Windows Server / VHS BS / 05. - 09.12.11

Details
Kategorie: Windows Server Seminare
  • Windows ServerWindows Server

Turnusmäßig findet ab dem 05. Dezember 2011 an der VHS Braunschweig das "Windows Server"-Seminar aus der PC-Systembetreuer-Reihe statt.

In einem praxisorientiertem Seminar wollen wir die Verwaltung einer "Firmen-Domäne" mit den aktuellen Windows Server 2008 R2 Server-Betriebssystemen aus dem Hause Microsoft kennen lernen.

Hier die Rahmendaten unseres Seminars:

Ort: VHS Braunschweig, Heydenstraße 2, Raum 2.03
Zeiten: Mo, 05.12. - Fr, 09.12.2011; jeweils 08.30 - 16.00 Uhr
freiwillige Prüfung: Mittwoch, 14.12.2011, Status Erstkorrektur: erledigt, 15.12.11

Ich werde unser Seminar an dieser Stelle - wie mittlerweile gewohnt - durch ein ausführliches tägliches Protokoll begleiten...
Ihr Trainer Joe Brandes

 

  • Netz-/Domain-EntwurfNetz-/Domain-Entwurf
Montag, 05.12.2011, 08.30 - 16.00 Uhr

  • Orientierungsphase, Pausenzeiten, freiwillige Prüfung (aktuell 1/12 TN)
    Hinweis Cobra Shop (Link), Unterichtsmaterialien, Skripte
  • Server-Editionen:
    Web, Standard, Enterprise, Datacenter, HPC (High Perfomance)
  • Entwurf der Netzwerkumgebung
    Hinweis: Server meist mit statischen Konfigurationen
  • Entwurf der Domainen
    1 Hauptdomäne mit 4 Sub-Domänen
  • Dokumentation erstellt: siehe Bild rechts
  • Installation der Server- und Client-Betriebssysteme
  • Einrichten und Konfigurieren Netzwerk
    Tool: ipconfig /all
  • Installation DHCP-Service (Rolle) auf DC-00-R2
    Hinzufügen von DNS-Server 10.0.0.1 für LAN/Domains
  • Fachbegriffe für Domain-Einrichtungen:
    Funktionsebenen, Gesamtstruktur (Forest), Domänenstruktur oder auch Domänenstamm (Tree) und Domäne (Domain)
    Symbol: Dreieck
    wichtig: ohne DNS gibt es kein Active Director (AD)
  • Rollen: hier Konfiguration des "Hauptservers Dozi"
    Installation der Rolle für Active Directory Domänendienste (AD DS)
    Heraufstufen zum DC: Befehlszeilentool dcpromo
    Neustart: Anmeldung beachten BU\Administrator als Benutzername
  • Hinweis: DHCP-Server muss autorisiert werden
    Zusammenarbeit mit DNS: Dynamisches DNS

 

Dienstag, 06.12.2012, 08.30 - 16.00 Uhr

  • TN-Fragen: hier speziell DHCP
  • FQDN: Beispiel www.versorgung.bahn.de (.)
    Hierarchie: Root-Level (.)
    Top Level Domain (TLD) de
    Domain bahn
    Host (Rechner, Server) www
  • Installation der vier Sub-Domain-Controller!
    Achtung: vorher mit nslookup testen!
    Hinweis: den Systemen ein bisschen Zeit geben!
  • Tool nslookup
    eigene Shell/Eingabeaufforderung; verlassen mit exit
    Test für Domainauflösungs-Funktion: einfach Name der Domain (hier: bu.lokal) eingeben
    eigenen gewünschten DNS-Server festlegen: server 10.0.0.1
    Anm.: mehr Erläuterungen im Seminar Netze
  • Gruppenübungen mit Ziel Fernverwaltung der DCs durch Client-PCs
    Windows 7 Clients in Domäne(n) aufnehmen
    neue Domänen-Admins-Konten für alle TN in ihrer jeweiligen Domäne anlegen (Hinweis: in neuer OU organisieren)
    Testanmeldungen der neuen Domain-Admins an Domänen
    Domain-Controller (DCs) auf Remote Desktop aktivieren
    Aufruf der Remote Desktop Verbindung mittels mstsc (Konfigurieren)
  • Objekte/Container im AD: Gegen zufälliges Löschen geschützt
    Trick: Ansicht - Erweiterte Features aktivieren
  • Einführung in Richtlinien (policies)
    Verwaltung - lokale Sicherheitsrichlinie - Kennwortrichtlinien -> alles GRAU!
    Einstallungen ändern mittels Gruppenrichtlinienverwaltungs-Konsole:
    Default Domain Policy - Computerkonfiguration - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Kontorichtlinien - Kennwortrichtlinien
  • Gruppenrichtlinien-Objekte (Group Policy Objects - GPO)
    auf HD des DC: C:\Windows\SYSVOL\sysvol\bu.lokal\policies
  • Einrichten von NAT-Routing auf Hauptserver und Komplettierung von DHCP mit Vergabe von Router (Standard-Gateway, 10.0.0.1), andere DCs statisch mit StdGW komplettiert

 

  • dcpromo (01)dcpromo (01)
  • dcpromo (02)dcpromo (02)
  • dcpromo (03)dcpromo (03)
  • dcpromo (04)dcpromo (04)

Simple Image Gallery Extended

 

 


Mittwoch, 07.12.2011, 08.30 - 16.00 Uhr

  • Rekapitulation, TN-Fragen
    Interesse an Prüfung? Musterprüfungsfragen dargestellt; Termin: nä. Mittwoch, 12.12.2011, 16.30 Uhr
  • Ausführliche Darstellungen der aktuellen AD/Domain/Netzstrukturen
    Fachbegriffe: Migration, Betriebsmaster, DDNS (Dyn. DNS), Forward-/Reverse Lookup, nslookup
  • AD-Benutzer-Verwaltung mittels AGDLP
    Benutzer (Accounts) sind Mitglieder von
    Globalen Gruppen (global groups) die wiederum Mitglieder sind von
    Domain-lokalen Gruppen (domain local groups) wodurch die Benutzer letztendlich die
    Berechtigungen (permissions) auf der genutzten Maschine erhalten!
    Mitgliedschaften auf DCs und Clients getestet und kontrolliert
  • Praxis: neue globale Gruppe MyAdmins mit neuen Usern in Domänen-Admins gesteckt
    Gruppenbereiche: Loka (in Domäne), Global, Universal
    Gruppentyp: Sicherheit, Verteilung
    Wichtig: Benutzer-Berechtigungen / -Mitgliedschaften werden immer nur bei Authentifizierung (Anmeldung!) aktualisiert!
  • Lizenzen: Serverlizenzen, Clientlizenzen
    Client Access Licenses (CALs): pro Benutzer (User) oder pro Gerät (Device)
  • Datenträgerverwaltung:
    Anlegen eines Datenlaufwerks E: auf Servern (DCs) und Clients
  • Boot-Mechanismus:
    BIOS: Reset, POST (Power On Self Test), Bootsequenz: hier HDD)
    MBR mit Partitionstabelle lesen: aktive Partition erkennen
    Bootsektor der aktiven Partition lesen (in RAM laden)
    bootmgr mit Bootcode aus Unterverzeichnis: BOOT\BCD
  • Erweiterte Startoptionen mit F8
    Neu seit Vista/2008: System reparieren (Startreparatur, System-Abbild wiederherstellen, Speichertest)
  • Client Win 7 Benutzerprofile: C:\Users
    nur im Windows Explorer: Ordner Benutzer entspricht den "alten" Dokumente und Einstellungen (s. Windows XP)
    auf Festplatte ist das dann der Ordner C:\Users !
    Anzeige aller Directory-Infos in der cmd: dir /a
    Abwärtskompatibilität und Existenz der "alten Ordner" mit Hilfe von Verbindungen (oder auch symbolischen Ordner Links - symlinkd)
  • Tool: mklink
    kann diese Symbolischen Verknüpfungen zu Verzeichnissen (symlinkd) oder Verbindungen (junctions) erstellen

 

 Donnerstag, 08.12.2011, 08.30 - 16.00 Uhr

  • Rekapitulation, TN-Fragen
    Anmeldungen, Passwörter zurücksetzen, "VPN"
  • Benutzerprofile: an jedem Client existieren die lokalen Profile für Benutzer, die Anmeldungen durchgeführt haben
    Fachbegriffe: Benutzer-Registry-Teil ntuser.dat, servergespeicherte (serverbased) Profile, verbindliche (mandatory) Profile: ntuser.man
    Übersicht über Profile mittels Systemeigenschaften - Benutzerprofile; hier können bitte auch nicht mehr genutzte Profilordner sauber gelöscht werden; Anm.: Benutzerkonten werden "nach Gebrauch" möglichst nur deaktiviert
  • weitere Tools:
    Sysinternals von MS (process explorer, autoruns, bginfo)
    Win Explorer Alternativen: notepad++, Free Commander
  • Netzwerk-Freigaben:
    Vorarbeit: Freigabe-Assistent deaktivieren
    Auf Server dc-00-r2: lokale HD mit E:\projekte (mit Unterordnern und Dateien)
    Freigabename: projekte; Freigabe-Berechtigungen: JEDER / LESEN
    Auf Client cl-17-w7: UNC-Pfad \\dc-00-r2\projekte
    Ergebnis: Alle Domänen-Benutzer ALLER Domänen haben Lese-Zugriff! -> transitive Vertrauensstellungen
    Änderung der Freigabe-Berechtigung: Domänen-Benutzer / LESEN; JEDER entfernen
    Ergebnis: nur noch die eigenen Domänen-Benutzer haben Zugriff!
  • Fernanmeldung für beliebigen nicht berechtigten User mittels Fernanmeldung
    gespeicherte Fernanmeldungen über Systemsteuerung - Anmeldeinformationsveraltung (Tresor) löschen
  • Einsicht/Verwaltung von Vertrauensstellungen über
    Verwaltung - Active Directory Domänen und -Vertrauensstellungen
    Alle Sub-Domains haben eingehende und ausgehenden transitive Vertrauensstellungen
    daher: A vertraut B; A vertraut C; somit: B vertraut C
  • NTFS - New Technology File System
    Eigenschaften: Verschlüsselung (EFS), Dynamische Laufwerke (s.a. RAID), Mounten von Volumes, Indexierung, Journaling File System, Komprimierung
    NTFS-Berechtigungen: Zugriffsschutz auf Benuzterebene; Vererbung, Effektive Berechtigungen, Besitz übernehmen
  • RAID - Redundant Array of Inexpensive/Independent Disks
    Versuch der Optimierung von Geschwindigkeit und Redundanz/Ausfallsicherheit,Software- vs. Hardware-RAID, RAID-Level
    Server-RAID-Level: 0 (Striping), 1 (Mirroring - Empfehlung für Serverinstallations-Volume), 5 (Striping mit Parität)
  • Gruppenrichtlinie für Ordnerumleitungen (hier: Eigene Dokumente - C:\Users\Fred\Documents)
    auf Server:
    neue OU donnerstag mit neuem Benutzer joedonnerstag
    Daten-LW-Freigabe: E:\home freigeben mit Freigabename home und Freigabe-Berechtigung: JEDER / Vollzugriff
    NTFS-Berechtigung für E:\home Domänen-Benutzer / Ändern
    Neues GPO donnerstag-roaming-documents erstellen und bearbeiten
    GP-Editor: Benutzerkonfiguration - Windows Einstellungen - Ordnerumleitungen
    Dokumente - Rechte Maustaste - Konfigurationen vornehmen
    GPO-Objekte mit OU donnerstag verknüpfen
    Gruppenrichtlinien aktualisieren: gpupdate /force
    auf Client:
    neuen User anmelden - hier jetzt im Profil kein Ordner documents mehr!
    Speichern mittels Bibliotheken - Dokumente

 

Freitag, 09.12.2011, 08.30 - 16.00 Uhr

  • Wiederholung zur GPO-Übung von Do-Nachmittag (Screenshots erstellen)
    siehe Screenshot-Reihe unterhalb
  • OU verschachteln / hierarchisch gliedern: OU freitag -> (Unter-) OU mittag
    die Objekte in mittag erben die Richtlinien der übergeordneten OU freitag
  • neue Benutzer erstellt und analysiert
    die wichtigsten Kontenblätter eines AD-Benutzer-Kontos:
  • Übung:GPO erstellen für "Bildschirmauflösung"
    neues GPO - GP bearbeiten - Benutzerkonfiguration - Administrative Vorlagen - Systemsteuerung - Anzeige
    Hinweis: Richtlinien für "Deaktivieren" werden dann "aktiviert" - sonst doppelte Verneinung!
    Tool: gpmc.msc (Group Policy Management Console)
  • Analyse der Richtlinien mittel RSOP (Resultant Set of Policies)
    Tool: rsop.msc
  • Microsoft Management Console (mmc)
    Tools/Snap-Ins: compmgmt.msc, eventvwr.msc, gpmc.msc, rsop.msc, dsa.msc
  • Druckserver (vs. Netzwerkserver)
    Lokalen Drucker freigegeben und konfiguriert
    Treiber für diverse Plattformen, Spool-Ordner, Drucker-Pool
    Spoolordner-Standardpfad: C:\Windows\system32\spool\PRINTERS
    möchte man häufig auf anderen Daten-Volumes haben
  • neues AD-Verwaltungstool: Active Directory Verwaltungscenter
    Ausblick: der kommende Server dann mit ähnlichem Übersichtscenter und Links zu Aufgaben und Problemlösungen (mittels Powershell)
  • OpenBook von Galileo
    der 1400-Seiten-Wälzer von Ulrich B. Boddenberg als OpenBook (Download/ Offline-Webseite)
    Link zur gedruckten Version des Buchs
  • Backupstrategien und Konzepte ("W-Fragen?")
    Einrichtung der Windows Server-Sicherungsfeatures über
    Server Manager - Features - Feature hinzufügen
    Sicherung konfiguriert / eingerichtet
    Tool: wbadmin
  • Musterprüfung (Musterlösung auf Anfrage), TN-Bescheinigungen, letzte Fragen, Feedback

 

  • FreigabeFreigabe
  • NTFSNTFS
  • KontoKonto
  • GPO (01)GPO (01)
  • GPO (02)GPO (02)
  • GPO (03)GPO (03)

Simple Image Gallery Extended

 

Vielen Dank für Ihre tollen Bewertungen in den Feedback-Bögen und Ihre freundlichen Worte und "Klopfer" am Seminarende.
Ihr Trainer Joe Brandes