Windows Server / VHS BS / 03. - 07.12.12

Details
Kategorie: Windows Server Seminare
  • Windows ServerWindows Server

Turnusmäßig findet ab dem 03. Dezember 2012 an der VHS Braunschweig ein "Windows Server"-Seminar aus der PC-Systembetreuer-Reihe statt.

In einem praxisorientiertem Seminar wollen wir die Verwaltung einer "Firmen-Domäne" mit den aktuellen Windows Server 2008 R2 Server-Betriebssystemen aus dem Hause Microsoft kennen lernen.

Hier die Rahmendaten unseres Seminars:

Ort: VHS Braunschweig, Heydenstraße 2, Raum 2.03
Zeiten: Mo, 03.12. - Fr, 07.12.2012; jeweils 08.30 - 16.00 Uhr
Status Erstkorrektur: erledigt - 15.12.2012 - alle 6 TN haben bestanden; ich gratuliere herzlichst!
Termin: Mittwoch, 12.12.2012, 18.30 Uhr in Raum 2.03 (Kursnummer BWP04)

Ich werde unser Seminar an dieser Stelle - wie mittlerweile gewohnt - durch ein ausführliches tägliches Protokoll begleiten...
Ihr Trainer Joe Brandes

 

  • Entwurf der BU-DomäneEntwurf der BU-Domäne

Montag, 03.12.2012, 08.30 - 16.00 Uhr

  • Orientierungsphase, Pausenzeiten, freiwillige Prüfung (aktuell 4/11 TN)
    Hinweis Cobra Shop (Link), Unterichtsmaterialien, Skripte
  • Server-Editionen: (nur als 64-Bit verfügbare 2008 R2)
    Web, Standard, Enterprise, Datacenter, HPC (High Perfomance)
  • Entwurf der Netzwerkumgebung
    Hinweis: Server mit statischen Konfigurationen verwenden
  • Entwurf der Domainen
    1 Hauptdomäne mit 3 Sub-Domänen
  • Dokumentation für Domänenmodell und Netzwerk erstellt: siehe Bild rechts
    Vergabe der Hostnames, Adressen, Hierarchien
  • Installation der Server- und Client-Betriebssysteme
    Begriffe: Image-basierte Installationen, Partitionen, System-Reservierte Partition, Tool: diskpart
    später werden alle TN Zugriff auf die Domaincontroller (DC) haben
  • Einrichten und Konfigurieren Netzwerk
    Tool: ipconfig /all
  • Server-Manager
    Rollen, Features
  • Installation DHCP-Service (Rolle) auf DC-00
    Konfiguration eines Bereichs (scope): 10.0.0.100 - .150; Subnetmask: 255.0.0.0;
    Primärer DNS-Server 10.0.0.1 für LAN/Domains und Secondary DNS-Server 192.168.3.1 für WAN/Internet
    Standard-Gateway (Router): 10.0.0.1
  • NAT-Routing
    Rolle für "Netzwerkrichtlinien- und Zugriffsdienste - Routing und RAS" hinzugefügt; jetzt Weiterleitung (und Rückleitung) von Paketen zwischen NICs LAN <-> WAN
    DC vom Dozi verhält sich jetzt wie Ihr "Router" zu Hause
  • Fachbegriffe für Domain-Einrichtungen:
    Funktionsebenen, Gesamtstruktur (Forest), Domänenstruktur / Domänenstamm (Tree) und Domäne (Domain)
    Symbol für Domäne: Dreieck; wichtig: ohne DNS gibt es kein Active Director (AD)
  • Domains vs. P2P
    Zentrale Verwaltung vs. lokale Verwaltungen einer Arbeitsgruppe
    aktuell alles lokal, was auch ein Blick in die Computerverwaltung (compmgmt.msc) der Server-Installationen zeigt: Lokale Benutzer- und Gruppenverwaltung

 

  • Benutzer ist Mitglied von ...Benutzer ist Mitglied von ...

Dienstag, 04.12.2012, 08.30 - 16.00 Uhr

  • Rekapitulation, TN-Fragen, Prüfung organisieren (Termin, Anmeldungen)
    Frage: zu Domain-Namen und Standorten (Sites - hier sind Subnetze wichtig)
  • Domain bu.lokal
    Installation der Rolle AD-Domänendienste; danach dcpromo durchgeführt, wir erhalten neue Gesamtstruktur mit neuer Domäne
    Stichworte: DNS (Verfügbarkeit, Delegierung, Installation), Funktionsebenen (Function Level FL), Globaler Katalog, RODC (Read Only Domain Controller)
    Assistent zum Heraufstufen begleitet und kommentiert
  • DHCP autorisieren
    der DHCP-Service ist nach dcpromo deaktiviert/ausgeschaltet! Grund: DHCP soll erst gecheckt werden, ob es zum gedachten restlichen DNS/Domain-Entwurf passt und DHCP und DNS sollen zusammenarbeiten (DDNS - Dynamic DNS, DHCP liefert IP-Konfiguration aus und "meldet" dann an DNS
  • Drei "Arbeitsdomains" für TN
    Konstruktion als Sub-Domains zwecks "Vereinfachung" der nötigen DNS-Dienste für die vier Domains unserer Testumgebung
    Wichtig: vorher DNS auf den Sub-Dom-Controllern testen, damit 10.0.0.1 für bu.lokal verfügbar ist!
    Aber: Domänen-Admin von bu.lokal hat keine Rechte in Subdomains!
  • DNS checkennslookup
    eigene Shell/Eingabeaufforderung; verlassen mit exit
    Test für Domainauflösungs-Funktion: einfach Name der Domain (hier: bu.lokal) eingeben
    eigenen gewünschten DNS-Server festlegen: server 10.0.0.1
    Anm.: mehr Erläuterungen im Seminar Netze
  • Clients in Domäne aufnehmen
    Entweder in AD-Verwaltung oder (besser) auf dem Client über die Systemeigenschaften - Hostname - Domäne
    Anmeldungen für AD-Benutzer getestet; Anmeldenamen beachten: BU\Administrator
  • OU - AD-Benutzer (1. Übung)
    Organisationseinheit (OU) DOM-BU-Admins erstellen für TN (Mitgliedschaften Domänen-Admins hinzufügen!)
  • Remote-Zugriffe auf DC/AD
    a) RSAT (Remoteserver Administration Tools) für Windows 7 (Downloadlink); installiert neue Funktionen für das Windows 7 System, die man dann über die Systemsteuerung - Programme und Funktionen aktivieren kann; bei den Windows Server 2008 R2 "Clients" muss man nur das gewünschte Feature hinzufügen
    b) RDP - Remote Desktop Protocol; die eigentlichen Terminal Services (TS); als Client Remotedesktop-Verbindung (mstsc - MS Terminal Service Client); nur noch zwei gleichzeitige Verbindungen/Konsolen möglich; Aktivierung der Rolle Remotedesktop-Dienste schafft hier für das Seminar abhilfe
    c) VPN - Virtual Private Network; die sichere Lösung über öffentliche Netze
  • Benutzer analysiert (führt zu AGDLP)
    Mitgliedschaften im AD analysiert und auf den Clients!; auf den Domänen-Clients sind die Globalen Gruppen "Domänen-Benutzer" und "Domänen-Admins" jeweils in den Lokalen Gruppen "Benutzer" und "Administratoren" als Mitglied verdrahtet

 

  • dcpromo (01)dcpromo (01)
  • dcpromo (02)dcpromo (02)
  • dcpromo (03)dcpromo (03)
  • dcpromo (04)dcpromo (04)

 

  • GruppenrichtlinienGruppenrichtlinien

 Mittwoch, 05.12.12, 08.30 - 16.00 Uhr

  • Rekap, TN-Fragen, ...
  • AD-Benutzer-Verwaltung mittels AGDLP
    Benutzer (Accounts) sind Mitglieder von
    Globalen Gruppen (Global groups) die wiederum Mitglieder sind von
    Domain-lokalen Gruppen (Domain Local groups) wodurch die Benutzer letztendlich die
    Berechtigungen (Permissions) auf der genutzten Maschine erhalten!
    SID - Security Identifier repräsentiert das Benutzerkonto über eindeutigen Schlüssel (S-1-5-...; Wikipedia-Artikel), der beim Löschen verloren geht! Besser: Konten deaktivieren und bei Bedarf die lokalen Benutzerprofile auf den Client-Rechnern löschen (siehe Systemeingenschaften)
    Mitgliedschaften auf DCs und Clients getestet und kontrolliert
    Wichtig: Benutzer-Berechtigungen / -Mitgliedschaften werden immer nur bei Authentifizierung (Anmeldung!) aktualisiert!
  • Übung zu Bemutzern und Gruppen
    Gruppentyp: Sicherheitsgruppe / Verteilung
    Gruppenbereich: Lokal (in Domäne) / Global / Universal
  • Einführung in Gruppenrichtlinien (Group Policies)
    Erstes Beispiel: (hier früher direkte Änderungen möglich für Kennworte)
    Verwaltung - lokale Sicherheitsrichlinie - Kennwortrichtlinien -> alles GRAU!
    Einstallungen ändern mittels Gruppenrichtlinienverwaltungs-Konsole (GPMC Group Policy Man. Console):
    Default Domain Policy - Computerkonfiguration - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Kontorichtlinien - Kennwortrichtlinien
    Übung: Ändern der "Default Domain Policy" und testen (sperren) von Usern bei der 3. falschen Kennworteingabe
  • Gruppenrichtlinienobjekt (Group Policy Objects - GPO)
    sind in Management Konsole unter Gruppenrichtlinienobjekte zentral organisiert und dann als Verknüpfungen den jeweiligen Objekten zugewiesen;
    Zielobjekte für GPOs: Gesamtstruktur, Domäne, DCs, Standorte, OUs
    GPO-Optionen: nicht konfiguriert, aktiviert, nicht aktiviert - Optionen geben dann mit Vererbung über die Hierarchien Sinn (z.B. verschachtelte OUs)
    auf HD des DC: C:\Windows\SYSVOL\sysvol\bu.lokal\policies
  • Tool: mklink
    kann die Symbolischen Verknüpfungen zu Verzeichnissen (symlinkd) oder Verbindungen (junctions) erstellen
    siehe Befehlszeile (cmd) Hauptverzeichnis C: für "Dokumente und Einstellungen"; Analyse mit  dir /a
  • Standardfreigaben
    NETLOGON: Freigabepfad zu C:\Windows\SYSVOL\sysvol\bu.lokal\scripts (die klassischen Anmeldeskripte seit NT)
    SYSVOL: Freigabepfad zu C:\Windows\SYSVOL\sysvol (eine Freigabe über die dann auch die GPO mit Ordner policies erreichbar sind)
    C$, Admin$: Administrative Freigaben mit angehängtem $ (das $ am Ende versteckt die Freigabe im Netz)
    Übersicht mit net share  in der Befehlszeile
  • Übung zu GPO
    Beispiel: Anzeige deaktivieren
  • Datenträgermanagement
    Snap-In Console: diskmgmt.msc; Partitionierung von Daten-Laufwerk E:
    Kurz-Rekapitulation zu Booten mit Extra-Partition seit Win7/2008R2 "system-reserviert" 100 MB Partition mit bootmgr und /boot/bcd (Boot Code Configuration), Fachbegriffe: MBR, Basisdatenträger vs. Dynamische Datenträger (z.B. für Software RAID mit Windows Server), GPT (GUID Partition Table) Volumes

 

  • Roaming mit GPRoaming mit GP

Donnerstag, 06.12.2012, 08.30 - 16.00 Uhr

  • Rekap, TN-Fragen
  • AD-Verwaltung / Tools
    gpupdate /force (Erzwingen der Richtlinienaktualiserung für Computer und Benutzer)
    dcgpofix (Wiederherstellen von Default Domain und/oder Default Domain Controllers Policy)
    Snap-In-Consoles (*.msc): diskmgmt.msc (Datenträgerverwaltung), eventvwr.msc (Ereignisanzeige), dsa.msc (AD-Benutzer und Computer), gpmc.msc (Gruppenrichtlinienverwaltung)
    Active Directory-Verwaltungscenter (neu seit R2); Anm.: hier sind mehr Container im AD zu sehen - diese lassen sich in der Active Directory Benutzer und Computer Console mittels Ansicht - Erweiterte Features ein/ausblenden
  • Booten
    BIOS (moderne Alt. UEFI-BIOS mit GPT-HDs >2,2 TB), MBR (alt. GUID Partition Table - GPT),
    primäre aktive Partition, Bootsektor, bootmgr + /Boot/BCD (Boot Configuration Data)
  • Erweiterte Startoptionen (F8)
    Sytem reparieren, Verzeichnisdienstwiederherstellung (Stichwort: autorisierende Wiederherstellung; Kennwort von DC-Promotion!)
    Tools für die Reparatur: diskpart, bootrec (/? , /FixMbr, /FixBoot, /ScanOs)
  • WAIK
    Windows Automated Installation Kit (Toolbox: z.B. ImageX, ... - Microsoft Link)
  • Lizenzen
    Wiederholung zu Editionen: Web, Standard, Enterprise, Datacenter; Leistungsvergleich (RAM, CPU-Sockel, Techniken)
    Serverlizenz Windows Server 2008 R2 Standard: Preis recherchiert; 5 CAL
    CAL - Client Access Licenses; Lizenzen modellieren nach Gerät (Device) oder Benutzern (User), kein Einsatz eines Lizensierungsservices im DC (anders als bei den Terminal Services TS/RD und den TS-CALs)
  • UNC (Universal Naming Convention)
    Netzwerkpfad aus \\servername\freigabename\ordner\unterordner\datei.ext
  • Freigaben
    Berechtigungen ohne Freigabe-Assistent einstellen (Organisieren - Ordner- und Suchoptionen - Register Ansicht - Freigabe-Assisten deaktivieren)
    Jeder / Lesen - hier ist wieder "Jeder Berechtigte" gefragt, also meine AD-Benutzerkonten plus den Domänenbenutzern, denen meine Domäne vertraut
    Freigabenamen mit $ am Ende sind "versteckt"; administrative Freigaben C$, E$; Erinnerung an net share
  • Vertrauensstellungen
    Active Directory-Domänen und -Vertrauensstellungen zeigt transitive, eingehende und ausgehende Vertrauensstellungen zwischen bu.lokal und den jeweiligen sub0x.bu.lokal (x = 1, 2, 3), durch die transitiven Vertrauensstellungen vertrauen sich dann auch sub01 und sub02, ...
  • Übung: Anmeldeskripte (klassisch)
    Nutzung der Freigabe NETLOGON mit Skript für Benutzer / Benutzergruppe "ProjektX"
    Einrichtungen der Freigaben / NTFS (Berechtigungen), Anlegen der Benutzer und Gruppen
    Skript zum LW-Mapping: net use p: \\dc-00\projektx; als Skript projekt-lw-p.cmd in scripts-Ordner platzieren und die Nutzer über ihr Kontenblatt Profil den Namen des Skripts übergeben!
  • NTFS (Zugriffsschutz auf Benutzerebene)
    bitte Berechtigungen wiederholen; NTFS-Rechte vererben; Besitz übernehmen, Effektive Berechtigungen
  • Große Übung: Roaming Ordner (am Beispiel Documents)
    Gruppenrichtlinie für Ordnerumleitungen (hier: Eigene Dokumente - C:\Users\Fred\Documents)
    auf Server:
    neue OU donnerstag mit neuem Benutzer joedonnerstag
    Daten-LW-Freigabe: E:\roaming freigeben mit Freigabename roaming und Freigabe-Berechtigung: Domänen-Benutzer / Vollzugriff
    NTFS-Berechtigung für E:\roaming mit Domänen-Benutzer / Ändern
    Neues GPO donnerstag-roaming-documents erstellen und bearbeiten
    GP-Editor: Benutzerkonfiguration - Windows Einstellungen - Ordnerumleitungen - Dokumente - Rechte Maustaste - Konfigurationen vornehmen
    GPO-Objekte mit OU donnerstag verknüpfen (nicht vergessen!)
    Gruppenrichtlinien aktualisieren: gpupdate /force
    auf Client:
    neuen User anmelden - hier jetzt im Profil kein Ordner Documents mehr!
    Speichern mittels Bibliotheken - Dokumente

 

  • Übung RoamingÜbung Roaming

Freitag, 07.12.2012, 08.30 - 16.00 Uhr

  • Forts. Große Übung zu "Roaming Profile Ordner"
    Wiederholung/Forts. der Techniken zu den "Roaming Documents" (Ordnerumleitung): Freigabe, NTFS, UNC-Pfad, GPO (Richtlinie editieren, verknüpfen, aktualisieren), OU und User erstellen
  • TN-Fragen
  • Druckserver
    technischer Vergleich mit Netzwerkdrucker - alles wie immer: bei Server (oder eigentlich Client/Server-Technik) sind hier die Treiber zentral auf Server, während Netzwerkdrucker (zwar auch im Netz verbunden sind) die Treiber jeweils auf den nutzenden Clients hätten!
    Druckeranschlüsse: USB, Lpt, TCP/IP, HP JetDirect, IPP, LPR (Line Printer Deamon für Unix)
    Treiber beim Druckserver nicht nur für den 2008 R2 Server sondern auch für die Clients nötig (XP 32-Bit, Win7 32-Bit/64-Bit)
    Spooling mit Spoolordner: C:\Windows\system32\spool/PRINTERS (Ordner besser auf Datenlaufwerk oder Speziallaufwerk) untergebracht
  • Rollen und Features
    eine kurze Übersicht durch den Server-Manager, bitte auch die Tools für die Übersichten über das System wiederholen: Task-Manager, Ressourcenmonitor, ... (siehe auch PC-Systemsupport-Seminare)
  • Hyper-V (Virtualisierung)
    eigentlich Hyper-V2 beim 2008 R2 (Vorgänger Hyper-V bei Windows Server 2008); Virtuelle HDs: *.vhd (bzw. *.vhdx)
    alternative Virtualsierungen: VMware (*.vmdk), VirtualBox (*.vdi - jetzt von Oracle)
    geeignete CPU beachten
  • RAID - Redundant Array of Inexpensive/Independent Disks
    Versuch der Optimierung von Geschwindigkeit und Redundanz/Ausfallsicherheit, Software- vs. Hardware-RAID (Vor- / Nachteile),
    RAID-Level; Server-SW-RAID-Level: 0 (Striping), 1 (Mirroring - Empfehlung für Serverinstallations-Volume), 5 (Striping mit Parität)
  • Server-Sicherung
    Backupstrategien und Konzepte ("W-Fragen?"; siehe auch PC-Systemsupport-Infos)
    Einrichtung der Windows Server-Sicherungsfeatures über Server Manager - Features - Feature hinzufügen
    Sicherung konfiguriert / eingerichtet; Tool: wbadmin
  • OpenBook von Galileo
    der 1400-Seiten-Wälzer von Ulrich B. Boddenberg als OpenBook (Download/ Offline-Webseite)
    Link zur gedruckten Version des Buchs
  • TN-Unterlagen, Hinweis auf Musterprüfung/Musterlösung und LZK/BWR zum Modul Windows Server (Prüfungsvorbereitung, Downloadlink s. u.), TN-Bescheinigungen, Feedback, letzte Fragen, Hinweis auf "Server Workshop" Bildungsurlaub ab 04.02.2013 (Aufbauseminar, TN-Themen im Vorfeld abstimmbar)

 

Vielen Dank für Ihre freundlichen Feedbackbögen und Ihr "lautes" Klopfen am Seminarende - Danke!

Ihr Trainer
Joe Brandes

Downloads: Unterlagen LZK/BWR und Musterprüfung Modul Windows Server 2008 R2