Installatie, configuratie en beveiliging van een Client-Server computernetwerk

Installatie, configuratie en beveiliging van een Client-Server computernetwerk Benny Rossaer 2001 - 2002

Eindwerk Benny Rossaer Ciamberlanidreef 70 Bus 3 9120 Beveren E-mail : [email protected] Monteur/hersteller van PC en randapparatuur LO/LV-nr: 4510/1100/02 Brugsken 27 B2 9100 Sint-Niklaas Tel: 03/7802029 Fax: 03/7070701 E-mail: [email protected]

CMO Waasland Hogekouter 1 9100 Sint-Niklaas

INTRODUCTIE EN DOELSTELLING Het zou dom zijn U dit eindwerk te presenteren zonder vooraf een duidelijke doelstelling op te geven, een afbakening van de grenzen tot waar de documentatie in dit werk zich beperkt. Zoals U wellicht weet, zijn de mogelijkheden van de personal computers in de voorbije jaren zo uitgebreid geworden, dat men met gemak een boek van meer dan duizend pagina’s kan schrijven over aspecten die hier slechts een hoofdstuk zijn. Ik heb besloten om een algemeen overzicht te maken van de installatie van een compleet computerpark bestaande uit 21 pc’s (20 werkstations en één server), inclusief de voorafgaande offerte, installatie, configuratie en opvolging van dit project. Hierbij heb ik vooral aandacht geschonken aan zaken zoals beveiliging en stabiliteit. Wanneer iemand zonder voorkennis dit eindwerk doorneemt, zal hij of zij niet over voldoende kennis beschikken om bijvoorbeeld te slagen voor een Microsoft MCSE-examen; doch hij of zij zal wel in staat zijn om een Windows 2000-netwerk te installeren, te beveiligen en te onderhouden. Verder legt dit dossier vooral de nadruk op de praktische kant van deze installatie, zodat het in feite kan gebruikt worden als een handleiding voor het opbouwen van een soortgelijk computerpark. Natuurlijk is ook de noodzakelijke theoretische documentatie opgenomen. De installatie en configuratie van dit project vindt plaats in het bedrijf XSOFT BVBA. XSOFT BVBA heeft als hoofdactiviteit het ontwerpen van kantoorsoftware en websites, en schaft een aantal computers en toebehoren aan voor een nieuwe vestiging. XSOFT BVBA beschikt over een aan informatica te besteden budget van 61300 €, waarvan ongeveer 80% zal besteed worden aan hardware, 16% aan software en 4% aan overige zaken zoals werkuren en kablering. XSOFT BVBA is een fictief bedrijf. Elke eventuele overeenkomst met de realiteit berust op toeval.

Installatie, configuratie en beveiliging van een Client-Server computernetwerk

Benny Rossaer, 2001 – 2002

Pagina 1

INHOUDSOPGAVE Introductie en doelstelling Inhoudsopgave Verklarende woordenlijst 1.

Prijsofferte .................................................................................................................... 8 1.1. Netwerkserver ......................................................................................................... 9 1.2. Werkstations............................................................................................................ 12 1.3. Backupsysteem ....................................................................................................... 13 1.4. Netwerkhardware en kablering................................................................................ 13 1.5. Telenet Internet ....................................................................................................... 14 1.6. Software .................................................................................................................. 14 1.7. Printers .................................................................................................................... 15 1.8. UPS ......................................................................................................................... 16 1.9. Overzicht offerte ...................................................................................................... 17

2.

Assemblage van onderdelen....................................................................................... 18 2.1. Assemblage van server........................................................................................... 18 2.2. Assemblage van werkstations................................................................................. 22

3.

Installatie en configuratie van server ......................................................................... 23 3.1. Introductie tot Windows 2000 Server ...................................................................... 23 3.2. Korte inleiding tot Active Directory .......................................................................... 24 3.3. Korte inleiding tot de Microsoft Management Console (MMC)................................ 24 3.4. Installatie van Windows 2000 Server besturingssysteem ....................................... 25



Pagina 2

3.5. Installatie van stuurprogramma’s ............................................................................ 26 3.6. Installatie van domeincontroller............................................................................... 27 3.7. Installatie en configuratie backup-systeem ............................................................. 32 3.8. Wijzigen van Administrator-wachtwoord ................................................................. 32 3.9. Configuratie van RAID 1-systeem voor opstartschijven (IDE)................................. 33 3.10. Configuratie van RAID 5-systeem voor dataschijven (SCSI) ................................ 36 3.11. Delen van dataschijf .............................................................................................. 39 4.

Installatie software op clients ..................................................................................... 40 4.1. Installatie en configuratie Windows 2000 ................................................................ 40 4.2. Mirrors maken met Norton Ghost 2002 ................................................................... 41

5.

Netwerkinstallatie......................................................................................................... 42 5.1. Naamgeving van clients en server .......................................................................... 42 5.2. Netwerkprotocols..................................................................................................... 42 5.3. Bepalen en configureren van netwerkinstellingen................................................... 43 5.4. Instellen van netwerkstation .................................................................................... 48 5.5. Installatie printers .................................................................................................... 48 5.6. Een gedeelde map beveiligen ................................................................................. 50 5.7. Aanmeldingsscript maken en instellen .................................................................... 52 5.8. Inleiding tot groepsbeleid: Logboeken..................................................................... 55 5.9. Overzicht netwerkomgeving .................................................................................... 57

6.

Installatie van Telenet Internet op Server .................................................................. 58

7.

Installeren van software-updates op Server.............................................................. 60



Pagina 3

7.1. Via de site Windows-Update ................................................................................... 60 7.2. Installeren van hotfixes............................................................................................ 61 7.3. Microsoft Security Notification Service .................................................................... 62 8.

Installatie en configuratie Microsoft ISA-Server 2000 .............................................. 63 8.1. Wat is ISA Server? .................................................................................................. 64 8.2. Installatie Microsoft ISA Server 2000 ...................................................................... 65 8.3. Configuratie Microsoft ISA Server 2000 als webproxy ............................................ 67 8.4. Configuratie van Microsoft ISA Server: instellen van beveiligingsbeleid................. 71 8.5. Installatie van firewall op clients .............................................................................. 80

9. Installatie Norton AntiVirus Corporate Edition ............................................................ 81 9.1. Antivirusbeleid bepalen .......................................................................................... 82 9.2. Installatie van Symantec System Center................................................................ 83 9.3. Installatie van Norton AntiVirus voor Server........................................................... 84 9.4. Installatie van Norton AntiVirus voor clients ........................................................... 85 9.5. Configureren van Antivirus systeem ....................................................................... 86 10. Installatie van UPS-software ........................................................................................ 94 11. Totaaloverzicht van installatie ..................................................................................... 97 11.1. Dossier aanleggen van de installatie .................................................................... 98 12. Inloopperiode ............................................................................................................... 99 12.1. Installatie Internet Explorer 6.0 op clients ............................................................. 99 12.2. Mogelijke uitval van hardware............................................................................... 99 Bronnen en Disclaimer ....................................................................................................... 100



Pagina 4

VERKLARENDE WOORDENLIJST Active Directory Active Directory is een zogenaamde “directory service” en houdt een database van objecten op het netwerk bij, zoals gebruikers, computers, printers, enzoverder. Zie hoofdstuk 3.2 voor meer informatie. Backplane Een printplaat die sloten bevat waar apparaten op kunnen worden aangesloten. In dit eindwerk gebruiken we een SCSI backplane waar drie SCSI-schijven op worden aangesloten. Backupsysteem Een systeem (meestal een intern of extern computeronderdeel in combinatie met een softwarepakket) dat niets anders doet dan reservekopie’s maken van de gegevens op de harde schijf. Wanneer er dan ooit een probleem is met de harde schijf en/of de software daarop (denk bijvoorbeeld aan een virus), kan men nog steeds terugvallen op het backupsysteem om de gegevens terug te halen. Een veel gebruikt medium voor backups of reservekopie’s te maken is een tapedrive, een station dat met verwisselbare cassettemediums werkt. Bandbreedte

Bandbreedte staat voor het aantal gegevens dat kan worden verzonden en ontvangen over het netwerk binnen een bepaalde tijdsspanne. Hoe groter de bandbreedte van een netwerk, hoe hoger de capaciteit en de snelheid. Bit, Byte, Kilobyte, Megabyte Afkorting van Binary digit: de allerkleinste informatie-eenheid in computertaal. Een bit kan enkel een nul of een één zijn (ja of nee), 8 bits bij elkaar is een byte. Een kilobyte is dan weer 1024 byte, terwijl een megabyte 1.048.576 byte is. Bugfix (of patch) Een klein programmaatje dat in staat is om een bug (programmafout) in een ander programma, zoals Windows of Office, op te lossen. Bugfixes worden meestal beschikbaar gesteld via de website van de producent. Een ander woord voor een bugfix is een patch. Burn-in test Een test die gebeurt vlak na de montage en software-installatie van een computersysteem, om te bepalen of het systeem al dan niet goed werkt en alle eventuele (hardwarematige) problemen op te lossen. Domein Een groep computers die deel uitmaken van een netwerk en gebruik maken van een gezamenlijke database met gebruikersgegevens (accounts). Deze database wordt bijgehouden door een computer die domeincontroller wordt genoemd. Elk domein heeft een specifieke naam. Zie hoofdstuk 3.6 voor meer informatie. Ethernet Ethernet is een standaard die sinds 1973 door Robert M. Metcalfe en vele anderen ontwikkeld wordt, en is een bijzonder populaire LAN-architectuur. Er zijn verschillende variaties in Ethernet-netwerken. Deze variaties worden



Pagina 5

over het algemeen topologieën genoemd, zoals een fysieke stertopologie voor het netwerk in dit eindwerk. Ethernet netwerken zijn meestal bekabeld d.m.v. UTP, coax of, om de geografische reikwijdte te vergroten, glasvezelkabel. Hot swap Onder “hot swap” verstaan we het vervangen van een harde schijf, CD-ROM-station, voeding, of ander apparaat, zonder dat hiervoor de computer uitgeschakeld hoeft te worden. IP-adres Uniek adres in de vorm van getallen, waarmee een computer geïdentificeerd kan worden op het netwerk. Het nummer bestaat uit twee delen: het eerste deel (netwerkadres) bepaalt het netwerk waar het IP-adres voorkomt. Het tweede deel (hostadres) geeft aan welke computer wordt bedoeld. Zie hoofdstuk 5.3.3 voor meer informatie hierover. Protocol Aantal regels en afspraken (stelsel) over de manier waarop iets gedaan moet worden. Bijvoorbeeld alles waaraan twee computers zich moeten houden als ze met elkaar willen communiceren. Zo heeft elke internettoepassing een eigen protocol. Proxyserver Een proxyserver of “webcache” is een server voor Internet die ervoor zorgt dat er sneller gezocht kan worden. De proxyserver bewaart de meest gevraagde informatie (websites) voor een bepaalde tijd en indien er een webpagina wordt opgevraagd, kijkt deze eerst of de betreffende webpagina al eerder door iemand anders is opgevraagd. Is dit het geval, dan staat de webpagina nog lokaal op de proxyserver en krijgt de gebruiker hem razendsnel op zijn of haar pc. Reboot Het opnieuw opstarten van een computer, ook herstart genoemd. Het herstarten van een server is een lastige zaak, aangezien alle clients in het netwerk voor enkele minuten geen gebruik meer kunnen maken van de door de server aangeboden services (vb. internettoegang, gegevensbestanden, programma’s). RAID RAID (Redundant Array of Independent Disks.) is een systeem om de betrouwbaarheid, de prestaties, of beide van een harddiskconfiguratie te verbeteren. Een Raidsysteem bestaat steeds uit twee of meerdere harde schijven. Er bestaan twee soorten Raids: hardwarematig (via een RAID-controller-insteekkaart, of on-board op het moederbord) en softwarematig (met besturingssystemen die RAID ondersteunen, zoals Windows NT 4.0 Server of Windows 2000 Server). Zie hoofdstukken 3.9 en 3.10 voor meer informatie. Router

Een router is een toestel of softwarepakket dat in staat is om verschillende netwerken met elkaar te verbinden. Het grootste verschil tussen een router en een bridge is dat een router in staat is om netwerken met verschillende protocols aan elkaar te koppelen. In hoofdstuk 8 configureren we een softwarematige router (in dit geval verzorgt de router de verbinding tussen het interne netwerk en het Internet).



Pagina 6

SCSI SCSI (uitgesproken als “skoezie”) staat voor Small Computer Systems Interface en is een bus die typisch gebruikt wordt om massaopslag-apparaten te verbinden, zoals in dit geval een aantal harde schijven. De SCSI-bus wordt bestuurd door een SCSI-controller, die ook wel “host adapter” genoemd wordt. Voordeel van SCSI is dat de snelheid en stabiliteit hoger liggen dan een gewone IDE-bus, nadeel is dat zowel de controller als de stations vrij duur zijn. SCSI is de opvolger van de in 1981 ontwikkelde SASI-bus (Shugart Associates System Interface) die in 1986 verbeterd werd tot het krachtigere, flexibelere SCSI-systeem. Script Een klein programmaatje dat bestaat uit een gewoon tekstbestand met een bepaalde extensie, waarvan de regels één voor één als opdrachten geïnterpreteerd en uitgevoerd worden. De taal waarin het bestand geschreven is, wordt bepaald door de extensie van dat bestand (vb. een bestand dat eindigt op .JS zal worden uitgevoerd als een JavaScript-bestand). Stuurprogramma (driver) Een programma dat een besturingssysteem van een computer in staat stelt te communiceren met een bepaald hardwareonderdeel van die computer. Switch Vanuit de netwerkkaart in elke computer vertrekt er een FTP-kabel. Al deze kabels komen samen in de switch, een netwerkschakelapparaat dat in staat is met heel hoge snelheid netwerkverkeer tussen deze kabels door te schakelen. Tevens zijn switches, in tegenstelling tot hubs, gespecialiseerd in het oplossen van knelpunten of bottlenecks in het netwerk. System tray Verzamelnaam voor het rechter gedeelte van de taakbalk in Windows waar, naast de klok, al de icoontjes van het geluid, de virusscanner, en overige geïnstalleerde software staan. TCP/IP Afkorting van Transmission Control Protocol/Internet Protocol, een standaardmethode (protocol) om data over telefoon- of datalijnen betrouwbaar te transporteren tussen twee computers, ontwikkeld door het Amerikaanse Ministerie van Defensie. TCP/IP verzorgt alle communicatie tussen de twee computers. Update Een update is een klein programmaatje dat een bepaalde functionaliteit aan een programma zoals Windows of Office toevoegt. Updates worden echter ook vaak gebruikt als patches of bugfixes, m.a.w. om fouten in programma’s te verhelpen.



Pagina 7

1. PRIJSOFFERTE

De firma XSOFT BVBA dient een prijsaanvraag in voor de installatie van een volledig computerpark met internettoegang voor alle computers en goede beveiligingsmogelijkheden. In overleg met de klant wordt gekozen voor een netwerk met 20 Windows 2000 werkstations en één Windows 2000 server. Er is beslist om Windows 2000 te gebruiken omwille van de hogere stabiliteit ten opzichte van alternatieven zoals Windows 98 of Me. Er wordt gekozen voor een 10/100Mbit Ethernet-netwerk, met als centraal punt een 32-poorts switch. Dankzij een Telenet Pro aansluiting zullen alle computers op dit netwerk toegang krijgen tot het Internet. De server van het netwerk, die we beveiligen met een UPS, zal verschillende functies hebben: ten eerste een bestandsserver (alle werkstations dienen hun gegevens te bewaren op de SCSI-schijven van de server, waarvan dagelijks een backup wordt genomen door middel van een Onstream 60Gb tapedrive), ten tweede een proxyserver en ten derde een firewall. Voor deze laatste twee toepassingen maken we gebruik van het uiterst krachtige pakket Microsoft ISA Server 2000. Vandaag de dag is het natuurlijk niet verstandig om een computernetwerk met het Internet te verbinden zonder dat het uitgerust is met een degelijke virusscanner. Hiervoor kiezen we het programma Norton AntiVirus Corporate Edition. Wat informatica betreft begint de firma XSOFT BVBA als het ware vanaf nul, aangezien er voorheen nog geen computers aanwezig waren. We hoeven dus geen rekening te houden met een eventuele vorige installatie. De hardware van zowel de server als de werkstations in deze offerte voldoen aan de specificaties vastgesteld in de PC 2001 richtlijnen, gezamenlijk ontworpen door Intel Corp. en Microsoft Corp. Deze richtlijnen schrijven voor dat een Windows-compatibele computer minimaal uitgerust moet zijn met onder meer een 667 MHz-processor, 128Kb Cache, 64Mb RAM of 128 Mb voor Windows 2000, ACPI versie 1.0b, en twee USB poorten. Op de volgende pagina’s vindt u een overzicht van alle onderdelen, zowel hardware als software, van deze installatie. Let op dat algemene toepassingssoftware, zoals Microsoft Visual Studio of Microsoft Office, niet in deze offerte inbegrepen is. Het gaat hem enkel over de hardware, besturingssoftware, en beveiligingssoftware. Gelieve op te merken dat alle vermelde prijzen in dit eindwerk eindgebruikerprijzen zijn in Euro, en inclusief 21% BTW.

IN DE PRAKTIJK… In tegenstelling tot wat sommige bedrijven de dag van vandaag doen, koopt XSOFT BVBA alle software legaal aan. De firma beschikt dus over een Windows 2000 Server-licentie met 25 Client Access licenties, 20 Windows 2000 Professional-licenties, een pakket Norton AntiVirus Corporate Ed. voor 25 gebruikers, en een officiële ISA Server 2000-licentie. U denkt misschien dat al deze programmatuur een hoop geld kost, maar als u de grafiek op pagina 17 bekijkt, zal u zien dat de totale kost van de software ongeveer 4,5 keer kleiner is dan die van de hardware.



Pagina 8

1.1. Netwerkserver De server vormt het hart van ons computerpark: dit is de machine waarop alle belangrijke gegevens bewaard worden en waarop alle programmatuur draait. Het is dus van cruciaal belang dat we op deze machine niet bezuinigen en de nadruk leggen op een krachtig, stabiel en goed beveiligd systeem. Hoeveel beveiligingsmaatregelen we ook nemen, deze zijn allen nutteloos als de machine in een ruimte staat die vrij toegankelijk is, waardoor alle gegevens open en bloot staan. Daarom kunnen we onze server achter slot en grendel plaatsen in een 19” kast. LanPro Basic rack Delta S66 - B x D 600mm x 600mm 42 U 1970mm high (art. 206642) De behuizing van de server heeft een 19” vormgeving en past in deze kast. Het scherm, toetsenbord en muis vormen echter wel een probleem. Daarom zijn volgende accessoires beschikbaar:

19” Monitor enclosure “Standard” LanPro Model 10HU voor 17” monitor (art. 100519)

19” Patch Panel Equip Cat.5e (art. 327324) Dankzij deze patchpanelen is het mogelijk om alle kablering ordelijk aan te sluiten. 19” keyboard drawer with trackball LanPro Pull-out, without keyboard (art. 100516)


De onderdelen op deze pagina zijn optioneel en wellicht minder interessant voor kleine bedrijven.


Pagina 9

Behuizing De behuizing voor onze server wordt een Intel SC5100 case. Deze server case beschikt over volgende kenmerken: Vormgeving: Montage van hard disks Overige drives: Voeding:

19-inch, optioneel te monteren in 19-inch rack case Eén backplane voor vijf 80-pins hot swap SCSI drives (uitbreidbaar: twee backplanes voor tien schijven) 6 x 5.25”, 1 x 3.5” (floppy) 350Watt, hot swap, 1+1

Deze case is specifiek ontworpen voor gebruik met de Intel server-moederborden SDS2 en SAI2. Moederbord Bij een server is het type en de kracht van het moederbord natuurlijk van het grootste belang. Daarom kiezen we voor een Intel SAI2 moederbord. Dit is een ATX-moederbord met alles erop en eraan: - Dual-Processor (FCPGA2) - Tot maximaal 4 Gb geheugen ; 133Mhz ECC SDRAM (4 DIMM-slots) - 82559 Intel Pro netwerkkaart on-board (10/100Mbit) - ATI Rage XL on-board VGA 8Mb - Dual ATA/100 IDE-controller - Zes PCI sloten (2 x 64-bit; 4 x 32-bit); geen AGP of ISA-sloten - Compatibel met Intel SC5100 case. Geheugen Aangezien het Intel-moederbord enkel specifiek ECC-geheugen ondersteunt, kiezen we uiteraard voor dit type SDRAM. Totale hoeveelheid geheugen: 1024 Mb (1 Gb) Module’s: 4 x 256Mb 133Mhz ECC (Kingston) Processoren We gaan twee Intel Pentium III 1.4Ghz processoren gebruiken met 512 Kb L2 cache. Het is belangrijk dat we de modellen met 512 Kb cache gebruiken, aangezien de langzamere modellen met 256Kb cache in FCPGA2formaat geen dual-processor configuratie ondersteunen.



Pagina 10

CD-ROM We bouwen een LG 52X IDE CD-ROM-drive in onze server in. Diskettestation Natuurlijk mag een standaard 3.5-inch 1.44Mb floppydrive ook niet ontbreken, in dit geval van het merk Samsung. Harde schijven In de server komen in totaal vijf harde schijven: Maxtor 40 Gb 7200 Rpm x 2 pcs (RAID 1) Deze ATA 133 IDE schijven zullen het Windows 2000 Serverbesturingssysteem bevatten, samen met alle geïnstalleerde programma’s. IBM Ultrastar 36LZX 36.7Gb x 3 pcs (RAID 5) (80-pins) Deze drie Ultra160 SCSI-schijven draaien aan 10000 Rpm en zullen samen alle belangrijke gegevens en documenten van de onderneming bevatten. Raidcontroller Voor het opbouwen van de RAID5-configuratie maken we gebruik van volgende adapterkaart: Adaptec SCSI RAID 2100S Deze 32-bit Ultra160 SCSI Raidcontroller ondersteunt raidniveau’s 0, 1 en 5 en heeft 32 Mb on-board geheugen ter beschikking.

Overige randapparatuur Toetsenbord: Cherry Light Azerty PS/2 Muis: Microsoft Intelli Wheelmouse PS/2 Monitor: LG 700S 17-inch

TOTAALPRIJS SERVER: € 6381,(enkel hardware; werkuren voor configuratie en software niet inbegrepen) Optionele opleg voor 19” Servercase met patchpaneel en 19” accessoires voor toetsenbord en muis: € 1334,-



Pagina 11

1.2. Werkstations De 20 werkstations zullen volgende hardware bevatten: Case Aopen HQ45Pro Blue Miditower 300Watt ATX Moederbord MSI 845Pro2 voor Pentium 4 Processor Intel Pentium 4 1.8Ghz (socket 478) Geheugen: SDRAM 512Mb 133Mhz VGA-kaart ATI Expert2000 32Mb AGP Level One 10/100Mbit network interface card Maxtor 40 Gb 7200 RPM UDMA133 IDE hard disk CD-ROM LG 52X Floppy drive Samsung 3.5-inch 1.44Mb Logitech Cordless Desktop ITOUCH (Azerty PS-2/USB) Monitor: LG Flatron 915FT-Plus 19-inch Deze werkstations beschikken over de noodzakelijke hardware voor het vlot uitvoeren van toepassingssoftware, en zijn met een draadloos toetsenbord en muis en een 19” Flatron-monitor afgestemd op gebruiksgemak. Met hun 1.8Ghz processor en 512 Mb geheugen zijn ze tevens klaar voor de toekomst.

Prijs per computer: € 1829,- incl. BTW

Aopen HQ45 Pro-kast

Logitech Cordless Desktop ITOUCH



LG Flatron 915FT-Plus

Pagina 12

1.3. Backup-systeem Onstream ADR² 60usb Extern Deze USB 2.0-tapestreamer werkt met tapes met een capaciteit van 60 Gb (gecomprimeerd) of 30 Gb (niet-gecomprimeerd). Hij haalt een snelheid van 9 Gb per uur en wordt geleverd met Yosemite TapeWare XE software, die compatibel is met Windows 2000 Server. De tapestreamer wordt aangesloten op de USB 2.0-poorten van het Intel moederbord. Voordeel van dit systeem is dat de drive hot-plugable is, wat inhoud dat hij kan worden aangesloten en ontkoppeld zonder dat de server moet worden uitgeschakeld of herstart. Prijs voor tapedrive: € 1128,Prijs voor 5 tapes van 60Gb/30Gb: € 494,-

1.4. Netwerkhardware en kablering Deze switch bevat 32 poorten waarvan er in eerste instantie slechts 22 van zullen gebruikt worden. Een model met 24 poorten had dus ook volstaan, maar om expansiemogelijkheden naar de toekomst toe open te laten, is gekozen voor 32 poorten. Dit apparaat kan tevens in een serverkast gemonteerd worden dankzij de 19-inch vormgeving. Prijs: € 729,-

Netwerkbekabeling Als bekabeling is gekozen voor categorie 5 FTP-kabel. 2 x Rol patchkabel FTP 100m 25 x RJ45-connectoren Prijs: € 160,-



Pagina 13

1.5. Telenet Internet De facturatie van dit onderdeel gebeurt rechtstreeks naar Telenet en wordt niet door de computerdealer aangerekend. Om een compleet overzicht te bekomen, is dit onderdeel toch in de offerte opgenomen. Installatie Telenet Pro: Aantal PC’s: Installatie: Prijs per maand:

21 € 500,€ 625,-

Tevens is hierin de mogelijkheid inbegrepen tot registratie en hosting van een domeinnaam, en het activeren van mailboxen verbonden aan deze domeinnaam.

1.6. Software Aanschaffing van volgende officiële softwarelicenties: Microsoft Windows 2000 Server NL, OEM Licentie voor 5 clients

Prijs: € 1311,-

4 X Pakket 5 extra gebruikers voor Windows 2000 Server (€ 227,-/stuk)

Prijs: € 908,-

Microsoft Windows 2000 Professional OEM CD NL

Prijs: € 249,- per licentie

Microsoft Internet Security & Acceleration Server, Standaard Editie

Prijs: € 1680,-

Symantec Norton AntiVirus 7.5 Corporate Edition, 25 clients

Prijs: € 1586,-

Windows 2000 Server

Windows 2000 Professional


ISA Server 2000


Pagina 14

1.7. Printers HP LaserJet 2200dn Dankzij zijn hoge snelheid (tot 19 pagina’s per minuut) en hoge kwaliteit (1200dpi) is de LaserJet 2200dn een goede keuze als vrij zwaar gebruikte laserprinter. Groot voordeel is tevens de interne printserver, die de printer ten alle tijden verbindt met het netwerk, zonder dat hiervoor één van de werkstations belast wordt. Tevens heeft dit toestel een infraroodaansturing, die printen vanaf GSM’s, draagbare computers of PDA’s mogelijk maakt. Prijs: € 1260,-

HP Deskjet 1220cse De HP Deskjet 1220cse is een semi-professionele A4 en A3 kleurenprinter die resoluties biedt tot 2400x1200 dpi. Deze printer beschikt over een handige Annuleren-knop, die het mogelijk maakt om een printopdracht ogenblikkelijk te annuleren, zonder de printer uit te schakelen (wat softwarematig soms heel wat problemen oplevert). Prijs: € 500,-



Pagina 15

1.8. UPS Het is geen slecht idee om de server van ons netwerk uit te rusten met een UPS. UPS staat voor "Uninterruptible Power Supply". De hoofdfunctie van een UPS is het overnemen van de stroom wanneer de netspanning uitvalt. Daarnaast zorgt een UPS ook voor een betere kwaliteit van de elektriciteit, die zelden vrij is van storingen.

We kiezen voor de Smart-UPS 1000 VA Black USB van APC, met een vermogen van 670 Watt. Enkel de server wordt aangesloten op de UPS en niet bijvoorbeeld het scherm. Het is immers zo dat, hoe minder apparaten we aansluiten, hoe langer de batterij mee zal gaan bij een stroompanne. Op de 350Watt-voeding van onze server zal dat ongeveer 20 minuten zijn. Moesten we onze monitor (120W) tevens aansluiten, komen we op 470W, wat ongeveer 10 minuten stroom zou voorzien. Met de bijgeleverde software kunnen we, indien gewenst, instellen dat bij een stroompanne de server automatisch op correcte manier wordt uitgeschakeld, zonder dat hier gegevens bij verloren gaan. Zie hoofdstuk 10 voor meer informatie hierover. Een UPS heeft twee grote voordelen: - Langere levensduur van de computer en vooral de voeding door het verhogen van de kwaliteit van de netspanning - Bij een panne kunnen we nog steeds een scherm aansluiten en alle op de server draaiende programma’s (zoals vb. boekhoudsoftware) afsluiten, zodat er geen gegevens verloren gaan.

Prijs: € 602,Opmerking: deze UPS is niet geschikt voor montage in een 19-inch case. Indien dit de bedoeling is, kan u kiezen voor het gelijkwaardige model Smart-UPS 1000 RM 2U, die ongeveer 200 € duurder is.



Pagina 16

1.9. Overzicht offerte Item Server ADR Tapestreamer + 5 tapes APS Smart-UPS 1000 VA Black USB Werkstations LevelOne 19" 32-port 10/100mbps switch Netwerkbekabeling FTP OEM-licentie Windows 2000 Server, 5 clients Pakket 5 extra gebruikers voor Win2000 Server OEM-licentie Windows 2000 Professional Microsoft ISA Server 2000 Standard Symantec Norton AntiVirus 7,5 Corporate Ed. HP LaserJet 2200dn HP Deskjet 1220cse Totaal incl. BTW, z onder werkuren: Werkuren (onder voorbehoud, naar schatting)

Stukprijs Aantal 6381 1 1622 1 602 1 1829 20 729 1 160 1 1311 1 227 4 249 20 1680 1 1586 1 1260 1 500 1

60

50

Totaalprijs in Euro, inclusief BTW:

Prijs 6381 1622 602 36580 729 160 1311 908 4980 1680 1586 1260 500 58299 3000 61299

Telenet-facturatie: Installatie Telenet Pro+ Maandelijkse bijdrage

Werk- 3.000 € -5%

500 625

1 1

500 625

Prijsverhouding offerte

Kablering- 160 € -0% Software- 10.465 € 17%

Hardware Software Kablering Werk

Hardware- 47.674 € 78%



Pagina 17

2. ASSEMBLAGE VAN ONDERDELEN Wanneer de offerte door XSOFT BVBA wordt goedgekeurd en de uiteindelijke bestelbon ondertekend is, kan de assemblage van de computersystemen beginnen. Hoewel deze stap vrij vanzelfsprekend lijkt, mag de noodzaak aan een verstandige montage en grondige burn-in test van de systemen toch niet onderschat worden. Eventuele hardwarematige problemen of conflicten zouden immers bij de installatie van de besturingssoftware voor ernstige problemen zorgen. Tevens is de assemblage van de netwerkserver verschillend van die van een gemiddelde home-PC, dus is het interessant om deze in nader detail te bekijken.

2.1. Assemblage van server Voor het assembleren van de server volgen we de aanwijzingen in de Quick Start-gids bij zowel de case als het moederbord. Op het Intel moederbord hoeven we geen jumpers te verzetten; doch er zijn enkele specifieke connecties tussen dit moederbord en de Intel case, die wel degelijk aandacht vereisen. Voorbeelden hiervan zijn de flatkabel voor het frontpaneel (in plaats van de gebruikelijke afzonderlijke draadjes bij standaard materiaal) en de aansluiting van de SCSI backplane op het moederbord met een kleine, grijze kabel. We merken ook op dat de aansluiting voor de voeding op het moederbord niet standaard is (de connector is langer). Dit moederbord heeft LAN en VGA on-board, dus hier hoeven we geen extra insteekkaarten voor te installeren. We installeren echter wel een tweede netwerkkaart in één van de 32-bits PCI-sloten. We onderscheiden volgende stappen: 1. 2. 3.

Uitpakken van onderdelen en controleren van materiaal Inbouwen van SCSI-schijven in backplane Inbouwen van backplane in de kast



Pagina 18

4. 5. 6.

Inbouwen van IDE-schijven, CD-ROM en diskettestation in de kast, gebruik makend van de voorziene brackets Plaatsen van processoren, koelers en geheugen op moederbord Montage van moederbord en aansluiten van kabels en onderdelen

1: Extra koeling

7: IDE-aansluitingen en flatkabels naar IDE harde schijven, CD-ROM en floppy

2: Voeding 350Watt 1+1 hot swap

8: PCI-sloten 32-bits

3: Voedingsconnector

9: PCI-sloten 64-bits

4: Primaire CPU: Intel Pentium III 1.4Ghz op FCPGA2-socket, met Intel-koeler.

10: Plaats voor montage van CD-Rom en/of harde schijven (in mountingkits)

5: Secundaire CPU: Intel Pentium III 1.4Ghz op FCPGA2-socket, met Intel-koeler

11: Floppy drive (Samsung)

6: Geheugen: 4 DIMM-modules van 256Mb ECCgeheugen (133Mhz)



Pagina 19

7. 8.

Installatie insteekkaarten: SCSI Raidcontroller en extra netwerkkaart Montage van extra koeling en samenbinden van kablering

Vooraanzicht: Overzicht van boven naar beneden:

Hard disk 40Gb 7200Rpm IDE Hard disk 40 Gb 7200Rpm IDE CD-ROM drive LG 52X IDE

Back-plane met 3 hot-swap SCSI-drives van 36.7 Gb.

3 vrije ruimtes (5 ¼-inch) voor installatie van optionele overige drives, of optionele tweede backplane.



Pagina 20

Zijaanzicht:

Koeling B

Koeling A

LUCHTCIRCULATIE

De warmte die wordt ontwikkeld door de SCSI-schijven in de backplane wordt door koeling A weggezogen en uitgeblazen in de ruimte van het moederbord. Hier wordt de warmte dan weer door koeling B opgezogen en uitgeblazen naar buiten. Ter verduidelijking kan u een foto van het zijaanzicht van koeling A bekijken op de vorige pagina.



Pagina 21

2.2. Assemblage van werkstations Het assembleren van de werkstations is een standaard werkje en zal hier dan ook niet gedetailleerd besproken worden. Wel geven we een kort overzicht van de instellingen: 20 werkstations: IDE1 MASTER: Maxtor 40Gb 7200rpm Æ Opstartschijf IDE1 SLAVE: / IDE2 MASTER: CD-ROM LG 52X IDE2 SLAVE: /

De hard disk en de CD-ROM worden elk aan een aparte flatkabel aangesloten. Er wordt tevens een audiokabel aangesloten tussen de CD-ROM drive en de aansluiting hiervoor op het moederbord, zodat er eventueel een audio CD kan afgespeeld worden via de AC97 on-board audio van de MSI moederborden. Kort overzicht van Interrupt Request-toewijzingen: IRQ3: Communicatiepoort (COM2) IRQ4: Communicatiepoort (COM1) IRQ6: Floppy drive controller IRQ11: Expert2000 VGA-kaart + LevelOne netwerkkaart IRQ12: On-board audio IRQ14: Primair IDE-kanaal IRQ15: Secundair IDE-kanaal

Eens alle computers gemonteerd zijn, kunnen we beginnen met het installeren van de besturingssoftware.



Pagina 22

3. INSTALLATIE EN CONFIGURATIE VAN SERVER

3.1. Introductie tot Windows 2000 Server Microsoft’s Windows 2000-reeks van besturingssystemen combineert de beste onderdelen van Windows 98 met de stabiliteit, veiligheid en performantie van Windows NT 4.0. Windows 2000 is verkrijgbaar in vier “smaken”: Windows 2000 Professional, een desktop-besturingssysteem; Windows 2000 Server, een serverbesturingssysteem, en twee meer geavanceerde server-versies: Windows 2000 Advanced Server en Datacenter Server. Op onze server gaan we verder in dit hoofdstuk Windows 2000 Server installeren. Windows 2000 Server is de opvolger van Windows NT 4.0 Server, en kan functioneren als bestandsserver, printserver, en toepassingsserver. Het bevat alle mogelijkheden van Windows 2000 Professional, plus nog een groot aantal server-specifieke mogelijkheden. Dit is een ideaal besturingssysteem voor een Client-Server netwerk in kleine en middelgrote bedrijven. In de tabel hieronder vergelijken we de systeemeisen van Windows 2000 Server met de hardwareconfiguratie van onze server-machine: Onderdeel

Vereist

Aanwezig in server

Processor

133Mhz Pentium-CPU of hoger, ondersteuning voor maximaal vier processoren.

Twee processoren Intel Pentium III 1.4Ghz

Geheugen

128Mb minimum; 256Mb aangeraden; 4Gb maximaal.

1024 Mb

Harde schijf

Opstartschijf: ca. 1 Gb vrij

Opstartschijf: 40 Gb vrij

Monitor

VGA of hoger

SVGA

Randapparatuur

Toetsenbord, muis (optioneel)

Toetsenbord en muis

Opslagmedia

CD-ROM of DVD station voor de installatie

CD-ROM station

Als bestandssysteem voor schijven groter dan 2 Gb biedt Windows 2000 Server de keuze tussen FAT32 en NTFS. We kiezen voor NTFS, omdat dit volgende voordelen heeft: • • •

Meer mogelijkheden in Active Directory (zie 3.2) Bestandscompressie Bestandsencriptie

Het enige directe nadeel van NTFS is dat een NTFS-partitie enkel aangesproken kan worden vanuit Windows NT 4.0, Windows 2000 of Windows XP, en niet vanuit MS-DOS, Windows 95, Windows 98 of Windows Millennium.



Pagina 23

3.2. Korte introductie tot Active Directory Active Directory is een zogenaamde “directory service”, die gebruikt wordt om gebruikers en bronnen te identificeren op een netwerk. Alle objecten (gebruikers, printers, servers, databases, groepen, computers, beveiligingsbeleid) van het netwerk worden bewaard in Active Directory, dat deze toegankelijk maakt voor gebruikers en applicaties. Eigenlijk worden alle belangrijke kenmerken van een domein hierin opgeslagen. Dankzij Active Directory beschikt een netwerk (met een Windows 2000 Server-computer als domeincontroller) over een eenvoudigere administratie, grotere schaalbaarheid, en een pak meer mogelijkheden qua beveiliging. Active Directory bevat een hiërarchische structuur die bestaat uit sites, domeinen en Organisational Units (OU’s). Deze onderverdeling kan gemaakt worden om domeinen, gebruikers en computers te scheiden en te rangschikken volgens afdeling, locatie …. Tevens kunnen er groepen worden aangemaakt, zodat beveiligingsinstellingen slechts één maal aan een groep dienen te worden toegewezen, en niet aan een hoop gebruikers afzonderlijk. Active Directory services zijn enkel beschikbaar in Windows 2000 Server, Advanced Server, en Datacenter Server.

3.3. Korte inleiding tot de Microsoft Management Console Eén van de belangrijkste programma’s om Windows 2000 te configureren is de Microsoft Management Console (MMC). Dit softwarepakket, inbegrepen in alle versies van Windows 2000, biedt een consequente manier om administratieve toepassingen aan te maken, te bewerken en te bewaren. In principe biedt de MMC zelf geen functionaliteit; deze is inbegrepen in de te installeren snap-ins. Een goed voorbeeld van een dergelijke snap-in is Active Directory gebruikers en computers, die gebruikt wordt om Active Directory te configureren en onder meer gebruikers aan te maken. Verder zijn er onder meer snap-ins voor Groepsbeleid, Computerbeheer en nog veel meer. MMC vormt dus eigenlijk een gecentraliseerde omgeving voor het beheer van het systeem. Ook overige toepassingen ontworpen voor Windows 2000 zullen, in plaats van specifiek ontworpen configuratieprogramma’s, MMC snap-ins installeren. Voorbeelden hiervan zijn Microsoft ISA Server 2000 en Norton AntiVirus Corporate Editie, beiden besproken in respectievelijk hoofdstukken 8 en 9. Het is voor de systeembeheerder ook mogelijk om zijn eigen snap-ins te maken, die een combinatie vormen van andere snap-ins. Zo kan de beheerder bijvoorbeeld een snap-in samenstellen die de snap-ins voor Active Directory, groepsbeheer, ISA Server, apparaatbeheer en schijfbeheer in één venster (ook wel MMC-Console genoemd) laat zien.



Pagina 24

3.4. Installatie van Windows 2000 Server besturingssysteem Hoewel de installatie van Windows 2000 Server enkele aspecten bevat die niet aan bod komen tijdens de installatie van bijvoorbeeld Windows 2000 Professional, is het toch een vrij standaard installatieprocedure. Daarom is er voor gekozen om een overzicht te bieden van de belangrijkste stappen en keuze’s. 3.4.1. De Setup van Windows 2000 Server starten De meest eenvoudige manier om met de installatieprocedure van Windows 2000 Server te beginnen is door op te starten vanaf de bijgeleverde CD-ROM. Dit gaat automatisch door de computer op te starten en de CD-ROM in het CD-ROM station te steken (aangezien er zich op de harde schijf nog geen partitie bevindt, zal het BIOS met de standaardinstellingen automatisch naar andere stations gaan kijken om een opstartbare schijf te vinden). 3.4.2. Onderdelen van Windows 2000 Server Setup. De installatie van Windows 2000 Server omvat volgende onderdelen: • • •

• • •

• •

• •

Bestanden worden naar het geheugen gekopieerd, waarna de op tekst gebaseerde Setup-procedure wordt gestart. De licentieovereenkomst wordt weergegeven, die we moeten aanvaarden met de F8-toets. We moeten een partitie kiezen waarop we Windows willen installeren. Aangezien de harde schijf nog leeg is, zien we enkel de ongepartitioneerde ruimte. We selecteren deze en drukken op Enter, waarna we gevraagd worden om een bestandssysteem te kiezen. We kiezen voor NTFS, wat meer mogelijkheden biedt dan FAT of FAT32, en ook grotere schijven ondersteunt. De nieuwe partitie wordt geformatteerd. Dit neemt gewoonlijk enige tijd in beslag, afhankelijk van de omvang van de partitie. Na het formatteren worden er bestanden naar de harde schijf gekopieerd en wordt de configuratie opgeslagen, waarna de computer herstart wordt. De Windows 2000 Setup Wizard wordt gestart, in een grafische omgeving, en begint met het detecteren en installeren van de aanwezige hardware. We moeten volgende gegevens opgeven: regionale informatie (taal, locatie, toetsenbordinstelling), de naam van de persoon en de organisatie waartoe dit exemplaar van Windows 2000 toebehoort, de registratiecode, de naam van de computer – hier typen we SERVER in – en een Administrator-wachtwoord (voorlopig admin). Hierna vraagt Windows ons of we de computer in een domein willen aanmelden. Dit doen we niet (we willen de server immers instellen als domeincontroller). We moeten een licentiemodus opgeven. We kiezen voor Per server (dit is het beste indien er slechts één server in het netwerk staat) en geven op dat we van 25 gelijktijdige verbindingen willen gebruik maken (dit is het aantal waarvoor onze Windows 2000 Server-licentie ons dekt). Tenslotte voert Windows Setup nog volgende taken uit: installatie van het Start-menu, installatie van het register, opslaan van de configuratie, tijdelijke bestanden verwijderen, en tenslotte de computer herstarten. We loggen voor het eerst in als Administrator en geven het paswoord “admin” op.



Pagina 25

3.5. Installatie van stuurprogramma’s Wanneer Windows 2000 Server voor het eerst start, zien we dat Windows zowel de VGA-kaart als beide netwerkkaarten automatisch heeft gedetecteerd en er de stuurprogramma’s voor heeft geïnstalleerd. We gaan naar Apparaatbeheer en zien dat er één belangrijk onbekend apparaat is aangetroffen – de Adaptec SCSI Raidcontroller. We dubbelklikken op dit apparaat en installeren het stuurprogramma vanaf de bijgeleverde Adaptec CD-ROM. We geven op dat we zelf een stuurprogramma willen kiezen en verwijzen naar de CD-ROMdrive.

Over overige drivers hoeven we ons (nog) geen zorgen te maken (zie ook 3.7: installatie en configuratie backup-systeem).



Pagina 26

3.6. Installatie van domeincontroller Een belangrijke stap voor het opzetten van ons netwerk is het instellen van de server als domeincontroller. 3.6.1. Wat is een domein? In een Windows-omgeving heb je in principe twee soorten netwerken: werkgroep en domein. Een overzicht: Type netwerk Æ

Werkgroep (peer-to-peer)

Domein

Beschrijving

Alle computers staan in verbinding met elkaar en delen elkaars bronnen, zonder dat hier een echte server bij komt kijken. Wanneer computer A in een Windows 2000 werkgroep bronnen wil aanspreken op computers B en C, dient computer A op zowel computer B als computer C een gebruikersaccount te hebben.

Een netwerk waarbij op één of meerdere machine’s (domeincontroller(s)) een centrale database wordt bijgehouden met gebruikersaccounts en beveiligingsgegevens over het netwerk. In Windows 2000 gaat deze database onder de naam Active Directory.

Voordelen

Eenvoudig te implementeren; handig zolang het aantal computers beperkt blijft; vereist geen Server-besturingssysteem.

Gecentraliseerde administratie; elke gebruiker logt in met een gebruikersaccount op de domeincontroller(s) en krijgt toegang tot de toegewezen bronnen; uitgebreidere beveiligingsmogelijkheden; geschikt voor een zeer groot aantal pc’s.

Besturingssystemen

Alle computers draaien Windows 2000 Professional, Windows XP, of een Windows 9x-variant.

Alle clients draaien Windows 2000 Professional, Windows XP, of een Windows 9x-variant; de server draait Windows NT 4.0 Server of Windows 2000 Server.

IN DE PRAKTIJK… Een werkgroep wordt meestal gebruikt bij netwerken met maximaal tien computers. Wanneer het over meer dan tien machine’s gaat, is er de mogelijkheid om met verschillende afzonderlijke werkgroepen te werken; doch dit zal op termijn vele nadelen qua structuur en efficiëntie met zich meebrengen ten opzichte van een domein. In feite wordt het in de meeste situaties vanaf 5 tot 10 machine’s interessant om met een domeincontroller te werken.



Pagina 27

3.6.3. Instellen van de server als domeincontroller, en installatie van Active Directory Wanneer we Windows 2000 Server starten, wordt er automatisch een wizard gestart die ons gaat helpen bij het instellen van de netwerkinstellingen. We beginnen met de configuratie en dienen onmiddellijk een keuze te maken:

Op dit eerste scherm kiezen we voor de optie “Dit is de enige server in mijn netwerk”. Vervolgens vraagt Windows ons een domeinnaam op te geven, waarbij we als naam simpelweg DOMEIN intypen.

Aangezien we geen domein op het Internet hebben, typen we bij deze optie zoals aangegeven “lokaal” in. Vervolgens begint Windows met het instellen van gegevens en kopiëren van bestanden (hiervoor wordt om de CDROM van Windows 2000 Server gevraagd), en automatisch wordt ook Active Directory geïnstalleerd.



Pagina 28

Installatie van Active Directory

Opmerking: De server moet reeds verbonden zijn met de switch om hem in te kunnen stellen als domeincontroller. Na de installatie van Active Directory dient de server herstart te worden.

3.6.4. Aanmaken van “Organisational Units” en toevoegen van gebruikers Nu we onze server hebben ingesteld als domeincontroller van het domein “DOMEIN”, kunnen we beginnen met het aanmaken van gebruikersaccounts. Het is met deze accounts dat de werkstations zich straks zullen aanmelden bij de server. Iedere gebruiker krijgt immers zijn eigen gebruikersnaam (login) en paswoord. Het zou echter niet efficiënt zijn indien we alle gebruikers blindelings in de reeds bestaande map “users” aan te maken. Het is veel praktischer als we de gebruikers gaan verdelen in groepen of, zoals Windows 2000 het noemt, “Organisational Units” (afgekort OU). Dit zijn groepen gebruikersaccounts onder een bepaalde noemer, zoals “Management” of “Research”. Dit maakt de structuur er een pak overzichtelijker op en maakt het implementeren van beveiligingen en groepsbeleid een pak makkelijker. Momenteel is enkel de server actief in ons netwerk – alle werkstations zijn wel al aangesloten, maar bevatten nog geen besturingssysteem. Dit is echter niet noodzakelijk, we kunnen op voorhand al de vereiste gegevens instellen zodat de werkstations straks direct op de server kunnen inloggen. 3.6.4.a. Aanmaken van Organisational Units Na de herstart van de server starten we de MMC-module Active Directory gebruikers en computers door te klikken op Start Æ Programma’s Æ Computerbeheer Æ Active Directory Gebruikers en Computers. In het rechter gedeelte klikken we met de rechter muisknop op DOMEIN.lokaal en kiezen we voor Nieuw Æ Organisatie-eenheid.. Wanneer we gevraagd worden om deze nieuwe OU een naam te geven, typen we XSOFT in.



Pagina 29

Vervolgens klikken we met de rechter muisknop op deze nieuwe container en kiezen we opnieuw voor Nieuw Æ Organisatorische eenheid. Op deze manier gaan we een hiërarchische structuur creëren onderliggend aan de hoofd-OU “XSOFT”. We typen als naam “Management” in, en herhalen deze stap met verschillende namen tot we onderstaande structuur bekomen:

3.6.4.b. Aanmaken van gebruikersaccounts De stap die ons nu nog rest, is het aanmaken van gebruikers in deze vier nieuwe containers. In dit voorbeeld zullen we een aantal gebruikers aanmaken in de organisatie-eenheid Programmeerafdeling. We klikken op deze eenheid met de rechter muisknop en kiezen voor Nieuw Æ Gebruiker. We worden dan gevraagd om de naam, voornaam en aanmeldingsnaam voor de gebruiker in te geven.



Pagina 30

In het tweede venster dienen we een wachtwoord voor de gebruiker op te geven, en vinken we de opties Gebruiker kan wachtwoord niet wijzigen en Wachtwoord verloopt nooit aan. Deze procedure herhalen we voor elke gebruiker die we willen toevoegen. Uiteindelijk bekomen we onderstaande struktuur:

In de map BuiltIn zien we een aantal groepen, zoals Accountoperators, Administrators, Backupoperators, Gasten, Gebruikers, etc. De accounts die we zonet hebben aangemaakt, zijn gewone gebruikersaccounts en behoren tot geen enkele groep toe. Willen we een gebruiker bijvoorbeeld Administrator-rechten geven, dan kunnen we dit doen door deze aan de Administrators-groep in deze map toe te voegen.



Pagina 31

3.7. Installatie en configuratie backup-systeem Om de 60Gb USB Onstream drive te gebruiken, dienen we eerst de benodigde stuurprogramma’s te installeren via de CD-Rom die bij de tapedrive is geleverd. Eens deze drivers geïnstalleerd zijn, sluiten we de tapedrive aan, waarna Windows deze herkent en zichtbaar maakt in Apparaatbeheer. Voor backups te nemen, maken we gebruik van de bijgeleverde Tapeware XE software. We stellen in dat er elke dag om 2 uur ’s nachts een volledige backup wordt genomen van de E-schijf. Dit doen we op vijf verschillende tapes: één voor elke werkdag.

3.8. Wijzigen van Administrator-wachtwoord Voor een goede beveiliging van onze server is het essentieel dat we het Administrator-wachtwoord wijzigen. Hiervoor loggen we in als Administrator en drukken we gelijktijdig op CTRL+ALT+DEL. We klikken op Wachtwoord wijzigen. We worden vervolgens gevraagd om ons oud wachtwoord in te geven, gevolgd door twee maal onze nieuwe keuze. Enkele suggesties bij het bepalen van een wachtwoord: •

Het wachtwoord kan maximaal 127 karakters lang zijn, probeer dus iets anders te verzinnen dan “admin”. Hoe langer het wachtwoord, hoe sterker het is.

•

Maak gebruik van zowel cijfers als van letters.

•

Wachtwoorden zijn hoofdlettergevoelig. Maak hier gebruik van en zet bepaalde letters in hoofdletters en anderen in kleine letters.

•

Denk eraan dat het wachtwoord tevens leestekens zoals punten of komma’s kan bevatten. Het gebruik hiervan is zeer interessant en maakt het wachtwoord nog moeilijker om te achterhalen.

•

In tegenstelling tot wat sommige mensen doen, is het als systeembeheerder wellicht geen goede beslissing om het wachtwoord op een geel briefje te schrijven en dit aan de monitor van de server vast te kleven.

IN DE PRAKTIJK… Meestal wordt er in kleine ondernemingen met slechts enkele clients vrij weinig aandacht besteedt aan het bedenken van een wachtwoord. In grotere ondernemingen waar beveiliging belangrijk wordt, vormt dit echter wel een belangrijke factor. Het is immers zo dat degene die het wachtwoord van de server achterhaalt, niet alleen op zijn werkstation in kan loggen als Beheerder en zo volledige toegang tot het netwerk krijgt, maar ook op de server zelf in kan loggen en alle opties aan kan passen (al dan niet met goede bedoelingen). Om deze reden kan het voor grotere ondernemingen ook interessant zijn om hun server achter slot en grendel te bewaren (zie pagina 9 voor meer informatie hierover).



Pagina 32

3.9. Configuratie van RAID 1-systeem voor opstartschijven (IDE) Het is allemaal heel mooi dat we elke dag een backup maken van de data op de server, maar de opstartschijf is hier niet mee inbegrepen. Omwille van de struktuur van de Windows 2000-installatie is het quasi onmogelijk om hier via een verwisselbaar medium een backup van te maken (indien de bestanden zouden worden teruggezet op een lege harde schijf, zou deze immers niet opstarten, en zou Windows opnieuw moeten worden geïnstalleerd, met alle gevolgen en verlies van instellingen vandien). De oplossing hiervoor is het gebruik van een RAID-systeem (Redundant Array of Independent Disks). Er zitten twee harde schijven van gelijke grote in de computer. De inhoud van beide schijven wordt tot op de byte identiek, en wanneer er iets wordt weggeschreven naar de eerste schijf, wordt dit ook weggeschreven naar de tweede schijf. Het grote voordeel is: wanneer er een defect is aan de opstartschijf, kan deze ontkoppeld worden, zodat er gestart wordt van de tweede, identieke schijf. De eerste schijf kan, in geval van problemen, tevens gewoon door de gebruiker uitgeschakeld worden in het BIOS zonder tussenkomst van de leverancier, wat ervoor zorgt dat de server bij een crash onmiddellijk weer werkt. De instellingen van vrij complexe software zoals Windows 2000 Server, ISA Server en Norton AntiVirus blijven zo behouden en het systeem dient niet opnieuw te worden geconfigureerd. In totaal zijn er zeven soorten bekende RAID’s (0,1, 2, 3, 4, 5, 10). Het type dat we hier gaan gebruiken, RAID 1, wordt ook wel disk mirroring genoemd, en werkt enkel op een computer waarop beide gebruikte schijven aangesloten zijn op hetzelfde IDE-kanaal. Een softwarematige RAID 1 werkt enkel op een computer met Windows NT 4.0 Server of Windows 2000 Server, niet op overige besturingssystemen zoals Windows 98 of Windows NT 4.0 Workstation.

Het principe van een disk mirroringsysteem, overgenomen uit het boek Microsoft Networking Essentials.



Pagina 33

De configuratie van dit systeem is vrij eenvoudig: - We starten Computerbeheer (Start Æ Programma’s Æ Systeembeheer Æ Computerbeheer), en klikken in het linker gedeelte op Schijfbeheer. Hier zien we dat onze twee IDE-schijven gedetecteerd zijn door Windows. We rechtsklikken op het grijze vak bij Schijf 0 en kiezen “Upgrade uitvoeren naar dynamische schijf” in het snelmenu, zoals in onderstaande afbeelding.

We kunnen nu kiezen welke schijven we willen upgraden naar een Dynamische schijf. We vinken beide schijven (schijf 0 en schijf 1) aan. Vervolgens zal Windows beginnen met de upgrade, waarna de computer twee maal herstart dient te worden. - Na het opnieuw opstarten keren we terug naar Schijfbeheer en rechtsklikken we op het witte vak van Schijf 0. In het snelmenu kiezen we voor “Mirror toevoegen”. - Vervolgens kunnen we een schijf kiezen die we als mirror gaan gebruiken. We klikken op Schijf 1 en vervolgens op de knop “Mirror toevoegen”.

Vervolgens geeft Windows ons de melding dat er een mirror wordt gemaakt van het opstartvolume. In schijfbeheer zien we onderstaand proces plaatsvinden:



Pagina 34

Dit proces neemt 20 tot 30 minuten tijd in beslag. Wanneer dit voltooid is, krijgen we volgende struktuur te zien:

We zien de tekst “Mirrored volume” in de statusbalk. Let op dat beide schijven de driveletter C hebben, ze zijn dus niet te onderscheiden via Deze Computer of Windows Verkenner. Hiermee is de opbouw van ons RAID 1-systeem voltooid. Wanneer nu één schijf uitvalt, kunnen we met een gerust hart opstarten vanaf de tweede schijf. Om uit te testen of dit wel degelijk werkt, ontkoppelen we manueel de eerste schijf door de flatkabel en de stroomvoorziening hiervan uit te trekken, zodat we automatisch gaan opstarten van de tweede schijf. We zien dat onze Windows 2000 Server-configuratie opstart en correct functioneert. Wanneer we gaan kijken in Schijfbeheer, zien we volgende foutmelding:

De melding “Redundantie is mislukt” duidt erop dat de mirror niet kan gevormd worden, wat logisch is.



Pagina 35

3.10. Configuratie van RAID 5-systeem voor dataschijven (SCSI) De volgende stap is het opbouwen van ons RAID 5-systeem, dat zal bestaan uit de drie IBM SCSI-schijven van elk 36,7 Gb. 3.10.1. Wat is RAID 5? Een RAID 5-systeem bestaat uit ten minste 3 harde schijven, die geconfigureerd worden als een redundante array. Dit houdt in dat de drie schijven eigenlijk samenwerken als één schijf (één partitie). De omvang van deze partitie kan berekend worden met volgende formule:

C * (N - 1) Waarbij C de capaciteit van elk station voorstelt, en N gelijk is aan het aantal stations in de RAID. Wanneer we dus in dit geval met drie schijven van 36,7 Gb werken, is de omvang van de RAID-partitie gelijk aan 36,7 Gb * (3 – 1) = 73,4 Gb. Dit systeem heeft als voordeel dat, wanneer één schijf beschadigd is, de gegevens herstelbaar zijn omdat ze opnieuw opgebouwd kunnen worden met gegevens op de overige schijven. Bij het opzetten van een RAID 5-systeem dient men het door elkaar gebruiken van verschillende soorten schijven te vermijden. Hoewel het in theorie kan om schijven van verschillende merken, snelheden en omvang te gebruiken, dient men in gedachte te houden dat de snelste en duurste schijf in een array maar zo goed is als de traagste en goedkoopste schijf in diezelfde array. RAID 5 wordt vaak gebruikt in servertoepassingen waar opslagplaats en fouttolerantie van kritiek belang zijn. Het systeem kan zowel softwarematig als hardwarematig worden opgebouwd; doch de voorkeur ligt bij hardwarematig, omdat het gebruik van RAID 5 vrij processorintensief is. De RAID controller van Adaptec is misschien vrij prijzig (richtprijs € 695,- incl. BTW), maar bevat een eigen processor die alle RAID-opdrachten uitvoert zonder dat hiervoor de Pentium III CPU’s worden belast. Op de volgende pagina ziet u een grafische voorstelling van de werking van een RAID 5-systeem.



Pagina 36

Deze afbeelding is overgenomen uit het boek Microsoft Networking Essentials.



Pagina 37

3.10.2. Configuratie van RAID 5-systeem Voor de configuratie van de hardwarematige RAID 5 hebben we twee mogelijkheden: gebruik maken van de bijgeleverde Adaptec-software, of de array rechtstreeks instellen in het BIOS van de kaart. Indien we voor deze laatste optie kiezen, komen we (door tijdens het opstarten van de computer op CTRL-A te drukken) terecht in het programma SMOR (Storage Manager On ROM). Dit is een DOS-achtige applicatie van waaruit we de volledige SCSI-setup kunnen contoleren en configureren. Vanuit SMOR gaan we naar de menuoptie RAID Æ Create. Hier kunnen we een RAID-niveau kiezen:

Hierna worden we gevraagd om de schijven op de geven waaruit de RAID zal bestaan. We selecteren de drie SCSI-schijven, waarna de RAID wordt opgebouwd. Dit proces kan redelijk veel tijd in beslag nemen (tot rond een uur). Het enige dat we nu nog moeten doen om de RAID te kunnen gebruiken, is een partitie aanmaken en deze formatteren. Daartoe starten we Windows 2000 Server op en gaan we naar Schijfbeheer, waar we een nieuw station zien. We rechtsklikken op de ruimte die hierdoor wordt ingenomen en maken een partitie die de volledige ruimte van deze schijf inneemt (73,4 Gb). Wanneer dit gebeurt is, rechtsklikken we nogmaals op deze schijf en kiezen we voor Wijzigingen doorvoeren, waarna de partitie effectief gemaakt wordt. Tenslotte rechtsklikken we nogmaals op deze partitie en kiezen we voor Formatteren, en formatteren we de schijf als NTFS. We wijzen aan de SCSI-schijf driveletter E toe. In dit hoofdstuk hebben we de RAID 5 geconfigureerd via het BIOS van de RAID-controller. Indien we willen opstarten van de RAID (hier niet het geval), is dit een verplichte procedure. Indien dit niet het geval is, kunnen we echter ook gebruik maken van de Adaptec Store Manager-software voor Windows. Dit programma biedt meerdere geavanceerde mogelijkheden, die te ver gaan om hier te bespreken. Voor meer informatie hierover verwijs ik u door naar onderstaand internetadres: http://www.adaptec.com/pdfs/user_guides/sm_v10_ug.pdf Dit Engelstalige PDF-document bevat een volledige handleiding voor zowel de SMOR-bios als de Store Manager software voor Windows. De twee bovenstaande foto’s van SMOR zijn overgenomen uit dit document.



Pagina 38

3.11. Delen van dataschijf Het is de bedoeling dat al onze werkstations hun data gaan wegschrijven op de RAID-drive in onze server. Het grote voordeel hiervan is dat er maar één backup gemaakt moet worden. Hiervoor is het echter wel noodzakelijk dat onze werkstations deze schijf effectief kunnen benaderen. Hiervoor moeten we de schijf delen, wat we doen door via Deze Computer op de E-schijf rechts te klikken en voor Delen te kiezen. We geven de naam DATA aan deze share. Als machtigingen geven we op dat iedereen in het netwerk volledige toegang tot deze schijf heeft (het is mogelijk om aan subdirectory’s afzonderlijke machtigingen toe te wijzen; dit wordt besproken in hoofdstuk 5.6).



Pagina 39

4. INSTALLATIE SOFTWARE OP CLIENTS Nu we klaar zijn met de configuratie van onze server, kunnen we beginnen met het softwarematig klaarmaken van de 20 werkstations, die gebruik maken van het desktop-besturingssysteem Microsoft Windows 2000 Professional.. Merk op dat we hier op bepaalde onderdelen niet ver ingaan, aangezien het buiten het doel van dit eindwerk ligt om bijvoorbeeld de volledige installatie van Windows 2000 Professional te documenteren.

4.1. Installatie en configuratie Net zoals bij Windows 2000 Server controleren we hier eerst of onze clients voldoen aan de systeemeisen voor Windows 2000 Professional. Onderdeel

Minimaal vereist

Aanwezig in server

Processor

133Mhz Pentium-CPU of hoger, ondersteuning voor maximaal twee processoren.

Eén processor Intel Pentium 4 1.8Ghz.

Geheugen

32Mb minimum; 64Mb aangeraden; 4Gb maximaal.

512Mb

Harde schijf

Opstartschijf: ca. 650 Mb vrij

Opstartschijf: 40 Gb vrij

Monitor

VGA of hoger

SVGA

Randapparatuur

Toetsenbord, muis (optioneel)

Toetsenbord en muis

Opslagmedia

CD-ROM of DVD station voor de installatie

CD-ROM station

Opmerking: de verschillen met Windows 2000 Server in de kolom “Minimaal vereist” zijn in het vet gezet. De installatie van Microsoft Windows 2000 Professional is een vrij standaard procedure die elke OEM pcassembleur reeds van a tot z gememoriseerd heeft. Hieronder beschrijven we enkele aandachtspunten bij de installatie van dit besturingssysteem. •

• • •

We starten de installatie van Windows 2000 Professional door te starten vanaf de Windows 2000 CDROM. Aangezien de harde schijf nog geen partitie bevat, zal het BIOS automatisch proberen te starten vanaf de CD-ROM. Wanneer we deze optie aangeboden krijgen, maken we op de lege harde schijf een nieuwe partitie aan van 40 Gb, en formatteren we deze als NTFS. We geven nog geen netwerkconfiguratie op, aangezien deze uitgebreid aan bod komt in hoofdstuk 5. De VGA en netwerkkaart zijn automatisch door Windows gedetecteerd. Via de CD-ROM die bij het MSI moederbord is geleverd, installeren we drivers voor de IDE poorten en de on-board soundchip.



Pagina 40

4.2. Mirrors maken met Norton Ghost Zoals elke PC-monteur weet, neemt het vrij veel tijd in beslag om op een groot aantal computers elk afzonderlijk Windows te installeren. Daarom bestaan er methodes om het besturingssysteem op slechts één computer te installeren, en deze installatie met behulp van “mirroring” over te zetten naar andere harde schijven. Een bekend programma hiervoor is Norton Ghost. Hiervoor gaan we als volgt te werk: 1. 2. 3. 4. 5.

6. 7.

8. 9.

We maken één bronschijf handmatig klaar en zorgen dat de installatie en configuratie van Windows 2000 volledig voltooid is. We installeren het commerciële pakket Norton Ghost 2002 op een afzonderlijke computer en voeren dan de bij het programma geleverde wizard uit om een Ghost bootdiskette te maken. We openen de kast van het bronsysteem en ontkoppelen de CD-ROM. Aan de tweede flatkabel hangen we de harde schijf van het doelsysteem (één van de 20 werkstations). We zetten de computer aan en starten van de diskette (eventueel passen we hiervoor de BIOSinstellingen aan). Eenmaal in Ghost gaan we met de muis naar LOCAL Æ DISK Æ TO DISK. Als bronschijf kiezen we de eerste aangegeven schijf, als doelschijf de tweede (aangezien er op onze doelschijf nog geen partitie aanwezig is, zijn hier gelukkig geen vergissingen mogelijk). We geven aan dat de partitie de volledige omvang van de hard disk moet innemen, nl. 40 Gb. Hierna start Norton Ghost met het overzetten van de data. Eens dit voltooid is, schakelen we de computer uit en monteren we de doelschijf terug in het werkstation, waarna de software-installatie van die computer voltooid is. We herhalen stap 3 t.e.m. 7 voor alle overige 18 computers. Eens we alle harde schijven geïnstalleerd hebben, koppelen we de CD-ROM drive van het bronsysteem weer terug aan en sluiten we de kast.

Voor meer informatie over Norton Ghost 2002: zie http://www.symantec.com/sabu/ghost/ghost_personal/



Pagina 41

5. NETWERKINSTALLATIE

Een cruciaal onderdeel van de installatie van het computerpark is de configuratie van het netwerk. Een doordachte, logische aanpak is vereist om een goed werkend en duidelijk gedocumenteerd netwerk te bekomen. Opmerking: de configuratie van de server als domeincontroller is reeds aan bod gekomen in 3.2.2. Daarom zullen we deze belangrijke stap hier niet opnieuw overlopen.

5.1. Naamgeving van clients en server Een belangrijk gegeven is de uiteindelijke benaming van elke machine in het netwerk. Dit hebben we al op voorhand bepaald en hier zijn we consequent in: • Alle namen van werkstations in “lower case” (kleine letters) • De naam van het domein in “upper case” (hoofdletters) • De naam van de server in “upper case” (hoofdletters) • Wanneer we een nummering volgen, gebruiken we steeds twee cijfers, bijvoorbeeld “pc04”. Deze regels volgend, bekomen we uiteindelijk volgend resultaat: Naam van het domein: DOMEIN Naam van de server: SERVER Namen van de werkstations: pc01 t.e.m. pc20 in oplopende volgorde

5.2. Netwerkprotocols Ons netwerk gaat draaien onder het TCP/IP protocol. 5.2.1. De oorsprong van TCP/IP: een korte inleiding De afkorting TCP/IP (Transmission Control Protocol / Internet protocol) staat in principe niet voor één enkel protocol, maar voor een hele reeks van protocollen die zich voortdurend ontwikkelen. De oorsprong van TCP/IP ligt in 1968, wanneer door het ARPA (Advanced Research Project Agency) project van het Amerikaanse Ministerie van Defensie de opdracht werd gegeven tot een onderzoek met als doel een protocol te ontwikkelen waarmee gegevens nog steeds hun doel zouden bereiken wanneer bepaalde overdrachtsroutes in het netwerk niet meer functioneerden, omdat deze door de vijand uitgeschakeld werden. Verder speelden onafhankelijkheid van hardware en besturingssystemen en probleemloze uitbereiding van het netwerk een grote rol.



Pagina 42

Om dit te verwezenlijken, heeft men het concept van de centrale server de rug toegekeerd. De bronnen werden nu over het netwerk verdeeld, waardoor de communicatie nooit helemaal uitgeveegd kon worden. Hiervoor werden protocollen ontwikkeld die gegevens in pakketvorm overdroegen. Het resultaat van al dit moois was het Network Control Protocol (NCP), wat later evolueerde naar TCP/IP. 5.2.2. Installatie van TCP/IP Zowel op onze server als op onze werkstations is TCP/IP reeds door Windows 2000 voorgeïnstalleerd. We kunnen dit controleren via Start Æ Instellingen Æ Configuratiescherm Æ Netwerk- en inbelverbindingen Æ LAN verbinding. Een meer effectieve manier om TCP/IP te testen, is het starten van een DOS prompt en het intypen van volgend commando, gevolgd door een druk op de Entertoets: Ping 127.0.0.1 De opdracht PING is een eenvoudig middel om te controleren of er op basis van TCP/IP een verbinding met een andere computer kan gelegd worden. De opdracht ping 127.0.0.1 stuurt een testpakket naar een virtueel adres (127.0.0.1 is een gereserveerd IP-adres en wordt ook “loopback”-adres genoemd), dat enkel antwoord kan geven wanneer het pakket alle TCP/IP-lagen (Toepassing, Transport, Internet, Netwerk Æ in tegenstelling tot het OSI model heeft het TCP/IP-model slechts 4 lagen) naar beneden toe en weer terug kan doorlopen. Wanneer dit werkt kunnen we er zeker van zijn dat TCP/IP in elk geval reeds correct geïnstalleerd is.

5.3. Bepalen en configureren van netwerkinstellingen Onze server is reeds geconfigureerd en beheert het domein “DOMEIN”. Er zijn gebruikersaccounts aangemaakt voor elke computer op het netwerk. We gaan op elk werkstation de netwerkconfiguratie uitvoeren, en aan elke machine een IP-adres geven. 5.3.1. Netwerkinstellingen In deze stap gaan we elke Windows 2000 Professional-machine instellen op het netwerk. De instellingen hiervoor vinden we bij Start Æ Instellingen Æ Configuratiescherm Æ icoon Systeem Æ tabblad Netwerkidentificatie. Bij Computernaam vullen we de in 5.1 bepaalde naam van het werkstation in, in dit geval pc01. Bij “Lid van” kiezen we voor Domein en we typen de naam van ons domein in, nl. DOMEIN



Pagina 43

.

Nadat we hier op OK hebben geklikt, worden we gevraagd om een account op te geven die gemachtigd is om toegang te krijgen tot het domein. We typen de gebruikersnaam en het wachtwoord in van één van de gebruikers die we voorheen op de server hebben aangemaakt.

We starten de computer opnieuw op wanneer hierachter gevraagd wordt. Wanneer Windows gestart wordt, zien we een aanmeldingsvenster waarin we onze gebruikersnaam en wachtwoord (niet de naam van de computer, maar de gebruikersaccount die we op de server hebben aangemaakt voor de gebruiker van deze machine) intypen, en eventueel opgeven dat we niet op de lokale machine willen aanloggen maar wel op het domein “DOMEIN”. Deze stap herhalen we voor alle clients in ons netwerk. De computernaam vervangen we door pc02, pc03, pc04, etc, in oplopende volgorde, tot en met pc20. Wanneer we klaar zijn, zijn al onze werkstations geconfigureerd om in te loggen op de server en het domein. 5.3.2. IP-adressering De volgende stap is het toewijzen van IP-adressen aan elke computer in het netwerk. De instellingen hiervoor vinden we bij Start Æ Instellingen Æ Configuratiescherm Æ Netwerk- en inbelverbindingen. We klikken met de rechter muisknop op het icoon LAN-verbinding en kiezen voor Eigenschappen. Hier zien we een lijst van geïnstalleerde protocols, die Windows reeds zelf heeft geïnstalleerd tijdens de Setup (merk op dat de netwerkkaart van Level One automatisch is gedetecteerd en geïnstalleerd onder de driver Realtek RTL8139(A)-based PCI Fast Ethernet Adapter). We klikken op Internet-protocol (TCP/IP) en klikken op Eigenschappen.



Pagina 44

OPMERKING: Om deze instellingen te wijzigen, dienen we aangelogd te zijn als beheerder. Een gewone useraccount, zoals hier aangemaakt voor de werkstations, is dus niet voldoende. We moeten uitloggen en opnieuw inloggen als Administrator, op de eigen machine of op de server. Hier klikken we op “Het volgende IP-adres gebruiken” en typen we in: Op de server: 192.168.0.99 Op de werkstations: 192.168.0.x Waarbij x staat voor het nummer van de computer, maar voor pc01 t.e.m. pc09 laten we het cijfer nul weg. Voorbeeld voor pc04: 192.168.0.4 Bij “Subnetmask” typen we in : 255.255.255.0

We klikken op OK. Merk op dat de Windows 2000 machines niet herstart dienen te worden voor deze wijziging; dit is wel het geval bij bijvoorbeeld Windows 98. We kunnen deze instellingen testen door een opdrachtprompt te starten en via het PING-commando de verbinding naar een IP-adres toe te testen, zoals geïllustreerd in onderstaande afbeelding.



Pagina 45

5.3.3. Waarom IP-adressen? In 5.3.2 hebben we aan al onze machine’s IP-adressen toegewezen. Waarom is dit echter noodzakelijk, wat voor nut hebben deze adressen? Hieronder volgt een bondige bespreking. In principe zijn er vijf soorten IP-adressen: Adresklasse

Beginbereik

Eindbereik

Klasse A Klasse B Klasse C

w.0.0.1 w.x.0.1 w.x.y.1

w.255.255.254 w.x.255.254 w.x.y.254

(w is een getal tussen 0 en 127) (w is een getal tussen 127 en 192) (w is een getal tussen 191 en 224)

IP-adressen van klasse D en E zijn gereserveerd voor respectievelijk multicasting-toepassingen en experimenteel gebruik. Het adres 127.0.0.1 is een zogenaamd loopback-adres, dat reeds aangehaald werd in 5.2.2. Elk IP-adres bestaat uit twee delen: het netwerk-ID, dat bepaald in welk netwerk de PC zich bevindt, en het hostID, dat het eenduidige adres van de computer in het lokale netwerk bepaald. Als we een rekensommetje doen aan de hand van bovenstaande tabel, komen we tot de conclusie dat een klasse A netwerk kan bestaan uit 16.777.214 computers, een klasse B uit 65.534 computers, en een klasse C uit slechts 254 computers. Aangezien we bij XSOFT BVBA geen groot bedrijf zijn en nooit meer dan 100 computers zullen hebben, kiezen we voor een klasse C adres. We splitsen onze adressen dus als volgt op: 192.168.0 NETWERK-ID

.99 HOST-ID

Het netwerk-ID ligt vast voor elke computer in het netwerk, het Host ID verschilt op elke machine.



Pagina 46

Concreet zijn IP-adressen nodig om elk apparaat in het netwerk een uniek adres te geven ter identificatie. Het IP adres is eigenlijk maar een schil en wordt, in binaire vorm welteverstaan, via het ARP-protocol (Address Resolution Protocol) omgezet naar het MAC-adres (Media Access Control), wat verschillend is voor elk apparaat in het netwerk. Een voorbeeld van een MAC-adres is 00-50-BF-05-96-CE. Dit adres bestaat uit zes bytes: de eerste drie vertegenwoordigen de fabrikant van het desbetreffende apparaat; de laatste drie staan voor de serienummer van het apparaat. 5.3.4. Waarom subnetmasks? Naast IP-adressen gaan we tevens op elke computer een subnetmasker instellen. Dit heeft als functie duidelijk te maken welk onderdeel van het IP-adres het netwerk-ID is en welk onderdeel het host-ID. Een subnetmasker heeft dezelfde opmaak als een IP-adres, maar dekt (maskeert) daarvan alle bits die bij het netwerk-ID horen. Alle bits die gedekt worden, krijgen waarde 1 (decimaal 255) en de resterende bits krijgen waarde nul. We kunnen dus volgende standaard subnetmasks definiëren:

Adresklasse

Subnetmask (decimaal)

Klasse A Klasse B Klasse C

255.0.0.0 255.255.0.0 255.255.255.0

Voor ons klasse C netwerk gaan we dus subnetmask 255.255.255.0 kiezen.



Pagina 47

5.4. Instellen van netwerkstation Alle werkstations in XSOFT BVBA gaan hun data niet op hun lokale harde schijf bewaren, maar wel op de SCSIschijf van de server. Om dit te vergemakkelijken, gaan we instellen dat op elk werkstation driveletter F aan deze schijf wordt toegewezen. Dit doen we door op de werkstations via Mijn Netwerlocaties naar de Server te bladeren, waarna we alle gedeelde schijven hierop zien. We klikken met de rechter muisknop op de E-drive en kiezen “Netwerkverbinding maken”. We kunnen een driveletter opgeven en kiezen voor schijf F. We geven tevens op dat de verbinding bij het herstarten van de computer opnieuw moet gemaakt worden.

5.5. Installatie printers 5.5.1. Installatie HP Laserjet 2200dn 5.5.1.1. Installatie HP JetDirect 610N Printserver In de HP Laserjet 2200dn printer zit een HP JetDirect 610N printserver ingebouwd. Deze gaan we gebruiken om onze printer rechtstreeks aan te sluiten op het netwerk. Voordeel hiervan is dat de functionaliteit van de printer niet afhankelijk is van een werkstation. De printserver wordt bij wijze van spreken als een afzonderlijk werkstation aanzien. 5.5.1.1.a. Hardwarematige installatie van JetDirect 610N Voor we de software kunnen beginnen installeren, moeten we de bijgeleverde printserver eerst in de printer monteren. Hiervoor steken we de printserver in een vrij EIO slot achteraan de printer, waarna we een Cat5 FTPkabel in de printserver steken die naar onze switch loopt.

Fig. 5.4. JetDirect printserver

Fig. 5.5. Installatie van de printserver



Pagina 48

5.5.1.1.b. Netwerkinstallatie van JetDirect 610N Om de HP JetDirect 610N te configureren, maken we gebruik van het programma TELNET, dat in Windows is ingebouwd. Hiervoor klikken we op Start, Uitvoeren en typen we TELNET in. We komen in een DOS venster terecht, waarin we volgende opdracht typen: open ipadres Hierbij vervangen we ipadres door het standaard IP-adres van de JetDirect, dat we in de documentatie terugvinden. We komen vervolgens bij een menu uit, waar we volgende zaken wijzigen: - IP-adres: We maken een IP adres in dezelfde range als ons lokaal netwerk: 192.168.0.98. - Subnetmasker: We wijzen hetzelfde subnetmasker toe als in ons netwerk: 255.255.255.0 - We schakelen DHCP uit, waardoor de printserver een statisch IP-adres toegewezen krijgt. - Als Host Name geven we op: HPLASER 5.5.1.2. Installatie van printer op de werkstations Hiervoor steken we simpelweg de CD-ROM met de printersoftware in het werkstation en laten we de Autorun en vervolgens de Setup starten. We volgen de instructies op het scherm op en verwijzen naar het IP-adres van de JetDirect. Opmerking: de installatieprocedure is hier vrij bondig gehouden, aangezien de volledige installatie van deze printer buiten het kader van dit eindwerk valt. 5.5.2. Installatie HP Deskjet 1220 Om de inktjetprinter te installeren, sluiten we deze aan op de parallelle poort van één van de werkstations. We installeren op deze PC de bijgeleverde CD-ROM met drivers. Hierna gaan we naar Start Æ Instellingen Æ Printers, rechtsklikken we op de nieuwe printer en delen we deze als HP1220. Hierna kunnen we op al de overige stations een netwerkprinter gaan toevoegen. Opmerking: ook hier wordt de installatie vrij bondig gehouden, omdat dit gedeeltelijk buiten het kader van dit eindwerk valt.



Pagina 49

5.6. Een gedeelde map beveiligen In 3.5 hebben we de SCSI dataschijf van de server gedeeld, zodat de werkstations (die ondertussen actief zijn in het netwerk) deze schijf kunnen benaderen. In vele gevallen zal men echter niet willen dat alle gebruikers in het bedrijf alle gegevens kunnen inzien, laat staan deze wijzigen. Daarom kunnen we in Windows 2000 Server machtigingen gaan opgeven: we vertellen als het ware aan Windows welke gebruiker wat mag zien, en wat hij ermee mag doen. We gaan als volgt te werk: • • •

•

Op de Server gaan we via Deze Computer naar de SCSI-schijf (E). We maken een nieuwe map aan, die we in dit voorbeeld “Facturatie” noemen (je kan natuurlijk ook kiezen voor een reeds bestaande map) We rechtsklikken op deze map en klikken op Eigenschappen, en we gaan naar het tabblad Beveiliging. Onderaan dit venster zien we de optie Overneembare machtigingen van bovenliggend object doorgeven aan dit object. Wanneer dit aan staat, kunnen we hier geen machtigingen opgeven, aangezien de beveiliging van de overkoepelende E-schijf hierop invloed hebben. We vinken deze optie dus uit, waarna Windows ons volgende vraag stelt:

We kiezen voor “Kopiëren”. We klikken nu op de knop “Toevoegen” om gebruikers toe te voegen. Volgend venster verschijnt:



Pagina 50

•

We dubbelklikken op de gebruikers en/of groepen die we (al dan niet beperkte) toegang willen geven tot deze map, en klikken vervolgens op OK. De gebruikers of groepen die we hebben geselecteerd verschijnen nu (samen met het Iedereen-onderdeel) in de bovenste helft van het tabblad Beveiliging: In dit voorbeeld gaan we de gebruikers benny en boekhouding toegang geven tot deze map. We klikken op Boekhouding en vinken de opties onderaan aan zoals in de afbeelding links: Lezen en uitvoeren, mapinhoud weergeven en lezen staan we toe, maar schrijven weigeren we. Met deze instelling kan de gebruiker wel de inhoud zien en inlezen, maar deze niet bewerken of verwijderen. Machtigingen waarbij geen enkele optie is aangevinkt, worden automatisch geweigerd. Wanneer we alle machtigingen ingesteld hebben, klikken we op de naam Iedereen en vervolgens op de knop Verwijderen.

• •

We klikken op OK om de instellingen te bewaren. Als test gaan we naar een werkstation en loggen we op de server in als gebruiker boekhouding. We gaan naar het station F (netwerkdrive) en openen de map Facturatie. We kunnen de volledige inhoud zien en inlezen. Wanneer we echter proberen om het bestand offerte.doc naar deze map te kopiëren, krijgen we volgende foutmelding:



Pagina 51

5.7. Aanmeldingsscript maken en instellen Eén van de meer geavanceerde functies in Windows 2000 Server is het toewijzen van aanmeldingsscripts voor elke gebruiker. Wanneer we een script toewijzen, zal dit programmaatje uitgevoerd worden op de lokale computer telkens de gebruiker zich aanmeldt. Om scripts uit te voeren, gebruikt Windows het programma Windows Script Host (WSH). WSH ondersteunt scripts geschreven in VbScript, Javascript en commando-opdrachten (batch-bestanden), en herkent het verschil tussen deze typen aan de extensie van het bestand (respectievelijk .vbs, .js en .bat). Aanmeldingsscripts worden regelmatig gebruikt voor bijvoorbeeld het installeren van een printer of het toewijzen van een netwerkstation aan een share. 5.7.1. Voorbeeld van een aanmeldingsscript Om een voorbeeld te geven van deze technologie, gaan we een script installeren dat op de server een logboek zal bijhouden waarin aangegeven staat welke gebruiker zich op welke machine op welk tijdstip heeft aangemeld. Wanneer de gebruiker zich aanmeldt, zal het uitgevoerde script een regel toevoegen aan een tekstbestand op de server. Tevens zorgt het script ervoor dat er bij het aanmelden een welkomstbericht ter informatie wordt weergegeven (dit kan in de praktijk gebruikt worden om gebruikers de waarschuwing te geven dat bijvoorbeeld bepaalde services tijdelijk niet beschikbaar zijn, of een waarschuwing voor een nieuw virus). We gaan als volgt te werk: 5.7.1.1. Script schrijven in VbScript Natuurlijk dienen we eerst een script te schrijven voor we dit kunnen installeren. We maken op de server in Kladblok een leeg tekstdocument en typen volgende tekst in: on error resume next ' foutafhandeling Dim fs, f, ts, s, gebruiker, objNet ' variablen definiëren Set objNet = CreateObject("WScript.Network") while gebruiker = "" or gebruiker = " " gebruiker = objNet.Username ' lus om te wachten tot we aangemeld zijn Wend Set fs = CreateObject("Scripting.FileSystemObject") Set f = fs.GetFile("\\SERVER\DATA\Logboek.txt") Set ts = f.OpenAsTextStream(8) ' bestand openen ts.Writeline "Gebruiker " & objNet.Username & " op computer " & objNet.ComputerName & " is op " & date & " om " & time & " ingelogd op het netwerk." ' schrijf data ts.WriteBlankLines 1 ' naar volgende lijn en lege regel invoegen ts.Close ' bestand sluiten msgbox “Welkom op het X-SOFT BVBA Netwerk.” ‘ melding weergeven



Pagina 52

Merk op dat de cursieve tekst na een ‘ louter documentatie is; deze mag mee overgetypt worden want wordt genegeerd door WSH. Meer informatie over het programmeren in VbScript kan u vinden op volgende URL: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/script56/html/vtoriVBScript.asp We slaan dit document op onder de naam login.vbs en plaatsen het in de map scripts die we op de server (in

de hoofddirectory) aanmaken. Opgelet: Het bovenstaande script schrijft weg naar het bestand \\SERVER\DATA\Logboek.txt (op de gedeelde hoofddirectory van de SCSI-schijf). Dit script beschikt over de mogelijkheid om regels aan dit bestand toe te voegen, maar kan dit bestand niet zelf aanmaken. Daarom is het belangrijk dat we via Kladblok een leeg tekstdocument maken en dit opslaan als logboek.txt in de hoofddirectory van station E. 5.7.1.2. Batch-bestand schrijven Standaard worden aanmeldingsscripts in Windows 2000 op de achtergrond uitgevoerd. Dit houdt in dat elke uitvoer die we naar het scherm schrijven, niet zichtbaar wordt. Om dit te verhelpen, schrijven we een batchbestand van waaruit we het vbs bestand aanroepen (zie artikel Q265016 van support.microsoft.com voor meer informatie hierover). We maken een bestand, login.bat, met volgende tekst erin: @start \\Server\Data\scripts\login.vbs We slaan dit bestand op in de map C:\WinNT\sysvol\sysvol\domein.lokaal\scripts (dit is de standaardmap voor scripts in Windows 2000 Server). 5.7.1.3. Script instellen als aanmeldingsscript We starten de module Active Directory computers en gebruikers via Start Æ Programma’s Æ Systeembeheer. We klikken in het linker gedeelte op Users, en vervolgens met de rechter muisknop in het rechter gedeelte op de gebruiker waaraan we het script willen toewijzen, en kiezen voor Eigenschappen. We gaan naar het tabblad Profiel. Bij Aanmeldingsscript typen we hier de bestandsnaam van ons script, in dit geval login.bat. We klikken op OK . Deze handeling kunnen we vervolgens herhalen voor alle andere gebruikers waaraan we een aanmeldingsscript willen toewijzen. Wanneer we klaar zijn, sluiten we het venster Active Directory computers en gebruikers.



Pagina 53

Laat ons veronderstellen dat er zich twee gebruikers, Anneke en Frank, aanmelden bij de server. We controleren dit in het logboek.txt bestand en zien volgende regels: Gebruiker Anneke op computer PC05 is op 26/02/2002 om 20:29:11 ingelogd op het netwerk. Gebruiker Frank op computer PC07 is op 26/02/2002 om 20:35:07 ingelogd op het netwerk. Opmerking: Wanneer er op de clients een anti-virus-programma wordt geïnstalleerd (zoals Norton AntiVirus Corporate Edition, zie hoofdstuk 9), zal dit programma wellicht een melding geven bij de uitvoering van dit script. Het volstaat om één maal voor “Script autoriseren” te kiezen om de verdere werking van dit script toe te staan.

IN DE PRAKTIJK… Het nut van het in dit hoofdstuk aangemaakte script is twijfelachtig: zoals in hoofdstuk 5.8 aangetoond, bevat Windows 2000 Server immers zelf ook een mogelijkheid om aanmeldingspogingen van gebruikers bij te houden. Het door dit script aangemaakte logboek is wel een stuk overzichtelijker. Scripts kunnen echter voor een groot aantal overige zaken gebruikt worden, zoals het verbinden van netwerkstations en netwerkprinters bij het aanmelden.



Pagina 54

5.8. Inleiding tot groepsbeleid: Logboeken In hoofdstuk 5.7 hebben we een script geschreven om het aan- en afmelden van gebruikers te registreren in een logboek. Dit is echter een functie die ook – weliswaar in minder overzichtelijke vorm – door Windows 2000 Server zelf wordt aangeboden. Hieronder geven we een overzicht van hoe deze functie te activeren. We starten Active Directory Gebruikers en Computers via het Start Menu. In het menu Beeld klikken we op Geavanceerde onderdelen. Vervolgens klikken we met de rechter muisknop op Domain Controllers en we kiezen voor Eigenschappen. Hier klikken we op het tabblad Groepsbeleid. De lijst die we hier voor ons zien, bevat zogenaamde Group Policy Objects (GPO’s). Group Policy, of groepsbeleid, is een MMCsnap-in waarmee we allerlei instellingen voor clients en Active Directory kunnen configureren. Een GPO is een reeks van instellingen die we kunnen toepassen op een object in Active Directory (we kunnen bijvoorbeeld een specifieke GPO aanmaken die enkel van toepassing is op de Organisational Unit “Programmeerafdeling”). We klikken hier op Default Domain Controllers Policy (een ingebouwde GPO) en klikken vervolgens op Bewerken. We zien nu voor de eerste keer het MMCvenster van groepsbeheer voor ons. (Opgelet: wat we hier wijzigen, is enkel van toepassing op de objecten waaraan we de Default Domain Controllers Policy GPO hebben toegewezen – in dit geval onze server zelf). We klikken achtereenvolgens op de +-tekens voor Computerconfiguratie Æ Windows-instellingen Æ Beveiligingsinstellingen Æ Lokaal beleid Æ Controlebeleid. We dubbelklikken vervolgens op Aanmeldingsgebeurtenissen controleren en geven op dat zowel geslaagde als mislukte pogingen dienen te worden gecontroleerd.



Pagina 55

We sluiten groepsbeleid. Om te controleren of deze instelling al dan niet werkt, starten we de logboeken van Windows (Start Æ Programma’s Æ Systeembeheer Æ Logboeken) en klikken we op beveiligingslogboek.

We zien nu wanneer welke gebruikers zich aan- en afgemeld hebben. We kunnen meer details hierover vragen door op een bepaalde rij te dubbelklikken.

IN DE PRAKTIJK… De mogelijkheden van groepsbeleid gaan ontzettend ver. Zo is het bijvoorbeeld mogelijk om de tekst in de titelbalk van Internet Explorer te wijzigen, de locatie van mappen zoals Mijn Documenten te wijzigen, en zelfs wanneer de gebruiker zich voor het eerst aanmeldt automatisch software zoals Microsoft Office te laten installeren en configureren. Voor meer documentatie over groepsbeleid kan u terecht op het internetadres http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp.



Pagina 56

5.9. Overzicht netwerkomgeving Hieronder vindt U een overzicht van de netwerkinstallatie (tot nu toe). Op elke computer is de computernaam, het besturingssysteem en het IP-adres aangegeven..

LEGENDE: Cat5 FTP-kabel, met aan beide uiteinden RJ45-connectoren. Coaxkabel met het Telenet-signaal Netwerkkaart 10/100Mbit Win 2000 Prof. Win 2000 Server

Microsoft Windows 2000 Professional besturingssysteem Microsoft Windows 2000 Server besturingssysteem

Deze schets toont duidelijk de fysieke stertopologie aan die gebruikt wordt in dit netwerk. Centraal staat de switch, die het hart van het netwerkverkeer vormt. Daar rondom bevinden zich de server en de werkstations. Merk op dat niet alle werkstations worden weergegeven; enkel de eerste vier zijn zichtbaar in deze schets. Het aantal netwerkkabels die vertrekken uit de switch is slechts ter illustratie en vertegenwoordigt niet het ware aantal van kabels; in de werkelijkheid zijn het er een pak meer.

DOMEIN



Pagina 57

6. INSTALLATIE TELENET INTERNET OP SERVER Zoals aangegeven in hoofdstuk 1 (prijsofferte), bevat onze server niet één maar twee netwerkkaarten. De eerste hebben we al gebruikt, en verzorgt de connectie naar de switch. De tweede netwerkkaart gaan we gebruiken om onze server een verbinding te laten maken met het Internet, en meerbepaald via Telenet. Hiervoor verbinden we onze Motorola kabelmodem, die voorheen door Telenet werd geplaatst, via een Cat5 patchkabel met de tweede netwerkkaart (LevelOne 10/100Mbit). De installatie blijkt erg eenvoudig: • •

De netwerkkaart was reeds automatisch door Windows gedetecteerd tijdens de Setup, dus hier hoeven we geen verdere stuurprogramma’s voor te installeren. We dubbelklikken op het icoon Internet Explorer op het bureaublad, waarna de Wizard Internetverbinding gestart wordt.

De Wizard Internetverbinding



Pagina 58

• • • •

• •

We duiden de derde optie aan (Ik wil mijn Internet-verbinding handmatig instellen of ik wil een verbinding maken via een LAN-netwerk) en klikken op Volgende. In het volgende venster klikken we op Ik maak verbinding via een LAN-netwerk en vervolgens weer op Volgende. Bij de Internet-configuratie voor LAN vinken we twee opties aan: Proxyserver automatisch opsporen (aanbevolen) en Handmatige proxyserver. In het volgende venster typen we in het bovenste tekstvak de regel proxy.pandora.be en bij Poort vullen we 8080 in. We vinken “Dezelfde proxyserver gebruiken voor alle protocollen” aan, en klikken op Volgende.

In het volgende venster kunnen we URL’s opgeven waarvoor de proxyserver genegeerd moet worden. In dit geval slaan we deze stap over en klikken we direct op Volgende. We worden gevraagd of we een e-mailaccount willen instellen, wat we niet doen, en we klikken op Volgende, waarna de Wizard Internet-Verbinding voltooid is.

Eens deze stappen voltooid zijn, kunnen we surfen op Internet via Internet Explorer en e-mails lezen en ontvangen via Outlook Express. OPGELET: Let op dat Windows voor de LAN-verbinding die van Telenet gebruik maakt, geen IP-adressen heeft ingesteld (wat bij het uittesten wel het geval was). Bij de eigenschappen van TCP/IP moet er ingesteld zijn dat er automatisch een IP-adres moet verkregen worden, anders zal de verbinding niet werken.



Pagina 59

7. INSTALLATIE VAN SOFTWARE UPDATES OP SERVER Nu we in hoofdstuk 6 onze server geconfigureerd hebben voor toegang tot het Internet, kunnen we beginnen met het downloaden en installeren van software-updates. Deze hebben vooral tot nut om beveiligingslekken te dichten en bugs in het besturingssysteem op te lossen.

7.1. Via de site Windows-Update Een goede manier om te beginnen met het installeren van updates is door te surfen naar de site http://windowsupdate.microsoft.com. Onder het onderdeel “Updates op producten” vinden we hier een overzicht van alle te installeren updates:

We vinken de volgende updates aan: • • • •

Pakket belangrijke updates: Dit is een verzameling van beveiligingsupdates die verschillende problemen in het besturingssysteem oplossen. Windows meldingsbericht bij belangrijke updates 3.0: Deze update zorgt ervoor dat we automatisch bericht krijgen wanneer er op Windows Update belangrijke nieuwe updates beschikbaar zijn. Windows 2000 Service Pack 2: Is een verzameling van patches en updates voor het Windows besturingssysteem, en zou meerdere (potentiële) problemen moeten oplossen. Sterke-coderingspakket voor Windows 2000: Werkt Windows bij naar het hoogst beschikbare coderingsniveau, wat de veiligheid ten goede komt.



Pagina 60

Updates die we niet installeren zijn Media Player 7.1, DirextX 8.0 en MSN Messenger Service, aangezien deze functies geen nut hebben op een server. Opgelet: We moeten bovenstaande updates installeren in twee delen: eerst het Service Pack 2, en dan al de overige updates, aangezien de installatie van Service Pack 2 niet gepaard kan gaan met de installatie van andere updates. Na beide installaties moeten we onze server herstarten.

Fig. 7.2. Installeren van Service Pack 2

Opmerking: het installeren van Service Pack 2 via Windows Update kan vrij veel tijd in beslag nemen (ca. 15 minuten) omdat het downloaden vrij traag gaat. In mijn geval bleek het effectief sneller te gaan om de volledige netwerkinstallatie van Service Pack 2 te downloaden. Dit is een bestand van precies 100Mb, en was via mijn Telenet-verbinding in 4 minuten en 10 seconden binnengehaald. Indien U aan deze methode de voorkeur geeft, kan U Service Pack 2 downloaden van de volgende locatie: www.microsoft.com/Windows2000/downloads/servicepacks/sp2/download.asp Opgelet: Indien U over een recente versie van Windows 2000 beschikt, is het mogelijk dat Service Pack 2 reeds in uw exemplaar van Windows is opgenomen. Om dit te controleren klikt U met de rechter muisknop op het icoon van Deze Computer en klikt U op Eigenschappen. Onder het versienummer van Windows (5.00.xxxx) ziet U dan welk Service Pack er geïnstalleerd is.

7.2. Installeren van hotfixes Op Windows Update kunnen we weliswaar een belangrijke component als Service Pack 2 downloaden, maar op deze site vinden we niet altijd de meest recente hotfixes terug. Hotfixes zijn oplossingen voor kleine bugs of beveiligingslekken in het besturingssysteem. Deze hotfixes worden na verloop van tijd opgenomen in service packs, maar het kan geen kwaad om op onze hoede te zijn en reeds de meest recente hotfixes te installeren voordat deze verschijnen op Windows Update. Dit kunnen we doen via volgende website: http://www.microsoft.com/windows2000/downloads/default.asp



Pagina 61

Het is aan te raden om, nadat u alle hotfixes hebt gedownload, deze uit te voeren in de juiste chronologische volgorde (de datum dat ze gepubliceerd zijn door Microsoft). Een hotfix wordt uitgevoerd door eenvoudigweg het .exe bestand uit te voeren. Indien gewenst kan je volgende opdrachtparameters gebruiken: -m -y -z

= “unattended install”, de installatie gaat automatisch zonder vragen te stellen = hotfix verwijderen van het systeem (“uninstall”) = niet opnieuw opstarten na de installatie van de fix

Indien gewenst kun je dus een combinatie van schakelopties –m en –z gebruiken om de fix automatisch te laten installeren zonder dat de server opnieuw dient te worden opgestart. Het gebruik van de schakeloptie –m is echter afgeraden, omdat je minder controle hebt over wat er gebeurt. Merk tevens op dat de invloed van de hotfix wellicht niet actief is voordat je de server herstart (Microsoft raadt aan dat je de computer herstart na het uitvoeren van elke hotfix).

7.3. Microsoft Security Notification Service Het werk houdt helaas niet op eens alle updates geïnstalleerd zijn. Er worden immers nog regelmatig beveiligingslekken in de Windows besturingssystemen gevonden. Daarom is het belangrijk dat we op de hoogte blijven van de laatste nieuwe ontwikkelingen. Een handige manier om dit te doen is om in te schrijven in de Microsoft Security Notification Service, een gratis dienst van Microsoft waarbij je via e-mail op de hoogte wordt gebracht van nieuwe problemen en waar je er (indien beschikbaar) een oplossing voor kunt vinden. Meer uitleg over dit systeem en instructies om je in te schrijven vind je op de website http://www.microsoft.com/technet/security/notify.asp. Het komt er op neer dat je een e-mail moet zenden naar [email protected] met willekeurige inhoud, waarna je een e-mail teruggestuurd krijgt waarop je moet reageren om je abonnement te bevestigen.

IN DE PRAKTIJK… Voor veel systeembeheerders lijkt het regelmatig installeren van hotfixes misschien een tijdrovende, vervelende of zelfs overbodige bezigheid. Het is echter zo dat deze kleine programmaatjes door het dichten van beveiligingslekken een extra bescherming vormen tegen virussen en hackers. Het installeren van hotfixes gebeurt best buiten de werkuren. Het is immers zo dat voor zowat alle hotfixes de server herstart dient te worden voor deze worden geactiveerd.



Pagina 62

8. INSTALLATIE EN CONFIGURATIE MICROSOFT ISA-SERVER 2000



Pagina 63

8.1. Wat is ISA Server? ISA Server (Microsoft Internet Security And Acceleration Server 2000, Standaard editie) is een softwarepakket voor Windows 2000 Server dat twee interessante mogelijkheden biedt: ten eerste het configureren van onze server als proxyserver, wat ervoor zorgt dat ons volledig netwerk via één enkele Telenetaansluiting op het Internet kan en tevens de snelheid verhoogt, en ten tweede dient het als firewall en beschermt het ons netwerk tegen aanvallen van buitenaf door bijvoorbeeld hackers of crackers. De mogelijkheden van ISA Server zijn enorm uitgebreid. Zo kunnen we bijvoorbeeld instellen dat binnenkomende e-mails met bepaalde attachments moeten worden geweigerd als bescherming tegen virussen, of dat bepaalde websites (al dan niet tijdens een bepaalde tijdsspanne) moeten worden geblokkeerd. De mogelijkheden zijn quasi eindeloos. Dit is dan ook het grote voordeel van een uitgebreide softwarematige proxyserver zoals ISA Server ten opzichte van een veel goedkopere en makkelijker te configureren hardwarematige router. Zoals U ziet is een relatief groot deel van dit eindwerk (17 pagina’s) besteedt aan de installatie en configuratie van ISA Server, zowel wat betreft de webproxy als firewall modi. De meest belangrijke, essentiële functionaliteit van het pakket wordt hier uit de doeken gedaan, maar natuurlijk zijn er nog vele geavanceerde functies die hier niet opgenomen zijn. Zo bevat ISA Server onder meer ondersteuning om een beveiligde VPN-verbinding (connectie met een ander netwerk over bijvoorbeeld het Internet) op te zetten. Indien U zelf wilt experimenteren met ISA Server is er een trialversie beschikbaar van Microsoft op volgend adres: http://www.microsoft.com/isaserver Voor dit eindwerk heb ik niet de trialversie, maar wel de volledige Standaard-versie gebruikt. Eén van de beperkingen van de Standaard versie is dat deze slechts maximaal 4 processoren ondersteunt (wat voor de meeste servers in KMO’s voldoende zou moeten zijn). De Enterprise versie van ISA Server biedt nog meer mogelijkheden en heeft geen beperking op het aantal processoren.

IN DE PRAKTIJK: ISA SERVER OF HARDWAREMATIGE ROUTER? Wanneer het de bedoeling is om ISA Server enkel te gebruiken puur voor het verdelen van internettoegang over het netwerk, is het niet aangeraden om dit pakket aan te schaffen: een eenvoudige, hardwarematige breedbandrouter van bijvoorbeeld Level One of US Robotics kost vele malen minder en doet hetzelfde werk. Indien u echter uitgebreide beveiligingsmogelijkheden, firewalls, enzoverder wilt, is ISA Server, rekening houdend met de erg verregaande mogelijkheden, het prijskaartje meer dan waard.



Pagina 64

8.2. Installatie van ISA Server 2000 Voor aan de installatie te beginnen, controleren we of onze server voldoet aan de systeemeisen voor ISA Server: Pentium II 300Mhz of sneller, 256 Mb RAM, 20 Mb vrije schijfruimte op een NTFS harddisk (geen FAT of FAT32!), en Windows 2000 Server of Windows 2000 Advanced Server met Service Pack 1 of hoger. Het mag duidelijk zijn dat deze systeemeisen in ons geval geen enkel probleem vormen. We steken de CD-ROM van ISA Server 2000 in het CD-ROM station en zien dat via Autorun de CD automatisch gestart wordt. Op het venster dat verschijnt, kiezen we voor Install ISA Server. Wanneer we de gebruikelijke gebruikersovereenkomst voorgeschoteld krijgen, accepteren we die en kiezen we daarna voor een Typical Installation. Vervolgens krijgen we de keuze uit drie opties: de Firewall mode (beveiliging), de Cache mode (proxyserver) en de Integrated mode (beide). We kiezen voor Integrated mode en klikken op Continue. Wanneer we gevraagd worden om de cache te lokaliseren, geven we station C aan en typen we bij Cache Size 400Mb in om de beschikbare webcache te vergroten. Microsoft raadt aan dat er voor elke client 10 tot 20 Mb aan cache wordt gereserveerd: 20Mb x 20 clients = 400Mb. Bij het volgende venster duiden we alle mogelijke IP adressen in ons locale netwerk aan:

Hiermee hebben we alle clients aangeduid (192.168.0.1 t.e.m. 192.168.0.20) en de server (192.168.0.99). Vervolgens begint de Setup met het kopiëren van bestanden en het bijwerken van het systeem. Wanneer we gevraagd worden om de ISA Server Getting started wizard te starten, antwoorden we hier bevestigend op. We komen bij volgend venster terecht:



Pagina 65

Dit is de MMC-snap-in van ISA Server, waarin we alle configuratietaken gaan uitvoeren. Op de volgende pagina geven we een bondig overzicht van de onderdelen in het linker gedeelte, dit wordt het “Scope Pane” of simpelweg boomstructuur genoemd.



Pagina 66

8.3. Configuratie van ISA Server 2000 als webproxy Om de werking van ISA Server als proxyserver te activeren moeten we twee opties instellen: •

Proxy-instelling 1: Access policy, protocol rules We klikken links op het plusteken voor Access Policy en klikken op Protocol rules. De klikken vervolgens op Create a protocol rule. Hiermee maken we een regel aan die de Internettoegang bepaald. We worden gevraagd om een naam voor het protocol in te typen. We typen het woord “STANDAARD” in. In het volgende venster kiezen we voor Allow, wat ervoor zorgt dat onze clients toegang tot de server gaan krijgen. In het volgende venster stellen we in dat deze regel toegepast moet worden op “All IP traffic”.



Pagina 67

In het volgende venster kunnen we instellen wanneer we deze regel gaan gebruiken: altijd, in het weekend, of tijdens de kantooruren. Hier kiezen we voor Always, maar in de praktijk kan dit duidelijk variëren. Hierna kunnen we kiezen aan welke gebruikers we dit gaan toestaan. Voor de veiligheid kiezen we niet voor Any request maar wel voor Specific users and groups. We klikken op Volgende en komen in een venster waar we gebruikers gaan kunnen toevoegen. We klikken op Add.

Gebruikersaccounts toevoegen in ISA Server We selecteren de gebruikersaccounts voor elk werkstation dat we toegang tot Internet en e-mail willen geven, en klikken op Toevoegen. We voegen tevens de Administrator-account toe. Na deze stap krijgen we een overzicht te zien van al onze instellingen. We klikken op Voltooien. •

Proxy-instelling 2: Network configuration, routing We klikken links op het plusteken naast Network Configuration en klikken dan op Routing. We klikken met de rechter muisknop op de Default Rule en kiezen voor Eigenschappen. We gaan naar het tabblad Action en zorgen ervoor dat Routing them to a specified upstream server geselecteerd wordt. We klikken op Settings en typen bij Server or array de proxyserver van Telenet in, nl. proxy.pandora.be, en poort 8080. We klikken twee maal op OK.



Pagina 68

De standaardconfiguratie van de ISA server als proxyserver is nu voltooid. Hoewel daar niet achter gevraagd wordt, moet op dit moment de server herstart worden. •

Cache Configuration We hebben nu onze proxyserver geïnstalleerd, maar er vallen nog een paar details te configureren. We gaan in ISA Management naar Cache Configuration en klikken op Configure Cache Policy. We gaan naar het tabblad Active Caching en vinken de optie Enable active caching aan. Hiermee duiden we aan dat websites die nog in het geheugen van de ISA server zitten maar reeds verouderd zijn, opnieuw moeten worden gedownload van het Internet. We klikken op OK om deze instelling te bevestigen.

Configuratie van clients Om de clients te configureren om via de ISA server een verbinding met Internet te maken, gaan we als volgt te werk: Ga naar Start, Instellingen, Configuratiescherm en dubbelklik op Internet Opties. Ga naar het tabblad Verbindingen en klik op LAN-instellingen, en stel de opties als volgt in: We vinken de optie Proxyserver gebruiken aan, en vullen bij Adres de naam van onze ISA Server in: SERVER. Bij poort typen we 8080, en we geven op dat de proxyserver niet gebruikt wordt voor lokale adressen.

We herhalen deze procedure op elk werkstation en kunnen bijgevolg nu op Internet surfen van op elke computer. Wanneer we echter proberen om onze e-mail te controleren, werkt dit niet. Hiervoor gaan we terug naar ISA management op de server, klikken we op het plusteken naast Access Policy, en klikken we op IP Packet Filters. We klikken op Create a Packet Filter en typen hiervoor als naam POPMAIL in. In het volgende venster kiezen we voor Allow packet transmission. Hierna klikken we onder Predefined de keuzelijst open en kiezen we POP3. Aan de IP-instellingen veranderen we niets en bij Apply this packet filter to kiezen we voor All remote computers. Bovenstaande procedure herhalen we, maar in plaats van POPMAIL typen we SMTPMAIL in en bij Predefined kiezen we in de keuzelijst voor SMTP.



Pagina 69

Via deze procedure maken we een speciale filter aan die via TCP/IP datastroom toelaat op poorten 110 (POP – voor inkomende e-mail) en 25 (SMTP – voor uitgaande e-mail). ISA Server houdt deze poorten immers standaard gesloten. Dit is een noodzakelijke procedure om e-mail vanuit Outlook, Outlook Express of andere applicatie’s te laten werken.



Pagina 70

8.4. Configuratie van Microsoft ISA Server: instellen van beveiligingsbeleid In 8.3 hebben we ISA Server geïnstalleerd en ervoor gezorgd dat alle clients via de ISA Server op het Internet kunnen surfen en e-mail kunnen verzenden en ontvangen. Natuurlijk kunnen we nog veel meer met dit pakket, vooral qua beveiliging. Een overzicht. 8.4.1. Voorbeeld van e-mailbeveiliging: bescherming tegen het NIMDA virus Een van de meest “populaire” virussen bij moment van schrijven is het befaamde NIMDA virus. NIMDA gebruikt het MAPI-protocol om zichzelf te verspreiden via e-mail, vervangt authentieke bestanden op de harde schijf met zichzelf, vertraagt het systeem en stelt in dat de volledige C-schijf gedeeld wordt, wat de beveiliging van het systeem allesbehalve ten goede komt. Het is dus niet onbelangrijk om het risico van dit veel voorkomend virus uit te sluiten. Nimda wordt verspreid via het bestand “README.EXE” als e-mailbijlage. Een goede voorzorg is dus om te zorgen dat e-mails met dit bestand als bijlage niet meer binnen kunnen komen. Hiervoor gaan we in ISA Management naar Extensions en Application Filters. We dubbelklikken op SMTP Filter en vinken de optie Enable this filter aan. Op het tabblad Attachments klikken we op Add... en krijgen dan onderstaand scherm te zien. Bij Attachment name typen we README.EXE in, en we controleren of er bij Action “Delete message” staat (er kan er tevens voor gekozen worden om de mail bij te houden of deze door te sturen).



Pagina 71

Opmerking: Bij deze SMTP-filter kunnen we bijvoorbeeld ook opgeven dat e-mails van bepaalde websites of bepaalde afzenders (Users/Domains) moeten geweigerd worden, of dat e-mails met bepaalde woorden erin (Keywords) niet aanvaard mogen worden. Het kan tevens interessant zijn om op te geven dat alle bestanden met extensie EXE, COM of BAT geweigerd of doorgestuurd worden (Attachment extension). 8.4. 2. Firewall tegen aanvallen van buitenaf Mensen van kwade wil kunnen heel wat potentiële schade aanbrengen aan ons systeem. Daarom is het van cruciaal belang dat we de beveiliging van onze server correct instellen. De eerste stap daarvoor is om de zogenaamde Intrustion Detection van ISA server te activeren. Dit is een functie die aanvallen van buitenaf, zoals de bekende WinNuke of Ping Of Death, tegenhoudt. Opmerking: Deze beveiliging geld niet alleen voor onze server, maar ook voor al onze clients (waarop we de ISA Server Firewall installeren, zie hoofdstuk 8.5). Zo is volledig ons netwerk beschermd. Om dit te configureren, gaan we naar ISA Management en klikken we op het plusteken voor Access Policy. We gaan naar IP Packet Filters, en kiezen we voor Configure Packet Filtering and Intrusion Detection. We vinken de optie Enable Intrusion detection aan en gaan naar het tabblad Intrusion Detection. We duiden alle opties aan. Enkele voorbeelden van veel gebruikte aanvallen waartegen ISA Server ons beschermt: Windows out-of-band (WinNuke): WinNuke is een zogenaamde “Denial-Of-Service” (DoS) aanval die een corrupt netwerkpakket naar de doelmachine stuurt en zodoende de machine doet vastlopen. Ping of death: Aanvalsmethode over Internet. De Ping-opdracht kan misbruikt worden om grote hoeveelheden onbruikbare data naar servers te sturen, wat sommige niet-beveiligde servers direct doet crashen.



Pagina 72

We vinken al deze opties aan en klikken op OK. Wat we nu nog moeten doen, is een alert definiëren wanneer een van deze aanvallen zich voordoet. Hiervoor gaan we in de ISA Server structuur naar Monitoring Information en klikken we op Alerts. In deze lijst zien we dat er reeds een voorgedefinieerde alert bestaat, namelijk die met de naam Intrusion Detected. We dubbelklikken hierop en controleren of de optie Enable aangevinkt staat. We gaan naar het tabblad Events en controleren of de instellingen goed staan zoals in onderstaande afbeelding:

Hierin geven we aan dat deze gebeurtenis plaats moet vinden telkens er gelijk welke aanval van buitenaf geconstateerd wordt. Vervolgens klikken we op het tabblad Actions, waarin we kunnen aangeven wat er precies moet gebeuren wanneer dit zich voordoet. We vinken de optie Send e-mail aan en vullen hier de gegevens van onze server voor uitgaande e-mail in. We vinken tevens de optie Stop selected services onderaan aan, klikken op de knop Select, en vinken Web proxy aan, zodat de toegang tot Internet voorlopig wordt stopgezet (dit is een bewuste keuze – indien het bedrijf te veel steunt op internettoegang, is dit mogelijk geen verstandige zet, maar wel wanneer het netwerkverkeer belangrijker is dan het internetverkeer). We klikken op OK, waarna we met succes onze bescherming geconfigureerd hebben.



Pagina 73

8.4.4. Toegang tot het Internet beperken Een andere, zeer uitgebreide mogelijkheid in ISA Server is het beperken van de Internettoegang. Natuurlijk is het niet de bedoeling dat het personeel – buiten of binnen de werkuren – zo maar wat zit te surfen op entertainmentwebsites. Daarom kunnen we een beveiligingsbeleid instellen dat dit moet verhelpen. We gaan als volgt te werk: 8.4.4.a. Tijdschema’s maken Het eerste dat we gaan doen, is twee nieuwe tijdsschema’s maken in ISA Server: één voor binnen de werkuren, en één voor buiten de werkuren. Hiervoor klikken we in ISA Management op Policy Elements en vervolgens op Schedules. We kiezen voor Create a schedule. Bij naam vullen we “WERK” in. Bij Description typen we “Schema voor binnen de werkuren”. Vervolgens gebruiken we de muis en de knoppen Active en Inactive (selecteer een gebied en kies dan Active of Inactive) om tot volgend resultaat te komen:

We stellen dus in dat de werkuren zich bevinden tussen 09.00u en 12.00u, en tussen 13.00u en 18.00u. We klikken op OK. We maken een tweede schema en noemen dit “BUITENWERK”. Bij Description geven we op “Buiten de werkuren” en we zorgen ervoor dat het resultaat net het omgekeerde is van bovenstaande afbeelding, namelijk alle witte vakjes worden blauw en omgekeerd.



Pagina 74

8.4.4.b. Destination sets creëren De volgende stap is opgeven waar de werkstations voor beide schema’s apart wel of niet naar mogen surfen. We gaan opnieuw naar Policy Elements maar deze keer naar Destination Sets. We klikken op Create a destination set. Als naam kiezen we WERKUREN en we klikken op de knop Add. We typen het volgende in: www.*porn*.* Deze regel betekent dat alle websites waarvan de naam het woord “porn” bevat (van porno) met gelijk welke extensie (be, com, etc) in de set opgenomen moeten worden. We klikken op OK en herhalen deze procedure tot we volgend resultaat te zien krijgen:

Opmerking: Hier hebben we sites toegevoegd die te maken hebben met porno, sex, napster en Playboy. Het is natuurlijk mogelijk om nog veel meer websites hierin op te nemen.



Pagina 75

8.4.4.c. De conclusie De volgende stap is het ontnemen van toegang tot deze bestemmingen tijdens de vooraf gemaakte schema’s. Hierin combineren we dus 3.3.4.a en 3.3.4.b. We gaan in ISA Management naar Access Policy en klikken op Site and content rules. Daarin klikken we op Create a Site and Content Rule. We voeren volgende informatie in: • • • • • • •

Als naam typen we “WERK” in. Bij Response to client requests for access kiezen we Deny Bij Apply this rule to kiezen we voor Specified destination set, en bij Naam kiezen we voor Werkuren (opmerking: dit is de destination set die we in 3.3.4.b hebben aangemaakt). Bij Use this schedule kiezen we voor Werk (opmerking: dit is het schema dat we in 3.3.4.a hebben aangemaakt). We kiezen voor Specific users and groups, zodat we kunnen instellen dat deze regel enkel van toepassing is op bepaalde computers. We klikken op Add en voegen alle werkstations in de lijst toe, dus van pc01 tot en met pc20. Merk op dat we dus op onze server volledige toegang blijven behouden. We klikken op Voltooien.

Bij het uittesten zullen we zien dat sites zoals www.playboy.com niet meer beschikbaar zijn op onze werkstations. Zo kunnen we 8.4.4.a en 8.4.4.b herhalen om een regel te maken die bepaalde sites activeert of deactiveert buiten de werkuren. De mogelijkheden gaan, zoals u kan zien, erg ver.



Pagina 76

8.4.5. Bandbreedte Een andere mogelijkheid in ISA Server is het verhogen of verkleinen van bandbreedte voor bepaalde protocollen. Een voorbeeld: in ons netwerk gaan we het gebruik van ICQ, een populair chatprogramma over Internet, wel toestaan, maar ontmoedigen. Met ontmoedigen bedoelen we dat we ervoor gaan zorgen dat het ICQ-protocol een lage prioriteit krijgt in ons netwerk en zo traag werkt, wat er voor zorgt dat 1) het gebruik ontmoedigd wordt, en 2) er weinig bandbreedte ingenomen wordt, die dan weer gebruikt kan worden door andere toepassingen. We gaan als volgt te werk: 8.4.5.a. Bandbreedteprioriteit toevoegen We gaan in ISA Management opnieuw naar Policy Elements en kiezen deze keer voor Bandwith Priorities. We klikken met de rechter muisknop op een wit gedeelte in het rechter vak en gaan naar Nieuw Æ Bandwidth Priority. Als naam typen we Lage prioriteit. Voor Outbound bandwidth en Inbound bandwidth kunnen we een cijfer intypen tussen 1 en 200, voor beiden kiezen we voor 10. We klikken vervolgens op OK.

8.4.5.b. Bandbreedteregel instellen We klikken in ISA Management op Bandwidth Rules. We klikken opnieuw met de rechter muisknop op een wit gedeelte in het rechter vak en we gaan naar Nieuw Æ Rule. We kiezen dan voor volgende instellingen: • •

•

•

Als Bandwidth Rule Name typen we ICQ Lage prioriteit in. Bij Apply this rule to kiezen we voor Selected Protocols. Er verschijnt een lijst met protocols, waarin we ICQ en ICQ 2000 aanvinken. Om misbruik via gelijksoortige software te voorkomen, kunnen we ook AOL Instant Messenger en MSN Messenger aanvinken. Bij Use this schedule kiezen we voor het schema WERK dat we in 3.3.4.a hebben aangemaakt. (We gaan er hier van uit dat de beperking enkel dient opgelegd te worden binnen de werkuren. Indien dit niet zo is, kan U ook voor Always kiezen) Bij Apply the rule to requests from kiezen we voor Any Request, zodat de regel toegepast wordt op elke machine.



Pagina 77

•

• •

•

Bij Apply this rule to kiezen we voor All destinations. In dit geval heeft het geen zin om hier webadressen te gaan opgeven, aangezien we reeds het volledige ICQ-protocol hebben opgegeven. (Via deze optie is het wel mogelijk om bijvoorbeeld de bandbreedte voor bepaalde websites te verkleinen, indien voorheen het TCP/IP-protocol is opgegeven). We kiezen voor All content groups en klikken op Volgende. Bij Use this bandwidth priority kiezen we voor Custom, en bij naam kiezen we voor Lage Prioriteit, de bandbreedteprioriteit die we in 3.3.5.a hebben aangemaakt.

We klikken op Volgende, overlopen onze instellingen en klikken op Voltooien.

Merk op dat in het venster van Bandwidth Rules een volgorde is toegekend:

Dit duidt op de prioriteit van de regels: ICQ Lage Prioriteit heeft voorrang op Default Rule, aangezien Default Rule voor alles geldt. Indien Default Rule de hoogste prioriteit kreeg, zouden de instellingen van ICQ Lage Prioriteit dus overschreven worden. Wanneer we nu ICQ, Microsoft Messenger of AOL Instant Messenger starten, zullen we zien dat de snelheid aanzienlijk is afgenomen, en dus ook de belasting op ons netwerk.



Pagina 78

8.4.6. Rapporten bekijken Het kan voor een werkgever in veel gevallen interessant zijn om het surfgedrag van zijn of haar personeel te controleren. Wanneer hij of zij hieruit concludeert dat bepaalde websites die niet met het werk gerelateerd zijn te veel gebruikt worden, kan er bijvoorbeeld vervolgens een regel worden opgesteld die deze websites blokkeert. We gaan als volgt te werk: We gaan naar ISA Management, klikken op het plusteken naast Monitoring Configuration, en klikken met de rechter muisknop op Report Jobs. Daar zeggen we Nieuw Æ Report Job. In dit venster veranderen we niets en we klikken op OK. Vervolgens gaan we in ISA Management naar Monitoring en klikken we op Reports. We zien rechts Report Job verschijnen, waarop we dubbelklikken. We krijgen dan een webpagina te zien die er ongeveer als volgt uitziet;

Een rapport van ISA Server. Hierin zien we onder meer de meest actieve computers, de meest bekeken websites, de meest gebruikte protocollen, de meest binnengehaalde bestandstypes, de meest gebruikte browsers en de meest gebruikte besturingssystemen.



Pagina 79

8.5. Installatie van firewall op clients Om onze 20 werkstations optimaal gebruik te laten maken van de firewall protectie van ISA Server, is het noodzakelijk om op elke client de ISA Server client software te installeren. Voordeel hiervan is dat we ook direct kunnen zien of we wel met de server verbonden zijn en van alle functies kunnen profiteren. Hiervoor bladeren we via Mijn Netwerklocaties naar onze server en openen we de standaard gedeelde map mspclnt. Hierin dubbelklikken we op het Setup bestand, waarna een korte en simpele installatieprocedure start. Na de installatie is het best dat we de computer opnieuw opstarten. We zien dan dat er in de system tray (rechts onderaan het scherm naast de klok) een icoon is bijgekomen. Wanneer we hier op dubbelklikken zien we volgend venster:

Veel valt er dus niet in te stellen, maar we weten wel dat we beschermd zijn door de ISA server en er een goede verbinding mee hebben.



Pagina 80

9. INSTALLATIE EN CONFIGURATIE NORTON ANTIVIRUS CORPORATE EDITION

Hoewel de ISA Server software van Microsoft een uitstekende firewall biedt, mag een afzonderlijke virusscanner toch op geen enkel systeem ontbreken. Daarom hebben we gekozen voor de installatie van Symantec Norton AntiVirus Corporate Edition 7.5. Dit is een anti-viruspakket dat ontworpen is voor gebruik over een netwerk in een klein tot middelgroot bedrijf en installatie op een Windows 2000 Server of Windows NT4 Server. De voordelen van dit pakket zijn talrijk: • Heel het netwerk wordt gecontroleerd door één pakket, wat de overzichtelijkheid ten goede komt • Meer mogelijkheden qua broadcasts etc. • Automatische LiveUpdate wordt verdeeld over heel het netwerk. Zelfs pc’s die geen toegang tot het Internet hebben, krijgen via het netwerk bijgewerkte virusdefinities.



Pagina 81

9.1. Antivirusbeleid bepalen Voor we overgaan tot de installatie, is het aangeraden dat we eerst even nadenken over de configuratie die we gaan installeren. Daarbij kunnen we volgende opties in acht nemen: • • • • • • •

Zal er zowel op de server als op de clients constant op de achtergrond gescand worden naar virussen? Zal elke client eerst een virusscan moeten ondergaan voor hij toegang tot het netwerk krijgt? Wanneer zullen geplande scans op zowel clients als server plaatsvinden, en hoe vaak? Zullen alle bestanden gescand worden, of enkel een selectie van extensies? Wat zal de standaardactie zijn wanneer er een virus wordt gevonden? Welke opties zijn vastgezet, zodat gebruikers deze niet kunnen wijzigen? Wat is het rampenplan, m.a.w. wat gebeurt er wanneer een virus zich toch verspreid over het netwerk?

Sommige dingen uit bovenstaande lijst lijken misschien evident, maar toch is het noodzakelijk dat we hier grondig over nadenken voor we tot de daadwerkelijke installatie overgaan. In dit voorbeeld beslissen we het volgende: • • • • •

Auto-protect wordt vastgezet, zodat gebruikers deze niet kunnen uitschakelen op de client computer. Auto-protect zal steeds actief zijn op de clients, zonder dat hiervan een icoon wordt getoond in de system tray. De server wordt één keer per dag gescand, telkens om 4 uur ’s nachts. De werkstations worden elk twee keer per week gescand, op variabele tijdstippen. Wanneer een besmet bestand wordt gevonden, is de standaardoptie om dit te repareren, wanneer dit faalt wordt het bestand in quarantaine geplaatst. Wanneer een virus zich verspreidt over het netwerk, zal de webproxy-service van ISA Server onmiddellijk gedeactiveerd worden, om verdere verspreiding van het virus over het Internet (via e-mail bijvoorbeeld) te vermijden.

IN DE PRAKTIJK… Hoewel niet iedereen dit steeds beseft, is het efficiënt gebruik van een goed antivirussysteem zeer belangrijk in een bedrijf. Norton AntiVirus kent momenteel meer dan 60000 verschillende virussen. Sommige van deze “beestjes” zijn vrij onschadelijk; anderen, zoals het recente “Klez” virus, kunnen alle belangrijke gegevens van een firma gewoonweg wissen. Wanneer een dergelijk virus niet tijdig wordt gedetecteerd door een bijgewerkte virusscanner, en er geen recente (en virusvrije ! ) backup van de gegevens is, kan dit natuurlijk rampzalige gevolgen hebben.



Pagina 82

9.2. Installatie van CD1: Symantec System Center Het Symantec System Center wordt op een afzonderlijke CD-ROM bij Norton AntiVirus Corporate Edition geleverd, en bevat onder meer het Symantec System Center, waaruit we de virusprotectie van ons netwerk kunnen beheren, en de Central Quarantine, een afgezonderde plaats op de hard disk van de server om geïnfecteerde bestanden te bewaren. We steken de eerste CD-ROM in onze server en krijgen een menu te zien, waarvan we volgende opties afwerken: OPGELET – Na het installeren van elke optie dient de computer herstart te worden. Neem hierbij de CD-ROM uit de drive, deze is namelijk bootable en indien dit zo ingesteld staat in de BIOS, zal er gestart worden van CD-ROM in plaats van de harde schijf. (Het nut hiervan is het starten van een noodherstelprocedure vanaf de CD.) •

•

•

Symantec System Center De basis voor ons antivirussysteem. Dit vormt het centrale gedeelte van waaruit we het virusbeleid zullen instellen. Een vrij standaard installatie, waarin we enkel aangeven dat we zowel de Symantec System Center Console als de Alert Management System Console willen installeren. Quarantine Console Een programma om de in quarantaine geplaatste items te beheren. De quarantaine is een speciaal voorziene, afgezonderde plaats op de harde schijf waar bestanden die geïnfecteerd zijn met een virus veilig bewaard kunnen worden, zonder dat zij de rest van het systeem aantasten. Central Quarantine Locally Hierbij wordt een aantal Mb schijfruimte op de server gereserveerd voor het bewaren van geïnfecteerde bestanden in quarantaine. We geven aan dat we niet 500Mb maar 800Mb ruimte wensen hiervoor, en laten de standaard gateway (gateways.dis.symantec.com) ongewijzigd.



Pagina 83

9.3. Installatie van CD2: Norton AntiVirus Na deze basisinstallaties plaatsen we de tweede CD-ROM van Norton Antivirus Corporate Edition in de CD-ROM lezer. We installeren volgende onderdelen: •

Install Norton AntiVirus to Servers

Dit is de basisinstallatie van de Norton AntiVirus virusscanner op onze server. We kiezen voor Install en accepteren de licentieovereenkomst. We installeren zowel het Server Program (200Mb!) als het Alert Management System. Wanneer we een computer moeten kiezen, selecteren we onze server (“SERVER”) en klikken we op Add. We krijgen de keuze om een naam in te typen voor de Norton AntiVirus Server Group. We hebben echter maar één server, dus het maakt weinig uit wat we hier typen. We accepteren de standaardoptie (Norton AntiVirus 1). We geven bij de laatste optie aan dat Norton AntiVirus automatisch dient op te starten bij het starten van Windows. Merk op dat het in dit geval niet uitmaakt wat we kiezen, aangezien het opstarten enkel handmatig kan op Netware systemen. Eens de installatie klaar is, dient de pc – jawel – opnieuw herstart te worden.



Pagina 84

•

Hierna installeren we tenslotte de Norton AntiVirus Snap-in vanaf de tweede CD-ROM. Dit is een snap-in voor de Microsoft Management Console (MMC), besproken in hoofdstuk 3.3.

Na de installatie gaan we via Start Æ Programma’s Æ Symantec System Center naar de Symantec System Console, waar we (als de snap-in correct is geïnstalleerd) een icoon Norton AntiVirus Corporate Edition zien.

We kiezen uit de linker menustructuur System Hiërarchie en rechtsklikken op Norton Antivirus 1 (onze servergroep), en klikken op unlock server group. We worden gevraagd om een wachtwoord in te typen (symantec). Onder Norton AntiVirus zien we onze Server verschijnen, we rechtsklikken hierop en kiezen “Make Server a Primary Server”. De basisconfiguratie van onze server is nu voltooid.

9.4. Installatie van Norton AntiVirus voor clients We steken CD2 (Norton AntiVirus) opnieuw in de CD-ROM drive van onze server en kiezen bij het Autorunvenster deze keer optie 2, Install Norton AntiVirus to NT Clients”. De installatie wordt gestart. Bij het tweede venster van de installatie worden we gevraagd om computers te kiezen waarop we Norton AntiVirus willen installeren. We selecteren alle werkstations die we willen beveiligen en klikken op Add. Opmerking: hiervoor moeten alle werkstations on-line zijn. In onderstaande afbeelding zijn slechts twee werkstations on-line.



Pagina 85

We klikken op Voltooien, en wachten terwijl Norton AntiVirus geïnstalleerd wordt op alle computers in ons netwerk. Na enkele minuten is dit voltooid en klikken we op Done. Wanneer we nu gaan kijken in het Start menu van de geselecteerde werkstations, zien we dat Norton Antivirus inderdaad correct is geïnstalleerd op deze machines.

9.5. Configureren van Antivirus systeem We gaan op de Server opnieuw naar het Symantec System Center en gaan in het linkse gedeelte via Symantec System Center, System Hiërarchie en Norton AntiVirus 1 naar SERVER. Wanneer we op Server klikken, zien we dat alle werkstations nu in het rechtse gedeelte opgesomd worden.

De Symantec snap-in in de MMC. Opmerking: in deze afbeelding zien we slechts één werkstation. In XSOFT BVBA zouden dat er 20 zijn. 9.5.1. Scans plannen We selecteren een client en klikken erop met de rechter muisknop. We gaan naar Alle Taken Æ Norton AntiVirus Æ Schedule Scans. In het venster dat verschijnt, klikken we op New om een nieuwe scan te starten. We passen dit venster aan tot we onderstaande configuratie krijgen: De hier afgebeelde instellingen voldoen aan het vooraf bepaalde virusbeleid gedefinieerd in 9.1. We klikken op OK om dit venster te sluiten. Elke dag om 21:00 uur zal dit werkstation gescand worden. Merk op dat dit gebeurd zonder dat er op de werkstations iets in beeld verschijnt. Wanneer er een virus gevonden wordt, zal dit echter wel gemeld worden op het scherm van de client computer. De werking wordt echter wel vertraagd, daarom is het best dat we dit buiten de werkuren laten plaatsvinden. Om ons netwerk niet te hard te belasten, laten we elk werkstation op een verschillend tijdstip scannen.



Pagina 86

We kunnen na de uitgevoerde scan natuurlijk ook controleren of alles goed verlopen is en er geen virussen zijn gevonden. Hiervoor rechtsklikken we op de client en gaan we naar Alle Taken Æ Logs Æ Scan History.

9.5.2. Configuratie Norton Antivirus van clients We selecteren alle clients, rechtsklikken en gaan naar Alle taken Æ Norton AntiVirus Æ Client administrator only options.

Hierin kunnen we volgende zaken instellen: • Op het tabblad General: of het Norton AntiVirus icoon in de system tray wordt weergegeven; of er al dan niet een waarschuwing wordt weergegeven wanneer de virusdefinities niet recent zijn. • Op het tabblad Security: of de gebruikers al dan niet Norton AntiVirus kunnen deactiveren, of er al dan niet een paswoord gevraagd wordt bij het verwijderen van Norton Antivirus op de clients, of er een paswoord gevraagd wordt bij het scannen van een netwerkstation. In principe staan deze opties allemaal goed, dus hier veranderen we niets. 9.5.3. Configuratie autoprotect op clients We rechtsklikken opnieuw op de geselecteerde stations en gaan naar Alle taken Æ Norton AntiVirus Æ Client realtime protection options.



Pagina 87

Hier kunnen we het volgende instellen: •

Of AutoProtect al dan niet ingeschakeld moet zijn; of alle bestanden of enkel geselecteerde extensies of types moeten gescand worden, wat er moet worden gedaan wanneer er een geïnfecteerd bestand wordt gevonden en wat er gedaan moet worden wanneer deze actie faalt; of er al dan niet een melding wordt weergegeven op de computer; of bepaalde mappen en/of bestanden niet mogen gescand worden; en welke soorten stations er moeten gescand worden.

9.5.4. Uitvoeren van LiveUpdate Het is natuurlijk zeer belangrijk dat onze virusdefinities up-to-date blijven, anders zou het nut van een virusscanner quasi nihil zijn. Hiervoor gaan we als volgt te werk: •

We starten Norton AntiVirus op onze server via Start Æ Programma’s Æ Norton AntiVirus Corporate Edition Æ Norton AntiVirus Corporate Edition.



Pagina 88

•

We klikken op de knop LiveUpdate. Wanneer we de keuze krijgen, kiezen we ervoor dat we verbinding willen maken met een LiveUpdate server via het Internet. We klikken op Options en gaan naar het tabblad Proxy, waar we “Connect through a proxy server” aanvinken en aangeven dat de Internet Explorer Proxy settings gebruikt moeten worden.

We klikken op OK en dan op Next, waarna LiveUpdate begint met het downloaden en vervolgens installeren van updates.

Tenslotte krijgen we de melding “Virus protection updated”. We klikken op Finish, waarna de LiveUpdate voltooid is.



Pagina 89

Hierna zal de server automatisch de nieuwe virusdefinities verdelen over het netwerk, zodat alle werkstations bijgewerkt zijn

9.5.5. LiveUpdate opties aanpassen en LiveUpdate automatiseren In 9.5.4 hebben we alle computers in ons netwerk bijgewerkt met nieuwe virusdefinities. Hiervoor hebben we LiveUpdate enkel op onze server uitgevoerd, waarna de nieuwe gegevens automatisch geïnstalleerd werden op de overige computers. Natuurlijk kunnen we ook dit veranderen als we dat willen. Hiervoor gaan we in het Symantec System Center naar System Hierarchie Æ Norton AntiVirus 1 en rechtsklikken we op SERVER. We gaan naar Alle taken Æ Norton AntiVirus Æ Virus definition manager.

Hier kunnen we volgende zaken instellen: •

Of enkel de primaire server moet worden bijgewerkt of elke server apart (hier niet van toepassing omdat we slechts één server hebben); of de clients automatisch virusdefinities van de server moeten downloaden (bij de knop Settings kunnen we aangeven wanneer ze dit moeten doen – standaard elk uur), en of de clients manueel LiveUpdate kunnen starten. We kunnen tevens LiveUpdate Schedules opgeven, deze bepalen een vast tijdstip wanneer de werkstations moeten controleren of er op de Server nieuwe definities beschikbaar zijn.



Pagina 90

Het zou natuurlijk omslachtig zijn moesten we telkens handmatig LiveUpdate moeten starten. Daarom gaan we opgeven dat onze server automatisch dagelijks LiveUpdate moet starten. Hiervoor klikken we op de bovenste Configure knop, waarna we bij volgend venster terechtkomen:

Standaard staat ingesteld dat elke vrijdag om 20.00 uur de virusdefinities moeten worden bijgewerkt. We klikken op de knop Schedule. We geven hier op dat er elke dag om 19.30 uur (dus anderhalf uur voor de automatische virusscans gestart worden) een LiveUpdate moet gebeuren. Voordeel hiervan is dat dit garandeert dat de werkstations bijgewerkt zijn met de laatste nieuwe definities voor ze gescand worden.

We klikken drie maal op OK om de geopende vensters te sluiten. 9.5.6. Gebeurtenissen plannen Een handige functie in de Corporate Edition van Norton AntiVirus is het plaatsvinden van events (gebeurtenissen) waarop we kunnen reageren. Om te verduidelijken: in dit voorbeeld gaan we aangeven dat, wanneer er op een computer een virus wordt gevonden, er een waarschuwing wordt weergegeven op elke computer op het netwerk. We gaan als volgt te werk:



Pagina 91

•

In het Symantec System Center openen we System Hierarchie en rechtsklikken we op Norton AntiVirus. We gaan naar Alle Taken en klikken op Configure AMS.

We klikken op Virus Found en dan op Configure.

Hier kunnen we aangeven wat we precies willen doen wanneer er een virus gevonden hebben. We hebben onder andere de keuze uit een bericht weergeven, een e-mail versturen, een programma starten, of een broadcast (“uitzending”, bericht dat op alle computers verschijnt) starten. We kiezen voor dit laatste en klikken op Volgende. We krijgen de keuze welke computer deze actie moet uitvoeren. We klikken op Server en op Volgende. •

In het volgende venster kunnen we een naam voor de actie opgeven, hier Broadcast Virus Gevonden, en het eigenlijke bericht intypen. Hierbij kunnen we tevens gebruik maken van een aantal variablen, die onder Alert parameters gesorteerd staan. Dit wordt gedemonstreerd in onderstaande afbeelding:



Pagina 92

Fig. 9.18. Boodschap voor een broadcast instellen. We klikken op Voltooien. •

Wanneer er nu op een computer een virus wordt gevonden, krijgen we op elke computer in het netwerk onderstaande melding te zien:



Pagina 93

10. INSTALLATIE UPS SOFTWARE In dit vrij korte hoofdstuk bespreken we de installatie en configuratie van de software van onze UPS. In principe kunnen we dit gedeelte op een willekeurig tijdstip na het installeren van de software van onze server uitvoeren. Het nut van de UPS-software is dat deze in staat is om bij een stroompanne de server uit te schakelen zonder gegevens te verliezen, en o.a. verschillende waarschuwingsmeldingen kan geven bij een lage batterij. Bij onze Smart-UPS wordt het softwarepakket PowerChute Pro geleverd. We kiezen er echter voor dit programma niet te installeren, aangezien de benodigde functionaliteit reeds in Windows 2000 Server ingebouwd zit. We gaan als volgt te werk: (hierbij gaan we ervan uit dat a) de batterij van de UPS reeds is aangesloten, en b) de UPS reeds met het stopcontact is verbonden) We nemen de standaard A-B USB-kabel die bij de UPS is bijgeleverd en gebruiken deze om de UPS met de server te verbinden (we gebruiken hierbij één van de twee vrije USB-poorten van de server). We zien volgende melding verschijnen:

Windows 2000 detecteert de hardware en installeert automatisch de benodigde stuurprogramma’s. We klikken op Start Æ Instellingen Æ Configuratiescherm en dubbelklikken op Energiebeheer. Hierin gaan we enkele zaken aanpassen. TABBLAD ENERGIEBEHEERSCHEMA’S We veranderen het energiebeheerschema in “Thuis/kantoor”, maar geven op dat de harde schijven nooit uitgeschakeld mogen worden, zowel bij netvoeding als bij accuvoeding. Het is immers niet de bedoeling dat de harde schijf van de server uitvalt. Wanneer we op de batterij werken, valt het scherm na 1 minuut uit (dit heeft natuurlijk enkel nut wanneer de monitor ook op de UPS is aangesloten).



Pagina 94

TABBLAD SLAAPSTAND

We vinken de optie “Ondersteuning voor slaapstand inschakelen” aan. TABBLAD WAARSCHUWINGSSIGNALEN



Pagina 95

We vinken de opties “Waarschuwing voor laag energieniveau…” en “Waarschuwing bij kritiek energieniveau…” aan en geven achtereenvolgens 60% bij laag energieniveau en 40% bij kritiek energieniveau aan. We klikken onder Kritiek Energieniveau op de knop Waarschuwingstype.

We vinken aan dat er een geluidssignaal en een bericht wordt weergegeven, en dat achtereenvolgens de computer in slaapstand dient te gaan. We vinken tevens de optie “Geforceerde stand-by of afsluiten, ook als programma niet reageert” aan. Zo zal de computer alle nog actieve programma’s afsluiten en zichzelf in stand-by zetten. TABBLAD ENERGIEMETER In dit tabblad kunnen we, louter informatief, de status van de batterij (resterende energie in %) weergeven.



Pagina 96

11. TOTAALOVERZICHT VAN DE INSTALLATIE Na het installeren van de virusscanner is, in theorie althans, onze installatie klaar. We hebben volgende stappen verwezenlijkt: • • • • • • •

Opstellen van een offerte voor een computerpark met 21 pc’s Assembleren van deze machine’s en ze voorzien van besturingssoftware Alle computers in netwerk zetten en de server configureren als domeincontroller Installeren en configureren van twee backupsystemen (tapedrive en RAID) en een UPS Installeren en configureren van internettoegang en beveiligingspatches Installeren en configureren van Microsoft ISA Server Installeren en configureren van Norton AntiVirus Corporate Edition 7.5.

Concreet: • • •

• •

•

We beschikken over één centrale server die ons domein beheert, en 20 werkstations die daarop inloggen. Zowel onze server als onze werkstations beschikken over een volledig functionele internetconnectie. Als we dat willen, kunnen we echter deze internetconnectie beperken door ze enkel te activeren tussen bepaalde uren, bepaalde websites uit te sluiten, of bepaalde functies, zoals chattoepassingen, mindere prioriteit te geven qua bandbreedte. Onze server is dankzij een firewall beschermd tegen virussen en aanvallen van buitenaf. Voor een grondigere virusbeveiliging maken we gebruik van Norton AntiVirus. Onze virusdefinities worden automatisch bijgewerkt op onze server, waarna ze automatisch verdeeld worden naar de rest van ons netwerk. We kunnen ons antivirusbeleid volledig aan onze wensen aanpassen

Nog één ding moeten we doen bij XSOFT BVBA voor de installatie erop zit, en dat is het maken van een dossier met een volledig overzicht van deze installatie. Dit doen we in hoofdstuk 11.1. Natuurlijk is hierbij het werk bij XSOFT BVBA nog niet afgerond. De kans is overgroot dat er zich, ondanks de genomen voorzieningen betreffende stabiliteit en beveiliging, in de toekomst toch problemen zullen voordoen (denk maar aan bijvoorbeeld een defecte geheugenmodule, of een breuk in een netwerkkabel). In hoofdstuk 12 heb ik een overzicht gemaakt van enkele problemen die zich kunnen voordoen tijdens de inloopperiode van een installatie.



Pagina 97

11.1. Dossier aanleggen van de installatie Wanneer er een week na deze installatie zich een probleem voordoet betreffende het netwerk, de hardware, kablering, of een ander aspect van de installatie, zal dat vrij snel op te lossen zijn omdat alle kenmerken, instellingen, bedradingtypen, etc. nog vers in ons geheugen zitten. Wanneer we echter een jaar verder zijn, zullen we wellicht niet meer weten of we nu “wel of geen cross-kabel gebruikt hebben voor dat éne stukje netwerk”, om maar een voorbeeld te noemen. Daarom is het belangrijk dat we van dit netwerk een dossier opmaken met alle kenmerken van de installatie erin beschreven. Dit dossier dient bij elke wijziging – zoals vb. een herstelling van een werkstation – te worden bijgewerkt, zodat de informatie steeds up-to-date is. In dit dossier nemen we volgende documentatie op: -

Beschrijvingen van alle hardware, inclusief de datum van plaatsing (gelijksoortig aan de offerte in hoofdstuk 1) Een overzicht van alle herstellingen, inclusief de datum hiervan en het eventueel vervangen materiaal Gegevens over de gemaakte backups van de data op de server (zie hoofdstuk 3.7) Een grafisch schema van het netwerk met gegevens over alle hardware en kablering (zoals gedaan in hoofdstuk 5.9) Recente informatie over de configuratie van alle werkstations (denk aan IP adressen, logins, paswoorden, …) Informatie over alle aanwezige softwarelicenties (Windows, Office, …) Een overzicht van problemen die zich in het verleden hebben voorgedaan en de oplossingen die daarvoor zijn bedacht (zie ook de inloopperiode in het volgende hoofdstuk).

Het is belangrijk om bij de eerste twee stappen de datum te noteren, zodat we steeds op de hoogte zijn of een bepaald onderdeel nog onder garantie valt of niet. Dit dossier wordt opgemaakt in twee exemplaren: één voor de klant en één voor de installateur.



Pagina 98

12. INLOOPPERIODE

In dit hoofdstuk bespreken we de potentiële problemen die zich kunnen voordoen in de eerste maanden dat ons netwerk in gebruik is.

12.1. Installatie Internet Explorer 6.0 Bij Windows 2000 wordt standaard Internet Explorer versie 5.0 geleverd. Omwille van volgende redenen is er echter beslist om elk werkstation bij te werken naar versie 6.0: • •

Meer mogelijkheden qua beveiliging en privacy; Betere stabiliteit.

Om dit te verwezenlijken, gaan we op pc01 naar de site http://www.microsoft.com/windows/ie/downloads/ie6/download.asp en downloaden we het bestand ie6setup.exe. Dit bestand plaatsen we op schijf F (die eigenlijk de RAID 5-array op de server vertegenwoordigd), waarna we het starten vanaf pc01 en al de overige werkstations. Opmerking: na de installatie van Internet Explorer dient de computer herstart te worden.

12.2. Mogelijke uitval van hardware Zowel in de beginperiode als op langere termijn is er – zoals in elke computerinstallatie – een zeker risico op uitval van hardware, zoals een defecte videokaart, geheugenmodule of zelfs harde schijf. Alle uitgevoerde herstellingen dienen te worden opgenomen in het dossier van deze installatie.



Pagina 99

BRONNEN Een klein overzicht van de geraadpleegde literatuur die bijgedragen heeft tot de creatie van dit eindwerk.

Boeken Microsoft Networking Essentials (Academic Service, ISBN 90 395 0935 2) Windows 2000 Server: het complete handboek (Academic Service, ISBN 90 395 16 12 X) Websites Microsoft Corp. Intel Corp. IBM Corp. Hewlett-Packard Company Adaptec, Inc. Symantec Corp. Telenet Operaties NV. American Power Conversion Corp.

http://www.microsoft.com http://www.intel.com http://www.ibm.com http://www.hp.be http://www.adaptec.com http://www.symantec.com http://www.telenet.be http://www.apc.com

DISCLAIMER De informatie in dit eindwerk is voor persoonlijk gebruik en mag niet voor andere doeleinden worden gebruikt. Verdere distributie of herdistributie van deze informatie, ongeacht of dat wel of niet voor commerciële doeleinden is, door middel van welke media dan ook, is verboden zonder voorafgaande schriftelijke toestemming van de auteur. Elke reproduktie, kopie, verveelvoudiging of overdracht, op welke manier dan ook, van een deel of het geheel van de informatie die zich in dit document bevindt moet vooraf schriftelijk door de auteur worden goedgekeurd. De informatie in dit eindwerk wordt geleverd "zoals ze is". Het gebruik van de informatie in dit document is voor het eigen risico van de lezer. In geen enkel geval zal de auteur aansprakelijk gesteld kunnen worden voor enige schade die het resultaat zou zijn van (het opvolgen van) de richtlijnen en documentatie opgenomen in dit document. Hoewel de informatie met grote zorg verzameld en uitgetest werd, is de correcte werking ervan op geen enkele wijze gegarandeerd.

De verwijzingen naar adressen op het Internet in dit document, welke naar websites van derde partijen leiden, staan niet onder controle van de auteur. De auteur is niet verantwoordelijk voor de bereikbaarheid of de inhoud van websites van derden. Alle gebruikte afbeeldingen, logos, vermelde merknamen en handelsmerken in dit document zijn eigendom van hun respectievelijke eigenaren.



Pagina 100

Installatie, configuratie en beveiliging van een Client-Server computernetwerk

Recommend Documents