Small IT Solution - Windows-Datenspeicherung

Windows-Datenspeicherungsdienste

Veröffentlicht: 24. Jul 2004

In diesem Abschnitt wird beschrieben, wie Windows Storage Server in die Small IT Solution integriert wird. Die Integration des Storage-Servers umfasst die Umleitung von Ordnern mit Benutzerdaten, die Einbindung von Verwaltungs- und Unterstützungsfunktionen und andere die Dateidienste betreffende Überlegungen.

Auf dieser Seite

	Anfangskonfiguration von Windows Storage Server
	Konfigurieren von Dateidiensten

Anfangskonfiguration von Windows Storage Server

Windows Storage Server-Geräte sollen voll funktionsfähige Dateiserver mit minimaler Konfiguration darstellen. Der Server sollte anfangs für das Unternehmensnetzwerk konfiguriert und der Domäne hinzugefügt werden. Die folgende Tabelle enthält die Konfigurationseinstellungen für Windows Storage Server. Diese Einstellungen können auf der Registerkarte Netzwerk der webbasierten Verwaltungsoberfläche von Windows Storage Server vorgenommen werden.

Komponente

Zum Festlegen der Eigenschaften durchzuführende Schritte

Registerkarte Identifikation

1.	Geben Sie in das Textfeld Servername die Zeichenfolge "NAS01" ein.
2.	Geben Sie in das Textfeld DNS-Suffix die Zeichenfolge "domänenname.local" ein.
3.	Wählen Sie die Option Domäne aus.
4.	Geben Sie "domänenname.local" ein.
5.	Geben Sie in die Textfelder Benutzer und Kennwort den Namen bzw. das Kennwort eines Benutzers ein, der berechtigt ist, der Domäne beizutreten.

Registerkarte Globale Einstellungen

DNS-Auflösung

1.	Wählen Sie die Option Übergeordnetes DNS-Suffix anhängen aus.
2.	Aktivieren Sie das Kontrollkästchen Übergeordnete Suffixe des primären DNS-Suffixes anhängen.

TCP/IP-Hosts

Im Moment keine Konfiguration notwendig.

NetBIOS LMHOSTS

Im Moment keine Konfiguration notwendig.

Registerkarte Schnittstellen

Allgemein

Wählen Sie die Option Folgende IP-Einstellungen verwenden aus.

Geben Sie die folgenden Daten ein:

•	IP-Adresse: 10.0.0.4
•	Subnetzmaske: 255.255.255.0
•	Standardgateway: 10.0.0.1

Erweitert

Im Moment keine Konfiguration notwendig.

DNS

Konfiguration

Wählen Sie die Option Manuell konfigurieren aus.

DNS-Server

Fügen Sie "10.0.0.2" zur Liste der DNS-Serveradressen hinzu.

WINS

Konfiguration

Wählen Sie die Option Manuell konfigurieren aus.

WINS-Server

Fügen Sie "10.0.0.2" zur Liste der WINS-Serveradressen hinzu.

Registerkarte Administrator

Administratorkonto

Sie müssen sich unter dem lokalen Administratorkonto anmelden, um das Kennwort zu ändern.

Tabelle 1. Detaildaten zur Speichergerätekonfiguration

Zum Seitenanfang

Konfigurieren von Dateidiensten

Die in diesem Kapitel beschriebenen Dateidienstkonfigurationen basieren auf den Empfehlungen, die im Kapitel "Small IT Solution - Dienste für kleine Unternehmen" dargestellt wurden.

Dateifreigabeprotokolle

Es sind viele verschiedene Protokolle für die Dateifreigabe verfügbar. Hierzu gehören folgende Protokolle:

•	Microsoft Server Message Block (SMB)Microsoft Server Message Block (SMB)
•	NFS
•	FTP (File Transfer Protocol)
•	WebDAV
•	AppleTalk und "Services für Netware"

In den folgenden Abschnitten werden diese Protokolle eingehender erläutert.

Server Message Block (SMB)

SMB ist das systemeigene Dateifreigabeprotokoll für die Windows-Betriebssysteme. Die aktuelle SMB-Version ist mit früheren SMB-Versionen kompatibel und bietet jetzt auch CIFS-Unterstützung.

Vorteile

SMB bietet folgende Vorteile:

•	Optimale Unterstützung für die Dateifreigabe: Systemeigene Microsoft-Dateifreigabeprotokolle bieten die beste Unterstützung für die gemeinsame Nutzung von Dateien durch Microsoft-Clients und Microsoft-Dateiserver.
•	Zugriff von einer Vielzahl von CIFS-Clients aus: SMB erlaubt es, von einer Vielzahl von CIFS-Clients aus, zu denen auch zahlreiche nicht von Microsoft stammende Clientbetriebssysteme gehören, auf Datenfreigaben zuzugreifen.
•	Höhere Sicherheit: Die beiden Sicherheitsstufen für die SMB-Authentifizierung, nämlich Freigabe und Benutzer, sind weithin anerkannt und bieten eine höhere Sicherheit.

Nachteil

Keine Verschlüsselung auf der Transportebene: SMB unterstützt keine Verschlüsselung auf der Transportebene. Dateidaten, die über das Netzwerk übermittelt werden, müssen durch Verwendung von IPSec-Tunneling (Internet Protocol Security) geschützt werden.

Empfehlung

SMB wird für fast alle Dateifreigabeszenarien empfohlen. Das Protokoll Microsoft Server Message Block sollte auf dem Storage-Server aktiviert werden.

Konfigurieren von Server Message Block (SMB)

In der Regel wird SMB aktiviert, wenn die Option Datei- und Druckerfreigabe für Microsoft-Netzwerke aktiviert wird. Diese Option lässt sich mit den folgenden Schritten deaktivieren:

1.	Melden Sie sich bei der Web-Benutzeroberfläche als Systemadministrator an.
2.	Klicken Sie auf die Registerkarte Freigaben.
3.	Klicken Sie auf die Verknüpfung Dateifreigabeprotokolle.
4.	Wählen Sie die Option Microsoft SMB aus.
5.	Klicken Sie in der Spalte Tasks auf die Schaltfläche Deaktivieren.

Um den SMB-Zugriff auf eine bestimmte Freigabe zu beschränken, lässt sich die Option mit den folgenden Schritten deaktivieren:

1.	Melden Sie sich bei der Web-Benutzeroberfläche als Systemadministrator an.
2.	Klicken Sie auf die Registerkarte Freigaben.
3.	Klicken Sie auf die Verknüpfung Freigaben.
4.	Wählen Sie die zu verwaltende Freigabe aus.
5.	Klicken Sie auf die Schaltfläche Eigenschaften.
6.	Deaktivieren Sie auf der Registerkarte Allgemein die Option Windows (Microsoft SMB).

NFS (Network File System)

Das NFS-Protokoll wird durch das Produkt "Services für NFS" bereitgestellt, das für Windows Storage Server lizenziert und installiert werden kann. NFS ist eine Gruppe von in den Storage-Server integrierten Diensten, die UNIX-basierten NFS-Clients den Zugriff auf Serverressourcen ermöglichen.

Vorteile

NFS bietet u.a. folgende Vorteile:

•	Ermöglicht UNIX-basierten NFS-Hosts den Zugriff auf Ressourcen, die von Windows Storage Server verwaltet werden
•	Zentrale Authentifizierung von UNIX-Clients

Nachteil

Zusätzliche Ressourcenvoraussetzungen: Der Hauptnachteil von NFS liegt in den Ressourcenvoraussetzungen, die zur Unterstützung der Ausführung von Services für NFS auf dem Windows Storage Server erfüllt werden müssen.

Empfehlungen

Im Allgemeinen sind die NFS-Dienste in einer Umgebung eines kleinen Unternehmens nicht erforderlich, weil dort in der Regel keine UNIX-Clients vorhanden sind, die das NFS-Protokoll für die gemeinsame Nutzung von Dateien verwenden. Beachten Sie jedoch folgende Empfehlungen:

•

Services für NFS umfasst die folgenden Komponenten:

•

Server für NFS: Verwaltet die Zuordnung von UNIX-Clients zu Windows-Servern und die Authentifizierung dieser Clients.

•

Server für die NFS-Authentifizierung: Stellt eine Schnittstelle zwischen Server für NFS und der Windows-Sicherheitsinstanz zur Verfügung.

•

User Name Mapping (Zurordnung von Benutzernamen): Stellt eine Verbindung zwischen Windows- und UNIX-Benutzerkonten her. Diese Komponente extrahiert die UNIX-Benutzerkennung (UID) und die Gruppenkennungen (GIDs) aus den NFS-Anforderungen und ordnet sie Benutzernamen zu. User Name Mapping unterstützt sowohl eine einfache als auch eine erweiterte Zuordnung.

Die einfache Zuordnung von Benutzernamen ist unkomplizierter und erfordert weniger Verwaltungsaufwand. Dieses Verfahren kann verwendet werden, wenn die Benutzer in der Windows- und der Unix-Domäne den gleichen Namen haben.

Die erweiterte Zuordnung ermöglicht es, mehrere Windows-Benutzernamen einem einzelnen UNIX-Benutzernamen, Windows-Gruppen den entsprechenden UNIX-Gruppen sowie eine beliebige Anzahl einzelner Windows-Domänen UNIX-Domänen zuzuordnen. Allerdings wird die Zuordnung mehrerer UNIX-Benutzernamen zu einem Windows-Benutzernamen nicht unterstützt.

•

UNIX-Benutzer, die keine Windows-Benutzerkonten besitzen, werden der Windows-Gruppe Anonyme Anmeldung zugeordnet. Die Gruppe Anonyme Anmeldung ist in der Produktfamilie Windows Server 2003 nicht mehr Bestandteil der Gruppe Jeder. Für Ressourcen, die potenziell ein Sicherheitsproblem darstellen können, muss ein anonymer Zugriff explizit gewährt werden; auf anonyme Zugriffe sollte daher verzichtet werden.

FTP (File Transfer Protocol)

FTP kann für den Upload und Download von Dateien fast beliebiger Größe auf bzw. von einem zentralen Server benutzt werden. FTP ist ein gut eingeführtes und konsistent implementiertes Protokoll, das auf dem Windows Storage Server aktiviert werden kann.

Vorteile

NFS bietet u.a. folgende Vorteile:

•	Unterstützung für alle Arten von Clients: Die standardisierte Implementierung des Protokoll bedeutet, dass praktisch jeder FTP-Client, der unter einem Betriebssystem von Microsoft oder einer anderen Firma ausgeführt wird, den FTP-Server nutzen kann.
•	Sehr leistungsfähig und einfach: Das Protokoll stellt aufgrund seiner Leistungsfähigkeit und Einfachheit eine komfortable Möglichkeit dar, Dateien über das Internet zu übertragen.

Nachteil

Der Hauptnachteil von FTP besteht darin, dass Daten und Anmeldeinformationen unverschlüsselt über das Netzwerk gesendet werden. Dies könnte dazu führen, dass Anmeldekonten und Kennwörter erkannt werden. Diese Informationen können von unbefugten Personen dazu benutzt werden, auf andere Systeme zuzugreifen.

Empfehlungen

Für FTP gelten folgende Empfehlungen:

•	Konfigurieren Sie die Verzeichnisse, auf die über FTP zugegriffen werden kann, sodass nur lokalen FTP-spezifischen Benutzerkonten der Zugriff gewährt wird. FTP-Anmeldeinformationen werden als reiner Text übertragen und können abgefangen werden, um sich Zugriff auf ein System zu verschaffen. Daher wird von der Verwendung von Domänenkonten abgeraten.
•	Beschränken Sie die Verwendung von Verzeichnissen, auf die über FTP zugegriffen werden kann. Benutzen Sie, wenn möglich, WebDAV mit SSL-Verschlüsselung und Digestauthentifizierung, damit die Anmeldeinformationen geschützt sind und die Daten während der Dateiübertragung verschlüsselt werden.
•	Die Standard-FTP-Site sollte nicht vom Server entfernt werden, weil die Web-Verwaltungsschnittstelle FTP-Komponenten erfordert. Der FTP-Zugriff kann mithilfe von NTFS oder dadurch eingeschränkt werden, dass FTP bei Freigaben nicht aktiviert wird.

Konfigurieren von FTP

Zum Konfigurieren von FTP führen Sie folgende Schritte aus:

1.	Aktivieren Sie FTP (TCP-Port 21) über die Firewall für den Storageserver.
2.	Melden Sie sich bei der Web-Benutzeroberfläche an.
3.	Klicken Sie auf die Registerkarte Freigaben.
4.	Klicken Sie auf die Verknüpfung Dateifreigabeprotokolle.
5.	Wählen Sie die Option FTP aus.
6.	Klicken Sie auf die Schaltfläche Eigenschaften.
7.	Stellen Sie auf der Registerkarte Protokollierung sicher, dass das Kontrollkästchen Protokollierung aktivieren aktiviert ist.
8.	Aktivieren Sie die Registerkarte Anonymer Zugriff, und aktivieren oder deaktivieren Sie den anonymen Zugriff bei Bedarf.
9.	Aktivieren Sie die Registerkarte Nachrichten, und geben Sie nach Bedarf Willkommens- und Beendigungsmeldungen ein.

Wenn über FTP auf eine Freigabe zugegriffen werden muss, lässt sich der FTP-Zugriff mit folgenden Schritten aktivieren:

1.	Richten Sie speziell für die Dateien, die über FTP ausgetauscht werden sollen, eine Freigabe ein.
2.	Aktivieren Sie den FTP-Zugriff auf die Freigabe, indem Sie im Eigenschaftendialogfeld für die Freigabe das Kontrollkästchen FTP aktivieren.
3.	Aktivieren Sie auf der Registerkarte FTP-Freigabe je nach Bedarf das Kontrollkästchen Lesen und/oder Schreiben. Stellen Sie sicher, dass das Kontrollkästchen Aufrufe protokollieren aktiviert ist, und speichern Sie die Änderungen.

WebDAV

WebDAV (auch Webordner genannt) ist ein Dateiübertragungsprotokoll, das sichere Dateiübertragungen über Intranet und Internet unterstützt. Mit WebDAV können Sie Dateien auf einem Remotecomputer mithilfe regulärer Dateisystembefehle übertragen. WebDAV bietet eine ähnliche Funktionalität wie FTP, stellt jedoch eine sicherere Umgebung für Dateiübertragungen zur Verfügung. Beim Einsatz von FTP werden Anmeldeinformationen als reiner Text übermittelt. Bei Verwendung von WebDAV kann die Digest- oder integrierte Windows-Authentifizierung zur sicheren Übermittlung von Anmeldeinformationen benutzt werden. SSL kann zur Verschlüsselung von Dateien eingesetzt werden, die über das Netzwerk übertragen werden; zudem wird EFS unterstützt.

Vorteile

Die Verwendung von WebDAV bietet u.a. folgende Vorteile:

•	Sicherheit: WebDAV-Ordner bieten mehr Sicherheit als FTP-Ordner. Mit EFS verschlüsselte Dateien werden sicher über HTTP gespeichert oder zugestellt.
•	Internet-Zugriff: Über den Standardport 80/TCP oder den Port 443/TCP können Dateien über das Internet gemeinsam genutzt werden.

Nachteile

Die Verwendung von WebDAV hat folgende Nachteile:

•	Der Webserver wird zum Engpass: Der gesamte WebDAV-Verkehr muss über einen Webserver verlaufen. Dies kann zu einem Engpass bei Dateiübertragungen führen.
•	Verwaltungsaufwand: Die Verwendung von WebDAV ist mit höheren Verwaltungskosten verbunden, die durch die Konfiguration und Unterstützung von Webordnern über lokale Freigaben bedingt sind.

Empfehlung

WebDAV sollte anstelle von FTP verwendet werden. WebDAV sollte für Dateiübertragungen im Internet benutzt werden.

Konfigurieren von WebDAV

Zur Aktivierung von WebDAVauf dem Storage-Server konfigurieren Sie die HTTP-Eigenschaften auf dem Server und bei den einzelnen Freigaben derart, dass HTTP-Zugriff gewährt wird, und weisen Lese- und Schreibberechtigungen zu.

Mit folgenden Schritten können die HTTP-Eigenschaften auf dem Server über die Web-Benutzeroberfläche konfiguriert werden:

1.	Melden Sie sich bei der Web-Benutzeroberfläche an.
2.	Klicken Sie auf die Registerkarte Freigaben.
3.	Klicken Sie auf die Verknüpfung Dateifreigabeprotokolle.
4.	Wählen Sie die Option HTTP aus.
5.	Klicken Sie auf die Schaltfläche Eigenschaften.
6.	Klicken Sie auf die Registerkarte Allgemein, und wählen Sie die Option Alle IP-Adressen aus.
7.	Wenn der Firewall so konfiguriert ist, dass HTTP-Anforderungen an einen bestimmten Port weitergeleitet werden, geben Sie diese Portnummer im Textfeld Port: an.
8.	Klicken Sie auf die Registerkarte Sicherheit, und aktivieren oder deaktivieren Sie die Option Web-Freigabe für IE-Clients mit integrierter Windows-Authentifizierung aktivieren.
9.	Damit die SSL-Verschlüsselung für Dateiübertragungen im Internet verfügbar ist, muss die Websites für "Freigaben" mit einem SSL-Zertifikat konfiguriert werden, das von einer anderen Zertifizierungsstelle als Microsoft stammt.

Mit den folgenden Schritten können Freigaben für HTTP konfiguriert werden:

1.	Melden Sie sich bei der Web-Benutzeroberfläche an.
2.	Klicken Sie auf die Registerkarte Freigaben.
3.	Klicken Sie auf die Verknüpfung Freigaben.
4.	Markieren Sie die Freigabe, die konfiguriert werden muss.
5.	Klicken Sie auf die Schaltfläche Eigenschaften.
6.	Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Web (HTTP).
7.	Legen Sie auf der Registerkarte Webfreigabe die Lese- und Schreibberechtigungen für die Freigabe fest.

AppleTalk und "Services für Netware"

Windows Server 2003 unterstützt die Dateifreigabe über das AppleTalk-Protokoll für Macintosh®-Clients und über "Services für NetWare" für NetWare-Clients. "Services für NetWare" ist als Add-On für den Storage-Server verfügbar und sollte über einen Vertragshändler (VAR) bezogen werden.

Weitere Informatioen zu AppleTalk erhalten Sie, wenn Sie unter Windows Server 2003 in Hilfe und Support nach "AppleTalk" suchen.

Wenn Sie an näheren Informationen zu "Services für Netware" interessiert sind, suchen Sie in Hilfe und Support nach "Netware".

Dateidiensttechnologien

Das Kapitel "Small IT Solution - Dienste für kleine Unternehmen" gibt einen Überblick über die Empfehlungen für grundlegende Dateidiensttechnologien, die in einer Umgebung mit einem Server verwendet werden. Dieser Abschnitt enthält ähnliche Empfehlungen für die Verwendung von Dateidiensten, wenn ein Windows Storage Server der Umgebung hinzugefügt wird. Zu den Dateidiensttechnologien zählen:

•	NTFS
•	DFS
•	EFS
•	Datenträgerkontingente
•	Schattenkopien von freigegebenen Ordnern

Der Inhalt der folgenden Abschnitte bezieht sich speziell auf diese Dateidiensttechnologien:

Hinweis: Einige Punkte dieses Abschnitts werden auch im Abschnitt "Dateidienste" im Kapitel "Small IT Solution - Dienste für kleine Unternehmen" beschrieben. Die Kapitel unterscheiden sich hauptsächlich in den Empfehlungen und den Anweisungen zur Konfiguration der Dateidienste.

NTFS

NTFS bietet viele Optionen zur Optimierung und Verwaltung eines Dateisystems. Ein allgemeines Feature ist die Bereitstellung von NTFS-Dateisystemen, womit man ein Volume um Speicherplatz erweitern kann, ohne das Volume auf einem größeren Datenträger neu erstellen zu müssen. Hierzu werden Ordner auf anderen NTFS-Volumes als Ordner des lokalen Volumes bereitgestellt.

Vorteile

Die Verwendung der NTFS-Dateibereitstellung bietet folgende Vorteile:

•	Flexibilität: Die NTFS-Dateibereitstellung kann beispielsweise benutzt werden, um einem Dateisystem Verzeichnisse eines anderen Servers logisch hinzuzufügen.
•	Datenträgerkontingente: Mithilfe der NTFS-Bereitstellung lassen sich in einem Ordner verschiedene Richtlinien bezüglich des Datenträgerkontingents implementieren, weil die Datenträgerkontingente jeweils auf einzelne Volumes angewendet werden. Hierzu wird ein Volume bereitgestellt, auf dem ein anderes NTFS-Datenträgerkontingent implementiert wurde.

Nachteil

Verwaltungsaufwand: Bei Verwendung der NTFS-Dateibereitstellung müssen Objekte auf Dateisystemebene, z.B. Datenträgervolumes, verwaltet werden, was zeitaufwändig sein kann und möglicherweise den Verwaltungsaufwand erhöht.

Empfehlung

Die NTFS-Dateibereitstellung sollte in der Umgebung eines kleines Unternehmens nicht verwendet werden. Die NTFS-Dateibereitstellung sollte nur in Ausnahmesituationen benutzt werden, beispielsweise wenn auf einem Server der Speicherplatz erschöpft ist oder wenn Verzeichnisse mit verschiedenen Datenträgerkontingenten miteinander verknüpft werden müssen und das DFS nicht verfügbar ist.

Konfigurieren der Dateibereitstellung

Zur Konfiguration von NTFS und der Bereitstellung von NTFS-Volumes kann über lokale Konsolen auf den Storage-Server zugegriffen werden; hierzu kann der Remotedesktop für Verwaltung und die lokale Systemkonsole eingesetzt werden.

DFS

Mit dem DFS-Dienst lassen sich eine beliebige Anzahl von Freigaben auf Servern, NAS-Speichergeräten und Clientcomputer unter einem einzigen logischen Dateisystem vereinen. DFS vereinfacht die Suche nach in einem Netzwerk freigegebenen Dateien für Benutzer, weil der Benutzer nur den Namen des DFS-Stamms kennen muss.

Vorteile

Die Verwendung von DFS bietet u.a. folgende Vorteile:

•	Ein einheitlicher Namespace: Der Hauptvorteil der Verwendung von DFS besteht darin, dass dieses Dateisystem eine einheitliche Sicht freigegebener Dateien und Ordner bietet.
•	Verfügbarkeit der Dateien: Mithilfe der DFS-Replikation kann die Verfügbarkeit erhöht werden, indem man auf verschiedenen Servern Kopien der Daten anlegt und pflegt.
•	Zuverlässigkeit des Dienstes: Domänen-DFS bietet eine höhere Dienstzuverlässigkeit, weil die Informationen über den DFS-Stamm in Active Directory gespeichert werden.
•	Flexibilität: Die Verwendung von DFS erleichtert die Migration von Dateien zwischen Freigaben.

Nachteil

Der Nachteil von DFS liegt im Verwaltungsaufwand, der durch seine Erstellung und Wartung bedingt wird.

Empfehlung

Verwenden Sie einen Domänen-DFS-Stamm statt eines eigenständigen DFS-Stamms, und fügen Sie diesem Stamm alle relevanten Netzwerkfreigaben als Verknüpfung hinzu. Auf dem Storage-Server ist vom OEM möglicherweise ein einzelner lokaler DFS-Stamm angelegt worden. In einer domänen-basierten Umgebung wird die Verwendung eigenständiger DFS-Stämme nicht empfohlen, weil Features wie die Replikation sowie Optionen für Leistung und Verfügbarkeit nicht verfügbar sind. Die Konfigurationsdaten zu einem Domänen-DFS-Stamm werden in Active Directory gespeichert, und auf den Namespace kann über den Domänennamen zugegriffen werden, statt über den Namen des Servers, auf dem der Stamm gespeichert ist.

Freigaben zum Speichern servergespeicherter Profile und umgeleiteter Ordner sollten als Verknüpfungen unter dem DFS-Stamm hinzugefügt werden, und zur Konfiguration servergespeicherter Profile und umgeleiteter Ordner sollten DFS-Pfade verwendet werden.

Konfigurieren von DFS

Berücksichtigen Sie die folgenden DFS-Empfehlungen für den Storage-Server:

•	Erstellen Sie einen Domänen-DFS-Stamm in der Web-Benutzeroberfläche des Storage-Servers, die von allen Netzwerkclients verwendet wird. Übernehmen Sie DFS-Verknüpfungen aus eigenständigen Stämmen in den Domänen-DFS-Stamm.
•	In der Web-Benutzeroberfläche des Storage-Servers kann nur ein DFS-Stamm erstellt werden. Mithilfe des MMC-Snap-Ins DFS im Menü Start der Serverkonsole, das im Remotedesktop für Verwaltung verfügbar ist, können allerdings mehrere DFS-Stämme erstellt werden.

EFS

EFS ermöglicht es Benutzern, Dateidaten zu verschlüsseln. EFS ergänzt die NTFS-Zugriffssteuerungslisten durch die Möglichkeit, eine Datei oder ein Verzeichnis zu verschlüsseln. Auch wenn die Berechtigungen für eine Datei oder einen Ordner geändert werden, sind die Daten noch geschützt, weil nur der Benutzer, der die Daten verschlüsselt hat, oder ein Konto, das als Wiederherstellungs-Agent fungiert, die Daten entschlüsseln können. EFS ist zur Sicherung von Daten auf Computern sinnvoll, die leicht gestohlen werden können, z. B. tragbare Computer.

EFS verwendet zum Verschlüsseln und Entschlüsseln von Daten ein Schlüsselpaar, das aus einem öffentlichen und einem privaten Schlüssel besteht, und einen dateispezifischen Schlüssel. Wenn Benutzer eine Datei verschlüsseln, erzeugt EFS einen Dateiverschlüsselungsschlüssel zum Verschlüsseln der Daten. Dieser Verschlüsselungsschlüssel wird wiederum mit dem öffentlichen Schlüssel des Benutzers verschlüsselt und in der Datei gespeichert.

Wenn der Benutzer sein Anmeldekennwort vergisst oder ein Administrator dieses Kennwort ändert, dann sind die Hauptschlüssel des Benutzers nicht mehr verfügbar, weil der Entschlüsselungsschlüssel aus dem Kennwort des Benutzers abgeleitet wird und das System die Hauptschlüssel nicht mehr entschlüsseln kann. Ohne Hauptschlüssel sind verschlüsselte EFS-Dateien für den Benutzer nicht mehr zugänglich. Diese Dateien können nur von einem Datenwiederherstellungs-Agenten wiederhergestellt werden. In den Gruppenrichtlinien sollte mindestens ein Wiederherstellungs-Agent eingerichtet werden. Die Benutzer sollten ihr Kennwort ändern, solange sie angemeldet sind, indem Sie STRG+ALT+ENTF drücken und die Option Kennwort ändern auswählen.

Beim Speichern von verschlüsselten Dateien auf Remoteservern ist Folgendes zu beachten:

•	Die Betriebssystemfamilien Windows® XP und Windows Server 2003 unterstützen das Speichern von verschlüsselten Dateien auf Remoteservern.
•	Die Daten werden erst beim Speichern auf dem Datenträger verschlüsselt; während der Übertragung über das Netzwerk sind sie nicht verschlüsselt. Durch den Einsatz von IPSec oder WebDAV und SSL können die Daten jedoch während der Übermittlung verschlüsselt werden.
•	Von Macintosh- oder UNIX-Clients aus kann nicht auf verschlüsselte Daten zugegriffen werden.
•	EFS-Zertifikate und private Schlüssel können derzeit nicht auf Smartcards gespeichert werden.
•	Bevor Benutzer Dateien verschlüsseln können, die sich auf einem Remoteserver befinden, muss ein Administrator festlegen, dass dem Remoteserver für Delegierungszwecke vertraut wird.

Vorteile

Die Verwendung von EFS bietet u.a. folgende Vorteile:

•	Sicherheit: Die Benutzerdaten sind auch dann geschützt, wenn der Computer gestohlen wird oder wenn Unbefugte sich Zugriff auf die Daten verschaffen.
•	Integration: Weil EFS in das Dateisystem integriert ist, ist es einfach zu verwalten, sicherer und für den Benutzer transparent. Es kann verwendet werden, um mühelos die Daten in umgeleiteten Ordnern, z.B. Eigene Dateien zu schützen.

Nachteile

Die Verwendung von EFS hat folgende Nachteile:

•	Datenwiederherstellung: Bei Verwendung von EFS in der Domäne ist ein Wiederherstellungs-Agent erforderlich, um sicherzustellen, dass der Verlust des Verschlüsselungsschlüssels oder Zertifikats zu keinem Datenverlust führt.
•	Möglichkeit des Datenverlusts: Wenn das Kennwort eines Domänenbenutzers beispielsweise vom Administrator zurückgesetzt wird, muss unter Verwendung des Kontos für den Wiederherstellungs-Agenten eine Datenwiederherstellung durchgeführt werden. In solchen Fällen können Daten verloren gehen.

Empfehlungen

Es wird empfohlen, dass Benutzer vertrauliche Dateien mithilfe von EFS verschlüsseln, insbesondere Dateien, die auf Netzwerkfreigaben oder tragbaren Computern gespeichert werden.

Bei Verwendung von EFS auf Remotenetzwerkfreigaben wird empfohlen, eine Zertifizierungsstelle zur Erzeugung von EFS-Zertifikaten zu konfigurieren. Bei der Small IT Solution ist die Verwendung einer Zertifizierungsstelle allerdings nicht erforderlich. In der Standardeinstellung wird für Mitgliedscomputer einer Domäne das Konto des Domänenadministrators als Wiederherstellungs-Agent benutzt. EFS erstellt und verwendet standardmäßig ein selbstsigniertes Zertifikat für EFS. Wenn das selbstsignierte Zertifikat jedoch verloren geht oder beschädigt wird, können auch die Daten, die unter Verwendung dieses Zertifikats verschlüsselt wurden, verloren gehen. Um die Wahrscheinlichkeit, dass ein solcher Fall eintritt, möglichst gering zu halten, kann der öffentliche Schlüssel des Benutzers in einem servergespeicherten Profil gesichert werden, und von der Freigabe, auf der das Profil gespeichert ist, sollten regelmäßig Sicherheitskopien erstellt werden.

Konfigurieren von EFS

Die oben genannten, zur Unterstützung von EFS notwendigen Bedingungen müssen in der Umgebung gegeben sein, aber es ist keine weitere Konfiguration erforderlich, um freigegebene Ordner auf dem Storage-Server zu verschlüsseln.

Datenträgerkontingente

Mithilfe von Datenträgerkontingenten wird die Datenträgerspeicherplatz-Nutzung für NTFS-Volumes verfolgt und gesteuert. Administratoren können Windows so konfigurieren, dass Benutzer daran gehindert werden, ihr Kontingent zu überschreiten, und ein Ereignis protokolliert wird, wenn ein Benutzer eine gegebene Speicherplatzbeschränkung überschreitet.

Vorteil

Datenträgerkontingente können eingesetzt werden, um Benutzer dahingehend einzuschränken, dass sie auf freigegebenen oder umgeleiteten Ordnern nicht zu viel Speicherplatz belegen.

Nachteile

Die Verwendung von Datenträgerkontingenten hat folgende Nachteile:

•	Keine Kontingente auf Gruppenebene: Es ist nicht möglich, ein Kontingent für eine Gruppe von Benutzern festzulegen.
•	Implementierung auf Volumes: Kontingente werden lediglich auf logischen Volumes implementiert und können nicht für einzelne Ordner implementiert werden.

Empfehlung

Datenträgerkontingente sollten auf den Volumes des Storage-Servers implementiert werden, um eine ordnungsgemäße Verwendung des geplanten Speicherplatzes sicherzustellen.

Konfigurieren von Kontingenten

Um Kontingente auf dem Storage-Server zu konfigurieren, klicken Sie in der Web-Benutzeroberfläche auf die Verknüpfung Datenträger und anschließend auf die Registerkarte Volumes. Klicken Sie auf die Schaltfläche Standardkontingentsgrenzen setzen..., und geben Sie Kontingentbeschränkungen für neue Benutzer und Benutzer an, deren Kontingentsgrenzen noch nicht festgelegt wurden. Klicken Sie auf die Schaltfläche Kontingentseinträge festlegen..., um vorhandene Kontingenteinträge zu ändern oder neue hinzuzufügen.

Volumeschattenkopien von freigegebenen Ordnern

Das Feature "Schattenkopien von freigegebenen Ordnern" verwendet den Volumeschattenkopie-Dienst, um es Benutzern zu ermöglichen, eine vorherige Version einer Datei oder eine gelöschte oder überschriebene Datei wiederherzustellen.

Vorteile

Die Verwendung von "Schattenkopien von freigegebenen Ordnern" bietet folgende Vorteile:

•	Einfache Handhabung: Die Benutzer sind in der Lage, frühere Versionen von Dateien oder sogar von ihnen gelöschte Dateien wiederherzustellen.
•	Verringert den Verwaltungsaufwand: Wenn "Schattenkopien von freigegebenen Ordnern" eingesetzt wird, werden weniger Supportmitarbeiter zur Wiederherstellung von Daten benötigt. Zudem ist die Wiederherstellung versehentlich gelöschter oder überschriebener Dateien damit weniger zeit- und arbeitsaufwändig.

Nachteile

Die Verwendung von "Schattenkopien von freigegebenen Ordnern" hat folgende Nachteile:

•	Erforderlicher Festplattenspeicher: Mindestens 10 Prozent des auf dem Volume verfügbaren Speicherplatzes müssen für das Speichern von Snapshots reserviert werden.
•	Volume-basierte Implementierung:"Schattenkopien von freigegebenen Ordnern" kann nicht für einzelne Ordner implementiert werden und muss für ein gesamtes Volume aktiviert werden.
•	Beschränkte Wiederherstellung: "Schattenkopien von freigegebenen Ordnern" kann bis zu 64 Snapshots verwalten. Wenn diese Grenze erreicht ist oder wenn der für Snapshots reservierte Speicherplatz erschöpft ist, werden ältere Snapshots durch neue Snapshots ersetzt.

Empfehlungen

"Schattenkopien von freigegebenen Ordnern" kann nur für freigegebene Ordner verwendet werden und sollte auf allen Volumes konfiguriert werden, die freigegebene Ordner mit Benutzerdaten enthalten. Hierzu gehören:

•	Umgeleitete Ordner
•	Freigegebene Ordner von Benutzern
•	Andere Volumes, die freigegebene Ordner enthalten

Wenn der Volumeschattenkopie-Dienst für mehrere Volumes auf einem Server aktiviert wird, sollte ein dediziertes Volume für Snapshots erstellt werden. Durch die Verwendung dedizierter Volumes wird die Erstellung von Snapshots eines Volumes beschleunigt. Die Entscheidung über die Erstellung eines dedizierten Volumes sollte während der Einrichtung von Windows Storage Server gefällt werden, weil die vorhandenen Snapshots gelöscht werden, sobald der Snapshot-Speicherort geändert wird.

Wenn sich Kundendateidaten häufig ändern oder wenn der Kunde gelöschte Daten über einen längeren Zeitraum hinweg aufbewahren möchte, sollte mehr Speicherplatz für Snapshots reserviert werden.

Konfigurieren von Schattenkopien

Um "Schattenkopien von freigegebenen Ordnern" auf dem Storage-Server zu konfigurieren, klicken Sie in der Web-Benutzeroberfläche auf die Registerkarte Datenträger und anschließend auf die Verknüpfung Schattenkopien. Markieren Sie das Volume, auf dem "Schattenkopien" aktiviert werden soll, und klicken Sie auf die Schaltfläche Aktivieren.

Sie können mithilfe dieser Schnittstelle eine neue Schattenkopie erstellen, vorhandene Schattenkopien anzeigen, den Zeitplan für Schattenkopien festlegen und die Gesamtspeichermenge festlegen, die für Schattenkopien verfügbar ist.

Zum Seitenanfang

In diesem Beitrag

•	Small IT Solution - Überblick
•	Einführung Small IT Solution
•	Entwerfen des Netzwerkes
•	Dienste für kleine Unternehmen
•	Remoteverwaltungs- und Supportdienste
•	Windows-Storage
•	Testen der 'Small IT Solution'

Windows-Speicher - Unterkapitel

Einführung

Ermitteln übergeordneter Faktoren

Planen

Windows Storage Server-Entwurf

Windows-Datenspeicherungsdienste

Verwaltung und Unterstützung

Zusammenfassung