2 NetWare 6 installatie

NetWare

3/2 NetWare 6 installatie 3/2.1

Inleiding

Bij het uitkomen van nieuwe producten zijn zowel beheerders als engineers vaak wat terughoudend om ze meteen te gebruiken. Nog afgezien van de vraag wat het nieuwe product toevoegt (of het iets toevoegt dat belangrijk of zelfs maar nuttig is) en dan een meerwaarde heeft voor de organisatie, lijkt de terughoudendheid ook te zijn ingegeven door onbekendheid. Beheerders die zich nu aangesproken voelen kunnen gerust zijn: de installatie van NetWare 6 lijkt in veel opzichten op de installatie van NetWare 5. Hier en daar zijn er wat ‘scherpe kantjes’ afgehaald. Zo is het altijd onzinnig om zo’n anderhalve minuut te moeten wachten als de server probeert zichzelf in de DNS terug te vinden. Bij de nieuwe installatie is dat niet meer het geval. Veranderingen

Echte veranderingen treden op als we de nieuwe features van NetWare 6 gaan installeren. Voor deze nieuwe features vullen we tijdens de installatie al gegevens in:

Novell Netwerkoplossingen, aanvulling 2

3/2.1-1

NetWare 6 installatie

In dit artikel zal de installatie van NetWare 6 worden besproken en, indien dat noodzakelijk is, bij iedere keuze aangegeven wat in welke situatie dient te worden gekozen. Voor de nieuwe producten valt er niet aan te ontkomen direct ‘iets’ over het product zelf te vertellen, om het geheel begrijpelijk te maken. In dit artikel wordt echter niet al te grondig op de nieuwe producten – zoals het Native File Access pack en de iFolder – ingegaan. Systeemvereisten NetWare 6 kan worden geïnstalleerd op pc’s die voldoen aan de volgende systeemvereisten: • minimaal Pentium II of AMD-K7 (aanbevolen wordt een Pentium III-700); • 256 Mb geheugen (aanbevolen wordt 512 Mb); • een VGA-adapter (SVGA wordt aanbevolen); • minimaal 100 Mb vrije schrijfruimte op de DOS-partitie of 100 Mb vrije ruimte op de schijf voor een DOSpartitie; • minimaal 2 Gb vrije ruimte voor het aanmaken van een SYS:-volume. Deze ruimte is nodig voor het systeem zelf. Voor het opslaan van gebruikersgegevens is nog extra ruimte nodig, afhankelijk van de wensen; • Een cd-rom- of DVD-speler. De NetWare 6 CD is bootable volgens de El Torito-standaard, maar elke moderne speler wordt wel ondersteund; • minimaal 1 netwerkkaart; • een USB-, PS/2- of seriële muis.

3/2.1-2


NetWare

3/2.2

De installatie

NetWare 6 gebruikt nog steeds DOS om te booten. De installatie zal controleren of er een geschikte DOS-partitie is (met voldoende vrije ruimte). Als aan deze voorwaarde is voldaan, zal de installatie direct doorgaan; als er geen (of een te kleine) DOS-partitie is, zal de installatieprocedure deze moeten aanmaken:

Na het aanmaken van de DOS-partitie zal de computer rebooten en wordt de partitie na de reboot automatisch geformatteerd. Hierna zal de server worden opgestart om de installatie uit te voeren. Voor wie bekend is met het imaginggedeelte van ZENworks for Desktops, of met UNIX-varianten, zal het opstartscherm vertrouwd voorkomen. Om de beheerder beter in staat te stellen problemen te ontdekken, wordt het activeren van allerlei onderdelen van het operatingsysteem namelijk getoond:


3/2.2-1


Na het laden van de minimaal noodzakelijke functionaliteit zal direct de installatiewizard worden gestart, die de rest van de installatie zal begeleiden. Deze installatieroutine begint, zoals gebruikelijk, met de licentieovereenkomst, die moet worden goedgekeurd voordat er met de installatie kan worden doorgegaan.

Express install

Custom setup

3/2.2-2

Net als in voorgaande versies is de eerste vaag welk type installatie er moet worden gedaan. De express install gaat uit van een aantal, door Novell, voorgedefinieerde instellingen, die voor kleinere netwerken een behoorlijk werkende server afleveren: • de installatie voert een auto-discovery uit van de VGA-adapter, muis, netwerkkaart en diskcontroller; • er wordt een SYS:-volume aangemaakt van maximaal 4 Gb. Als er meer ruimte is, wordt de extra ruimte vrijgelaten; • de country-code en de codepage worden naar Amerikaanse maatstaven ingesteld: country code = 1 en codepage = 437. Zowel voor kleine als voor grote netwerken is dit geen slechte keuze, maar toch kiezen we eigenlijk altijd voor de custom setup. Naast bovenstaande instellingen bepaalt de express install namelijk ook welke extra producten worden geïnstalleerd en installeert dan alleen Novell Distribution Print Services, de NetWare administration server en de Novell advanced audit services.


NetWare

Aangezien de schijf die hier is gebruikt helemaal leeg was, is het aannemelijk om hier te kiezen voor een ‘new server’installatie.

In-place upgrade

De optie upgrade kiezen we als we een bestaande NetWare 4- of NetWare 5-server in-place willen upgraden naar NetWare 6. Hierbij worden de systeembestanden op de reeds bestaande server overschreven met de NetWare 6versie van deze bestanden. Het werken met een in-place upgrade heeft echter een aantal nadelen: • Als er iets fout gaat tijdens de migratie is de weg terug moeilijk of zelfs onmogelijk (afhankelijk wanneer de storing optreedt). In het meest ongunstige geval zal een roll-back betekenen dat de oude server helemaal opnieuw moet worden geïnstalleerd en de back-up tape moet worden teruggelezen. • Er blijven altijd onderdelen van de oude softwareversie achter (ondanks dat de installatie dit zoveel mogelijk probeert op te lossen). Dit hoeft niet per se voor problemen te zorgen, maar het risico is wel aanwezig. • Een upgrade van het operatingsysteem gaat veelal samen met een upgrade van de server-hardware. Dit zou betekenen dat we eerst een hardware-upgrade moeten doen naar de nieuwe server en daarna nog de upgrade naar NetWare 6.

Pre-migration

In dit geval is het beter om voor de laatste optie (premigration) te kiezen. Hierbij maken we de server alvast helemaal klaar om het werk van de oude over te nemen,


3/2.2-3


maar geven de nieuwe server tijdelijk een andere serveren een andere tree-naam. Door middel van de migrationwizard worden dan later de juiste gegevens overgezet en worden de bestanden en rechten van de oude server via het netwerk naar de nieuwe server gekopieerd. De installatie van een ‘new server’ en de ‘pre-migration’ verlopen verder feitelijk hetzelfde. Bij beide kunnen we alle producten selecteren. Na het bevestigen van de keuze (in ons geval: custom en new server) zien we een ander scherm, dat ook al in de NetWare 4- en NetWare 5-installatie aanwezig was.

Limber proces

3/2.2-4

Het server-ID wordt gebruikt om in de server in een IPXomgeving een virtueel netwerk te kunnen creëren. Het nummer dat hier staat, is het netwerkadres van dit netwerk en moet uniek zijn binnen dit netwerk. De installatie zal hiervoor een willekeurige waarde kiezen, maar in grote netwerken zal dit vaak moeten worden aangepast, omdat hiervoor voorgedefinieerde nummers moeten worden gebruikt. Die aanpassing kan hier worden gedaan; zouden we het later doen, dan moeten we daarna het ‘limber proces’ uitvoeren om de server goed te laten communiceren met eDirectory.


NetWare

De optie ‘load server at reboot’ past de autoexec.bat in de root van c:\ aan, waardoor de server automatisch wordt opgestart als de computer wordt gereboot. De ‘server set parameters’-optie geeft ons de mogelijkheid om aan het einde van de installatie nog aanpassingen te maken in de opstartbestanden van de server. Het hoeft niet, maar de standaardinstelling zorgt ervoor dat de mogelijkheid in ieder geval voorhanden is.

De volgende stap in de installatie is het aangeven van de country code, de code page en de keyboard lay-out. Deze opties kunnen worden aangepast als dat noodzakelijk is, maar de server zal met de standaardinstellingen goed functioneren. Vervolgens dienen de muis en video te worden geconfigureerd en hier is een aardige extra optie mogelijk:

NetWare 6 is in staat om een USB-muis te gebruiken voor het besturen van het grafisch console. Helaas is het (nog?) niet mogelijk om andere zaken via de USB aan te sluiten, zoals harddisks of een printer. Wellicht zal Novell dat in de


3/2.2-5


toekomst wel gaan bieden, maar hierover is nog geen mededeling gedaan. Initiële installatie

Na deze invulschermen zal de server beginnen met de initiële installatie van bestanden. Dit zijn de bestanden die nodig zijn om de server in het vervolg op te kunnen starten, en om deze reden worden de bestanden in de c:\nwserver geplaatst. Na het installeren van de opstartbestanden probeert de installatieprocedure uit te vinden wat voor moederbord en welke diskdriver worden gebruikt. De platformsupport-module wordt gebruikt voor multi-processorsystemen (NetWare ondersteunt standaard tot 32 processoren). De hotplug-optie biedt de mogelijkheid om hotplug-PCIondersteuning aan te zetten. Of dit kan, hangt ook weer af van het gebruikte computersysteem. De storage-adapters zijn de koppelingen naar schijfsystemen. In het bovenstaande voorbeeld zijn er twee IDE-controllers-acties: een voor de harddisk en een voor de cdromspeler. Ook de netwerkkaarten worden automatisch herkend door de installatieprocedure. Indien het voor het systeem niet duidelijk is welke kaart er in het systeem zit, wordt een keuzescherm getoond met alle alternatieven. NetWare moet een netwerkkaart geconfigureerd hebben om de installatie succesvol te kunnen afronden.

Ten slotte moet nog een volume SYS:-worden aangemaakt voordat de echte installatie van de ‘core’-bestanden kan

3/2.2-6


NetWare

NSS

worden uitgevoerd. Hier is een heel duidelijk verschil met de voorgaande versies van NetWare te bemerken: was het in NetWare 5 nog zo dat het SYS:-volume geen NSS-volume mocht zijn, bij deze installatie is het zelfs de default. NSS biedt grote voordelen bij het benaderen van disks. Ten opzichte van het ‘traditionele’ filesysteem zijn de mounttijden enorm verkort, is de disktoegang sneller geworden en is heel wat minder geheugen nodig om volume te kunnen gebruiken.

Omdat Novell in de specificaties 2 Gb als minimum geeft, is het verstandig om dit ook te selecteren. De daadwerkelijke hoeveelheid ruimte die nodig is, is afhankelijk van zowel het aantal objecten in de eDirectory-database als de hoeveelheid geïnstalleerde producten. Neem de ruimte op SYS: echter niet te krap, aangezien een vol SYS:-volume kan leiden tot een corrupte eDirectory-database. Als ook deze gegevens zijn ingevuld, zal het systeem het SYS:volume direct aanmaken en starten met het kopiëren van de gegevens die op dit volume moeten staan om de server en de standaard geïnstalleerde onderdelen op te kunnen starten. Na deze kopieerslag, die enige tijd duurt, wordt de installatie verder vervolgd vanuit het grafisch console.


3/2.2-7


De eerste waarde die we moeten invullen is de servernaam. De servernaam wordt, samen met het server-ID dat we al hebben ingevuld, gebruikt om de server op het netwerk te kunnen lokaliseren. Net als het server-ID mag ook de servernaam niet ‘zo maar’ worden aangepast als de server eenmaal is geïnstalleerd, dus kies de naam zorgvuldig.

Vervolgens dienen de cryptography-modules te worden geïnstalleerd. Deze modules bepalen hoe de encryptie van gegevens wordt uitgevoerd. De bestanden die deze informatie bevatten, staan op de licentiediskette, zodat Novell niet langer twee verschillende cd’s hoeft te branden.

Extra volumes

3/2.2-8

De volgende stap in de installatie is het aanmaken van extra volumes. Dit is feitelijk noodzakelijk om er zeker van te kunnen zijn dat het SYS:-volume niet volloopt. De beste manier om hiervoor te zorgen is om SYS: gewoon niet te gebruiken voor andere dingen dan dat NetWare er zelf op doet.


NetWare

Pool

De ruimte die op deze 4-Gb-schijf nog beschikbaar is, na het aanmaken van een DOS-partitie en het SYS:-volume, laten we nu even vrij, want ook de volumes worden anders aangestuurd dan voorheen. Volumes worden namelijk in een pool geplaatst. Door meerdere volumes in dezelfde pool te plaatsen, maken deze volumes gezamenlijk gebruik van de beschikbare ruimte. Vanuit veiligheidsoogpunt heeft volume SYS: zijn eigen pool, voor de rest van de schrijfruimte kunnen we dit helemaal zelf bepalen. Configureren van deze pools en de volumes die daarin vallen, wordt gedaan vanuit ConsoleOne als de installatie helemaal klaar is.


3/2.2-9


Na het activeren van de volumes dienen we het netwerk te configureren. De instellingen die we hier moeten doen, zijn feitelijk nog hetzelfde als bij de installatie van NetWare 5. Voer een geldig IP-adres en subnetmask in en voeg een router toe. Ook het invoeren van de DNS-informatie verloopt op een soortgelijke wijze als het installeren binnen NetWare 5. Gelukkig is er nu wel de mogelijkheid om de optie ‘verify the eDirectory information’ uit te zetten. Bij NetWare 5 ging de installatieprocedure nog ruim een minuut op zoek naar de DNS-servers om de informatie ook daadwerkelijk te controleren, maar vaak was deze informatie nog helemaal niet opgenomen in de DNS en verscheen er uiteindelijk een foutmelding.

Tijdzone

Na de installatie van het netwerkgedeelte dient te worden aangegeven in welke tijdzone de server gaat opereren. Het gebruik van tijdzones is noodzakelijk, aangezien een eDirectory-tree in principe wereldwijd kan worden gebruikt. De tijdzone zorgt ervoor dat de server naar gebruikers toe altijd de lokale tijd kan weergeven, maar dat servers onderling allemaal dezelfde (UTC-) tijd kunnen gebruiken. In het volgende scherm dient te worden aangegeven of de server in een nieuwe tree wordt geïnstalleerd of wordt toegevoegd aan een reeds bestaande tree. Als een reeds

3/2.2-10


NetWare

bestaande tree wordt gebruikt, dient hierop te worden ingelogd door een gebruiker met administrator-rechten. Als een nieuwe tree wordt aangegeven, wordt een vergelijkbaar scherm getoond, waarop echter ook een tree-naam en de naam en het wachtwoord van de administrator moeten worden ingevuld.

Licenties

Na een kort overzicht van de gekozen eDirectory-gegevens wordt nogmaals gevraagd om de licentiediskette, maar nu ook om daadwerkelijk een licentie toe te voegen. Er is een groot verschil in de manier waarop NetWare 6 met zijn licenties omgaat ten opzichte van de vorige versies. Het proces is in ieder geval een stuk eenvoudiger geworden. Voor de licenties is alleen het aantal gebruikers bepalend, ongeacht op hoeveel servers deze gebruikers werken. Iedere gebruiker die inlogt krijgt dynamisch een licentie toegewezen en behoudt deze licentie voor 90 dagen; daarna valt de licentie weer vrij voor andere gebruikers. Dit ‘leasen’ van licenties zal wel even wennen zijn, maar in ieder geval hoeven we nu maar één keer na te denken over de licenties en is het mogelijk en toegestaan om een tweede of derde server toe te voegen aan het netwerk.


3/2.2-11


Alle producten

Uiteindelijk dient nog te worden aangegeven welke additionele producten moeten worden geïnstalleerd. Onze voorkeur is om hier altijd alle producten te kiezen, ongeacht of ze ook daadwerkelijk gaan worden gebruikt. Tijdens de installatie maakt die paar minuten extra kopiëren niet echt uit, en als een product echt niet mag worden gebruikt, kan er eenvoudig voor worden gezorgd dat de NLM’s niet worden geladen. Het voordeel is dat bij het uitvoeren van een servicepack ook de niet-gebruikte (maar wel geïnstalleerde!) producten worden geüpdatet, en dat als een product later alsnog moet gaan worden gebruikt, het eenvoudig activeren van de NLM’s voldoende is. Net als bij de installatie van NetWare 5 zal de installatieprocedure voor een aantal van de onderdelen die geselecteerd zijn, nog extra informatie nodig hebben. Pas als al deze informatie is gegeven, zal de kopieeractie starten. Dit begint bij de informatie die nodig is voor de installatie van op IP gebaseerde services. Ten aanzien van deze services kan worden gekozen om alles over één IP-adres te laten lopen, of voor elke service een eigen adres te gebruiken. Indien het mogelijk is, verdient het aanbeveling om zoveel mogelijk elke service zijn eigen IP-adres te geven. Hierdoor zijn we veel flexibeler als we later (bijvoorbeeld) de Apache-server op een andere server willen laten draaien; als we (later) gaan clusteren, moeten we zelfs meerdere IP-adressen gebruiken. Voor deze installatie is echter slechts één IP-adres gebruikt en u ziet dat door de poortadressen aan te passen, elke service alsnog uniek is te benoemen. Het nadeel van deze methode is waarschijnlijk wel duidelijk: een webbrowser zal niet standaard op poort 52080 zoeken naar de homepage van iFolder.

3/2.2-12


NetWare

Certificaten

Het volgende scherm met informatie wordt alleen getoond als de server de eerste server in een (nieuwe) tree is. Iedere eDirectory-tree bevat namelijk één certificate authority die verantwoordelijk is voor de uitgifte van certificaten. Besteed hier bij het opzetten van een nieuwe tree voldoende aandacht aan. Deze eerste server deelt alle certificaten uit, ook de certificaten die de servers nodig hebben om onderling aan elkaar te authenticeren. Bij het verwijderen van deze server uit de eDirectory, dient (handmatig!) een nieuwe certificate authority te worden gemaakt. Overigens, het installatieproces laat hierover, na het invullen van onderstaande gegevens, ook een waarschuwing zien.


3/2.2-13


Clear text passwords

Native File Access

3/2.2-14

Hierna wordt gevraagd of de LDAP-server gebruik mag maken van ‘clear text passwords’. In het installatiescherm wordt al heel duidelijk gewaarschuwd voor het gevaar als clear text passwords worden toegestaan: iedereen die met een protocol analyzer de informatie kan zien die van de client naar de LDAP-server loopt, kan achter de username en het password van gebruikers komen als deze inloggen op de LDAP-server. Toch kan het soms noodzakelijk zijn om clear text passwords toe te staan. Niet alle applicaties ondersteunen namelijk het inloggen op een LDAP-server met gebruik van encryptie. Een voorbeeld hiervan is het product iFolder. Als iFolder gebruik gaat maken van de LDAP-server die op deze fileserver gaat draaien, móét clear text passwords worden toegestaan. Omdat iFolder ook wordt geïnstalleerd op deze server, worden clear text passwords op deze server toegestaan.

Een van de mooie nieuwe functionaliteiten van NetWare 6 is de mogelijkheid om het filesysteem te gebruiken vanaf een Windows-, UNIX- of Apple-computer zonder een Novell-client te installeren. Aangezien we alle producten hebben geselecteerd bij de installatie, wordt ook Native File Access geïnstalleerd. De installatieprocedure gaat ervan uit dat als Native File Access wordt geïnstalleerd, dit ook voor alle beschikbare platforms moet worden geactiveerd.


NetWare

Alleen voor de Windows-implementatie van Native File Access dient hierna in vijf extra schermen nog verdere informatie te worden gegeven. Native File Access voor UNIX en voor de Macintosh behoeven geen verdere configuratie.

Servernaam

Het eerste informatiescherm van de Native File Access for Windows dient om de servernaam aan te geven waaronder de NetWare-server zich gaat adverteren op het Microsoftnetwerk. De defaultkeuze voor de servernaam is de syntax server_win. Enige uitzondering hierop is als (zoals hieronder) de servernaam langer is dan 7 tekens. Het achtervoegsel _win wordt dan afgekort of zelfs helemaal weggelaten. Uiteraard mag hier ook een volledig afwijkende naam voor de server worden aangegeven. Ook het commentaar is volledig vrij in te vullen.

Hierna dient u aan te geven op welke manier de authenticatie dient te verlopen. De defaultkeuze (local) is om de gegevens van de eDirectory te gebruiken en de server zich als een workgroup member te laten adverteren, maar het is ook mogelijk om een domain controller op te geven waar de authenticatie moet worden gedaan.


3/2.2-15


Eventueel kan hierna worden aangegeven om de machine alleen op bepaalde interfaces te laten adverteren. De default is om alle netwerkkaarten die in de machine zitten te gebruiken. Als dit niet wenselijk is (omdat de machine bijvoorbeeld met een netwerkkaart aan internet zit), kan per netwerkkaart afzonderlijk worden aangegeven of Native File Access beschikbaar is. In totaal kan dit dan voor zes netwerken worden gedaan. In praktijk zal dit altijd ruim voldoende zijn, zeker omdat het voor veel installaties waarschijnlijk geen (beveiligings)risico is om alle kaarten te gebruiken.

Het volgende scherm voor de configuratie van Native File Access for Windows kan worden gebruikt als niet elk volume als een share mag worden gebruikt. De default is dat elk volume als share wordt aangeboden; wat toegestaan is op een volume wordt dus alleen beperkt door de

3/2.2-16


NetWare

filesysteemrechten die u hebt. Indien wenselijk kan van deze default worden afgeweken als er volumes zijn die beslist níét mogen worden getoond.

Indien ervoor is gekozen om de authenticatie via eDirectory te laten verlopen (local authenticatie), kan op dit moment nog worden aangegeven in welke eDirectorycontainers naar gebruikers mag worden gezocht. Omdat de Windows-implementatie gebruikmaakt van een platte database, is de volgorde waarin u de containers opneemt van belang voor het eindresultaat – voor het geval er dubbele namen in de eDirectory mochten voorkoBindery-emulatie men. De afhandeling is hetzelfde als bij bindery-emulatie: het eerste object telt en als objecten met dezelfde naam in later genoemde containers bestaan, worden deze niet gebruikt.


3/2.2-17


WebAccess

Na de configuratie van Native File Access moet een van de nieuwe features van NetWare 6 worden geconfigureerd: WebAccess. WebAccess is een uitgeklede versie van het product portal services. Portal services dient niet te worden verward met de management portal zoals die bij NetWare 5.1 werd meegeleverd. Deze functionaliteit (maar dan uitgebreid) configureren we straks nog onder de nieuwe naam iManage. De reden voor deze naamsverandering is dat de twee oude namen (Novell portal services en de management portal) te veel op elkaar lijken.

WebAccess kan op dit moment met een drietal gadgets worden uitgerust (een gadget is een stuk informatie in een portal service): de mail-, print- en file-gadget. Met name de mailgadget is behoorlijk uitgebreid, omdat hier kan worden gekozen tussen verschillende mailsystemen. Dit zijn natuurlijk de Novell-producten GroupWise en NIMS, maar daarnaast ook Lotus Notes en Microsoft Exchange. Hiermee wordt het overgrote deel van de mailsystemen gedekt, maar als het echt niet anders kan, kan zelfs worden gekozen voor een generiek web-based mailsysteem.

3/2.2-18


NetWare

De print- en file-gadget kunnen verder niet meer worden geconfigureerd. Deze kunnen alleen worden geactiveerd en de URL kan worden aangepast.

iFolder

Een andere nieuwe functionaliteit binnen NetWare 6 is iFolder. iFolder maakt het mogelijk om via een normale HTTP-verbinding op een veilige manier documenten te synchroniseren tussen (bijvoorbeeld) een portable systeem en het centrale systeem. Deze overdracht is volledig encrypted en zeer efficiënt. Voor de gebruiker heeft dit het voordeel dat, indien de portable bijvoorbeeld wordt gestolen, de gegevens in elk geval gemakkelijk zijn terug te halen; de beheerder kan de gesynchroniseerde gegevens weliswaar niet lezen, maar hij kan wel back-uppen. De installatie is eenvoudig: slechts vier gegevens invullen voor dit krachtige hulpmiddel. Uiteraard is het niet verstandig om de iFolder-opslag op het SYS:-volume te doen. Als drie gebruikers 500 Mb aan gegevens synchroniseren, levert dat ± 1,5 Gb aan data op het SYS:-volume op. De kans op een volgelopen SYS:-volume is dus aanzienlijk.


3/2.2-19


iManage

NetStorage

3/2.2-20

iManage is de webgebaseerde versie van ConsoleOne en moet op termijn ConsoleOne en NwAdmin gaan vervangen. Hiermee wordt het mogelijk om eDirectory-beheer vanaf elk systeem met een webbrowser uit te voeren, ongeacht het operatingsysteem (denk ook aan iPAQ- en Palm-systemen). iManage kan tevens worden gebruikt voor ‘role based management’, wat betekent dat het mogelijk is om een beheerder alleen die gegevens te laten zien die hij ook daadwerkelijk kan aanpassen. Het laatste product dat tijdens de installatie van NetWare 6 automatisch mee kan worden geïnstalleerd, is NetStorage. Ook NetStorage wordt gebruikt om gegevens aan te bieden via een webbrowser. De functionaliteit is vergelijkbaar met de webfolders zoals Microsoft die heeft geïmplementeerd binnen IIS.


NetWare

Na deze laatste invuloefening toont het systeem nog eenmaal de volledige lijst met functionaliteiten die worden geïnstalleerd en begint vervolgens met de uitvoering van de installatie. Uiteraard dient de installatie te worden afgesloten met een reboot van de server. Als u niet vóór de reboot nog aanpassingen hebt gedaan aan de autoexec.ncf, zult u na het opnieuw starten van de server een NetWare 6 server hebben draaien met alle producten zoals deze in bovenstaand artikel zijn opgenoemd. Onze ervaring tot nu is dat het systeem goed stabiel en snel is. Bij de bèta’s II en III waren het feitelijk alleen de echt nieuwe zaken die de problemen gaven. In de final release lijken de meeste problemen netjes te zijn opgelost en dat maakt NetWare 6 een goed alternatief bij een upgrade of bij het vervangen van een systeem van een andere leverancier.


3/2.2-21


3/2.2-22


NetWare

3/2.3

Web portals

Novell houdt steeds meer rekening met voor internet gangbare standaarden. Dat zien we bijvoorbeeld aan een aantal meegeleverde tools waarmee een server kan worden beheerd of benaderd. Op onderstaande afbeelding zien we de standaardwebpagina zoals deze na de installatie van NetWare 6 beschikbaar is. We lopen de verschillende onderdelen kort even na.


3/2.3-1


iFolder iFolder is een file-opslagmechanisme dat via internet aan gebruikers beschikbaar kan worden gesteld. Denk aan laptopgebruikers die vaak op pad zijn maar toch hun bedrijfsinformatie beschikbaar moeten hebben. Alle data op de laptop kan met de server worden gesynchroniseerd, zodat er dus altijd een back-up van wordt gemaakt. Deze data is dan tevens beschikbaar via een webinterface. WebAccess Met NetWare WebAccess kunnen via een webinterface diensten aan gebruikers beschikbaar worden gesteld. Dit zijn bijvoorbeeld de voor de hand liggende file- en printservices, maar ook mail- of adresboeken kunnen eenvoudig toegankelijk worden gemaakt.

IPP

iPrint Boven op de al langer bestaande Novell Distributed Print Services is iPrint gebouwd. Met standaard-internettechnieken, het Internet Printing Protocol (IPP), kunnen gebruikers van over de hele wereld printers gebruiken op een veilige en comfortabele manier. Via een webpagina kunnen gebruikers op een plattegrond de juiste printer aanwijzen en direct gebruiken. Remote Manager De overigens nog steeds aanwezige monitor.nlm heeft inmiddels een waardige opvolger gekregen in de vorm van de NetWare Remote Manager. Hiermee kan alles wat we maar willen worden bekeken, tot aan de serverconsoleschermen toe. Apache/Tomcat Apache is bij NetWare 6 de standaardwebserver. Met speciaal voor de NetWare-omgeving geschreven modules kan

3/2.3-2


NetWare

van specifieke zaken zoals de NDS worden gebruikgemaakt. Tomcat is een servletcontainer voor JavaServlet- en JavaServer-technieken. Samen vormen zij de basis voor veel van de webservices. NetStorage NetStorage is een webinterface naar het NetWare-filesysteem: via internet kunnen gebruikers bij hun bestanden. iManage iManage is een browsergebaseerde tool om DHCP, DNS, iPrint, Licenses en de NDS te beheren. Hiervoor kunnen ook rollen worden aangemaakt om verschillende personen beperkte bevoegdheden voor het vervullen van bepaalde taken te geven. Enterprise Web Server Dit is de van Netscape afkomstige webserver die standaard met NetWare 6 wordt meegeleverd. 3/2.3.1 NetWare Remote Manager Waar vroeger de server met monitor.nlm, al dan niet via een remote-consolesessie, in de gaten werd gehouden, kunnen we tegenwoordig met een webbrowser een compleet serverpark in de gaten houden. De NetWare Remote Manager (NRM) is een meer dan volwaardige opvolger. Server utilization, memory maps, het resetten van connecties is mogelijk, zelfs de consoleschermen kunnen worden bekeken. Installatie en configuratie De NRM wordt standaard geïnstalleerd door de installatieprocedure van NetWare 6. In de autoexec.ncf zijn de volgende regels te vinden:


3/2.3-3


nile.nlm load httpstk.nlm /SSL /keyfile:"SSL CertificateIP" load portal.nlm

De laatste regel is de NRM zelf, terwijl de andere twee de communicatie met de browser verzorgen. Het laden van nile.nlm (Novell Secure Sockets Services) zorgt voor het automatisch laden van de Public Key Infrastructure NLM's. Deze zijn nodig om een SSL-verbinding op te kunnen bouwen. Httpstk.nlm (de HTTP-interfacemodule) wordt vervolgens geladen met de optie om ook daadwerkelijk van SSL gebruik te maken; het juiste certificaat zoals dat zich in de NDS bevindt, wordt aangegeven. Er zijn echter nog meer opties om aan httpstk.nlm mee te geven. Ze zijn op te vragen door het commando ''httpstk /?" uit te voeren. De volgende opties worden onthouden, en springen na een herstart van de NLM of de server niet terug naar de defaultwaarden: /PORT:<poortnummer>

/ALTPORT:<poortnummer> /SSLPORT:<poortnummer> /LOGGER /NOLOG /SSL /KEYFILE:

3/2.3-4

Definieert de standaardpoort waarop verbinding kan worden gemaakt met de portal. Default is dit 80. Definieert een tweede poort waarop verbinding kan worden gemaakt. Default is dit 8008. Definieert de poort waarover de SSL-communicatie verloopt. Default is dit 8009. Activeert de HTTP logger. Deactiveer de HTTP logger. Activeert SLL voor alle geauthentificeerde toegang. Verwijst naar het sleutelmateriaal zoals dat is opgeslagen in de NDS.


NetWare

De volgende opties moeten iedere keer, indien nodig, worden meegegeven: /RESET /SSLALWAYS /CLEARFILTER /HOSTIDS:0|1

Reset alle bovenstaande opties naar hun defaultwaarden. Activeert SSL ook voor niet-geauthentificeerde toegang. Verwijdert de IP-filters die ter beveiliging kunnen worden gezet. Gebruikt IP-adressen (0) of hostnamen(1) op plekken waar een URL wordt gegenereerd.

Met portal.nlm kunnen de volgende opties worden meegegeven: /REGEDIT Activeert de mogelijkheid om de NetWare Registry te wijzigen. /BUTTONS Als de NRM eenmaal draait, kunnen we nog meer configureren, maar hiervoor moeten we wel eerst inloggen. U gaat hiervoor met een browser naar poort 8008 van de desbetreffende server en logt-in. Als alles goed is gegaan, is het scherm uit onderstaande figuur zichtbaar.


3/2.3-5


Dit scherm bestaat uit een aantal delen. In het bovenste frame zien we een stoplicht naast de servernaam, dat een indicatie geeft van het aantal parameters van de server. 3/2.3-6


NetWare

Rood betekent dat er een aantal waarden boven een kritische grens staan. Oranje geeft een lichte verhoging aan terwijl groen uiteraard betekent dat alles in orde is. In hetzelfde frame zien we een viertal buttons: volumes, de health-monitor, opties en uitloggen. Links zien we een menu met een groot aantal keuzes.

Aanpassingen

Wanneer we kiezen voor configuratie, dan kunnen we de volgende aanpassingen doen: • View Hidden Set Parameters (default: no). • View Hidden Console Commands (default: no). Met deze opties worden verborgen setparameters of consolecommando's al dan niet zichtbaar gemaakt in de NRM of op de serverconsole. Voor het gebruik van deze verborgen commando’s maakt het niet uit of ze zichtbaar zijn. • View Hidden Files or Folders (default: no). • View System Files or Folders (default: no). Laat al dan niet verborgen bestanden of directory’s zien met de NRM of op de console. Ditzelfde kan worden ingesteld voor System-files en -directory’s. • Enable Accessibility Options (default : no). Standaard kan het automatisch verversen van verschillende monitorpagina's met een druk op een button worden geactiveerd. Door deze optie te activeren, moeten de pagina's handmatig worden ververst. Deze optie heeft geen invloed op de e-mailnotificatie-instellingen. • Restart NetWare Remote Manager (PORTAL.NLM). Met één druk op de knop kan de portal NLM opnieuw worden opgestart. Dit kan bijvoorbeeld nodig zijn na het veranderen van instellingen of na een update van de portal.nlm. • Enable Emergency Account (SADMIN user) and Set Password.


3/2.3-7


•

• •

• Inhoud logfile

• •

3/2.3-8

Disable Emergency Account (SADMIN user) and Clear Password. Een handige optie voor noodgevallen. Het is namelijk mogelijk een account aan te maken waarmee in de portal kan worden ingelogd. Dit account wordt niet opgeslagen in de NDS, wat dan als voordeel heeft dat dit account ook kan worden gebruikt bij NDS-problemen. Het moge duidelijk zijn dat dit account dan ook per server moet worden geactiveerd. Turn Debug Screen On/Off (Default: Off). Turn Logger On/Off (Default: Off). Bij het oplossen van problemen met de HTTP stack op de server kunnen deze opties handig zijn. Alle connecties worden met timestamps gelogd naar respectievelijk het consolescherm of de file SYS: httplog.txt. View Current HTTP Log File. Met deze button wordt de inhoud van de logfile getoond. Uiteraard is het mogelijk de logfile ook op een andere manier te bekijken, maar behalve het feit dat deze file open wordt gehouden door de NLM, is het ook handiger om hem met de NRM te bekijken; de informatie wordt in een handige tabel getoond. In deze tabel zijn onder andere de datum en tijd, het soort verzoek (van gebruiker of server), een beschrijving, het verzoekende IP-adres en de status te zien. Reset Current HTTP Log File. Deze optie leegt de logfile en opent deze opnieuw. Log Only Errors to Log File. Deze optie bepaalt of alleen errors of alle verzoeken in de logfile terechtkomen. In het geval van debuggen is het vaak handig om alle info in de file terecht te laten komen. Voor dagelijks gebruik zijn we waarschijnlijk meer geïnteresseerd in de fouten.


NetWare

•

• • • •

•

•

HTTP Log File Rollover Size (default: 8 Mb). Hiermee wordt de maximale grootte van de logfile bepaald. Op het moment dat de logfile ‘vol’ is, wordt deze automatisch geleegd. Deze optie is bijzonder handig, omdat anders het risico groot is dat het SYS:volume volloopt. Change Default Port (Default : 81). Zet de standaardpoort voor de NRM http-interface. Change Alternate Port (Default : 8008). Zet het tweede poortnummer. Change SSL Port (Default : 8009). Verandert de standaard-SSL-poort van de NRM. Change Minimum Startup Threads (Default : 32). Geeft de hoeveelheid threads aan die bij het opstarten van de httpstk.nlm moeten worden gecreëerd. Minimaal worden er twee threads gealloceerd om te luisteren naar verzoeken en per server/werkstationsessie komt er één bij. Deze worden dynamisch aangemaakt, maar door bij het opstarten al extra threads te reserveren, is de response iets hoger. Change TCP Keep Alive (Default: 300 seconds). Dit is de standaard-TCP/IP keep alive-waarde. Normaal gesproken is er geen reden om dit te veranderen. Access IP Address Access Control Page. Deze button opent een nieuw scherm waar IP-adressen of -adresreeksen kunnen worden opgegeven. Wanneer dit is gedaan, kan de NRM alleen vanaf deze stations worden benaderd. Hiermee wordt een extra stukje beveiliging gecreëerd. Let op! Het is dus mogelijk dat we onszelf buitensluiten. Om alle filters dan te verwijderen, moet de optie /CLEARFILTER met httpstk.nlm worden meegegeven.


3/2.3-9


•

•

Access Mail Notification Control Page. Op deze pagina kan de notificatie per e-mail van kritieke gebeurtenissen worden geregeld. Er kunnen twee mailservers, een afzender en een lijst van ontvangers ingesteld worden. Voor de mailservers (minimaal 1) kan een (GroupWise) SMTP-server worden opgegeven. E-mailnotificatie wordt gebruikt bij het monitoren van een aantal serverparameters. Restart NetWare HTTP Interface Module (httpstk.nlm). De veranderingen aan de HTTP Interface-module worden niet direct geactiveerd. Hiervoor moet deze worden herstart. Wanneer wijzigingen aan de poortnummers zijn gedaan, mogen we niet vergeten de browser naar deze nieuwe poorten te laten verwijzen.

Tip Op het moment van schrijven heeft Novell net een patch gemaakt voor een gevonden vulnerability. Wanneer een heel lange usernaam of password wordt gegeven bij het inloggen in de NRM, kan de server in een abend schieten. Nog onduidelijk is of er ook code naar wens kan worden uitgevoerd. In elk geval heeft Novell de patch beschikbaar op http://support.novell.com/servlet/tidfinder/2962026.

3/2.3-10


NetWare

3/2.4

NetWare 6 en IP

Een van de grootste veranderingen in NetWare 5.0 en haar opvolgers is de introductie van IP als primair netwerkprotocol voor zowel de client als de server. Vóór de introductie van NetWare 5 kenden we weliswaar al NetWare/IP, maar dit was een add-on-product, wat betekent dat het IPprotocol niet in de kernel van het operating system was opgenomen – waardoor de schaalbaarheid en de performance onder druk stonden.

Redenen om over te schakelen

Nu zijn er wereldwijd een groot aantal NetWare-servers die nog op IPX draaien en bij menigeen zal de vraag rijzen waarom er toch zo nodig overgegaan moet worden op IP. Waarom overstappen als alles werkt? Weliswaar is IPX op zichzelf een efficiënt en veilig protocol, maar er zijn toch een aantal zwaarwegende redenen om over te schakelen op IP. De belangrijkste daarvan zijn: 1. De wens om in het netwerk slechts één protocol te hebben in plaats van meerdere. Hierbij moet met name aan de beheerslast worden gedacht en de inefficiëntie van de verschillende verkeersstromen. Door de opkomst van internet is IP inmiddels een ingeburgerd protocol op de desktop en bovendien moeilijk te vervangen. 2. Het routeren van IPX over WAN-verbindingen is erg lastig en complex, terwijl dit op basis van IP erg makkelijk is. 3. Afname van support van leveranciers van randapparatuur, zoals printers, netwerkswitches, et cetera. 4. Het IPX-protocol kent in de huidige structuur geen ondersteuning voor multi-processors en IP wel. Ook de verandering van Novell van een productgeoriënteerde fabrikant naar een oplossingsgerichte leverancier


3/2.4-1


speelt een rol in dit proces. Bij een aantal producten werken bepaalde eigenschappen alleen nog maar op basis van het IP-protocol. Een goed voorbeeld daarvan is het herverbinden van een client aan een Novell-cluster. Novell heeft sinds de introductie van NetWare 5 een aardige tijd kunnen bouwen aan een goed werkende TCP/IP-stack en heeft die met vallen en opstaan bereikt. In NetWare 5 was IPX nog niet helemaal uitgebannen, maar inmiddels zien we in NetWare 6 een volledige, oorspronkelijke implementatie van TCP/IP. In deze nieuwe stack wordt onder meer het volgende ondersteund: • load balancing en fouttolerantie op netwerkkaartniveau; • selective acknowledgement (SACK) en Large Windows; • dead-gateway-detectie en ondersteuning van meerdere default gateways; • pad-MTU-black-hole-detectie en recovery van TCPconnectie; • bescherming tegen SYN, FIN en andere gelijksoortige denial-of-service-aanvallen. Deze laatste stack is op de gangbare plekken te downloaden (onder meer http://support.novell.com). In servicepack 4 van NetWare 5.1 van januari 2002 zit ook deze nieuwe stack. Waar te vinden? De TCP/IP-stack is terug te vinden in de volgende NLM's: • TCP.nlm, de transportlaag voor TCP en UDP; • TCPIP.nlm, zorgt voor IP, ICMP, IGMP en routering; • BSDSOCK.nlm, zorgt voor de BSD-standaardporten;

3/2.4-2


NetWare

•

NETLIB.nlm, de bibliotheek van de hele stack van bovenstaande bestanden, voor zowel de beveiligde als de niet-beveiligde versie.

Deze NLM's zijn standaard te vinden in SYS:system op een NetWare-server. Multiprocessors De TCP/IP-software in NetWare 6, in principe vanaf servicepack 1, ondersteunt volledig multiprocessors. Bovendien kan ze multi-threaded aangestuurd worden. In NetWare 5.1 (ook met servicepack 4) is dit niet het geval. Door deze ondersteuning werkt de TCP/IP-stack op elke willekeurige processor. Hierdoor wordt de schaalbaarheid en de performance verbeterd. Configuratieprogramma’s Op dit moment is de configuratie van de TCP/IP-stack ondergebracht in: • Inetcfg.nlm, voluit Internetworking Configuration genoemd. Deze wordt gebruikt voor het configureren van netwerkkaarten, protocollen en de bindings daarvan; • TCPCFG.nlm. Deze wordt eveneens gebruikt voor het configureren van de TCP/IP-stack. Verder kan er middels setcommando’s of het met de hand laden van netwerkdrivers het nodige rechtstreeks vanaf het console worden geregeld. Op dit moment is er nog geen webgebaseerde oplossing voor het configureren van de TCP/IP-stack, maar gezien het streven van Novell om al haar oplossingen via het webbeheer te maken, zal deze er op termijn ongetwijfeld komen.


3/2.4-3


Monitorprogramma’s en diagnostische programma’s Met de voorgaande versies van NetWare werd standaard al IPXPING.nlm en PING.nlm meegeleverd, waarmee kon worden gekeken of andere machines in het netwerk bereikbaar waren. Bij NetWare 6 wordt een nieuw gereedschap meegeleverd, namelijk IPTrace. IPTrace maakt het mogelijk om een aantal zaken gedetailleerder te bekijken, zoals bijvoorbeeld de TTL-waardes. De statistieken van de netwerkkaarten en de TCP/IP-stack zijn terug te vinden in Monitor.nlm en TCPCON.nlm. Standaardpoorten die in gebruik zijn Bij NetWare 6 worden de volgende poorten van de TCP/IPstack voor de volgende processen gebruikt: Proces

Poort(en)

AFP Apache webserver BorderManager

548 80, 443 21, 119, 443, 1040, 1045, 1959, 7070, 8080, 9090 139 2000 8090 8000 53 389, 636 20, 21 1099 80, 443, 7205 25, 110, 143, 389, 636,

CIFS CsAudit DirXML NDS-to-NDS DirXML Remote Loader DNS EGuide FTP GroupWise Monitor GroupWise WebAccess GWIA 9850 iChain iFolder

3/2.4-4

2222 80, 389, 443, 636


NetWare

Proces

Poort(en)

iMonitor iPrint LDAP Licensing (NLSRUP) LPR Media Server MTA NAS NetDevice NCP NetWare GUI NetWare WebAccess (NetWare 5.x) News Server NFS NIMS

80 443, 631 389, 636 21571 u, 21572 515 554 3800, 7100, 7180 2222 524 9000, 9001 80 119 20, 111, 2049 25, 80, 81, 110, 143, 389, 443, 444, 465, 636, 689, 993, 995 1242

NMAS (NetWare 5.x) Novonyx Web Server NRM NTP NWIP POA Portal Services Radius Remote Console DOS Remote Console Java SCMD SLP SNMP Telnet Tomcat VPN


80, 443 80, 81, 8008, 8009 123 396 1677, 2800, 7101, 7181 80, 443, 8080 1812 2034 2034, 2036, 2037 2302 427 161 23 8080 213, 353, 2010

3/2.4-5


Proces

Poort(en)

ZFD 3 ZFS 2

2544, 2638, 5008, 8039 80, 443, 8008, 8009, 1229, 1521, 1600, 2544, 2638, 5008 80, 443, 1229, 1433, 1521, 2638, 8089, 65443

ZFS 3.2

Hierbij zijn we uitgegaan van een default-installatie van bovengenoemde applicaties. Bij een groot aantal applicatie kan ook een andere poort worden gebruikt. Apache webserver kan bijvoorbeeld in plaats van op standaardpoort 80 ook op poort 8080 worden geladen. Als de webpagina’s echter moeten worden opgehaald, zal dit in de browser moeten worden meegegeven. Bijvoorbeeld: http://ikwel.ditvoordoen.nl:8080/. Geeft u dit niet mee, dan wordt er standaard naar poort 80 gekeken en draait er niets.

3/2.4-6


2 NetWare 6 installatie

Recommend Documents