Windows XP Netzwerkkonfiguration

Hinweise für PCs in Studentenwohnheimen
sowie anderweitige, nicht über die bereitgestellten
Installationsskripte erzeugte Installationen

Allgemeines

Die Netzwerkkonfiguration von Windows XP entspricht im wesentlichen derjenigen von Windows 2000 (beide NT-Technologie), XP enthält lediglich etliche Erweiterungen. Sie ist bezüglich Funktionalität und Sicherheitsmerkmalen grundsätzlich verschieden im Vergleich zu "Consumer"-Windows (95/98/Me).

Windows NT/2000/XP kann in einem Netzwerk sowohl als Client (Netzwerkressourcen nehmen/nutzen) als auch Server (Ressourcen über das Netzwerk bereitstellen/geben) fungieren. Bei der Workstation-Variante (Windows XP Professional) unterstützt der "Server" dabei maximal 10 gleichzeitige Connections im peer-to-peer Betrieb. 
Auch wenn Sie  Windows NT/2000/XP  nur als "Client" (Normalfall) nutzten, ist es von größter Wichtigkeit, die elementaren Sicherheitseigenschaften zu kennen, um sich vor unbefugtem Zugriff über das Netzwerk/Internet etc. zu schützen.

Unter Windows NT/2000/XP müssen sie sich mit einem Benutzernamen und Kennwort auf dem eigenen Computer anmelden.
Verwenden Sie keine leeren oder "schwachen" Kennwörter"
Jeglicher Zugriff auf Ressourcen des eigenen Computers - lokal oder über das Netzwerk - wird durch benutzerbezogene Zugriffsrechte  und globale Sicherheitseinstellungen "überwacht".

Windows XP-Home verwendet in diesem Sinn passende Voreinstellungen, um einen unbefugten Zugriff über das Internet zu verhinden, wenn sie die dort vordefinierten Verbindungstypen wählen:

Wenn Sie mit Windows XP Home eine - für diese Produktvariante eigentlich nicht vorgesehene - direkte Verbindung zu einem Firmennetzwerk oder zum Internet  (z.B. Datennetz Uni Regensburg) herstellen, gelten sicherheitsmäßig dieselben Gesichtspunkte wie bei der Netzwerkkonfiguration von Windows XP Professional. Innerhalb der Universität wird eine fertig vorkonfigurierte Version zur Installation angeboten, bei privatem Einsatz (z.B. PCs in Studentenwohnheimen ) müssen Sie in ihrem eigenen Interesse für eine sicherheitsmäßig korrekte Netzwerkkonfiguration sorgen.  

Es genügt nicht, einfach den Novell-Client zu installieren.
Für die gesamte Netzwerkfunktionalität und Sicherheit sind die Windows-Netzwerkeinstellungen relevant.

 

Netzwerkkonfiguration für Datennetz Uni Regensburg

Für die Nutzung der Novell-Ressourcen (Laufwerke F:, G:, Pegasus Mail, zentrale Drucker) wird eine zusätzliche Client-Software (Novell-Client) benötigt, momentan steht nur ein noch nicht stabile Beta-Version zu Verfügung. 
Die Internetanbindung (z.B. WWW) sowie Nutzung anderer Dienste unter Windows und Unix-Platformen wird von Windows selbst unterstützt und von Novell-Client und  NDS-Autorisierung unabhängig - sie benötigen lediglich ein gültige TCP/IP-Adresse und den dazu zugeordneten Hostnamen.

  1. Installation einer Ethernet-Karte - falls noch nicht vorhanden - 

    Alle PCI und PC-Card (PCMCIA) Karten werden automatisch erkannt und passende Treiber installiert (evtl. wird die Windows CD angefordert). Herstellerspezifische Treiber brauchen Sie nur bei "seltenen" oder ganz neuen Exemplaren.
    Falls Sie herstellerspezifische Treiber  einbringen müssen, achten Sie auf korrekte Zertifizierung (auf der Treiberdiskette/CD ist eine Datei mit Endung CAT vorhanden). Nicht zertifizierte Treiber können die Stabilität Ihres Betriebsystems negativ beeinflussen, Sie sind hier selbst der Tester!
     
  2. Konfiguration des Computernamens und der Arbeitsgruppe

    Bei einer Firmeninstallation werden diese Kenndaten bereits bei der Installation korrekt vergeben, falls sie hier "wilde" Angaben gemacht haben, müssen Sie die Werte ändern:
    Für den (im Netzwerk eindeutigen) Computernamen muss der bei der  IP-Adress-Zuteilung erhaltene IP-Kurzname verwendet werden.
    Wenn sie eine IP-Adresse erhalten haben, aber den IP-Kurznamen nicht wissen...

Für die Arbeitsgruppe wählen sie bei PCs in Studentenwohnheimen den Wert STUDWH, bei anderen externen PCs den Wert NN. Für universitätsinterne PCs gelten die Regeln wie bei anderen Windows-Versionen.

  1. Installation des aktuellen Novell-Clients für Windows XP
     
    Sie können den Novell-Client (derzeit Version 4.83, 14MB) für Windows XP wahlweise online herunterladen oder von CD (z.B. RAS-CD) beziehen und installieren.
     
  2. Korrektur der Netzwerk-Einstellungen und -Bindungen
     
    Rufen Sie über START -> Systemsteuerung -> Netzwerk und Internetverbindungen  -> Netzwerkverbindungen den Netzwerkverbindungs-Dialog auf.
     

     
    Maßgeblich für die Datennetzverbindung ist die über Plug&Play bei Vorhandensein eines Ethernet-Anschlusses  selbst erstellte LAN-Verbindung über den diesen Adapter (im Bild 3C920). Wenn Sie keine weiteren (Wähl-) Verbindungen eingerichtet haben (Normalfall), ist nur eine einzige LAN-Verbindung vorhanden. 
    Falls Sie alternativ zum direkten Datennetzanschluss  DSL verwenden, existiert lediglich eine zusätzliche Wählverbindung, alle folgenden Hinweise bleiben gültig.
     
    Klicken Sie mit der rechten Maustaste auf die LAN-Verbindung und wählen sie im Kontextmenü den Punkt "Eigenschaften":

     

     

     

     

     

     

     
     Häkchen bei NWLink-NetBIOS
        entfernen!

    In der angezeigten Liste sehen sie die zugehörigen  Netzwerkkomponenten.

    • Client für Microsoft-Netzwerke (standardmäßig vorhanden)
    • Datei und Druckerfreigabe für Microsoft-Netzwerke (standardmäßig vorhanden)
    • Internetprotokoll (standardmäßig vorhanden)
    • Novell-Client für Windows (über Novell-Client Installation eingebracht)
    • NWLink-NetBIOS (über Novell-Client Installation eingebracht)
    • NWLink IPX/SPX... über Novell-Client Installation eingebracht)
    • eventuell auch: QOS-Paketplaner (XP-Home standardmäßig vorhanden)

    Entfernen Sie hier nur das Häkchen bei NWLink-NetBIOS (wie in obigem Bild) - falls vorhanden - und klicken Sie OK.  
    NWLink-NetBIOS hat nichts mit NetBIOS über TCP/IP (Port 137/138) zu tun, es wurde früher von der Fa. Novell verwendet und darf in unserem Datennetz nicht aktiviert sein. 
     
    Doppelklicken Sie nun auf den Eintrag NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll - falls vorhanden.

     

     

     

     

     

     

     

     

     Wählen Sie hier bei Rahmentyp
        den Wert "Ethernet II"

    Windows XP basiert auf Windows NT, sie sollten keinesfalls wie unter Windows 95/98/Me unter "Eigenschaften von LAN-Verbindung"  Standard-Komponenten aus Sicherheitsgründen entfernen bzw. hinzuzufügen! 
    Die wichtigen Sicherheitseinstellungen erfolgend an anderer Stelle: Wählen Sie im Haupt-Dialog Netzwerkverbindungen im Menü "Erweitert" den Punkt "Erweiterte Einstellungen"

     

     

     

     

     

     

     

     

    Keine Bindung an IPX,
       
    Bindung an IP nach Wahl

    Keine Bindung an IPX


    Bindungen nach Wahl

        siehe Erklärungen
        weiter unten!

    Im Menü "Erweitert" werden die netzwerk- und sicherheitskritischen Protokoll-Bindungen definiert. Obiges Bild zeigt die korrekte Einstellung für PCs innerhalb des Datennetzes der Universität, wobei geschützter Zugriff von und zum Dateisystem des lokalen PCs über das TCP/IP-Protokoll möglich ist.

    Die Sicherheit geben unbefugten Zugang bei aktiven Bindungen zu "Microsoft-Netzwerk" wird durch benutzerbezogene Freigaben erreicht - Dies setzt voraus, dass Sie keine "schwachen" oder gar leere Kennwörter für die lokalen Benutzerkonten verwenden.
    Beachten Sie, dass eine "out-of-the-box" Windows XP Installation versteckte Freigaben ("Default Shares") besitzt und der einzige Schutz in diesem Fall die Kennwörter sind! 

    Weil diese Sicherheitseinstellungen und die damit verbundenen Themen (Qualität von Kennwörtern, Sicherheit bei Freigaben etc.) Privatbenutzern in der Regel nicht bekannt sind, werden bei Wählverbindungen zum Internet (Modem/ ISDN/ DSL) standardmäßig andere  Protokollbindungen verwendet: Hier wird nur das TCP/IP-Protokoll an das "Wählgerät" gebunden, der Zugriff von und zum Dateisystem ist unterbunden (Ausnahme bei Novell-Client-Installation: Der Novell-Client und das Protokoll IPX werden standardmäßig gebunden).

    Erforderliche Bindungs-Einstellungen für " externe" PCs mit direktem Datennetzanschluss

    • Datei und Druckerfreigabe für Microsoft-Netzwerke
       
      • NWLink IPX/SPX - Keine Bindung (Häkchen entfernen)
      • Internetprotokoll (TCP/IP) - Bindung nur dann, wenn Sie von anderen PCs aus über das Netzwerk auf Freigaben Ihres PCs zugreifen wollen. Haben Sie keine Erfahrung mit Zugriffsberechtigungen, entfernen sie diese Bindung! Es ist dann kein direkter Zugriff von "außen" auf das Dateisystem Ihres PCs möglich.
         
    • Client für Microsoft-Netzwerke
       
      • NWLink IPX/SPX - Keine Bindung (Häkchen entfernen)
      • Internetprotokoll (TCP/IP) - Bindung aktiviert (Häkchen gesetzt)
        Damit ist der Zugriff auf andere Windows/UNIX-Rechner im Netzwerk möglich.
         
    • Novell-Client for Windows
       
      • NWLink IPX/SPX - Bindung standardmäßig aktiviert (Häkchen gesetzt),
        für Novell-Verbindung über das IPX-Protokoll. Ausnahme: Wählverbindungen ohne IPX-Protokoll, Novell-Verbindung nur über TCP/IP.
      • Internetprotokoll (TCP/IP) - Bindung standardmäßig aktiviert (Häkchen gesetzt),
        für Novell-Verbindung über TCP/IP. 
        Bei Novell-Client-Problemen (z.B. unerwünschte  Delays) können Sie die Bindung an TCP/IP optional entfernen. Achtung: Die Novell-Client-Bindungen müssen zu den Novell-CLient-Protokolleinstellungen "passen", wenn Sie TCP/IP-Bindung entfernen, müssen Sie bei den Novell-Protocol-Preferences alle Namensauflösungs-Methoden für TCP/IP entfernen.

    Zum Schluss können Sie im Menü "Erweiterte Einstellungen" noch die "Reihenfolge der Anbieter" korrigieren, um bei installiertem Novell-Client die Zugriffsgeschwindigkeit zu Nicht-Novell-Ressourcen zu optimieren (der Zugriff auf Novell-Objekte wird dadurch nicht langsamer)
    Standardmäßig legen sich die NetWare-Servcies "ganz nach oben", korrekt ist aber gerade die umgekehrte Einstellung.

     

     

     

     


    Markieren Sie NetWare-Services
        bzw. NetWare Print Servces
        und bringen sie beide mit den
        Pfeilen ganz nach unten - 
        wie in nebenstehender
        Abbildung.

 
Windows-/Novell-NDS-Anmeldung

Nach Installation des Novell-Clients wird der Windows XP-Anmelde-Dialog (GINA) ohne Wahlmöglichkeit in den Novell-Login-Dialogbox umgestellt. 
Die Novell-Loginbox gestattet wahlweise eine kombinierte NDS- und Lokal-Anmeldung (Standard, Häkchen "Workstation only" nicht gesetzt) oder eine "nur Lokal-" Anmeldung (Häkchen "Workstation only" gesetzt).

Beachten sie bei der kombinierten Anmeldung die Reihenfolge: Zuerst wird die NDS-Anmeldung abgefragt, erst dann - bei positiver NDS-Autorisierung - erscheint eine zweite Dialogbox zu lokalen Windows-Anmeldung. 
Diese Windows-Anmeldung können sie anders als beim bisherigen "Consumer-Windows" (Windows 95/98/Me) nicht einfach wegklicken. Windows NT/2000/XP erfordert immer eine Autorisierung (Benutzername und Kennwort) für den Zugriff auf das lokale System! 
Aus Sicherheitsgründen sollten sie, sobald ihr Computer direkt an ein Firmennetzwerk (z.B. Datennetz der Universität) angeschlossen ist, niemals leere Kennwörter - wie bei Windows XP Home üblich - verwenden!

Wenn Sie den Novell-Client unter Windows XP Home Edition installieren, wird automatisch die dort  standardmäßig vorhandene schnelle Benutzerumschaltung deaktiviert und für die lokale Windows-Anmeldung das "klassische" Windows-Logon verwendet.
Sie schnelle Benutzerumschaltung ist bei Anbindung an ein Firmennetzwerk grundsätzlich nicht möglich.

Unter Windows 2000/XP mit installiertem Novell-Client lässt sich die Anmeldereihenfolge (Windows/Novell)   leider nicht mehr ohne Rückwirkung ändern.


Wolfram Oestreicher 6.5.2002