Nach dem Windows Server Seminar im Dezember 11 findet ab dem 06.02.2012 an der VHS Braunschweig das "Windows Server Aufbau"-Seminar statt. Ich bezeichne das Seminar gerne auch als "Windows Server Workshop". Im nachfolgenden Artikel zu unserem Seminar habe ich auch bereits die ersten gewünschten Workshops der Teilnehmer aufgelistet, so sie per Mail an mich herangetragen wurden. Alles weitere dann in der Organisationsphase des Seminars am Montag-Morgen.
Ort: VHS Braunschweig, Heydenstraße 2, Raum 2.03
Zeiten: Mo, 06.02. - Fr. 10.02.2012; jeweils 08.30 - 16.00 Uhr
Wie immer werde ich die täglichen Themen und Topics unseres Seminars in diesem Beitrag bereitstellen...
Ihr Trainer Joe Brandes
Hier die ersten gewünschten Themen zu unserem Workshop zum Windows Server, so wie sie im Vorfeld des Seminars an mich herangetragen worden sind:
Hr. G. per Mail am 20.01.2012
- Migration einer Domäne mit Server 2003-DCs nach 2008R2 (das steht in der Praxis auch bald an...)
- Desaster Recovery - Wiederherstellen eines Systems aus der Datensicherung
- (gruppenspezifische) Laufwerkszuordnungen - nicht die bereits durchgenommenen Ordnerumleitungen von Ordnern des Benutzerprofils, sondern bezogen auf Datenfreigaben, die gruppenspezifisch als Netzlaufwerke gemappt werden sollen. Das soll anstatt konventionell über Anmeldeskripte ja auch über GPOs zu realisieren sein
Hr. W. per Mail am 04.01.2012
- Terminalserver
- Lizenzverwaltung im Bereich Terminalserver
Montag, 06.02.2012, 08.30 - 16.00 Uhr
- Orientierungsphase, TN-Themenwünsche, Hinweis auf Cobra-Shop
- Openbook Galileocomputing zum Thema "Windows Server 2008 R2"
Verfasser: Ulrich B. Boddenberg, geb., 1.410 S., 59,90 Euro; ISBN 978-3-8362-1528-2 - "DEN PLAN" für die Woche gemeinsam erstellen:
modernes Mappen von Netzwerklaufwerken; Backup & Restore - moderne Wiederherstellungsmechanismen; Migration 2003 -> 2008R2; TS / RD Services; VPN darstellen (nicht MS-Technik: Android, iOS); HyperV2 - Virtualisierung; WAIK - Windows Automated Installation Kit); Powershell; DFS; Spezielles Thema: Windows 7 Rechner in Übungs-Seminarraum immer "zurücksetzen/gleich" (siehe Nachspann des Artikels unten) - Entwurf von Netzwerk- und AD-Struktur
Domäne (Gesamtstruktur) famueller.lokal mit Hostname DC00 und IP 10.0.0.1 (LAN-Seite; WAN: 192.168.3.100)
Sub-Domäne sub.famueller.lokal mit DCs DC01 (10.0.0.5) und DC02 (10.0.0.10)
Clients: 3 mal Windows 7 Prof
Plan für zweiten Forest (Gesamtstruktur) mit
Domäne fameier.lokal und DC11
Beachten: hier alle IPs statisch! - auch für die Windows XP Clients) da sonst Probleme mit DHCP (s.u.) - Installation von erstem Server 2008 R2 (inkl. erster Aktualisierung) und Netzwerktechnik
DHCP Rolle installiert und konfiguriert:
Bereich: 10.0.0.100 - .150 / 24
Std.GW (Router): 10.0.0.1
DNS: 10.0.0.1 (und alternativer DNS 192.168.3.1) - Installation aller notwendigen DCs und Clients (inkl. Aktualisierungen)
durch die TN auf den entsprechenden Arbeitsplätzen mit Wechselplattensystemen - Aktualisierungen verglichen:
Windows Update (Automatik) vs. WSUS (Windows Software Update Server - Link)
speziell: Update Pakete von Webportalen wie winfuture.de (Link) oder c't offline Updater (Link) - AD Domänendienste Rolle installiert und
mittels dcpromo für die ersten DCs die Active Directory Verwaltungen aktiviert - DNS Tests mit nslookup
Empfehlung: vor jeder AD-Konfiguration durchführen, um die Funktionalität von DNS sicherzustellen: denn ohne DNS kein funktionstüchtiges AD!
Dienstag, 07.02.2012, 08.30 - 16.00 Uhr
- Rekap und TN-Fragen
- Feinschliff an den AD-Strukturen:
Jeder TN wird zum Mitglied von Domänen-Admins
Alle TN haben Zugriff auf AD-Verwaltungen von eigenem Arbeitsplatz aus
RSAT - Remote Service Administrtation Tool von MS für Windows 7 (und Co - Link)
Aufruf von "Active Directory Benutzer- und Computerverwaltung" mittels dsa.msc - "Backup-DC" / Redundanz für Domäne SUB hergestellt
Server DC02 wird zu zweitem DC für sub.famueller.lokal - Gesamtstruktur FFL 2003 erstellt
Installation und Aktualisierung von Server 2003 und Windows XP inkl. aller Aktualisierungen
Hinweis: statische Adressen und Konfiguraitionen in 10.0.0.0 / 24 - Standard-Container in AD-Verwaltung
Builtin, Users, Computer, Domain Controllers
besondere Gruppen: Organisations-Admins und Schema-Admins nur in famueller.lokal
Anm.: Schema quasi die DB-Struktur des AD - einheitlich für die Gesamtstruktur! - Gruppen wiederholt
Sicherheitsgruppen: lokal (in Domäne), global, universal - AGDLP (Goldene Regel für Gruppenzugehörigkeiten und Gruppenverwaltungen)
Accounts (Benutzerkonto) - Globale Gruppe - Domain-Lokale Gruppe - Permissions (Berechtigungen)
Beispiel: neuer Benutzer
Joedummy - Domänen-Benutzer - Benutzer - kann keine Uhrzeit ändern, keine Freigaben erstellen, eingeschränkte Computerverwaltung
nachvollzogen für Admin-Konten:
Joebadmin - Domänen-Admins - Administratoren - kann Freigaben erstellen, Zugriff auf Computerverwaltung
auf Client-Rechnern in der "Lokalen Benutzer- und Gruppenverwaltung" (lusrmgr.msc) die Globalen Gruppen "Domänen-Benutzer" und "Domänen-Admins" als Mitglieder bei "Benutzer" und "Administratoren" gefunden! - Kennwortrichtlinien
für Übungen im Seminar die Kennwortrichtlinien über das GPO Default Domain Policy bearbeitet (entschärft):
Computerkonfiguration - Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen - Kontorichtlinien - Kennwortrichtlinien
hier: Komplexitätsvoraussetzung deaktiviert und Minimale Kennwortlänge auf 5 Zeichen - Berechtigungen (Datenlaufwerke E: auf Servern und Clients bereitgestellt)
Freigabe vs. NTFS-Sicherheit, Konfigurierungen
NTFS-Berechtigungen: Vererbung, Effektive Berechtigungen, Besitz
Einstellung des Windows Explorers (Win + E)
Mittwoch, 08.02.2012, 08.30 - 16.00 Uhr
- Rekap, TN-Fragen
- Praxis-Beispiel für Gruppen:
Plan: bestimmte Mitarbeiter (Benutzer / Accounts) sollen auf Clients (Notebooks) die Netzwerkkonfiguration ändern dürfen
Auf DC (Server): neue globale Gruppe networker erstellen und gewünschte AD-Benutzer Mitglied werden lassen
Auf Notebook (Client): als Berechtigter (z.B. Domänen-Admin) die lokale Benutzer- und Gruppenverwaltung (lusrmgr.msc) bearbeiten - die globale Gruppe networker Mitglied werden lassen der lokalen Gruppe Netzwerkkonfigurations-Operatoren
Hinweis: Jetzt können die Mitgliedschaften zentral mittels AD manipuliert werden!
Nach demselben Schema lässt sich der Bauplan für einen Terminal-Service (RemoteDesktop-Service) umsetzen: Globale Gruppe tsuser Mitglied von Lokaler Gruppe Netzwerkkonfigurations-Operatoren des TS/RDS - Freigaben
Einstellung des Explorers vorgenommen, UNC Pfad \\server\freigabename\ordner+dok-strukturen
Erste manuelle Freigabe auf DC erstellt neue Rolle Dateidienste mit Übersicht über die Freigaben
Tests mit Berechtigungen: Jeder / Lesen verglichen mit Domänen-Benutzer / Lesen
Fernanmeldung bei nicht erlaubten Zugriffen
Bei der speziellen Berechtigungsgruppe Jeder auch alle Benutzer aus "vertrauten" Domains mit dabei! - Vertrauensstellungen
siehe Active Directory-Domänen und -Vertrauensstellungen: transitive wechselseitige Vertrauensstellungen zwischen famueller.lokal und sub.famueller.lokal - net (Befehle in cmd)
net share, net view, net use
Beispiel: net use U: \\dc00\freigabename\ordner /persistent:no - Netzwerklaufwerke in drei Varianten:
1) klassisch per Skript in NETLOGON (C:\Windows\SYSVOL\sysvol\famueller.lokal\skripts)
Konfigurieren in Benutzer-Profil-Register
2) Basisordner (Home-Directory) verbinden mittels Freigabe
3) Techniken mit Gruppenrichtlinien - Standardberechtigungen und NTFS-Rechte für Freigabeordner
NTFS: globale Benutzergruppe / Ändern
Freigabe: Jeder / Vollzugriff - GPO (Group Policy Objects)
GPO-Ordner: C:\Windows\SYSVOL\sysvol\famueller.lokal\policies
Beachte: Freigabe SYSVOL für C:\Windows\SYSVOL\sysvol
Wichtig: GPO mit den gewünschten Containern verknüpfen (nicht vergessen!)
Container für GPOs: Standorte (Sites), DC, Domains, Organizational Units (OUs)
Einteilung in Computerkonfiguration (Machine) und Benutzerkonfiguration (User)
Aktualisierung erzwingen: gpupdate /force - Gruppenrichtlinie (Erstes Beispiel)
Eigenschaften der Anzeige "deaktivieren"
Donnerstag, 09.02.2012, 08.30 - 16.00 Uhr
- Rekap, TN-Fragen
- Server Verwaltung "Roter Faden"
Dienste bereitstellen und absichern / Redundanzen gewünscht
Netzwerkdienste DHCP + Routing/RAS/VPN ggf. mit Spezial-HW und Ersatz-HW lösen
AD-Domänendienste + 1. DNS (Primäre Zone) = 1. DC (Single Point of Failure) => 2. DC
2. DNS mit Sekundärer Zone (Anm.: auf 2. DC nur die DNS-DB und kein vollständiger DNS-Dienst
Dateiservice (Fileserver) => Ausfallsicherheit und Replikationen mittels Domänen-DFS-Stamm
Spezielle Dienste: TS/RD-Dienste, Virtualisierungen (HyperV2) - Gruppenrichtlinie (Wiederholung, Übung, Praxis)
Richtlinien greifen parallel zu Benutzerrechten! - Benutzerprofile Windows 7
Vergleich Windows Explorer Ansicht vs. Befehlszeile cmd mit Befehl dir /a
Ordner Benutzer - username - Eigene Dokumente entspricht C:\Users\username\Documents
"Dokumente und Einstellungen" und "Documents and Settings" sind Verbindungen (Junctions)
Tool: mklink - Roaming Profilordner (Teil 3 aus Netzwerklaufwerke von Mi)
auf Server: E:\jbrandes\roamdocs als Stammverzeichnis anlegen und Freigabe und NTFS Berechtigungen einstellen
neues GPO erstellen mit: Benutzerkonfiguration - Richtlinien - Windows-Einstellungen - Ordnerumleitung - Dokumente
mit Rechter Mausklick - Eigenschaften konfigurieren
siehe hier auf Registerkarte Einstellungen: "Dem Benutzer exklusive Zugriffsrechte für Dokumente erteilen."
so sind dann auch Datenschutzbelange berücksichtigt
nicht vergessen: neues GPO mit gewünschter OU verknüpfen - AppData (Roaming)
Verzeichnis auf Clients analysiert und Bedeutung geklärt
Beispiel: Mozilla Firefox Benutzerprofile inklusive AddOns (Erweiterungen), Bookmarks und Einstellungen
Freitag, 10.02.2012, 08.30 - 16.00 Uhr
- Rekap, TN-Fragen, Ablauf für letzten Seminartag besprechen
- Migration
AD-Domänendienste und DNS von Server 2003 auf 2008 R2 (Link)
Bemerkungen am Rande der Migration: Tools auf Server 2003 müssen über die "Support Tools Server 2003" erst bereitgestellt werden, beim dcpromo für den Server 2008 R2 genanntes Tool adprep von der 2008 R2 DVD für die Anpassung des Schemas der Gesamtstruktur von 2003 lautet hier adprep32 /forestprep - Neustart zeigt POC (proof of concept) - danach noch Arbeiten an den Maschinennamen und IP-Adressen und den Betriebsmasterrollen (so natürlich start verkürzt - siehe hier das Handbuch zu den Migrationen - Gruppenrichtlinien (Rekapitulation)
Vererbungen der Richtlinien, Struktur und Ablauf von Richtlinien für Computer und Benutzer (inkl. Skripten/Batches - siehe Herdt-Skript zu 2008 R2 S. 161 ff.) - Intermezzo
Startbildschirme seit W95 mittels Aufruf von oobe
Bücher zum Server 2008 R2 (z.B. Taschenratgeber Stanek: Amazon-Link)
Terrashop (Website; wenn es auch mal ein Auslaufexemplar mit vergünstigten Konditionen sein darf) - Remotedesktop (RDP-Sitzung)
Vorbereitung: Rechner TS16 mit fester IP-Adresse; Aktivierung von Remotedesktop
Status: alle Mitglieder der Lokalen Gruppe Administrator können RDP nutzen
Test mit Domänen-Admin Benutzerkonto
In Domäne: neue Globale Sicherheitsgruppe freitag-rdpler erstellt
neuen Benutzer joets erstellt und Mitglied werden lassen in neuer Gruppe freitag-rdpler
Auf TS16: in der Lokalen Benutzer- und Computerkonfiguration in Gruppe Remotedesktopbenutzer die globale Gruppe freitag-rdpler als Mitglied hinzugefügt
Status: jetzt kann Benutzer joets den Rechner TS16 per RDP nutzen! - Rollen Remotedesktopdienste
Sitzungshost und Lizensierungsserver aus den Rollendiensten installiert
mittels RemoteApp-Manager lassen sich Programme zum "Fernbenutzen" hinzufügen
Bereitstellung auf Clients mittells RDP oder MSI Dateien
Anmerkung zu MSI: siehe Softwareverteilung mittels Gruppenrichtlinien
mögliche Kombination mit Virtualisierungstechnik (Virtuelle Desktops für Benutzer) - Rolle HyperV2
Virtualsierung von Microsoft
Virtuelle Festplatten .vhd; lassen sich in die Datenträgerverwaltung integrieren
Alternative Virtualisierungen: VmWARE (.vmdk), VirtualBox/Oracle (.vdi); Virtuelle Festplatten aktuell nahezu kompatibel untereinander - Server-Sicherung
Feature Windows Server-Sicherung installieren; Kommandozeilentool: wbadmin - letzte TN-Fragen, Feedback-Bögen, TN-Unterlagen/Bescheinigungen
Schönen Dank für die Teilnahmen an unserem Seminar und die positiven und netten Worte zum Abschluss des Seminars.
Ihr Trainer Joe Brandes
Spezielles Thema aus Orientierungsphase:
Windows 7 Rechner immer wieder "zurücksetzen" bzw. unverändert für nächste Nutzung
Anwendungsbeispiel: Hr. A. in einem Schulungsraum mit Windows 7 Rechnern in Domäne
klassische Lösung von Microsoft (leider nur bis XP und auch Vista) war das Tool "Steady State"
Kauflösungen in Hard- und Software-Lösung diverse am Markt (mal Googeln: Reborn Card, Deep Freeze, ...)
hier:
Microsoft Lösung mit Boardmitteln (Link)
(Original: Creating a Steady State by Using Microsoft Technologies)