden sein, der angibt, welcher Nameserver für diese Zone autoritativ ist.
  • SOA: Start of (a zone of) Authority → Verbindliche Informationen über DNS-Zone
  • TXT: Text (Kommentar)

Beispiele

test.abc.com             1800   IN   A          222.1.2.3               # Hosteintrag
3.2.1.222.in-addr.arpa.  1800   IN   PTR        test.abc.com.           # Reverse Hosteintrag
www.abc.com              1800   IN   A          222.1.2.4               # Webserver
www.abc.ch               1800   IN   CNAME      www.abc.com             # Alias, Verweis
abc.com                  1800   IN   MX    10   mail1.abc.com.          # Mail1: 1. Priorität und Lastausgleich mit mail2.abc.com
abc.com                  1800   IN   MX    10   mail2.abc.com.          # Mail2: 1. Priorität und Lastausgleich mit mail1.abc.com
abc.com                  1800   IN   MX    50   mail3.abc.com.          # Mail3: 2. Priorität → Backup
                                IN   TXT        "MailTo: user@abc.com"  # Mögliche E-Mailadresse (TXT=Kommentar)
abc.com                  1800   IN   NS         dns1.abc.com            # Primärer/Sekundärer autoritativer Nameserver
abc.com                  1800   IN   NS         dns2.abc.com            # Primärer/Sekundärer autoritativer Nameserver
                                IN   TXT        "Prim.DNS→SOA"          # Primärer Nameserver siehe SOA
abc.com                  1800   IN   NS         dns.xyz.com             # Autoritativer externer Nameserver
zone.abc.com             1800   IN   NS         dns.zone.abc.com        # Zonendelegation → Verweis auf Nameserver in Subdomäne
zone.abc.com             1800   IN   A          222.1.4.5               # Hosteintrag (Glue-Record/Zonendelegation)

Glue Record

Ein Glue-Record ist eine IP-Adresse auf einen Nameserver, welche bei der Domain-Registry zusätzlich hinterlegt wird.
Ein Glue-Record wird benötigt, wenn man einen Nameserver für eine Domain definieren möchte, welcher eine Subdomain unter der Domain selber verwendet. Wenn man z.B. den Nameserver der Domain example.com auf ns1.example.com und ns2.example.com setzen will, benötigt man die Glue-Records (IP-Adressen) für ns1.example.com und ns2.example.com um diese bei der Registrierungsstelle von .com zu hinterlegen.
Wenn als Nameserver Hostnamen aus einer anderen Domain angegeben werden, werden keine Glue-Records benötigt. Wenn man also für die Domain example.com die Nameserver von xyz verwenden (ns.xyz.com, ns2.xyz.com), wird kein Glue-Record für example.com benötigt, da die Nameserver unter einer anderen Domain zu finden sind.

5.10 Die Forward- und Reverse-Lookup-Abfrage

  • Forward-Lookup-Abfrage: Hostname > IP-Adresse (Zu Name Telefon-Nr. suchen)
  • Reverse-Lookup-Abfrage: IP-Adresse > Hostname (Zu Telefon-Nr. Name suchen)

Der Zweck von Forward-DNS ist klar. Aber warum Reverse-DNS?

  • Bei Traceroutes werden nicht nur IP-Adressen, sondern eben auch verständliche Hostnamen angezeigt. Die Fehlerdiagnose fällt wesentlich leichter.
  • Viele Mailserver akzeptieren eingehende Mails nur dann, wenn die IP-Adresse des Senders über einen Reverse-DNS-Eintrag verfügt.
  • In SPF-Tags (Sender Policy Framework → Technik zur Vermeidung von Spam-/Virenmails mit gefälschten Absendern) können Reverse-DNS-Einträge berücksichtigt werden.

5.11 Autoritative, rekursive und iterative DNS-Serverabfrage

  • Autoritativ bedeutet: Der Server holt die Daten aus einer lokalen Zonendatei.
  • Rekursiv bedeutet: Der Server holt die Daten von einem anderen Nameserver.
  • Iterativ bedeutet: Der Server antwortet mit einem oder mehreren Verweisen oder einem Resource Record auf andere Nameserver.
    Anders als bei der rekursiven Variante, wo die Anfrage an einen anderen Nameserver weitergereicht wird, fragt sich der Nameserver selber durch, beginnend bei einem Root-Nameserver. Derzeit existieren 13 Root-Nameserver (z.B. a.root-servers.net, b.root-servers.net usw.)

5.12 Namensauflösung aus einem Intranet heraus

Für die Namensauflösung von internen Host’s (Servern/Druckern etc.) und externen Hosts (Internet, Webserver, FTP etc.) ist derselbe DNS-Server zuständig. (Siehe Bild oben) Dieser kann bei DNS-Anfragen für externe Host’s – wie bereits ausführlich beschrieben – rekursiv oder iterativ arbeiten. Pro Gerät/PC lässt sich in den Netzwerkeinstellungen nur ein DNS-Server konfigurieren. (Inklusive einem zweiten, identischen als Redundanz)

Ein DNS-Dienst mit Einträgen von internen Maschinen ist in grösseren Firmen ein Thema, wo z.B. Drucker oder Server über die FQDN wie z.B. server01.farbruck.local. angesprochen werden sollen, um bei allfälligen IP-Adresswechseln dieser Geräte den Administrationsaufwand auf das Aktualisieren der geänderten IP-Adresse im DNS-Server zu beschränken. In privaten und kleinen internen Netzen ist dies meist nicht nötig, so dass der DNS-Dienst, der meist im xDSL-Zugansgerät zu finden ist, nur externe Adressen auflösen muss und somit auf eine einfache Weiterleitung der DNS-Anfrage an z.B. den DNS-Server des Providers eingeschränkt wird.

5.13 Dynamische DNS-Server-Updates

  • DHCP bzw. dynamische IP-Adressierung erfordert, dass die DNS-Einträge regelmässig aktualisiert werden müssen.
  • DHCP-Dienst informiert DNS-Server über dynamisch neu zugewiesene IP-Adresse und entsprechendem Hostname.
    Z.B. 10.0.0.2 = CAU-IT-056-01
    DNS ergänzt/modifiziert selbständig den DNS-A-Host-Eintrag.
    Z.B. 10.0.0.2 = CAU-IT-056-01.tbz.local

5.14 Wo findet man die Hostdatei?

  • UNIX/LINUX: /etc/hosts
  • WIN: c:\Windows\System32\drivers\etc\hosts

5.15 DNS Tools

  • DNS-Konsole in WIN-Server-Verwaltung
  • DNS-Serverprotokoll in WIN-Server-Ereignisanzeige
  • nslookup
    Beispiele:
    nslookup DNS-Server-IP-Adresse
    nslookup DNS-Server-Hostname myServer
    nslookup farbdruck.local
    nslookup farbdruck.ch
    nslookup myServer.farbdruck.local
    nslookup myServer.farbdruck.ch
    dnscmd (WIN-Kommando)
  • ipconfig (WIN-Kommando) / ifconfig (UNIX-Kommando)
    Beispiele:
    ipconfig /displaydns (Zeigt den lokalen DNS-Resolver-Cache an)
    ipconfig /flushdns (Löscht den lokalen DNS-Resolver-Cache)
    ipconfig /registerdns (Erneuert den DHCP-Lease und registriert den DNS Name neu)

Ergänzung zu nslookup:
Wenn sie auf der Konsole nur nslookup «ENTER» eingeben, arbeiten sie im interaktiven Modus von nslookup und werden ohne Parameter mit dem in den Netzwerkeinstellungen eingetragenen DNS-Server verbunden. Sie können dann alle obigen nslookup-Kommandos ohne nslookup eingeben. Mit der Eingabe nslookup -server können sie sich mit ihrem Wunsch-DNS-Server verbinden. Allerdings werden ihnen nicht alle Antwort geben.

5.16 Alternativen zur DNS-Namensauflösung

  • WINS (Windows Internet Name Service): Ähnlich NetBIOS Name Service ist eine Microsoft-Implementation von NetBIOS over TCP/IP für LAN’s und dient wie DNS der zentralen Namensauflösung – Im Gegensatz zu DNS aber ohne Hierarchien. Ausser bei Altlasten empfiehlt sogar Microsoft, DNS dem WINS vorzuziehen
  • NetBEUI ist Bestandteil des Microsoft-Protocol-Stack und auf der Vermittlungsschicht (Ebene 3) des OSI-Schichtenmodells angesiedelt, von wo aus es mit dem NetBIOS (Darstellungsschicht) beziehungsweise mit dem LLC (Sicherungsschicht) kommuniziert – NetBEUI bildet zusammen mit NetBIOS den Microsoft-Protocol-Stack, der in heutigen Netzwerken üblicherweise durch den IP-Protocol-Stack ersetzt wurde
  • UPnP (Universal Plug and Play) dient zur herstellerübergreifenden Ansteuerung von Geräten über ein IP-basiertes Netzwerk, wurde ursprünglich von Microsoft eingeführt und ermöglicht unter anderem, dass sich verschiedene Geräte ohne Interaktion des Benutzers finden
  • PNRP (Peer Name Resolution Protocol) ist ein Netzwerkprotokoll zur Namensauflösung nach dem Peer-to-Peer-Modell und soll die Veröffentlichung von Namen und deren Auflösung in Adressen ohne Server ermöglichen, wie sie im Domain Name System notwendig sind – Das Protokoll wurde von Microsoft entwickelt
  • LLTD (Link Layer Topology Discovery) Verbindungsschicht-Topologieerkennung - ist ein Microsoft-Windows-Netzwerkprotokoll, welches eingesetzt wird, um die Topologie eines Netzwerkes zu erfassen und darzustellen sowie auch zur Analyse der Dienstgüte (QoS)

Fazit: In gewissen Situationen (vor allem bei WIN-PC’s, Stichwort Arbeitsgruppe) werden ihnen fremde Rechner bzw. Hostnamen angezeigt, von denen sie in Ermangelung eines DNS-Serves eigentlich nichts wissen sollten. Dies ist auf die obengenannten alternativen Verfahren zurückzuführen.

5.17 Verbindungsspezifisches DNS-Suffix

(Betrifft WIN-PC’s, die nicht über ActiveDirectory an eine Domäne angeschlossen sind)

Falls ein Datenserver mit dem Hostnamen «abc» auf dem DNS-Server der Domäne «xyz.local» eingetragen ist, wird ihnen die DNS-Anfrage auf ihrem PC «nslookup abc.xyz.local» die IP-Adresse des Servers zurück liefern. Die verkürzte Abfrage «nslookup abc» wird allerdings nicht zum Ziel führen, es sei den, auf ihrem PC ist das verbindungsspezifisches DNS-Suffix gesetzt, dass da lautet: «xyz.local». Somit wird ihre nslookup-Abfrage «nslookup abc» automatisch zu «nslookup abc.xyz.local» ergänzt.

Das verbindungsspezifisches DNS-Suffix kann man in den Eigenschaften der Netzwerkkarte (ncpa.cpl) unter Eigenschaften von Internetprotokoll im Reiter Erweitert, dann DNS eintragen.

( Das primäre DNS-Suffix spielt nur bei einer Anmeldung an einer Domäne eine Rolle. Bei der Anmeldung an einer Domäne wird automatisch der Name der Domäne als primärer DNS-Suffix auf dem anmeldenden Rechner eingetragen und kann normalerweise vom Benutzer auch nicht geändert werden. Gleichzeitig wird der vollqualifizierte Domänenname (FQDN) am DNS-Server eingetragen. Das primäre DNS-Suffix des Computers findet man in den Systemeigenschaften (sysdm.cpl) unter dem Reiter Ändern, danach Weitere… im Fenster DNS-Suffix und NetBIOS-Computername )

5.18 DNS-Sicherheitsrisiken

  • Dienstverweigerungsangriff (Denial-of-Service). Verfügbarkeit des Netzwerkdienstes unterbinden durch überfluten des DNS-Servers mit rekursiven Anfragen.
  • Umleitung: DNS-Abfragen an von Angreifer gesteuerten Server umleiten, indem man den DNS-Cache eines DNS-Servers mit fehlerhaften DNS-Daten füllt. Ermöglicht durch Schreibzugriff auf DNS-Daten z.B. bei unsicheren dynamischen Updates
  • Gefahr, von einem «gefakten» DHCP-Server eine falsche DNS-Serveradresse geliefert zu bekommen

6. Dateiserver

Dateiserver oder Fileserver. Das Betreiben eines mit Zugriffsrechten geschützten Dateiservers ist erst dann sinnvoll, wenn die Benutzerverwaltung mit einem Verzeichnisdienst (Directory Services) zentral erfolgt. Bei Microsoft ist dieser Dienst unter dem Begriff ActiveDirectory bekannt.

Sobald man bei einem Rechner Dateifreigaben erstellt, kann man von einem Dateiserver oder Fileserver sprechen. Bei Microsoft Windows liegt die Einschränkung bei der Anzahl Verbindungen, die ein ressourcenfreigebender Rechner (WIN-PC ca. 20) eingehen darf. Bei WIN-Serverbetriebssystemen hängt es von der Version ab: Essential (ca. 50PC’s) < Standard (gemäss CAL’s) < Datacenter (gemäss CAL’s) CAL=Client Access License oder Zugriffslizenz

6.1 Zugriffsrechte

Die Zugriffrechte bzw. Benutzerrechte wurde auf dieser Seite schon in einem früheren Abschnitt besprochen. Hier nochmals das Wichtigste in Kürze:

  • Zugriffsrechte in UNIX: Unix als klassisches Mehrbenutzerbetriebssystem verfügt seit der ersten Version (1974) über Dateirechte und unterscheidet drei Benutzerklassen Inhaber (User), Gruppe (Group) und «alle anderen» (Others). Für jede Datei und jeden Ordner kann für jede dieser Klassen die Rechte Lesen (Read), Schreiben (Write) und Ausführen (eXecute) unabhängig voneinander zugewiesen werden. Neben diesen Dateirechten gibt es zudem noch die drei erweiterten Dateirechtbits Set user identity, Set group identity sowie das Sticky Bit.
    Unix-Befehle:
    chmod für das Ändern der Zugriffsrechte rwx
    chown für das Ändern des Besitzers
    chgrp für das Ändern der Besitzergruppe
    In der Unix-Welt versteht man unter ACL (Access Control List) eine Erweiterung der klassischen Zugriffssteuerung auf Ebene des Besitzer-Gruppe-Welt-Modells. Auf diese Weise lassen sich Zugriffsrechte spezifisch für einzelne Benutzer zuteilen oder verbieten.
  • Zugriffsrechte in Microsoft-Windows. Unter Windows steht dank Benutzung des NTFS-Dateisystems die Möglichkeit zur Verfügung, erweiterte Datei-Zugriffsrechte zu benutzen. Jedem Betriebssystemobjekt (Datei, Prozess etc.) wird ein Zugriffskontrolldeskriptor zugeordnet, der eine ACL enthalten kann. Ist keine ACL vorhanden, so erhält jeder Benutzer Vollzugriff auf das Objekt. Ist die ACL vorhanden, aber leer, so erhält kein Benutzer Zugriff.
    ACL’s werden defaultmässig vererbt. Die Vererbung kann aber auch ausgeschaltet werden. Wird die ACL eines übergeordneten Verzeichnisses geändert, so hat dies je nach gewählter Vererbung Auswirkungen auf die darunterliegende Verzeichnisstruktur.
    (Weiterführendes findet man unter den Begriffen ACL - Beschränkte und erweiterte Sicherheitseinstellungen unter Windows)

6.2 Neuer Harddisk in Betrieb nehmen (WIN)

Ausser bei Hot-Swap fähigen RAID-Systemen muss ein HD-Tausch oder HD-Erweiterung bei ausgeschaltetem Rechner erfolgen. Nach dem Booten des Rechners werden folgende Schritte in der Computerverwaltung unter Datenträgerverwaltung (Konsolenaufruf diskmgmt.msc) nötig:

  • Datenträger initialisieren
  • Auf Datenträger neue Partition erstellen
  • Festlegen ob primäre oder erweiterte Partition
  • Partitionsgrösse in MB angeben
  • Laufwerksbuchstabe zuweisen oder leeren Ordner als «Mountpoint» bereitstellen
  • Dateisystem festlegen (Bei WIN vorzugsweise NTFS)
  • Datenträger bzw. Partition formatieren

Hinweis zu Dateisystem: Das bei Memorysticks weit verbreitete FAT-Dateisystem hat Einschränkungen in der max. Dateigrösse, der Partitionsgrösse und unterstützt zudem keine Zugriffsrechte. Dafür kann es von allen Betriebssystemen WIN, Linux, OSX etc. gelesen und beschrieben werden.

6.3 Harddiskpflege

Bei magnetischen Speichermedien wie Harddisks soll man gelegentlich die Fragmentierung überprüfen (Verstreute Speicherung von logisch zusammengehörigen Datenblöcken des Dateisystems auf einem Datenträger) und allenfalls eine Defragmentierung durchführen. Dies ist bei SSD’s (Solid-State-Disks) nicht nötig und wegen der begrenzten Anzahl von Schreibzyklen sogar kontraproduktiv.

6.4 Dateifreigabe (WIN)

Dem WIN-Server muss zuerst die Dateiserverfunktion hinzugefügt werden. Danach folgen diese Schritte:

  • Datenträgerkontingente festlegen (Wieviel Speicher darf ein Benutzer maximal belegen)
  • Freizugebender Ordnerpfad angeben
  • Freigabenamen und Pfad bestimmen (UNC-Pfad)
  • Zugriffsrechte regeln

Die Freigabe kann mit folgenden Befehlen überprüft werden:

  • netstat
  • net share
  • net use
  • Dateiserververwaltung – Freigegebene Ordner verwalten (zeigt z.B. die Anzahl Clients mit einer Netzlaufwerkverbindung zum Server an)

6.5 UNC-Pfad

UNC-Pfad bedeutet Unified Naming Convention Pfad und ist ein Standard zur Bezeichnung von Netzwerkadressen in der Form:

  • \\Hostname\Freigabename
  • \\IP-Adresse\Freigabename
  • \\FQDN\Freigabename

7. Druckerserver

Druckerserver oder Printserver. Ein Text wird nicht als ASCII-File an einen Drucker gesendet, sondern in einer speziellen Seitenbeschreibung, die auch z.B. Informationen über das Aussehen des Textes (Formatierung, Font etc.) enthät.

7.1 Seitenbeschreibungssprache

Die Seitenbeschreibungssprache beschreibt den exakten Aufbau einer Seite, wie diese später von einem Drucker gedruckt aussehen soll. Mit Hilfe der Seitenbeschreibungssprache wird für eine zu druckende Aufgabe ein Datenstrom erzeugt, welcher dann an den Drucker gesendet wird. Eine Seitenbeschreibungssprache hat auch den Zweck, alle Druckertypen über eine gemeinsame Standardsprache ansteuern zu können.

Wenn ein Textprogramm ein Dokument ausdrucken soll, muss es dieses vorerst in eines der folgenden Formate (Seitenbeschreibungssprache) umwandeln. Hier eine Auswahl:

  • PCL6 (Printer Command Language – Aktuelle Version 6) wurde von Hewlett-Packard mit dem Ziel entwickelt, alle Druckertypen über eine gemeinsame Standardsprache ansteuern zu können – Hohe Verbreitung
  • PostScript ist eine Seitenbeschreibungssprache, die in den frühen 1980er Jahren von Adobe Systems entwickelt wurde und auch heute noch als Druckerseiten-Beschreibungssprache Verwendung findet
  • XPS (XML Paper Specification) ist ein Dateiformat für Dokumente, das von der Firma Microsoft entwickelt wurde
  • HP-GL (Hewlett Packard Graphic Language) ist eine Seitenbeschreibungssprache zur Ansteuerung von Stiftplottern

(Übrigens: Im ASCII-Zeichensatz sind auch einfache Druckkommandos vorhanden)

In den Spezifikationen des jeweiligen Druckers ist nachzulesen, welche Seitenbeschreibungssprache er unterstützt.

7.2 Druckertreiber (Gerätetreiber)

Ein Gerätetreiber ist ein Computerprogramm oder Softwaremodul, das die Interaktion mit angeschlossenen Druckern steuert. Der Druckertreiber ist Druckerspezifisch und unterstützt die speziellen Druckereigenschaften wie z.B.:

  • Schwarz/Weiss oder Farbdruck
  • Druckerauflösung in dpi (Dots per inch)
  • Randloses Drucken
  • Duplexdruck (Beidseitiger Druck)
  • Papierfächer

(Der Druckertreiber ist immer auf dem Client zu installieren, auf dem ausgedruckt werden soll. Nur so ist der Client in der Lage, die zu druckende Seite gemäss den Möglichkeiten des angeschlossenen Druckers darzustellen wie z.B. in der WORD-Seitenansicht)

Die aktuellen Druckertreiber sind üblicherweise auf der Webseite im Supportbereich des Druckerherstellers erhältlich.

7.3 Drucker in Kleinnetzwerken

Folgende Druckerlösungen sind im SmallOffice– und Privatgebrauch üblich:

  • An den eigenen PC/Workstation angeschlossenen lokalen Drucker mit z.B. USB-Schnittstelle (Früher RS232-Seriellschnittstelle oder Centronics-Parallelschnittstelle) Über eine Druckerfreigabe kann ein solcher Drucker über das Netzwerk anderen PC-Arbeitsplätzen zur Verfügung gestellt werden
  • An einen Druck-Server (Printserver) angeschlossenen USB-Drucker, der dank dem Druck-Server allen Netzwerkteilnehmern zur Verfügung steht
  • Ein netzwerkfähiger Drucker (Der Druck-Server ist quasi direkt im Drucker als Printserver-Modul eingebaut

(Jede dieser drei Lösungen hat seine Vor- und Nachteile wie Kosten, Verfügbarkeit, Stromverbrauch etc.)

Das folgende Bild zeigt einen einfachen Printserver, der üblicherweise im unteren zweistelligen CHF-Betrag erhältlich ist:

7.4 Druckerkonfiguration am Gerät über ein Bedienfeld

(Im Konsumerbereich zwecks Reduzierung der Herstellungskosten heute eher unüblich)

7.5 Druckerkonfiguration über einen im Drucker installierten Webserver

(Dazu benötigt man einen PC mit installiertem Webbrowser und ruft damit die Konfigurations-Webseite auf dem Drucker ab – Übliche IP-Werkseinstellung des Druckers: 192.168.1.1/24 Achtung: Der PC muss sich im selben Netz befinden)

7.6 IP-Adresse konfigurieren ohne Bedienfeld am Drucker und ohne Webserver

Die Netzwerkeinstellungen von gewissen älteren Druckern ohne Bedienfeld und Webserver lassen sich unter Umständen wie folgt konfigurieren:

  • Richten sie ein PC ein und wählen sie die IP-Adresse des PC’s so, dass seine Netzwerk-ID mit derjenigen der gewünschten Drucker-IP-Adresse übereinstimmt (Das heisst: Beachten sie, dass beide Geräte im selben Netz sind)
  • Notieren sie sich die MAC-Adresse der Druckernetzwerkkarte (Siehe den zwölfstelligen Hex-Code auf der Konfigurationsseite des Druckers oder dem Aufkleber an der Druckerrück- oder unterseite)
  • Im Konsolenfenster ihres PC’s tippen sie folgendes ein:
    arp -s <gewünschte Drucker-IP-adresse> <Drucker-MAC-Adresse>
    Überprüfen sie die Einstellung mit
    arp –a
    Ein allfällig falscher Eintrag kann so gelöscht werden:
    arp -d <IP-Adresse>
  • Setzen sie den Drucker mit einem «Drucker-Reset» zurück
    Reset der Druckernetzwerkkarte bzw. des Druckers gemäss Benutzeranleitung
  • Pingen sie den Drucker an, indem sie auf ihrem PC im Konsolenfenster folgendes eingeben:
    ping <gewünschte Drucker-IP-adresse>
  • Nun sollte ihr Drucker über seine neue IP-Adresse erreichbar sein (Mit ping überprüfen)

7.7 Der dedizierte Druckerserver für das Drucken in grösseren Netzwerken

Druckserver als eigenständige Geräte nennt man dedizierte Druckerserver. Darunter versteht man die Serversoftware wie z.B. Windows Serveredition und die Serverhardware.

Die Aufgaben des Druckerservers

  • Drucker ohne Netzwerkschnittstelle übers Netzwerk verfügbar machen
  • Zentrale Verwaltung von Netzwerkdruckern
  • Spooling: (aufspulen) bzw. Abkürzung für Simultaneous Peripheral Operations On Line ist ein Vorgang im Betriebssystem, bei welchem zu bearbeitende Druckaufträge in einem Puffer im Speicher oder externen Datenspeicher gelagert werden, bevor sie der eigentlichen Verarbeitung (Datei zum Ausdrucken an den Drucker senden) zugeleitet werden
  • Bilden von Druckerpools: Ist ein Verbund von Druckern in einem Rechnernetz, unter denen Druckaufträge automatisch verteilt werden
  • Verteilen der Druckergerätetreiber an die Clients (PC’s)

7.8 Vorteile von Spooling

  • Zwischenspeicher: Meist ist die Festplatte schneller als das Ausgabegerät – Dadurch kann die Anwendung zügig fortgesetzt werden, indem der Druckjob auf die Festplatte geschrieben wird, ohne auf die Ausgabe warten zu müssen
  • Mehrfachnutzung von Geräten, da ein Spooler zahlreiche Aufträge für ein Drucker zwischenspeichern kann – Dadurch können sich z. B. mehrere Personen bzw. Prozesse einen Drucker teilen, ohne sich gegenseitig zu behindern
  • Bei einem Druckerausfall oder Druckerwartungsarbeiten kann der Druckjob trotzdem abgeschickt werden. Dieser verbleibt im Spooler des Druckerserves, bis der Drucker wieder Online ist

7.9 Vorteile von Druckerpools

  • Geringere Wartezeiten, wenn mehrere Druckaufträge gleichzeitig gesendet werden
  • Bei einem Druckerausfall oder Druckerwartungsarbeiten kann trotzdem gedruckt werden, ohne dass Benutzer einen anderen Drucker auswählen müssen

7.10 Druckerserver-Features im Überblick

Grundsätzlich bietet ein als Druckserver eingerichtetes Windows-Server-Betriebssystem dieselben Features wie die Druckerfreigabe in einem normalen Windows-Betriebssystem, abgesehen von der künstlichen Einschränkung der maximalen Anzahl von Netzwerkverbindungen bei Nicht-Servern. Die wichtigsten Features:

  • In der Benutzung zeitliche und personelle Einschränkungen
  • Druckprozesse überwachen
  • Ausdruck verzögern
  • Eine Druckpriorität festlegen
  • Erstellen von Formularen
  • Bilden von Drucker-Pools

8. Serverkonzept erstellen

Soll ein serverbasiertes Netzwerk eingerichtet werden, müssen zuvor folgende Konzepte erstellt werden:

  • Dateikonzept
  • Benutzer und Berechtigungsmatrix
  • Namenskonzept
  • Adressierungskonzept
  • Netzwerkkonzept

8.1 Dateikonzept

Hier geht es darum, die Informationsbedürfnisse und Einschränkungen für die Anwender abzuklären.

  • Wer darf in welchem Verzeichnis schreiben, wer darf lesen?
  • Welche Informationen unterstehen dem Datenschutz?
  • Welche Daten sind vertraulich?

8.2 Benutzer und Berechtigungsmatrix

In einer tabellenartigen Darstellung wird festgehalten, wer welche Rechte im Netzwerk besitzt. Es geht um Lese- bzw. Schreibrechte in Verzeichnissen und bei Dateien.

  • Erfassen sie die Benutzer - Verwenden sie dabei vorteilhafterweise keine Umlaute wie ö, ä, ü, é, è, à, etc.
  • Bilden Sie Gruppen
  • Weisen Sie die Benutzer den korrekten Gruppe zu
  • Verteilen Sie die Berechtigungen auf Verzeichnisebene an die entsprechenden Gruppen und nur im Ausnahmefall an einzelne Benutzer (Damit reduzieren sie den Administrationsaufwand bei neueintretenden, ausscheidenden und funktionswechselnden Mitarbeitern in ihrer Firma)

8.3 Namenskonzept

Alle Objekte benötigen eindeutige und systemverträgliche Namen. Überlegen sie sich darum, wie sie z.B. sperrige Mitarbeiternamen im System abbilden, auch hinsichtlich der Zeichenanzahlbeschränkung und der Vermeidung von Umlauten und Sonderzeichen. Einige Firmen vergeben ihren Servern Namen von Bergen, wie z.B. Pilatus, Eiger, Matterhorn etc. oder Südseeinseln. Andere codieren z.B. die Raumbezeichnungen in ihre Hostnamen wie z.B. PC-B1-01 was soviel heisst, wie PC Nr. 01 in Büro1.

8.4 Adressierungskonzept

Alle Objekte benötigen IP-Adressen:

8.5 Netzwerkkonzept

Dazu erstellen sie ein «Logisches Layout», wobei die Bezeichnungen, IP-Adressen, etc. mit denen im Namens- und Adresskonzept übereinstimmen sollten.


9. WIN-Server Installationshinweise

1. Vorarbeiten

  • Bei Verwendung von VMs (vmWare) zu beachten:
    Virtual Machine Settings → Network Adapter
    A: Bridged → Direkt mit dem physikalischen Netzwerk verbunden (NoGo bei DHCP auf VM → Konkurrenz!)
    B: Host-Only → Verbindet die VMs intern in einem privaten Netzwerk
  • Achtung: Im VM-Host-Only-Betrieb liefert ein «VMWare DHCP Service» den VMs IP-Adressen
    Darum VMWare DHCP Service auf dem Hostsystem abschalten: HOST-cmd → Dienste → VMWare DHCP Service deaktivieren
  • SERVER-cmd → ncpa.cpl: Server-Netzwerkparameter konfigurieren (Must-have für DHCP-Installation)
  • SERVER-cmd → sysdm.cpl: Server-Hostname mit vernünftigem Namen konfigurieren (Dringend empfohlen)

2. Serverdienst installieren

  1. cmd → Server-Manager
  2. Rollen und Features hinzufügen
  3. Installationstyp: Rollenbasierte oder featurebasierte Installation
  4. Serverauswahl: Serverhostname
  5. Serverrolle:
    • Datei-/Speicherdienste
    • DHCP-Server
    • DNS-Server
    • Druck- und Dokumentdienste
  6. Features hinzufügen

3. DHCP-Serverdienst konfigurieren

  1. cmd → Server-Manager
  2. Dashboard → DHCP
  3. Tools → DHCP
  4. Bereich hinzufügen:
    Aktionen → Neuer Bereich...
    A: Name und Beschreibung
    B: Start-IP-Adresse / End-IP-Adresse
    C: Subnetzmaske
    D: IP-Adress-Ausschlüsse erfassen
    E: Leasedauer angeben
    F: Diese Option jetzt konfigurieren
    G: Router angeben
    H: Domänenname und DNS-Server angeben
    I: WINS-Server angeben
    K: Diesen Bereich aktivieren
  5. IP-Adressreservierungen vornehmen
    Reservierungen → Weitere Aktionen → Neue Reservierung...
  6. Nicht vergessen, am Schluss die DHCP-Konfiguration abzuschliessen (Commit)

DNS-Serverdienst konfigurieren

  1. cmd → Server-Manager
  2. Dashboard → DNS
  3. Tools → DNS
    • DNS/Hostname Forward-Lookupzone (FQDN zu IP)
    • DNS/Hostname Reverse-Lookupzone (IP zu FQDN)
  4. Forward-Lookupzone Rechtsklick → Neue Zone hinzufügen)
    A: Primäre Zone
    B: Zonenname
    C: Zonendatei erstellen
    D: Dynamisches Update (Zurzeit nicht zulassen)
  5. Reverse-Lookupzone Rechtsklick → Neue Zone hinzufügen
    A: Primäre Zone
    B: IPv4 Reverse Lookupzone
    C: Netzwerk-ID (Netz-ID der IP-Adresse)
    D: Zonendatei erstellen
    E: Dynamisches Update (Zurzeit nicht zulassen)

Teil-C: «VIRTUAL-MACHINE»

9. Virtual-Machine VM

Ein virtueller PC, kurz VPC oder VM (Virtual Machine), ist eine virtuelle Maschine, die auf einem Gastsystem läuft. Das Gastsystem kann dabei ein Windows- Mac- oder Linux-Rechner sein. (Virtuell gemäss Duden: nicht echt, nicht in Wirklichkeit vorhanden, aber echt erscheinend)

Warum virtuelle PC's?

Diese erleichtern das Experimentieren mit SW, da verschiedene virtuelle Maschinen gleichzeitig auf dem Gastsystem laufen können und auch immer wieder zu einem früheren Betriebssystemzustand zurückgekehrt werden kann, sofern dieser vorher gespeichert wurde. Die virtuellen PC's werden als Image-Dateien abgelegt und können damit auch unter Benutzern ausgetauscht werden. Dabei aber unbedingt die SW-Lizenzbestimmungen beachten bzw. einhalten! Es wird eine Virtualisierungs-SW benötigt. Hier eine nicht vollständige Auswahl von Produkten:

  • vmWare: Die meisten Produkte sind kostenpflichtig ausser der vmWare Workstation Player fü WIN. Dieser wird an der Schule bevorzugt eingesetzt.
  • VPC: der kostenlose Windows Virtual PC
  • VirtualBox: Vom DB-Hersteller Oracle und kostenlos.
  • Parallels: Kostenpflichtig und nur für MAC.

Der virtuelle PC setzt sich zusammen aus:

  • Virtuelle Netzwerkkarte
  • Virtueller Harddisk
  • Virtueller Bildschirm, repräsentiert durch ein Fenster auf dem Gastsystem.
  • Physikalisches RAM. Dies geht auf Kosten des verfügbaren RAM's des Gastsystems.
  • Eigenes BIOS
  • Eigenes Betriebssystem (WIN / LIN)

Vorsicht beim Abspeichern der VPC-Imagedatei: Da diese schnell mal mehrere Gigabyte gross werden kann, sind FAT-formatierte Memorysticks wegen der filesystembedingten Grösseneinschränkung ungeeignet. NTFS-formatierte Sticks können wiederum von MAC-OS System nicht vorbehaltslos beschrieben werden.

Das Startbild des VMPlayers. Beim Aufsetzen einer neuen virtuellen Maschine empfiehlt es sich, eine ISO-Betriebssystem-Datei zu benutzen. Tipp: Windows darf ohne Eingabe eines Keys bzw. Aktivierung 30 Tage genutzt werden. Anschliessend kann mit dem Kommando «slmgr.vbs -rearm» diese Frist dreimal verlängert werden. Die somit maximale Nutzungsdauer von 120 Tage ist für diesen Kurs mehr als ausreichend.

Die Einstellungen der virtuellen Maschine. Wie beim realen PC können gewissen Einstellungen bei laufendem Betriebssytem ausgeführt werden, für andere muss das System zuerst heruntergefahren werden.

Virtuelle Maschine die am booten ist

Allenfalls die Einstellungen des Netzwerkadapters wie folgt anpassen:


9.1 Ein WIN-PC mit vmWare erstellen

Voraussetzung: Sie haben den vmWare Workstation Player auf ihrem Notebook installiert. Sie finden die vmWare Workstation Player-Software auf der Webseite www.vmWare.com unter Downloads bzw. Free Product Downloads. Beachten sie, dass eine andere, bereits auf ihrem Notebook installierte Virtualisierungs-SW, ihre vmWare-Installation behindern kann.

Schritt1: Besorgen sie sich bei z.B. AZURE eine ISO-Datei des Windows10-Pro 32b Betriebssystems. Alternativ kann auch auf dem Internet nach einer «Windows 10 Pro Testversion» gegoogelt werden. Eine Seriennummer ist nicht nötig, wenn man das Betriebssystem nicht länger als 120 Tage nichtkommerziell nutzen möchte. Die Trial-Version lässt sich nämlich ohne Eingabe eines Keys bzw. Aktivierung 30 Tage verwenden und diese Dauer kann mit dem Kommando «slmgr.vbs -rearm» dreimal verlängert werden. Eine ISO-Datei ist übrigens das Speicherabbild einer CD oder DVD.

Schritt2: Nachdem sie den vmPlayer gestartet haben, kreieren sie eine neue virtuelle Maschine:

Schritt3: Sie werden das Betriebssystem nicht ab DVD-Laufwerk installieren, sondern von ihrer ISO-Datei aus. Geben sie dazu den Pfad zu ihrer lokal gespeicherten ISO-Datei an:

Schritt4: Wählen sie nun Windows 10 Professional, geben sie den Admin-Accountname und Passwort an. Das Feld mit dem Product Key lassen sie frei:

Schritt5: Geben sie den Namen und Speicherort der neuen virtuellen Maschine an:

Schritt6: Virtual Machine Settings «Disk Size»:

Schritt7: Virtual Machine Settings «Network Adapter» (Kann später noch geändert werden):

Schritt8: Nun beginnt die Installation des Betriebssystems. Zuerst wird der virtuelle Harddisk erstellt:

Schritt9: Danach werden die Betriebssystemkomponenten installiert.

Schritt10: Nachdem die VM neu gebootet wurde, loggen sie sich mit dem zuvor erstellten Benutzerkonto ein und überprüfen die Installation.

Schritt11: Falls das noch nicht geschehen ist, installieren sie die vmWare-Tools auf ihrer neuen WIN-VM. Dazu gehen sie folgendermassen vor:
Da die vmWare-Tools bereits in der vmWare-SW enthalten sind, müssen sie keine SW vom Internet nachladen aber eventuell auf der aktuellen virtuellen Maschine nachinstallieren.
Dazu wählen sie auf ihrem in Betrieb gesetzten virtuellen WIN-PC in der Menueleiste die Auswahl vmWare/Player/Manage/Install_vmWare_Tools.
Installieren sie diese Tools und überprüfen Sie, ob sie ein z.B. Textfile vom virtuellen WIN-PC auf das Gastsystem kopieren können. Das wird später eine für uns unentbehrliche Funktion sein, die zuverlässig funktionieren muss.

Netzwerkeigenschaften prüfen:
Falls sie die VM im Bridged-Modus betreiben wollen, sollten sie überprüfen, ob auf der physikalischen Maschine (Gastsystem) in den Eigenschaften des physikalischen Netzwerkadapters das «VMware Bridge Protocol» installiert und aktiviert ist.

Alle diese Installationsarbeiten, ausschliesslich der SW-Downloads, sollten innerhalb ca. 25 Minuten erledigt sein. (Abhängig von der Leistung des Gastsystems/Notebook)


9.2 vmWare-Schnittstellenprobleme

Dieser Artikel behandelt ein mögliches Schnittstellen-Problem beim vmWare-Player unter Windows 10, nämlich den Network-Adapter im Bridged-Modus.

In den VirtualMachineSettings des Player lassen sich für die virtuelle Maschine verschiedene Einstellungen tätigen wie z.B. Angaben zum virtuellen Speicher, virtueller Harddisk und eben dem Network-Adapter.

Es stehen folgende Network-Adapter Einstellungen zur Verfügung:

  • Bridged (VMnet0): Die virtuelle Maschine ist direkt an das physikalische Netzwerk angeschlossen und erhält eine eigene, vom Host-PC unabhängige IP-Adresse. Zu beachten gilt, das die Netzwerkeinstellungen der virtuellen Maschine sinnvolle Werte aufweisen (Richtiges und vor allem geroutetes Subnetz, bzw. korrekte Subnetzmaske, Defaultrouter, DNS-Server, allenfalls Netzwerkparameter sich vom DHCP-Server geben lassen).
  • NAT (VMnet8): Die virtuelle Maschine teilt sich im physikalischen LAN die IP-Adresse mit dem Host-PC. Lokal hat die VM aber eine andere, per vmWare's NAT transformierte IP-Adresse.
  • Host-Only (VMnet1): Es kann ein lokales virtuelles Netzwerk erstellt werden. Dies ist aber nicht an das physikalische Netzwerk angebunden und somit ist bei dieser Einstellung kein Internet verfügbar.

Üblicherweise bieten der NAT und Host-Only-Betrieb keine Schwierigkeiten. Anders kann das beim Bridged-Mode aussehen, nämlich dann, wenn alle Netzwerkeinstellungen der virtuellen Maschine zwar vernünftige Werte aufweisen, aber trotzdem keine Verbindung nach Aussen zustande kommt. Dann wird es höchste Zeit, sich mit den Netzwerkadapter-Einstellungen des Gastsystems (hier Windows10) zu befassen:

  • Dazu das Windows10-Icon links unten klicken und «Einstellungen» wählen.
  • Das Icon «Netzwerk und Internet» selektieren
  • Liste ganz nach unten scrollen und in «Verwandte Einstellungen» den Menüpunkt «Adapteroptionen ändern» wählen
  • Nun werden alle Netzwerkadapter angezeigt. Üblicherweise das physikalische Netzwerk und die beiden VMware-Netzwerkadapter (VMnet1 und VMnet8), allenfalls noch WiFi und Bluetooth.
  • Wir möchten ja VMnet0 bzw. den Bridged-Mode. Also wählen wir die physikalische Verbindung mittels Rechtsklick und «Eigenschaften»
  • Nachdem wir das Admin-Passwort eingegeben haben erscheint das Ethenet-Eigenschaftenfenster. Dort klicken wir «Installieren»
  • Unter «Dienste» sollte das «VMware Bridge Protocol» erscheinen, das wir nun auch selektieren und zur Installation vormerken.
  • Nachdem des Gast-PC gebooted worden ist, sollte der Bridged-Mode in vmWare nun korrekt zur Verfügung stehen.
  • Überprüfen sie das, indem sie auf der virtuellen Maschine mit «ifconfig/ipconfig» die aktuellen Netzwerkeinstellungen kontrollieren, danach ob sie per «ping» den GastPC erreichen und zu guter Letzt, ob Router und DNS erreichbar sind. Beachten sie, dass die Firewalleinstellungen des Zielrechners den «ping» allenfalls ignorieren können (Blockierung der ICMP-Kommandos).

9.3 Hypervisor: Launchtype zwischen Hyper-V und vmWare umschalten

Konflikte zwischen Hyper-V und vmWare können wie folgt gelöst werden → WIN-Bootkonfiguration "Launchtype" ändern:

  • Hypervisor vmWare nutzen:
    [cmd] bcdedit /set hypervisorlaunchtype off
  • Hypervisor Hyper-V nutzen:
    [cmd] bcdedit /set hypervisorlaunchtype Auto
  • In beiden Fällen ist ein Reboot erforderlich

Teil-D: «WIN & MAC-TIPPS»

10. WIN-Tipps

10.1 Schnellstartkommandos von Windows-Tools

  • Eingabeaufforderung = cmd.exe
  • Netzwerkverbindungen (IP) = ncpa.cpl
  • Systemeigenschaften (Hostname/Arbeitsgruppe) = sysdm.cpl
  • Benutzer und Gruppen = lusrmgr.msc
  • Computerverwaltung = compmgmt.msc
  • Druckerverwaltung = printmanagement.msc
  • Geräte und Drucker = control.exe printers
  • Ordnerfreigaben = fsmgmt.msc
  • Datenträgerbereinigung = cleanmgr.exe
  • Datenträgerverwaltung = diskmgmt.msc
  • Defragmentierung (Nicht nötig bei SSD's) = dfrg.msc
  • Diensteverwaltung = services.msc
  • Ereignisanzeige = eventvwr.msc
  • Gerätemanager = devmgmt.msc
  • Gruppenrichtlinieneditor = gpedit.msc
  • Systemmonitor = perfmon.msc
  • Sicherheitseinstellungen = secpol.msc
  • Liste aller aktiven Treiber = driverquery
  • Systeminformationen = msinfo32.exe
  • Systemkonfigurationsprogramm = msconfig.exe
  • WMI-Steuerung = wmimgmt.msc
  • Autostart anzeigen = taskmgr /0 /startup
  • Programm deinstallieren = appwiz.cpl
  • Firewalleinstellungen = wf.msc
  • SW, Programme und Funktionen = appwiz.cpl
  • Bildschirmauflösung = desk.cpl
  • Energieoptionen = powercfg.cpl
  • Mauseigenschaften = main.cpl
  • Region- und Sprachoptionen = intl.cpl
  • Zuverlässigkeitsüberwachung = perfmon /rel
  • Zertifikatsmanager = certmgr.msc
  • Zeichentabelle = charmap

10.2 Hochauflösende WIN-Bildschirme

Ältere Software (Adobe-CS6, Filius etc.) wird auf hochauflösenden (4K) Bildschirmen zu klein dargestellt. Dem kann durch eine kleine Änderung in den Programmeigenschaften (EXE-File) abgeholfen werden:

10.3 Blockierter Dateizugriff nach Internet-Download

Sie laden von meiner Webseite eine Datei herunter und können diese nicht öffnen bzw. bearbeiten? Abhilfe schafft das Anwählen einer Checkbox in den entsprechenden Dateieigenschaften:

10.4 TBZ-Schuldrucker nutzen

An der TBZ stehen Ihnen nur noch in wenigen Räumlichkeiten schuleigene Windows-PC's zur Verfügung. Es gilt BYOD «Bring Your Own Device» in Form von Windows-Notebooks und dazugehörendem Ethernetkabel, allenfalls ein RJ45-Adapter. Und bitte das Netzteil nicht vergessen.

Beim papierlosen Büro bzw. der papierlosen Schule sind wir zurzeit noch nicht ganz angekommen. Es werden von Ihnen nämlich immer wieder Arbeiten verlangt, die vorher ausgedruckt werden müssen. In den meisten Schulzimmern stehen Ihnen dafür netzwerkfähige Laserdrucker zur Verfügung, deren Benutzung aber zuerst eine Installation des jeweiligen Druckers auf ihrem Notebook nötig macht.

An der TBZ werden sogenannte «Druckserver» betrieben. Diese bieten alle TBZ-Netzwerkdrucker in Form von Druckerfreigaben im Schulnetz an. Das heisst, das Ihr Druckjob von Ihrem Notebook an diesen Druckserver und erst von dort an den jeweiligen Drucker gesandt wird. Es sind übrigens verschiedene Druckertypen im Einsatz, die auch verschiedene Druckertreiber benötigen. Weil sich die Drucker in VLAN's befinden, die nicht in die Schulzimmer geroutet werden, ist es nicht möglich, sich direkt mit einem Drucker zu verbinden. Wie gehen wir also vor, wenn wir auf unserem Windows-Notebook einen Drucker nutzen möchten:

  1. Auf Ihrem Notebook im Windows-Dateiexplorer mit der Eingabe von \\STBZPS21.tbz.local den TBZ-Printserver «aufrufen».
    (Dies ist übrigens ein sog. UNC-Pfad (Uniform Naming Convention) und setzt sich aus \\SERVERNAME\FREIGABENAME zusammen)
  2. Nun müssen Sie sich gegenüber dem TBZ-Printserver authentifizieren. Dies geschieht mit Ihrem regulären TBZ-Anmeldenamen, inklusive Domänennamen und zwar in der Form vorname.nachname@tbz.local (Alternativ: tbz.local\vorname.nachname)
    Sollten Sie Ihr Passwort vergessen haben, führt kein Weg am Treppenlaufen, bzw. am zweiten Stockwerk und dem dort beheimateten TBZ-IT-Sekretariat vorbei.
  3. War der Anmeldeprozess erfolgreich, werden Ihnen die von diesem Druckerserver freigegebenen Drucker angezeigt. Wählen Sie nun «Ihren» Drucker aus, indem Sie diesen selektieren und mit Rechtsklick «Öffnen» oder «Verbinden». Da der ausgewählte Drucker von Ihnen vorher ja noch nie verwendet wurde, wird automatisch der benötigte Druckertreiber installiert und danach die Druckerwarteschlange (Queue) geöffnet. Übrigens: Der soeben installierte TBZ-Drucker darf NICHT Ihr Standarddrucker werden.
    Et voilà: Ab sofort können Sie Ihre Lehrer/-innen mit Ihren wunderschönen Schwarz-Weiss-Prints verblüffen.

11. HTML-Spezialzeichen

Die folgenden Sonderzeichen und Umlaute werden oft benötigt. Sie sollten allerdings nicht direkt als ä, ö, ü etc. in den HTML-Code eingefügt werden, sondern mit einem einleitenden &, dem jeweiligen Zeichenkürzel und einem abschliessenden ;
Beispiel: Das Wort «Bär» sollte man so schreiben: B&auml;r

  • ä : &auml;
  • Ä : &Auml;
  • ö : &ouml;
  • Ö : &Ouml;
  • ü : &uuml;
  • Ü : &Uuml;
  • ß : &szlig;
  • € : &euro;
  • & : &amp;
  • < : &lt;
  • > : &gt;
  • « : &laquo;
  • » : &raquo;
  • „ : &quot;
  • © : &copy;
  • • : &bull;
  • ™ : &trade;
  • ® : &reg;
  • § : &sect;
  • → : &rarr;
  • ↔ : &harr;

12. Autodesk-MAYA Befehle

(Aufzählung nicht abschliessend)

  • Pivot eines Objekts ändern: Move-Tool wählen + fn + LeftArrow
  • Mehrfachselektion im Outliner: RightMouseButton + cmd
  • 2-Tastenmaus wählen: Maya/Preferences/Interface
  • Tumble (Rotation): LeftMouseButton + Alt
  • Track (Translation): LeftMouseButton + Alt + Cmd
  • Dolly (Zoom/Skalierung): Scrollwheel benutzern oder RightMouseButton + Alt
  • Werte interaktiv im ChannelBox-Parameterfeld ändern: Wert selektieren + Cursor ins Panel (z.B. persp) verschieben + LeftMouseButton + Cmd
  • Maya FullScreen-Mode verlassen: Maus auf oberen Bildrand und man erhält das Top-Menü zurück!

13. Excel-Befehle

  • Zeilenumbruch in Zelle : alt + Enter (WIN) ; alt + cmd + Enter (MAC)
  • Verweis-Formel : Nützliche Formel für den Fall, dass eine Kolonne in eine andere Tabelle ausgelagert und nur eine Referenz in der Originaltabelle hinterlassen werden soll.
    Beispiel: In einer Tabelle sind Vornamen, Nachnamen und Nationalitäten gespeichert. Nun soll die Kolonne der Nationalitäten in eine andere Tabelle ausgelagert und die Nationen in dieser durchnummeriert (Referenznummer) werden. Schlussendlich ersetzt man in der Ursprungstabelle die Nationalitäten durch die entsprechenden Refernznummern gemäss der zweiten Tabelle. Dies soll allerdings nicht von Hand geschehen, sondern durch die Formel "Verweis".
    Die Syntax in der aktuellen Excel-Tabellenzelle (z.B. Zelle B1) kann nun wie folgt lauten (Beispiel):
    =VERWEIS(C1;Tabelle2!$B$1:$B$10;Tabelle2!$A$1:$A$10)
    (Bemerkungen: C1 ist die Zelle, wo der durch die Referenznummer zu ersetzende Text steht. Die zweite Tabelle heisst Tabelle2 und darin sind in diesem Fall zehn Positionen erfasst, wobei in der A-Kolonne die "Nummer" (Referenz) und in der B-Kolonne der "Text" (Nationalität) steht. Mit dem $-Zeichen (wie z.B. $A$1) stellt man sicher, dass die Formel durch das sog. Füllsymbol effizient und korrekt auf eine ganze Kolonne angewendet werden kann.
    Aufgepasst: Die Tabelle2 muss zuerst alphabetisch sortiert werden, sonst wird es nicht funktionieren!
  • Ersetzen einer Formel durch ihr Ergebnis : Soll eine Kolonne durch seine statischen Werte ersetzt werden, die nicht mehr von einer Formel bzw. fremden Zellen abhängig sind, kopiert man die ganze Kolonne (Ctrl-C) und fügt sie mit "Einfügen" - "Werte einfügen" wieder ein.

14. MAC-Tipps

14.1 MAC-Spezialtasten

  • ⌘cmd: Befehlstaste, oder im Volksmund Blüemlitaste genannt
  • ⎇alt: Wahl / Options / Alternate-Taste
  • ctrl: Controltaste

Zeichen die auf der CH-GE-MAC-Tastatur fehlen (Aufzählung nicht abschliessend):

  • « (Öffnendes CH-Anführungszeichen / Gänsefüsschen): alt + ;
  • » (Schliessendes CH-Anführungszeichen / Gänsefüsschen): Shift alt + ;
  • | (Pipe): alt + 7
  • [ (Öffnende eckige Klammer): alt + 5
  • ] (Schliessende eckige Klammer): alt + 6
  • { (Öffnende geschweifte Klammer): alt + 8
  • } (Schliessende geschweifte Klammer): alt + 9
  • \ (Backslash): Shift alt + 7
  • DEL (Rückwärtspfeiltaste): fn + Backspace

Für alle Macianer, die mit vmWare-Fusion an einer CH-GE-Tastatur arbeiten (Aufzählung nicht abschliessend):

  • @ (AT-Zeichen / Affenschwanz / Klammeraffe) : Ctr + Alt + q
  • $ (Dollarzeichen) : Shift + 4
  • | (Pipe) : alt + <
  • [ (Öffnende eckige Klammer) :  alt + 8
  • ] (Schliessende eckige Klammer) : alt + 9
  • { (Öffnende geschweifte Klammer) : alt + 7
  • } (Schliessende geschweifte Klammer) : alt + 0
  • \ (Backslash) : alt + ?
  • ' (Hochkomma) : Shift + $
  • # (Hashtag) : $

14.2 MAC-Screenshots

  • Cmd + Ctrl + Shift + 3: Bildschirm-Screenshot in Ablage
  • Cmd + Shift + 3: Bildschirm-Screenshot auf Desktop
  • Cmd + Ctrl + Shift + 4 + Fenster-Bereich: Fenster-Bereichs-Screenshot in Ablage
  • Cmd + Shift + 4 + Fenster-Bereich: Fenster-Bereichs-Screenshot in Ablage
  • Cmd + Ctrl + Shift + 4 + Leertaste + Fensterklick: Fenster-Screenshot in Ablage
  • Cmd + Ctrl + 4 + Leertaste + Fensterklick: Fenster-Screenshot in Ablage

14.3 Versteckte Files in macOS

Werden im Finder standardmässig nicht angezeigt. Darum heissen sie ja auch «versteckte Files» Wer diese trotzdem angezeigt haben möchte, geht folgendermassen vor:

  • Terminal öffnen (Siehe Programme/Dienstprogramme)
  • Eintippen: defaults write com.apple.finder AppleShowAllFiles 1 «ENTER»
  • Eintippen: killall Finder «ENTER»
  • Nun werden die versteckten Files im Finder angezeigt!
  • Eintippen: defaults write com.apple.finder AppleShowAllFiles 0 «ENTER»
  • Eintippen: killall Finder «ENTER»
  • Nun werden die versteckten Files im Finder nicht mehr angezeigt!

Standardmässig werden Library-Ordner im Finder nicht angezeigt. Das ist auch gut so, weil  damit unbeabsichtigtes Löschen vermieden werden kann. In einigen Fällen möchte man aber darin Änderungen vornehmen. Man kann sich die Library wie folgt im Finder anzeigen lassen:

  • Terminal öffnen (Siehe Programme/Dienstprogramme)
  • Eintippen: chflags nohidden ~/Library/ «ENTER»
  • Nun wird Library im Finder angezeigt!
  • Eintippen: chflags hidden ~/Library/ «ENTER»
  • Nun wir Library im Finder nicht mehr angezeigt!

14.4 MAC-Software restlos deinstallieren

  • Im Verzeichnis Programme die Software entfernen (in den Papierkorb schieben)
  • Die folgende Verzeichnisse aufsuchen mit Finder/Gehe zu (mit Wahltaste / alt) gedrückt:
  • Library/Application_Support: SW-Ordner löschen
  • Library/Caches: com.xxx.SW löschen
  • Library/Preferences: com.xxx.SW.yyy.plist löschen