Turnusmäßig findet ab dem 30. November 2015 an der VHS Braunschweig ein "Windows Server"-Seminar aus der PC-Systembetreuer-Reihe (Zertifikat: "Fachkraft IT-Systeme und Netzwerke - FITSN") statt.

In einem praxisorientiertem Seminar wollen wir die Verwaltung einer "Firmen-Domäne" mit den Windows Server 2012 R2 Server-Betriebssystemen aus dem Hause Microsoft kennen lernen.
Hier die Rahmendaten unseres Seminars:
Ort: VHS Braunschweig, Heydenstraße 2, Raum 2.11
Zeiten: Mo, 30.11. - Fr, 04.12.2015; jeweils 08.30 - 16.00 Uhr
Freiwillige Prüfung: wird im Seminar mit den Interssierten TN abgesprochen!
Termin: Mi., 09.12.2015, 16.30 Uhr, Raum 2.11 (5 Teilnehmer)
Erstkorrektur: Status - erledigt 11.12.2015
alle TN haben die Prüfung bestanden - ein stolzer Trainer gratuliert!
Nach dem Seminar ist vor dem Seminar: bitte denken Sie an unser Workshop/Aufbauseminar
zum Windows Server ab dem 25.01.2016 an der VHS Braunschweig.
Ich werde unser Seminar an dieser Stelle - wie mittlerweile gewohnt - durch ein ausführliches tägliches Protokoll begleiten ...
Ihr Trainer Joe Brandes
Tag 01 - Montag
Montag, 30.11.2015, 08.30 - 16.00 Uhr
- Orientierungsphase, Pausenzeiten, freiwillige Prüfung
Hinweis Cobra Shop (Link), Unterichtsmaterialien,
Anmerkung zu Herdt-Skript "W202R2N - Netzwerkadiministration): DNS dort sehr tief und übungsintensiv - bitte auf unseren "Roten Faden" konzentrieren (s.a. Prüfungsvorbereitung inkl. Musterprüfung am Freitag/Tag 05) - Server-Editionen: (nur als 64-Bit verfügbare 2008 R2 / 2012 R2)
Client/Server-Betriebssystem-Familie: NT - New Technology
NT 3.51 / 4.0 Workstation und Server; Windows 2000 Professional und Server (5.0); Windows XP / Server 2003 (5.1)
Windows Vista / Server 2008 (6.0) und Windows 7 Professional / Windows Server 2008 R2 (6.1)
Editonen 2008 R2: Web, Standard, Enterprise, Datacenter, HPC (High Perfomance)
Unterschiede: RAM, CPU / Kerne, Ausstattungen, CALs, Preis, Hot PnP Technik - Editionen / Lizenzen Server 2012 R2 – alles mit 2012 R2 neu und mit Blick auf die Cloud („Wolke“)
nur noch Standard und Datacenter Editions mit gleichem Funktionsumfang (Gesamtübersicht "Thomas Krenn" - Preissrecherche Thomas Krenn)
Standard Edition: nur 2 Virtuelle Server pro Lizenz; 2 CPU-Sockel, ca. 650 - 700 € (ohne CALs)
Datacenter Edition: beliebig Virtuelle Server; 2 CPU-Sockel, ab ca. 4200 € (Systeme möglichst mit HW bündeln)
Spezialeditionen: (jeweils ohne HyperV)
Essentials: 25 Benutzer, keine CALs nötig, ca. 350 €
Foundation: 1 CPU, 15 Benutzer, keines CALs nötig, an Hardware gebunden (OEM), ca. 200 € - Entwurf der Netzwerkumgebung
Planung der Topologie ("Schaltplan") für Übungsfirma; Dienste: DHCP (Dynamic Host Configuration Protocol) und NAT-Routing
Hinweis: Server möglichst mit statischen Konfigurationen verwenden - Entwurf der Domainen (Übungsfirma)
1 Hauptdomäne (dombu.local) mit 3 Sub-Domänen (sub01 bis sub03.dombu.local);
jede Domäne eine eigene Verwaltungsstruktur mit eigenem Active Directory;
Grund für Subdomains: wir wollen nur ein DNS haben für die Übungsfirma - Dokumentation für Domänenmodell und Netzwerk erstellt/gezeigt - Tafelbild
Vergabe der Hostnames:
pcXX (für die Windows 8.1 Clients),
srvXX (für die Windows Server 2012 R2 "Clients" / Mitgliedsserver),
dcYY (Domaincontroller)
Adressen (statisch für die Router und DCs / dynamisch - also per DHCP für alle Clients),
Domain-Hierarchien: Root-Level - TLD (Top Level Domain) - Domains - Subdomains - Installation der Server- und Client-Betriebssysteme
Begriffe: Image-basierte Installationen (Toolsammlung MS für Imageerstellungen/Anpassungen:
Klassisch: WAIK - Windows Automated Installation Kit (Toolbox: z.B. ImageX, ... - Microsoft Link)
Nachfolger: Windows ADK (Microsoft Linkrosoft Link - Download ADK Windows 8.1 und Co);
Partitionen, System-Reservierte Partition, Tool: diskpart für cmd)
Anm.: später werden alle TN Zugriff auf die Domaincontroller (DC) haben - egal, ob Sie an den 8.1-Clients oder Mitgliedsservern arbeiten, oder direkt an den DCs - Einrichten und Konfigurieren Netzwerk
ohne DHCP: Hinweis auf APIPA - Automatic Private IP Adressing (siehe 169.254.x.y / 16)
Alternativen genannt bei anderen OS: MacOS (Bonjour / Zeroconf), Linux (oft: Avahi); allgemein mDNS (Wikipedia Link)
Tool: ipconfig /all - Server-Manager
Rollen (die großen Dienste / Services), Features (Erweiterungen wie Dot.Net Framework, ...)
Hinweis: Systembegrüßung nach Serverinstallation nachträglich mittels "oobe" aufrufbar (Out-Of-Box-Experience) - Installation DHCP-Service (Rolle) auf bu-router (IP: 10.0.0.1 / 8)
Konfiguration eines Bereichs (scope): 10.0.0.100 - .200; Subnetmask: 255.0.0.0;
DNS-Server 192.168.0.254 für den Zugriff WAN - Anm.: ohne Routing per LAN noch gar nicht verfügbar!
Standard-Gateway (Router): 10.0.0.1
Tests auf Client-PC (pc17 erhält 10.0.0.100 / 8) bzw. Auf Servern dann später statische IPs (10.0.0.5 / .10 / .20 / .30 ) - NAT-Routing
NAT-Routing: jetzt über Rolle "Remotezugriff" (Anm.: Alles für DirectAccess / VPN kommt gleich mit); jetzt Weiterleitung (und Rückleitung) von Paketen zwischen NICs LAN <-> WAN; Server bu-router vom Dozi verhält sich jetzt wie Ihr "Router" zu Hause; zur Konfiguration über Remotezugriffs-Verwaltungskonsole - dann Rechts RRAS Verwaltung öffnen (Routing und RAS)
Wichtig: alle Maschinen (Dynamisch oder statisch) müssen natürlich das StandardGateway (Router) richtig eingetragen haben (hier: 10.0.0.1 - LAN-Adapter der Maschine bur-outer)
DNS: damit die LAN-Maschinen auch an das DNS für das Öffentliche Netz (WAN - Internet) kommen, wurde im DNS-Server dc00 (10.0.0.1) eine Weiterleitung auf den DNS des VHS BS QSQ DSL-Routers eingetragen (192.168.0.254) - Fachbegriffe für Domain-Einrichtungen:
Gesamtstruktur (Forest), Domänenstruktur / Domänenstamm (Tree) und Domäne (Domain)
Symbol für Domäne: Dreieck; wichtig: ohne DNS gibt es kein Active Director (AD) - Domains vs. P2P (Peer-to-Peer; engl.: Peer: Gleichgestellter)
Zentrale Verwaltung vs. lokale Verwaltungen einer Arbeitsgruppe
anfangs/aktuell alles lokal, was auch ein Blick in die Computerverwaltung (compmgmt.msc) der Server-Installationen zeigt: Lokale Benutzer- und Gruppenverwaltung - Übungfsirma dombu.local
neue Gesamtstruktur - Forest und neue erste Stammdomäne für Domänenstruktur - Tree
Installation der Rolle AD-Domänendienste; danach "dcpromo" (in 2012 R2 nicht mehr wirklich eigenes Programm) durchgeführt, wir erhalten neue Gesamtstruktur mit neuer Domäne
Tipp: vorher bei DCs über Systemeigenschaften (Win + Pause - Erweiterte Systemeinstellungen - Register Computername - Ändern - Weiter.. - Primäres DNS-Suffix des Computers: dombu.local; bei den DCs für die Sub-Dom dann entsprechend sub01.dombu.local, ...)
Stichworte: DNS (Verfügbarkeit, Delegierung, Installation, Zonen, AD-integriert; Hinweis zum Skript des BU: dort viele Vertiefungen und Übungen zu DNS, die wir so hier nicht nachvollziehen werden), Funktionsebenen (Function Level FL - auf Ebenen Forest und dann Tree), Globaler Katalog, RODC (Read Only Domain Controller) - DNS checken: nslookup
eigene Shell/Eingabeaufforderung; verlassen mit exit
Test für Domainauflösungs-Funktion: einfach Name der Domain (hier: dombu.local) eingeben
eigenen gewünschten DNS-Server festlegen: server 10.0.0.5 oder 8.8.8.8 (Googles Public DNS) - Reverse Lookup Zone
Installation einer Reverse-Lookup-Zone 10.in-addr.arpa (für alle IPs mit 10.x.y.z/8)
Die Reverse Lookup Zone ist nicht für die Funktionalität AD DS nötig, aber sehr sinnvoll für alle weiteren Nutzungen und Strukturen im Firmennetz!
Anm.: mehr Erläuterungen zu nslookup, DNS und Co im Seminar "Netzwerk- und Internettechnik" - DHCP Server (bu-router - 10.0.0.1) autorisieren
den bu-router in Domäne aufgenommen, um von DDNS zu profitieren (Dynamic DNS);
also: DHCP autorisieren!
Anm.: AD-Konto muss mindestens zu den Organisations-Admins zugehören
Tag 02 - Dienstag
Dienstag, 01.12.2015, 08.30 - 16.00 Uhr
- Rekapitulation, TN-Themen/Fragen
Anm.: ausführliche Rekapitulation inkl. Tafelbild für unsere "Übungsfirma dombu.local" - Lizenzen zum Domain-Betrieb:
OS-Lizenzen "Server" und "Client" plus CALs (Client Access Licenses)
Serverlizenz Windows Server 2012 R2 Standard: Preis recherchiert ca. 600 €; CALs: ab ca. 20-25 €
kostenlose Evaluation-Versionen (180 Tage)
kostenloser uneingeschränkter HyperV Server 2012 R2 (als Core) - Anmerkung: für Downloads ein "MS Live Account" nötig
CAL - Client Access Licenses; Lizenzen modellieren nach Gerät (Device) oder Benutzern (User),
kein Einsatz eines Lizensierungsservices im DC (anders als bei den Terminal Services TS/RD und den TS/RD-CALs) - Domain Controller für Trainingsdomänen der TN
DC01, DC02, DC03 für Subdomänen (sub01.dombu.local bis sub03.dombu.local)
die Maschinen DC01 bis DC03 bis Domänencontrollern für Subdomains SUB01 bis SUB03.dombu.local erstellen/promoten;
die DCs erhielten statische IPs 10.0.0.10/8 bis 10.0.0.30/8 mit DNS 10.0.0.5 und Standard-Gateway 10.0.0.1
für sub0X.dombu.local wurden keine eigenständiger DNS-Server installiert, sondern Sub-Zonen in bestehendem DNS auf DC00 erstellt
Wichtig: alle Einstellungen natürlich wieder intensiv mit nslookup vor und nach den dcpromo's checken - Windows 8.1 Clients und Windows Server 2012 R2 in Trainingsdomänen aufnehmen
Gruppenübung mit Fertigstellung aller Domänenmitgliedschaften für alle installierten Systeme; auch hier wieder Einsatz von nslookup; bei Servern Fachbegriff: Mitgliedsserver - Remote-Techniken (Übersicht) für Windwos 8.1-Clients / Mitgliedsserver
1) RDP / Remote Desktop - nur für 2 gleichzeitig Zugriffe (ohne komplette RD-Server Rolle: Remotedesktopdienste)
2) Remoteserver Verwaltungstools (Remote Server Administration Tools - RSAT)
2a) Server 2012 R2: über Server-Manager die nötigen Features nachinstallieren
2b) Windows 8.1: RSAT downloaden und installieren des "Windows Updates - *.msu"
3) PowerShell: Remote Sessiones und WebAccess
4) Fremdsoftware wie Teamviewer & Co
5) MMC (mit Windows Management Interface - WMI): "Auslaufmodell" - Snap-In Consoles für die MMC (MS Management Console)
siehe Ordner C:\Windows\System32 - filtern nach *.msc
einige Consoles angesprochen:
dsa.msc, lusrmgr.msc, compmgmt.msc, devmgmt.msc, eventvwr.msc, secpol.msc, ...
Übung: bitte austesten und Bedeutung der Consoles kennenlernen und direktes Aufrufen der Tools mittels z.B. Win + R "secpol.msc" durchgeführt
Anm.: auf DCs ist lusrmgr.msc (Lokale Benutzer und Gruppen) "leer"
Hinweis: .\System32-Ordner enthält auf 64-Bit OS die 64-Bit Programme/Bibliotheken, die kompatiblen 32.-Bit Pendants sind in .\SysWOW64 (System Windows on Windows 64-Bit) zu finden! Logisch ;-) - Active Directory - Benutzer und Gruppen erkunden
Standard-Container Builtin, Computers, Domain Controllers, Users
Hinweis: für alle neuen Objekte (Benutzer, Gruppen) werden OUs erstellt;
Koordination von Prefix (jb-test) /Suffix (test-jb) Systemen innerhalb der Domains, damit die TN ihre Übungen auseinanderhalten können - Darstellung von A-G-DL-P Regel:
Accounts (Benutzerkonto) - Mitglied von
Global Group (Globale Gruppen) - Mitglied von
Domain Local (Lokal in Domäne) - führt zu
Permissions (Berechtigungen)
Analyse der Benutzerrechte auf den Clients für Domänen-Benutzer und Domänen-Admins
Tipp: immer werden Accounts (Konten) Mitglieder in Globalen Gruppen - bitte nie die Mitgliedschaften direkt in den Domain Lokalen Gruppen oder auch später bitte keine einzelnen Benutzerkonten bei Berechtigungen für Freigabe/NTFS eintragen, sondern immer Gruppen definieren und zuweisen
Beispiele für verfügbare/bzw. nicht verfügabare Berechtigungen zwischen "Benutzern" und "Admins":
a) Fähigkeit Freigaben für Ordner/Drucker einrichten können
b) Netzwerk konfigurieren
c) Datei in Hauptverzeichnis C:\ erstellen - Übungsszenario: Außendienstmitarbeiter mit Notebook
Anm.: heute (Di) nur als Abschlussübung durch Dozi gezeigt - morgen Übung für TN
Benutzer "joestandard" soll bei Notebook "pc17" das Netzwerk konfigurieren dürfen
a) Benutzer joetestuser anlegen (wie immer in einer OU nach Wahl)
b) Neue Globale Gruppe "Netzhiwis" erstellen
c) joestandard Mitglied machen von Globaler Gruppe "Netzhiwis"
d) in der Lokalen Benutzer- und Gruppenverwaltung von pc17 bei Lokaler Gruppe Netzwerkkonfigurations-Operatoren die Gruppe "DOMBU\Netzhiwis" zum Mitglied machen - dadurch ergeben sich folgende Mitgliedschaft:
Useraccount joestandard Mitglied von Globaler Gruppe Netzhiwis
Netzhiwis Mitglied der Lokalen Benutzergruppe Netzwerkkonfigurations-Operatoren von pc17
Anm.: das kann man später auch zentral organisieren/automatisieren (per Gruppenrichlinien), falls man das mal bei sehr vielen Laptops machen müsste!
MMC Consolen inkl. RSAT
Komplexitätsanforderungen
Server-Manager
IP reservieren
Feature nachinstallieren
vor Löschen schützen
Tag 03 - Mittwoch
Mittwoch, 02.12.2015, 08.30 - 16.00 Uhr
- Rekapitulation, TN-Themen/Fragen
- Übung: "Netzwerker / Außendienstmitarbeiter" (siehe Di)
Wichtig: die Mitgliedschaft einer Globalen Gruppe (hier Netzhiwis) zur pc17 Lokalen Gruppe Netzwerkkonfigurations-Operatoren
Anm.: das ist dann bei Terminal Server / Remotedesktopdiensten später dasselbe Vorgehen: man muss dann wieder die User für die Remotedesktop-Nutzungen in die Lokale Gruppe Remotedesktopbenutzer des Terminal Servers "packen" - Gruppen
Gruppentypen: Sicherheit (siehe dann Sicherheitsgruppe - die "Standard"-Globale Gruppe), Verteilung (etwas für Maillisten und Co)
Gruppenbereiche: Lokal (in Domäne), Global, Universal (kann auch Benutzer und Gruppen aus anderen Domänenstämmen und Gesamtstrukturen aufnehmen) - Benutzerprofile (Typen: lokal, servergespeichert / veränderlich, verbindlich)
Wichtig: jeder Benutzer arbeitet immer mit einem "veränderlichemLokalen Benutzerprofil"
Alternative: servergespeichertes Benutzerprofil (serverbased profile) - siehe Profil-Kontenblatt des Benutzers
Datei:ntuser.dat
- benutzerspezifischer Registrierdatenbankteil
Ein Profil als unveränderlich (mandatory) konfigurieren: ntuser.dat umbenennen inntuser.man
(mandatory profile)
Problem der servergespeicherten Benutzerprofile: Profile wurden immer größer und konnten teils nur schlecht und falsch "synchronisiert" werden
Lösung: nur die variiablen und interessanten Teile des Benutzerprofils auf einen Server umleiten (Roaming Profiles) - diese Ordnerstrukturen als Offline Ordner auf den Clients pflegen lassen
Analyse der Verzeichnisstrukturen unsere Windows Installationen und der Benutzerprofile (C:\Users - Anm.: Ordner Benutzer im Windows Explorer "nur eingedeutscht")
Technik für Aufruf / Anzeige / Analyse: Eingabeaufforderung (cmd) mit Befehldir /a
(alles im Verzeichnis anzeigen lassen)
So erkennt man: "Dokumente und Einstellungen" ist eine Junction (Abzweigung) zu C:\Users
Anm.: das erklärt "Fehlermeldung" bei Doppelklick, da ein Doppelklick nur auf Dateien, Ordner oder einfache Links/Verknüpfungen funktioniert
im Benutzerprofil C:\Users\%username% (Anm.: Variable für Benutzername!) Hinweis auf Ordnerstrukturen und Junctions
Besonderes Interesse: C:\Users\%username%\AppData mit Unterordnern Local, LocalLow und Roaming
Ordner .\AppData\Roaming wird uns bei unseren Übungen zu den "Roaming Profiles" morgen wieder begegnen - Datenträgermanagement (für Datenlaufwerk - Technikbegriffe - Infos Partitionen)
Snap-In Console: diskmgmt.msc; Partitionierung/Formatierung mit NTFS von Daten-Laufwerk E:
Kurz-Rekapitulation zu Booten mit bootmgr und /boot/bcd (Boot Code Configuration), Fachbegriffe: MBR, Basisdatenträger vs. Dynamische Datenträger (z.B. für Software RAID mit Windows Server), GPT (GUID Partition Table) Volumes; Hinweise auf UEFI (Schneller, sicherer, Booten ab 2,2 TB, 64-Bit)
Technet-Artikel (MS) "Grundlegendes zu Datenträgerpartionen"
Windows Server 2012 R2 kennt Basis (Datenträger) als auch Dynamische Datenträger;
Zweck: flexiblere Größenänderungen und natürlich Software-RAIDs - RAID- Redundant Array of Inexpensive/Independent Disks (Wikipedia Link)
Versuch der Optimierung von Geschwindigkeit und Redundanz/Ausfallsicherheit, Software- vs. Hardware-RAID (Vor- / Nachteile),
RAID-Level; Server-SW-RAID-Level:
RAID 0 Striping (ohne Redundanz / Ausfallsicherheit)
RAID 1 Mirroring/Spiegelung (Redundanz / Ausfallsicherheit - Empfehlung für Serverinstallationspartition!)
RAID 5 Striping mit Parität (min. 3 Datenträger - 1 Platte kann ausfallen - 1/n wird für Parity-Infos benötigt) - Standardfreigaben
NETLOGON: Freigabepfad zuC:\Windows\SYSVOL\sysvol\dombu.lokal\scripts
(klassische Anmeldeskripte seit NT - meist als *.cmd statt als einfache *.bat Dateien)
SYSVOL: Freigabepfad zuC:\Windows\SYSVOL\sysvol
(eine Freigabe über die dann auch die GPO mit Ordner policies erreichbar sind)
C$, Admin$: Administrative Freigaben mit angehängtem $ (das $ am Ende versteckt die Freigabe im Netz)
Übersicht mit net share in der Befehlszeile; alternativ siehe Computerverwaltung - Freigegebene Ordner - Freigabe oder über den Server-Manager - Datei-/Speicherdienste - Freigaben - Freigaben
Berechtigungen ohne Freigabe-Assistent einstellen (Windows Explorer konfigurieren)
Freigaben kennen nur einfache Berechtigungen: Vollzugriff, Ändern, Lesen
Windows Explorer: Organisieren - Ordner- und Suchoptionen - Register Ansicht - Freigabe-Assisten deaktivieren
Jeder / Lesen - hier ist wieder "Jeder Berechtigte" gefragt, also meine AD-Benutzerkonten plus die Domänenbenutzer, denen meine Domäne vertraut
siehe: Active Directory-Domänen und -Vertrauensstellungen
Syntax bei Freigabenamen: mit $ am Ende sind "versteckt";
administrative Freigaben C$, E$; Erinnerung an net share - Vertrauensstellungen
Active Directory-Domänen und -Vertrauensstellungen;
Fachbegriffe: bidirektional, eingehende und ausgehende Vertrauensstellungen, transitive Vertrauensstellungen (autmatisch bei Domänenstamm / Tree) - Server-Manager für Freigaben
Bereitstellung neuer Freigaben auf den verwalteteten Rechnern mit Hilfe des Server-Managers - Datei-/Speicherdienste - Freigaben (siehe hierzu auch Anleitungen im Herdt-Skript) - NTFS (Zugriffsschutz auf Benutzerebene - Register "Sicherheit")
bitte feinere Berechtigungen gegenüber Freigabe-Rechten;
wiederholen; NTFS-Rechte vererben; Besitz übernehmen,
Effektive/Effiziente Berechtigungen für Benutzer/Gruppen anzeigen lassen: Effektiver Zugriff in den erweiterten Sicherheit-Einstellungen - net (Befehle)
net share - Freigaben auflisten oder auch erstellen
net view - eigene (oder auch andere) Domains/Arbeitsgruppen auflisten / Freigaben anderer Rechner anzeigen
net use - Netzwerkresourcen mappen (Netzwerklaufwerke und -Drucker)
net /? (listet Befehlsoptionen) und net use /? (listet die net use Optionen)
Benutzerprofile
Profilordner - dir /a
AD Konto
Datenträgerverwaltung
AD Vertrauensstellungen
Effektiver Zugriff
Tag 04 - Donnerstag
Donnerstag, 03.12.2015, 08.30 - 16.00 Uhr
- Rekapitulation, TN-Themen/Fragen
To-Do-List:
Übung mit NETLOGON (Anmeldeskript für Netzwerklaufwerk mit net use)
Einführung in Policies/Richtlinien (Gruppenrichtlinien / Group Policies für Roaming Profiles)
AD Verwaltungscenter - Bibliothek Windows Server 2012 R2
1) OpenBook vom Rheinwerk Verlag (früher Galileo):
der 1400-Seiten-Wälzer Windows Server 2012 R2 von Ulrich B. Boddenberg "Das umfassende Handbuch" als OpenBook (Download/ Offline-Webseite)
Link zur gedruckten Version des Buchs
2) Alternative Microsoft Windows Server 2012 R2 - Das Handbuch - Insider-Wissen - praxisnah und kompetent / Autor: Thomas Joos, 978-3-86645-179-7; inkl. e-Book - Übung "klassische Anmeldeskripte"
mit Freigaben auf DCs und mit Netzlaufwerk per NETLOGON-Skript
Einzeiler:net use N: \\dc00\projectX
im Kontenblatt Profil eines AD-Users konfiguriert
Freigabe: Jeder / Vollzugriff; NTFS-Sicherheit: gewünschte Globale Gruppe (z.B. Domänen-Benutzer) / Ändern
Befehl für Mapping von Netzrsourcen (Freigaben / Drucker):
net use (mit Schaltern /?, /persistent, /delete)
Anm.: die Übung ist gut für praktische Erfahrungswerte mit Skripten und Netzwerklaufwerken
die modernen Varianten dann später per Gruppenrichtlinien und Start-/Stop Skripten als normale Skripte (*.cmd) oder PowerShell-Varianten (*.ps1) - Einführung in Gruppenrichtlinien (Group Policies)
Erstes Beispiel: secpol.msc (Lokale Sicherheitsrichtlinie) aufrufen
Verwaltung - Lokale Sicherheitsrichlinie - Kennwortrichtlinien -> alles GRAU/unbearbeitbar - ist eben alles Lokal!
Einstallungen ändern mittels Gruppenrichtlinienverwaltungs-Konsole
gpmc.msc - Group Policy Management Console - Bearbeiten mittels Rechte Maus (gpedit.msc - GP Editor):
Default Domain Policy - Computerkonfiguration - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Kontorichtlinien - Kennwortrichtlinien
Übung: Ändern der "Default Domain Policy" - Anpassen der Kennwortrichtilinien
wichtige cmd-Tools für die GPOs:gpupdate /force
(Erzwingen der Richtlinienaktualiserung für Computer und Benutzer)dcgpofix
(Wiederherstellen von Default Domain und/oder Default Domain Controllers Policy) - Gruppenrichtlinienobjekt (Group Policy Objects - GPO)
sind in Management Konsole unter Gruppenrichtlinienobjekte zentral organisiert (Gruppenrichtlinienverwaltung - gpmc.msc) und dann als Verknüpfungen den jeweiligen Objekten zugewiesen; werden mit GP-Editor bearbeitet (gpedit.msc);
bestehen aus zwei Teilen:
Computerkonfiguration (machine - wird beim Starten der Maschine gelesen) und
Benutzerkonfiguration (user - wird beim Anmelden des Benutzers gelesen)
Zielobjekte für GPOs: Gesamtstruktur, Domäne, DCs, Standorte, OUs / UnterOUs
GPO-Optionen: nicht konfiguriert, aktiviert, nicht aktiviert - Optionen geben dann mit Vererbung über die Hierarchien Sinn (z.B. verschachtelte OUs)
auf HD des DC: C:\Windows\SYSVOL\sysvol\dombu.local\policies
bzw.:C:\Windows\SYSVOL\domain\policies
mit ...\domain\ als Verknüpfung /Link / Junction - Große Übung zu Gruppenrichtlinien: Roaming Ordner (am Beispiel Documents)
Plan / GP-Entwurf:
Gruppenrichtlinie für Ordnerumleitungen (hier: Eigene Dokumente - C:\Users\Fred\Documents) auf einen Ordner auf "Server"
Deutsches Webportal zum Thema Gruppenrichtlinien (mit Tipps, Tricks, Übersichten)
auf Server:
Active Directory: neue OU roamers mit neuem Benutzer joeroamer und Globaler Gruppe roamers
Anm.: die Globale Gruppe nur für Berechtigungen
Datenträger/Explorer: Daten-LW-Freigabe:E:\roaming-ordner
freigeben mit Freigabename roaming-ordner und folgenden
Standardberechtigungen: (MS-Vorschlag)
Freigabe-Berechtigung: Jeder / Vollzugriff
NTFS-Berechtigung mit DOMBU\roamers / Ändern
Gruppenrichtlinienverwaltung: Neues GPO roaming-documents erstellen und bearbeiten:
GP-Editor: Benutzerkonfiguration - Windows Einstellungen - Ordnerumleitungen - Dokumente - Rechte Maustaste - Konfigurationen vornehmen; siehe auch Extra-Register für "Exklusive Zugriffe" und "Verschieben/Behalten" von Dateien
GPO-Objekte mit OU roamers verknüpfen (bitte nicht vergessen!)
Gruppenrichtlinien aktualisieren oder einfach einen Moment warten (gerne auf Client zum Erzwingen der Benutzerkonfiguration): gpupdate /force
auf Client:
neuen User DOMBU\joeroamer anmelden - hier jetzt im Benutzer-Profil kein Ordner Documents mehr!
in Eigenschaften von "Dokumente" sieht man den UNC-Pfad:\\DC00\roaming-ordner\joeroamer\Documents
(Anm.: in Pfadzeile des Explorers nicht mehr erkennbar!)
Speichern mittels Bibliotheken - Dokumente;
technische Umsetzung auf Client: Offline-Ordner für "Eigene Dokumente" (siehe Systemsteuerung - Synchronisierungscenter - Offlinedateien)
Übung wird am Freitag wiederholt / ggf. komplettiert
Tag 05 - Freitag
Freitag, 04.12.2015, 08.30 - 16.00 Uhr
- Rekapitulation, TN-Themen/Fragen
To-Do-List: Übungen/Vertiefungen GP (siehe Übungen der Woche mit Netzwerkkonfigurations-Operatoren - jetzt per GPO), AD Verwaltungscenter, Drucken, Backup, Musterprüfung/Prüfungsvorbereitung - Wiederholung / Komplettierung Übung Gruppenrichtlinien "Roaming / Documents"
Übung Richtlinien komplettieren; Wiederholung mit Roaming-GPO für "Desktop"
Besondere Erwähnung: Skripte (Standardskripte *.cmd) und PowerShell-Skrkpte (*.ps1) für Computer- und Benutzerkonfiguration mittels GPOs als Logon und Logoff Skripte!
Weitere Möglichkeiten für Computer- und Benutzerkonfigurationen: Netzhiwis ließe sich per GP lösen, Softwareverteilungen mit msi-Paketen, ...;
Anm.: fast 15.000 Richtilinien verfügbar - da sollte sich etwas finden lassen - aber bitte gut planen und strukturieren - Active Directory Verwaltungscenter
Neues Tool zur AD-Verwelung inklusive Zugriff auf die entsprechenden PowerShell Skripte zur Durchführung in der neuen Befehlszeile - Hyper-V (Version 3)
Nutzung von virtualisierten Server- und Windows-Installationen: beispielhafte Verwaltung und Installation von VMs (Beispiel IIS Installation)
hier nur Kurzdarstellung; Hinweis auf NICs und Vorbereitung der "Virtuellen Switches"; Virtuelle HDs: *.vhd (bzw. neu *.vhdx); geeignete CPU beachten (Unterstützung von SLAT); Technik auch auf den Pro-Varianten von Windows 8 und Windows 10 verfügbar oder natürlich die kostenlose und zeitlich unbegrenzte Evaluationversion "Hyper-V Windows Server 2012 R2" (Link) - Druckserver
technischer Vergleich mit Netzwerkdrucker - alles wie immer: bei Server (oder eigentlich Client/Server-Technik) sind hier die Treiber zentral auf Server, während Netzwerkdrucker (zwar auch im Netz verbunden sind) die Treiber jeweils auf den nutzenden Clients hätten!
Druckeranschlüsse:
USB, LPT, TCP/IP, HP JetDirect, IPP (Internet Printing Protocol), LPD (Line Printer Daemon für Unix)
Treiber beim Druckserver
nicht nur für den 2012 R2 Server sondern ggf. auch für die Clients nötig (XP / Vista / Win7 / 32-Bit, Win7 32-Bit/64-Bit)
Spooling mit Spoolordner:C:\Windows\system32\spool/PRINTERS
Ordner besser auf Datenlaufwerk oder Speziallaufwerk - hier:E:\__spool
) untergebracht
Begriffe: Queuing, Druckpriorität (von 1 - gering bis 99 maximale Dringlichkeit), Druckerpool, Treiber
Praxis: Installation "Druckserver" auf DC00 und veröffentlichen im "Verzeichnis"; auf Clients mit freigegebenem Drucker verbinden bzw. "Drucker hinzufügen" (Domänen-Benutzer sind berechtigt); Hinweis auf Gruppenrichtlinie in Benutzerkonfiguration für das automatisierte "Verbinden" mit den Druckservern im AD
Tool Druckverwaltung gezeigt - Server-Sicherung
Backupstrategien und Konzepte ("W-Fragen?"; siehe auch PC-Systemsupport-Infos)
Einrichtung der Windows Server-Sicherungsfeatures über Windows Server Manager -> Features - Feature hinzufügen
Sicherung konfigurieren / eingerichten; Tool:wbadmin
(für die Konsole)
Hinweis: Sicherung im laufenden Betrieb mit Hilfe von VSS (Volume Shadow Service - Volumenschattenkopien; auch nötig für die Vorgängerversionen)
Hinweis zu Meldungen beim Sichern: beim Durchsehen der Screenshots ist mir aufgefallen, dass wir die EFI-Partition mit sichern wollten - da diese aber mit FAT32 partitioniert ist, gibt es Probleme, da VSS natürlich nur auf NTFS-Laufwerken funkitonieren kann!
Alternative Software: (eine kleine Auswahl)
Microsoft System Center 2012 R2 mit Data Protection Manager, EMC2 Data Protection Suite, Acronis Backup Windows Server - Herdt-Skript
mit den TN das Herdt-Skript "W2012R2N" durchgegangen und Schwerpunkte ("Roter Faden") verdeutlicht - Musterprüfung
Vorbereitung der an Prüfung interessierten TN für unsere Prüfung am nächsten Mittwoch
und wieder: Schwerpunkte unseres Seminar beachten - siehe dieser Beitrag - Bereitstellungen Downloads, Musterprüfung, Screenshots, Info-PDFs
- TN-Bescheinigungen, Feedback, letzte Fragen
Exklusiver Zugriff
Int. Gruppen aktualisieren
AD Verwaltungscenter
PowerShell Remote
Drucker im Verzeichnis
Windows Backup
Vielen Dank für Ihre überaus freundlichen und positiven Feedbacks und das laute Klopfen zum Ende unseres Seminars.
Ihr Trainer Joe Brandes