Turnusmäßig findet ab dem  20. Januar 2020 an der VHS Braunschweig ein "Windows Server Workshop"-Seminar statt. Hier mal eine beispielhafte Topologie, die im Laufe des Seminars angepasst und erweitert wird.

vm firmen plan topologie 20200120 800px

In einem praxisorientiertem Workshop wollen wir also die Verwaltung einer Firmen-Domäne und Infrastruktur mit dem Windows Server 2019 Server-Betriebssystem aus dem Hause Microsoft kennen lernen.

Hier die Rahmendaten unseres Seminars:

Ort: VHS Braunschweig, Heydenstraße 2, Raum 2.11 
Zeiten: Mo, 20. - Fr, 24.01.2020; jeweils 08.30 - 16.00 Uhr

Ich werde unser Seminar an dieser Stelle wie immer durch ein ausführliches tägliches Protokoll begleiten ...
Ihr Trainer Joe Brandes

Tag 01 - Montag

Montag, 20.01.2020, 08.30 - 16.00 Uhr

Orientierungsphase, Pausenzeiten

TN-Themen:
Backup, WS Deployment, DC/BDC (Replikation), Monitoring (Anm.: siehe aktuell Admin Center), Azure, zentrale Verwaltung (Anm.: auch Clients), Routing, RDP (Webaccess, RD Apps), DFS, Kerberos
(Anm.: die gewünschten Win-Server-Topics gehören teilweise zum Seminar-Roter-Faden - teils sehr umfangreiche Themen - schauen wir mal ;-)

Hinweis Cobra Shop (Link), Unterichtsmaterialien (Screenshots zur BU-Woche - "Daumenkino")

Literatur zum "Windows Server 2016 / 2019":

  • Herdt-Skript "W2016N - Netzwerkadministration" bzw. "W2019N - Netzwerkadministration"
  • Rheinwerk-Verlag: Windows Server 2019 - Das umfassende Handbuch (div. Autoren) (Link)
  • O'Reilly-Verlag: Windows Server 2019 - Das Handbuch, Thomas Joos (Link)

 

Inhalte für "2020 Workshop Windows Server" werden im Seminar (und auch noch nach dem Seminar) aktualisiert...

Ein paar Infos zum "Windows Server" zum Einstieg bzw. zum späteren Nachrecherchieren ...

Server-Versionen

Der Windows Server 2016 / 2019 ist nur in 64-Bit verfügbar (genauer: alle Versionen 2008 R2 / 2012 R2 / 2016 / 2019)

Client/Server-Betriebssystem-Familie: NT - New Technology

  • NT 3.51 / 4.0 Workstation und Server;
  • Windows 2000 Professional und Server (5.0); Windows XP / Server 2003 (5.1)
  • Windows Vista / Server 2008 (6.0) und Windows 7 Professional  / Windows Server 2008 R2 (6.1)
  • Editionen 2008 R2: Web, Standard, Enterprise, Datacenter, HPC (High Perfomance)
    Unterschiede: RAM, CPU / Kerne, Ausstattungen, CALs, Preis, Hot PnP Technik, Virtualisierungen
  • ab Editionen 2012 R2 / 2016 / 2019:
    Standard, Datacenter
    Unterschiede nur bei den Virtuellen Instanzen:
    Standard: 2 vs. Datacenter: "beliebig viele"

Editionen / Lizenzen Server 2016 / 2019

Anm.: alles ab Server 2012 R2 mit Ausrichtung auf die Azure Cloud („Microsoft Wolke“)

Aktuell: nur noch Standard und Datacenter Editions mit "gleichem" Funktionsumfang (Gesamtübersicht "Thomas Krenn" - Preissrecherche Thomas Krenn)

  • Standard Edition:
    nur 2 Virtuelle Server pro Lizenz; ca. 650 - 700 € (ohne CALs - Client Access Licenses)
  • Datacenter Edition:
    beliebig Virtuelle Server; ab ca. 4400 € (Empfehlung: Systeme möglichst mit HW bündeln)
    Insgesamt muss man sagen, dass mit 2016 die Server von MS durch eine Änderung von "Pro CPU" zu "Pro Core" Lizensierung teurer werden, aber eben auch neue und noch attraktivere Techniken bieten.

Zitat Thomas Joos (siehe auch Autor bei Herdt-Skripten)
Literatur/Buch: Microsoft Windows Server 2016 - Das Handbuch - Von der Planung und Migration bis zur Konfiguration und Verwaltung; ISBN-13: 978-3960090182
"Eines ändert sich mit Windows Server 2016 nicht: die Komplexität der Lizensierung."

Spezielle Edition: (Anm.: kein Foundation Server mehr bei/ab Windows Server 2016)

  • Essentials:
    25 Benutzer und 50 Geräte, keine CALs nötig (Einzellizenz physikalisch oder virtuell); ab ca. 340 €;
    Hardwarebeschränkungen: 2 CPUs, max. 64 GB RAM; kein späterer Umzug auf "echte" Server 2016 möglich!

Weitere spezielle Editionen:
Storage Server: an Hardware gebunden - also nur über OEM-Kanäle; MultiPoint Premium Server: Academic Volume Licensing

Lizenzen für Domain-Betrieb

Wir benötigen:

  • Betriebssystem-Lizenzen "Server" und "Client" (OS-Lizenzen; Operating System)
  • plus CALs (Client Access Licenses)

Kosten CALs: ab ca. 25-30 € möglich

CAL - Client Access Licenses; Lizenzen "modelliert" man nach

  • Gerät (Device) oder
  • Benutzern (User)

Kein Einsatz eines Lizensierungsservices mehr nötig - anders als bei den Terminal Services TS/RD (RDP Lizensierungsserver) und den TS/RD-CALs (ca. 90 €)

Evaluation-Versionen (180 Tage) zum Testen in eigener Infrastruktur oder VMs (siehe Einsatz von Eval-ISOS im Seminar)

Kostenloser uneingeschränkter (> 180 Tage) Hyper-V Server 2016 / 2019 (hier natürlich "nur" als Core - also ohne GUI)
Anmerkung: für Downloads ein "Microsoft Live Account" nötig - Download siehe Evaluation-Versionen

Domänen planen - Topologien - Virtualisierungen

Über die Jahre haben wir die Seminare des FITSN (hier: Windows Server) in unterschiedlichen technischen Umsetzungen durchgeführt. In den meisten Seminarumgebungen habe ich als Trainer die grundsätzliche Netzwerk-Infrastruktur-Technik (DHCP, DNS) für die Übungsdomänen bereitgestellt.

In unseren aktuellen Serverseminaren sollen alle Teilnehmer (TN) die Umsetzungen mit dem Windows Server in einer eigenen Übungsdomäne durchführen können. Hierzu werden wir auf Host-Installationen mit Windows 10 Pro (1909) die Microsoft-Virtualisierungstechnik Hyper-V nutzen.

Die nötigen Installationen und Konfigurationen werden wir "Step-by-Step" miteinander durchführen und so ganz nebenbei die Microsoft-Virtualisierung Hyper-V praktisch nutzen, was in modernen Infrastrukturen aktuelle Standards darstellt.

Entwurf der Netzwerkumgebung

Planung der Topologie ("Schaltplan") für die Übungsfirmen der Teilnehmer:

Jede "Übungsfirma" orientiert sich in der Nomenklatur nach der Platznummer (XY):

  • TN-PCs mit Nummerierungen 01, 02, 03, ... 16
  • Trainer-PC mit Nummer 17

Anbindung der jeweiligen Virtuellen Domänenstrukturen
mit einem eigenen ROUTER-XY (ROUTER-01, ROUTER-02, ...) 
mit den zu installierenden Diensten:

  • NAT-Routing (zur Anbindung der virtuellen an die physikalische Firmenstruktur)
  • DHCP (Dynamic Host Configuration Protocol) und

Hinweis: die Server bitte (möglichst) immer mit statischen IP-Konfigurationen verwenden! Auf jeden Fall auf der LAN-Seite!

Dokumentation

für Domänenmodell und Netzwerk erstellt/gezeigt: (Tafelbild bzw. digital als LibreOffice Draw File)

Vergabe der Bezeichnungen:  (siehe auch Befehle in Eingabeaufforderung hostname - oder natürlich Win + Pause ;-)

  • Domäne: FIRMAXY (für Domänen-NetBios-Name)
    bzw. firmaxy.local  (für FQDN - Fully Qualified Domain Name; Anm.:  hier ohne Bindestrich)
  • ROUTER-XY (für den VM-Router; 2 NICs)
  • DC-XY (Domaincontroller)
  • CLIENT-XY (für die Windows Clients - hier: Windows 10 Pro)
  • SERVER-XY (für die Windows Server 2016 "Clients" / Mitgliedsserver)

Adressen:

  • statisch für die Router (LAN-Seite) und DCs
  • dynamisch - also per DHCP für alle Clients und Memberserver (Adressen reservieren)

Domain-Hierarchien: (Adressen von Rechts-nach-Links lesen; Technisch: FQDN - Fully Qualified Domain Name)
Root-Level - TLD (Top Level Domain) - Domains - Subdomains - Hostname

FQDN-Beispiel: (in Standardschreibweise Links-nach-Rechts)
servername.subdom.domain.tld.  (für FQDN ganz genau also eigentlich mit Punkt am Ende für Root-Level!)

Für die Trainer-Domäne also (z.B.): SERVER-17.firma17.local.

Die Auflösungen müssen im Seminar immer wieder überprüft und die Funktionalität von DNS gecheckt werden (siehe nslookup !)

Installation der Server- und Client-Betriebssysteme

Begriffe: Image-basierte Installationen - Toolsammlung Microsoft für Imageerstellungen / Anpassungen:

  • Klassisch: WAIK - Windows Automated Installation Kit (Toolbox: z.B. ImageX, ... - Microsoft Link)
  • Nachfolger: Windows ADK (Microsoft Link)

Partitionen: ESP (EFI System Partition), MSR (MS System-Reservierte Partition); OEM-, Wiederherstellungs-, Recovery-Partitionen

Basis-Tool für Partitionierungen: diskpart (für cmd)

Tipp: Zugriff auf cmd während der Installation mit Tastenkombination Umschalten + F10

Stichworte: statische IP-Konfiguration, sichere Passwörter, Updates/Aktualisierungen

Anm. zu Updates: in Firma Betrieb eines WSUS Servers (Windows Server Update Service) - Nachfolger vom SUS (Software Update Service)

Hyper-V-Host

Wir installieren und konfigurieren den Seminar-PC mit Hyper-V unter Windows 10 Pro!

Vorgehensweise:

  • Installation Windows 10 Pro auf TN-PC
    Anm.: hier nur einfach immer mit erstem Admin-Konto arbeiten im Seminar und keine weitere Partitionierung für Daten-Laufwerk vornehmen. 
    Vereinfachung: keine Datenpartition - wir wollen die bereitgestellte 120 bzw. 240 GB SSD möglichste ohne "Verschnitt" nutzen!
  • Aktualisierung des Host-Rechners
    Anm.: die Zeit nutzen wir für die weiteren Planungen (s.o.)
  • Aktivierung des Features "Hyper-V"
    und ggf. Gruppenzugehörigkeit "Hyper-V-Administratoren" konfigurieren oder einfach mit "Lokalem Admin" aus Installation arbeiten.
  • Grundkonfiguration: Virtuelle Switches - Hyper-V Netzwerke
    • Extern (Hyper-V-VM-Switch, der die VMs an die physikalische Netzwerktechnik bindet/bridged) und
    • Privat (Hyper-V-VM-Swith, der die VMs in einem eigenen VM-LAN-Switch koppelt; keine Verbindung mit Host möglich!)

Anmerkungen zu den Hyper-V-Installationen:

  • Nutzen der neuen Generation 2 Hyper-V-VMs (UEFI) mit dynamischem Arbeitsspeicher
  • Deaktivierung automatischer Snapshots
  • Einbinden von Installations-ISOs (für Windows Server 2016 bzw. Windows 10 Pro) als Virtuelle DVD-Laufwerke
  • Boot-Reihenfolge für Installationen: DVD, VHD (Virtual Harddisk)
  • Netzwerk-Adapter konfigurieren

Nun folgen die eigentlichen Installationen unserer "virtuellen Firmen-Rechner" - beginnend mit dem erster Windows Server 2016 / 2019 als Router...

ROUTER

Wir führen eine Standardinstallation eines Windows Server 2019 als Core-Installation durch:

  • Grundinstallation der Netzwerkadapter "Extern" für VHS BS Netz und "Privat" für das VM-LAN
    WAN: per DHCP des VHS BS Netz dynamisch eine passende WAN-IP-Konfiguration für das "Internet"
    LAN: statische IP konfigurieren: 192.168.17.1 / 24  (also mit Subnet-Mask 255.255.255.0 )
    Adapter mit Bezeichung LAN (Local Area Network) benennen und alles mit ipconfig /all  testen!
    Tipp: Ethernet-Adapter mit Namen WAN (Wide Area Network) und LAN (Local Area Network) umbenennen!
    Anm.: das hilft später bei technischen Auswahlmöglichkeiten oder bei Zugriff über die Konsolen / Shells
    PowerShell: Get-NetAdapter -Name ... | Rename-NetAdapter -NewName ...  
  • Komplexes Kennwort für Standard-Admin-Konto Admininstrator: (z.B.) VhsBs2018 oder P€ssw0rd  
  • Anmeldungen an Hyper-V-VM mit Tastenkombination "Strg + Alt + Ende" (statt normalerweise: Strg + Alt + Entf)
    Alternativ: siehe Menüleiste für die Ansicht und weitere Aktionen
  • Rechnername festlegen: router-17   

Wichtig: immer wieder ein Blick auf die geplante Struktur und checken der durchgeführten Installationen / Konfigurationen!

Core bedienen

Ein paar einfache Hinweise:

Bei Anmeldungen kann man mit kompletten Logon-Domain-Bezeichnern sauber anmelden:(mit ESC zu alternativen Anmeldungen)

  • firma17\username 
  • router17\username  

Start einer Übersicht mit Konfigurationsoptionen: sconfig 

Manueller Start einer neuen PowerShell mit eigenem Fenster: start powershell 

DC (DC-17) für firma17.local

Wir installieren einen zweiten Windows Server 2016 - den Domain Controller (DC) für unsere "virtuelle" Firma (siehe: Vorgehen siehe Installation Router).

Wir hängen den neuen DC einfach schon in unser privates LAN: dadurch sind wir natürlich erst einmal "offline" mit dem DC.
Alternative: Nutzen des Default Switch - dann wäre der DC sofort Online und könnte sofort aktualisiert werden und müsste dann aber vor dcpromo bitte in der private LAN geswitcht werden.

Bereitstellen der Rolle "Active Directory Domänendienste" und Konfigurationen (und Neustart) für Domain firma17.local.

Auch hier bitte wieder die wichtigsten Infos überprüfen und der Maschine den geplanten Hostname (hier: DC-17 ) konfigurieren und (ggf.) Neustarten.

Jetzt holen wir noch den Router router-17 in die Domäne (sconfig) !
Wichtig: DNS-Konfigurationen auf router-17 analysieren (nslookup) und (ggf. auf LAN-Nic) anpassen, damit über sconfig dann die Domain firma17.local auch technisch aufgelöst und verarbeitet werden kann.

Über die Domänen-Umgebung haben wir jetzt hinsichtlich Authentifizierung und Credentials die Fernkonfigurationsmöglichkeiten geschaffen, um mittels DC den Router konfigurieren zu können. Wir werden den Server-Manager nutzen...

NAT-Routing (ROUTER-17)

Ziel: das einfache Network Address Translation Routing, wie es auch bei Ihren "Fritz-Box / Speedport" Routern zum Einsatz kommt:
Port and Address Translation (PAT) oder Network Address Port Translation (NAPT); siehe Wikipedia-Link Port Adress Translation 
Genauer: wir nutzen eine Portumsetzungstechnik (Source-NAT - SNAT) mit variabler öffentlicher IP-Adresse namens Masquerading (siehe Wikipedia-Link Netzweradressübersetzung)
Anm.: nicht zu verwechseln mit Portweiterleitungen (Destination-NAT - DNAT) - auch als Port Forwarding bezeichnet.

Idee:
die Rechner im privaten LAN werden über eine öffentliche IP an andere Netze (meist: Internet) angebunden. Alle Rechner können gleichzeitig Anfragen an Rechner und Internet senden und das NAT-Routing schickt/adressiert diese Anfragen an die richtigen Adressen im LAN zurück! (Hinweis: PowerPoint-Präsentation auf kohnlehome.de zu NAT - Masqerading)

LAN - LAN-NIC 192.168.17.1 ↔ NAT-Routing ↔ 10.100.200.231 WAN-NIC - VHS BS Netz / WAN / Internet

Vor der Installation von Server-Software auf dem Router schalten wir für die folgenden Remote-Verwaltungszugriffe die Firewall aus:

netsh advfirewall set allprofiles state off 

Anm.: auf diese Weise lässt sich später mit ... state on wieder "Alles" anschalten und die Firewall-Regeln fein justieren.

Für die Darstellung der  aktuellen Firewall Konfiguration lässt sich netsh advfirewall monitor show firewall  nutzen.
Beispielhafte Darstellung: siehe: https://techcorner.max-it.de/wiki/Konfiguration_der_Windows_Firewall_per_Kommandozeile

Dann kann es losgehen:

NAT-Routing Installation mittels Rolle "Remotezugriff" (Anm.: Gesamte Remote-Technik für DirectAccess / VPN kommt gleich mit)

Wichtig: die Tools zum Verwalten des "Remotezugriff" müssen manuell auf dem genutzten DC nachinstalliert werden

  • die Rolle "Remotezugriff" wurde auf router-17 installiert
  • die Tools hierzu benötigen wir auf dc-17

Nach der Rolleninstallation muss der Router neu gestartet werden. Kontrolle der Installation:

  • IP-Routing sollte auf Ja stehen bei ipconfig /all 
  • Get-Service "Routing und RAS" in PowerShell zeigt, dass der Dienst läuft

Konfiguration:

  • über Remotezugriffs-Verwaltungskonsole - dann Rechts-Oben RRAS Verwaltung öffnen (Routing und RAS) oder
  • direkt über den Server-Manager - Tools - Routing und RAS

Wichtig: alle Maschinen (Dynamisch oder statisch) müssen das Standard-Gateway (Router) richtig eingetragen haben:
192.168.17.1 - LAN-Adapter der Maschine ROUTER-17   - dann einfach Tests mit ping 8.8.8.8  für WAN-Zugriffe.

Anm.: für Auflösungen mit Namen muss noch in den Eigenschaften für den DNS Server eine Weiterleitung (z.B. 8.8.8.8) konfiguriert werden.

 

  • Hyper-VHyper-V
  • sconfigsconfig
  • AD DSAD DS
  • dcpromodcpromo
  • Server-ManagerServer-Manager
  • NAT-RoutingNAT-Routing

 

Tag 02 - Dienstag

Dienstag, 21.01.2020, 08.30 - 16.00 Uhr

Ausführliche Rekapitulation, TN-Fragen

Im Zuge der Rekapitulation an dieser Stelle die ...

Fachbegriffe Active Directory Domains

LDAP (Lightweight Directory Access Protocol)
abgespeckte Version des Mainframe-IBM-Protokolls X.500

DNS, DHCP, DDNS
Domain Name Service, Dynamic Host Configuration Protocol, Dynamic DNS (Zusammenarbeit des DHCP mit dem DNS-Server)

AD DS (Active Directory Domain Service)
Active Directory Domänendienste (siehe Rolle über Server-Manager)

Domäne (engl. Domain)
als Dreieck-Symbol in Dokumentationen; Organisationsstruktur für diverse Objekte (Benutzer, Gruppen, Drucker, Freigaben, ...)

DC (Domain Controller)
Domänencontroller; Anm.: bitte für Ausfallsicherheit/Redundanz sorgen - 2. DC (klass.: Backup Domain Controller - BDC)

Client (genauer: AD-Client)
Maschine, die in die Domäne aufgenommen wurde (Windows 10 Pro, Windows Server, ...)
Diese Rechner werden standardmäßig im AD-Container "Computer" auftauchen.

Mitgliedsserver
Wenn man eine Windows Server 2016 Installation als "Client" in die Domäne aufnimmt!

Replikation
Synchronisierung von AD-Eigenschaften in der Domäne über die verwaltenden Controller
Anm.: kann Minuten aber in WAN-Strukturen auch viele Stunden dauern; kann mit Tools (AD-Konsolen; klassisch: repadmin; aktuell: Active Directory Replication Status Tool adreplstatus) manuell angestoßen werden

Domänenstamm (engl. Tree):
Domänenstruktur mit Sub-Domains (z.B. verwaltung.firma17.local )

Gesamtstruktur (engl. Forest):
die vollständige Grundstruktur für auch mehrere Domänenstämme oder aber zu Beginn nur eine Stammdomäne (erste Domäne in neuer Gesamtstruktur)

Funktionsebene (engl. Functionlevel):
technologische Umsetzung mit Orientierung/Technik der Windows Server Varianten von 2008 / 2008 R2, 2012 / 2012 R2 bis 2016

Betriebsmasterrollen (Link) - engl. FSMO-Rollen genannt (Flexible Single Master Of Operation, flexibler Einzelbetriebsmaster)
einmalig auf Domänen-Controller der Gesamtstruktur: Schema-Master, Domänennamen-Master
einmalig auf Domänen-Controller in jeder Domäne: PDC Emulator, RID Master, Infrastruktur Master
diese Konfigurationen lassen sich über die "Active Directory Benutzer und Computer" und "Active Directory Vertrauensstellungen"
oder können über cmd, PowerShell analysiert und verändert werden.

Tools: netdom query fsmo  oder per PowerShell Get-ADForest  bzw. Get-ADDomain 

Migration: (siehe: Link 1, Link 2 E-Book , Anleitung Joos IP-Insider )
z.B. ein "Umzug" einer Server 2012 R2 basierten Domäne auf Techniken umgesetzt mit Windows Server 2016
quasi ein "Upgrade" für Domänen - technisch eine sehr spezielle und komplexe Umsetzung, die ausgiebige Analysen und Kenntnisse verlangt.

 

Und weiter geht es...

Installation Windows 10 Pro Client

Über Hyper-V einen Windows 10 Client (noch mit Default Switch) installiert und aktualisiert.
Anm.: Teilnehmer können über Hyper-V-Exporte die Trainingsumgebung dann auch am Seminarende mitnehmen.

Übungen:

Nach Systemaktualisierungen wurde sysprep  (siehe C:\Windows\System32\Sysprep Ordner) durchgeführt.

sysprep 800px

Danach "manuelles Klonen": Exportieren und Importieren der Maschine für mehrfache Nutzung der Erst-Installation

Hinweis: Disk2vhd - das Tool von Microsoft / Sysinternals Suite zum "Snapshotten" von Live-Windows-Systemen auf eine VHD-Datei, die dann im Hyper-V wiederbelebt werden kann.
So könnte man aktuell auch die Support-Ende Windows 7 Systeme nachhaltig sichern.

 

DHCP - Dynamic Host Configuration Protocol (ROUTER-17)

Wir installieren und konfigurieren auf dem Router die DHCP-Rolle für die LAN-Seite (siehe statisch konfigurierte Router-Adresse 192.168.17.1).

Anm. / Wiederholung: Rolle auf dem router-17 installieren und dann das Feature für DHCP-Verwaltung auf dem DC bereitstellen/nachinstallieren.

Konfigurationen:

  • Bereich (Scope):
    192.168.17.100 - 192.168.17.149  mit Subnetmask: 255.255.255.0  
  • Standard-Gateway (Router):
    192.168.17.1 
  • DNS-Server:
    8.8.8.8 ( bzw. 10.100.200.1  der DNS von VHS BS Netz)
  • DNS-Suffix: firma17.local  

Auswahlmöglichkeiten für DNS:

  • VHS BS Netz DNS (s.o. 10.100.200.1 )
    Anm.: manche "lokalen" DNS lassen sich nicht einfach als Forwarder nutzen!
  • Öffentlicher DNS Server (z.B. Google 8.8.8.8 )
  • Später: der geplante DNS-Server für firma17.local: 192.168.17.10    
    Anm.: dann Anpassung der DHCP-Konfigurationen nicht vergessen!


Server dann mit statischen IPs (192.168.17.10 / .20 / .30 ) und auch die Konfigurationen zu Standard-GW (Router), DNS und DNS-Suffix müssen dann manuell konfiguriert werden!

Übungen:

  • Reservierte Adressen mit Hilfe von MAC-Adressen
    Mit weiterem Core-Server die "feste" Zuweisung von IP-Adresse (hier: 192.168.17.20 / 24 ) durchgeführt.
  • Die neuen Maschinen (Core Server und Windows 10 Client) in das Private-VM-Netz konfigurieren und Maschinen sauber in Domäne aufnehmen.

BPA (Best Practice Analyzer)

Von den Vorschlägen zu Systemverbesserungen im Server-Manager profitieren:

  • erst Leistungsindikatoren starten (über Server-Manager)
  • dann per PowerShell (mit Admin-Rechten): Get-BpaModel | Invoke-BpaModel 

Anm.: ggf. diverse "gelbe/rote" Warnungen/Fehler können ignoriert werden

in der AD DS Serververwaltung findet man jetzt BPA Einträge:

  • Alle OUs vor versehentlichem Löschen schützen (Warnung)
  • Hinweis (Fehler) auf NTP / Zeitserver - Stichwort: PDC Betriebsmasterrolle
  • gewünschter 2. Domaincontroller - Stichwort: Redundanz (Anm.: sehr wichtig!)
  • Hinweis auf Besonderheiten, da DC auf VM läuft

Anm.: die Best-Practice Vorschläge analysieren/verstehen!

Reverse Lookup Zone

Ohne eine Forward-Lookup-Zone für unsere neue Firmendomäne geht bei Active Directory gar nichts!
Technisch "Forware Lookup Zone": der DNS löst mir aus Maschinenname dc-17 (bzw. Fully Qualified Domain Name - FQDN: dc-17.firma17.local. ) die zugehörige IP-Adresse auf (hier: 192.168.17.10 ).

Die Reverse-Lookup-Zone für die Domäne ist noch nicht konfiguriert. Für eine Firmennutzung sollte später diese Zone noch eingerichtet werden (siehe z.B. Mailserver; andere Intranet-Server). Dann kann der DNS uns für eine IP-Adresse den FQDN auflösen!

Installation einer Reverse-Lookup-Zone 17.168.192.in-addr.arpa
Also Reverse-Auflösungen für alle IPs in Subnetz 192.168.17.0 / 24   

Die Reverse Lookup Zone ist nicht zwingend für die Funktionalität AD DS nötig,
aber sehr sinnvoll für alle weiteren Nutzungen und Strukturen im Firmennetz (Beispiele: Mailserver / Exchange)!
Anm.: mehr Erläuterungen zu nslookup, DNS und Co im Seminar "Netzwerk- und Internettechnik"

Erinnerung: Testwerkzeug für DNS-Funktionalität nslookup  (meist als interaktives Werkzeug)

 

  • DHCP-ServertoolsDHCP-Servertools
  • DHCP-ScopeDHCP-Scope
  • NAT ZuordnungstabelleNAT Zuordnungstabelle
  • ReservierungReservierung
  • BPABPA
  • Reverse Lookup ZoneReverse Lookup Zone

 

Tag 03 - Mittwoch

Mittwoch, 22.01.2020, 08.30 - 16.00 Uhr

Rekapitulation, TN-Fragen

To-Do:

  • Tests zu DNS (siehe Reverse Lookup)
  • Konsolidierung AD-Umgebung
  • Übungen im AD: Benutzer, Gruppen, GPOs
  • AD-Verwaltung von Client: RSAT, Admin Center, PowerShell
  • ...

Wiedereinstieg: Übungen zu DNS

Wiederholungen und Vertiefungen zu DNS

Siehe später: Redundanz im AD / DNS mit jeweils 2. AD-DC und 2. DNS-Server!

Benutzerkonzept: Computeradministrator vs. Standardbenutzer

Erinnerung / IT-Grundgesetz - für jedes Betriebssystem gilt:
die tägliche Arbeit als "normaler User" und die administrativen Tätigkeiten als "Admin"
bei unseren Windows Betriebssystemen ergibt sich folgende Gegenüberstellung

Computeradministrator Standardbenutzer
Benutzerkonto ist Mitglied in der
Lokalen Benutzergruppe "Administratoren"
Benutzerkonto ist Mitglied in der
Lokalen Benutzergruppe "Benutzer
kann neue Benutzer / Gruppen anlegen und verwalten
und für Benutzer neues Passwort festlegen
kann nur sein eigenes Passwort ändern
kann Datum/Uhrzeit für das System ändern kann nicht Datum/Uhrzeit ändern
kann Ordner für das Netzwerk freigeben kann keine Freigaben erstellen
kann Datei(en) und Ordner in C:\ erstellen kann nur Ordner in C:\ erstellen
auch CA muss verschiedene Programme/Tools
extra "Als Administrator ausführen" lassen/aufrufen
z.B. Eingabeaufforderung (cmd) oder die PowerShell
muss immer für Admin-Aktionen die Programme/Tools
mit "Rechte Maus - Als Administrator ausführen" lassen/aufrufen
Alternative:
cmd-Tool  runas  (klassische Technik unter NT)

Bei den Windows Pro/Enterprise Varianten kann man mit speziellen Gruppenzugehörigkeiten (z.B. Gruppe Netzwerkkonfigurations-Operatoren) für Benutzer zusätzliche Berechtigungen ermöglichen - Übungen zu Benutzern und Gruppen folgen...

Das Betriebssystem sieht die Benutzer- und Gruppenobjekt in Form von "Security Identifiers" (SID):

C:\Users\joestandard>whoami /all

BENUTZERINFORMATIONEN
---------------------

Benutzername SID
================== ==============================================
pc17\joestandard S-1-5-21-1050434216-2544497520-1104811520-1002
...

hier: Aufruf in cmd mit Befehl whoami /all  ; so kann man die Konten/Objekte auch umbenennen;
Wichtig: gelöschte SID (also Objekte) können nicht einfach wiederhergestellt werden!

Vorschau auf Benutzerprofile ...

... liegen in den folgenden technischen Kombinationen vor:

  • lokal oder servergespeichert
  • veränderlich oder unveränderlich (mandatory)

Kenntnis der Verzeichnisstruktur und Verlinkungen und Junctions sehr wichtig.

Hinweis: natürlich auch in Domain werden auf den Clients immer erst einmal Lokale Profile genutzt!

Administrationen per Ferne (Remote Administration)

Übersicht für Windows Clients / Mitgliedsserver:

RDP / Remote Desktop - klassischer Begriff: Terminal Service

In den letzten Server Editionen nicht mehr für mehrere, gleichzeitige Zugriffe geeignet (Anm.: ohne komplette RD-Server Rolle: Remotedesktopdienste)

Server aktivieren auf gewünschtem "Server": Win + Pause - Remoteeinstellungen - RDP aktivieren
Standard: nur Admins haben RDP-Zugriff, gerne aber auch User in der lokalen Gruppe Remotedesktopbenutzer des gewünschten "Servers" (kann auch Win10-Client sein!)

Software: mstsc  (Microsoft Terminal Service Client)

Remoteserver Verwaltungstools (Remote Server Administration Tools - RSAT)

inklusive Server-Manager und allen Verwaltungstools (z.B. dsa.msc - Active Directory Benutzer und Computer) auf Windows 10 Client

Server 2016 (Memberserver): über Server-Manager Verbindung zum entsprechenden DC (z.B. DC-17, ROUTER-17) herstellen und ggf. die nötigen Features (Remoteserver Verwaltungstools fü DHCP und Co) nachinstallieren

Windows 10: klassische Bereitstellung (bis Win10 1803): RSAT downloaden (aktueller "heutiger" Link) und installieren des "passenden Windows Updates - *.msu"

Ab Windows 10 (1809 und folgende) werden die RSAT-Tools mit der PowerShell bereitgestellt:
Get-WindowsCapability -Online | Where-Object { $_.Name -like "*rsat*" -and $_.State -eq "Not present" } | Add-WindowsCapability -Online  

Für die Bereitstellung der RSAT-Tools mittels PowerShell sollte etwas Zeit eingeplant werden.

Windows Admin Center

Die moderne (browsergestützte) Administratitionsoberfläche - auch als zentrale Gateway-Lösung in der Firma einsetzbar!
Verschiedene Enterprise-Firmen (HP, Lenovo, Dell, Fujitsu) bieten schon Extensions für Ihre eigenen Server-Technologien über das Admin Center an.

Das Installationspaket (*.msi) muss aus denselben Portalen wie die Eval-Versionen heruntergeladen werden und benötigt somit eine Live-Account von Microsoft.

Ausführliche Übungen im Seminar - inklusive Nachinstallation von Extensions zur Pflege des AD, DNS, DHCP, ...

PowerShell:

Diverse Umsetzung inkl. Remote Sessions und WebAccess folgen noch als Übungen...

MMC

... mit Windows Management Interface (siehe: WMI): "Auslaufmodell" - sorry ;-)

Fremdsoftware

wie Teamviewer & Co

Verwaltungen Active Directory

Unterschiedliche Techniken stehen uns zur Verfügung...

PowerShell

Modul Active Directory stellt PowerShell Cmdlets bereit:
siehe: Get-Command -Module ActiveDirectory

Active Directory Verwaltungscenter

engl.: ADAC (Active Directory Administrative Center)

Grafisches Oberflächen-Tool zur AD-Verwaltung; blendet alle Objekte des Active Directory standardmäßig ein

Tipp: inklusive Zugriff auf die entsprechenden PowerShell Aufrufe zur Durchführung in der neuen Befehlszeile für Microsoft Betriebssysteme

Hinweis: neue Benutzerkonten ohne Passwort sind immer deaktiviert!

Windows Admin Center

Neueste Oberfläche in "Webtechnik" und so auch als Gateway-Technik für Verwaltungen von Server, Clustern und einzelnen Clients.

Active Directory - Benutzer und Gruppen (dsa.msc)

Klassische Management-Console (*.msc)
Standard-Container: Builtin, Computers, Domain Controllers, Users
Tipp: Ansicht - Erweiterte Features aktivieren, damit sich auch "vor versehentlichem Löschen" geschützte Objekte löschen lassen.

Hinweis / Wichtig:
für alle neuen Objekte (Benutzer, Gruppen) werden OUs (Organizational Units - Organisationseinheiten) erstellt!
Bitte keine neuen Objekte in den Standard-Containern anlegen!

Organisationeneinheit (OU):

  • Organisation von AD-Objekten z.B. nach Firmenstruktur (Lager, Verwaltung, ...) 
  • Gruppenrichtlinien / GPOs ermöglichen die Konfigurationen von Maschinen und Benutzern

Diverse Übungen zu den Themen.

A-G-DL-P Regel

Kurzdarstellung:
siehe auch Analyse der Standardkonten für Benutzer und Admins im AD und auf dem Client (lusrmgr.msc - Lokale Benutzer- und Gruppenverwaltung)

  • Accounts (AD-Benutzerkonto) - Mitglied von
  • Global Group (Globale Gruppen) - Mitglied von
  • Domain Local (Lokal in Domäne) - führt zu
  • Permissions (Berechtigungen)

Übung: Analyse der Benutzerrechte auf den Clients für Domänen-Benutzer und Domänen-Admins

a g dl p 800px

Tipp: immer werden Accounts (Konten) Mitglieder in Globalen Gruppen - bitte nie die Mitgliedschaften direkt in den Domain Lokalen Gruppen oder auch später bitte keine einzelnen Benutzerkonten bei Berechtigungen für Freigabe/NTFS eintragen, sondern immer Globale Gruppen definieren und diese dann zuweisen.

AD-Benutzer und -Gruppen

Mit AD-Benutzer und Computer (dsa.msc) neue AD-Objekte anlegen und mit Plan "verdrahten".

Übungsszenario: Außendienstmitarbeiter mit Notebook

ausführliche Übungen für TN:
Benutzer firma17\joestandard soll bei Notebook client-17 dessen Netzwerk konfigurieren dürfen!

  1. Benutzer joestandard in OU anlegen oder bereits vorhanden (wie immer in einer OU nach Wahl)
  2. Neue Globale Gruppe "Netzwerker" erstellen
  3. Benutzer joestandard zu Mitglied machen von Globaler Gruppe "Netzwerker"
  4. in der Lokalen Benutzer- und Gruppenverwaltung von PC17 bei Lokaler Gruppe Netzwerkkonfigurations-Operatoren die Gruppe "firma17\Netzwerker" zum Mitglied machen (Anm.: nötige Rechte für Bearbeigung der lusrmgr.msc - Lokale Benutzer und Gruppen)

Dadurch ergeben sich folgende Mitgliedschaft:
Useraccount joestandard Mitglied von Globaler Gruppe Netzwerker
→ Netzwerker sind Mitglied der Lokalen Benutzergruppe Netzwerkkonfigurations-Operatoren von client-17 

die netzwerker 800px

Wichtig also: die Mitgliedschaft einer Globalen Gruppe (hier Netzwerker) zur client-17 Lokalen Gruppe Netzwerkkonfigurations-Operatoren (und nicht etwa beim DC).

Anm.: das ist dann bei Terminal Server / Remotedesktopdiensten später dasselbe Vorgehen:
man muss dann wieder die User für die Remotedesktop-Nutzungen in die Lokale Gruppe Remotedesktopbenutzer des Terminal Servers "packen".

Tipp: das kann man später auch zentral organisieren/automatisieren (per Gruppenrichlinien), falls man das mal bei sehr vielen PCs/Laptops/Usern machen müsste!

Benutzerprofile

Profil-Typen:

  • nach Ort: lokal (local), servergespeichert  (serverbased)
  • nach Eigenschaft: veränderlich, verbindlich (mandatory)

Wichtig: jeder Benutzer arbeitet an seinem "PC" immer mit einem "Veränderlichen und Lokalen Benutzerprofil"

Klassische Alternative: servergespeichertes Benutzerprofil (serverbased profile) - siehe Profil-Kontenblatt des Benutzers
Anm.: so müssten aber heutzutage Gigabyte-große Benutzerprofile synchronisiert werden!

Datei: ntuser.dat  - benutzerspezifischer Registrierdatenbankteil
Ein Profil als unveränderlich (mandatory) konfigurieren: ntuser.dat umbenennen in ntuser.man   (mandatory profile)

Problem der "großen" Benutzerprofile
Lösung: nur die variablen und interessanten Teile des Benutzerprofils auf einen Server umleiten (Roaming Profiles) - diese Ordnerstrukturen dann als Offline Ordner auf den Clients pflegen und clever mit den Serverfreigaben synchronisieren bzw. als moderne Offline-Ordner (unterwegs) nutzen.

Analyse der Verzeichnisstrukturen unsere Windows Installationen und der Benutzerprofile:
C:\Users - Anm.: Ordner Benutzer im Windows Explorer "nur eingedeutscht"

Technik für Aufruf / Anzeige / Analyse: Eingabeaufforderung (cmd) mit Befehl  dir /a   (alles im Verzeichnis anzeigen lassen)
So erkennt man:
"Dokumente und Einstellungen" ist eine Junction (Abzweigung) zu C:\Users  (Tool: mklink /? - seit Windows 2000 dabei!)

Anm.: das erklärt "Fehlermeldung" bei Doppelklick, da ein Doppelklick nur auf Dateien, Ordner oder einfache Links/Verknüpfungen "funktioniert".
Benutzerprofil  C:\Users\%username%  (Anm.: Variable für Benutzername!)
Hinweis auf Ordnerstrukturen und Junctions, SymLinks zu Ordnern (symlinkd)
Besonderes Interesse: C:\Users\%username%\AppData  mit Unterordnern Local, LocalLow und Roaming
Der Ordner .\AppData\Roaming  wird uns bei unseren Übungen zu den "Roaming Profiles" morgen wieder begegnen (→ Ordnerumleitung AppData (Roaming) ).

Einführung in Gruppenrichtlinien (Group Policies)

Erstes (lokales) Beispiel für Richtlinien auf DC: secpol.msc (Lokale Sicherheitsrichtlinie) aufrufen:
Verwaltung - Lokale Sicherheitsrichlinie - Kennwortrichtlinien -> alles GRAU/unbearbeitbar - ist eben alles Lokal!

Einstellungen ändern mittels Gruppenrichtlinienverwaltungs-Konsole GPO Default Domain Policy  
gpmc.msc -  Group Policy Management Console - Bearbeiten mittels Rechte Maus (gpedit.msc - GP Editor):

Default Domain Policy - Computerkonfiguration - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Kontorichtlinien - Kennwortrichtlinien

Übung: Ändern der "Default Domain Policy" - Anpassen der Kennwortrichtlinien

wichtige cmd-Tools für die GPOs:
gpupdate /force  (Erzwingen der Richtlinienaktualiserung für Computer und Benutzer)
dcgpofix  (Wiederherstellen von Default Domain und/oder Default Domain Controllers Policy)

Wichtig: GPOs unterteilen sich in 

  • Computerkonfiguration (Neustarts notwendig)
  • Benutzerkonfiguration (An-/Abmelden bzw. auch gpupdate)

Hinweis: GPMC kann Gruppenrichtlinienergebnisse erzeugen (Kombination von Computer/User) als zusammenfassender Bericht.

Typische Anwendungsbeispiele (s.a. Übungen im Seminar)

  • Konto- und Kennwortrichtlinien
  • Ändern der Auflösungen Anzeige deaktivieren
  • Voreinstellungen Windows-Systemtools: Explorer, IE, ...
  • Verdrahtungen für Benutzergruppen: Benutzer auf Clients zu Remotedesktopbenutzern oder Netzwerkkonfigurations-Operatoren machen
  • Technik "Ausführen" deaktivieren
  • An- und Abmeldeskripte per GPOs (Standardskripte *.cmd und PowerShell *.ps1)
    Standard-Verzögerung zu Logon-Skripten voreingestellt mit 5 Minuten - kann natürlich per GPO angepasst werden
  • ...
  • gut über 10.000 Registry-"Manipulationen" per GPOs konfigurierbar
    s. z.B. Portale wie gruppenrichtlinien.de
    oder als Literatur "Gruppenrichtlinien Windows 10 und Windows Server" Autoren Dausch, Voges beim Hanser Verlag

Weitere Übungen zu Gruppenrichtlinien folgen.

 

  • RSATRSAT
  • ADACADAC
  • Admin CenterAdmin Center
  • GPOsGPOs
  • GPO ÜbungGPO Übung
  • StartskripteStartskripte

 

Tag 04 - Donnerstag

Donnerstag, 23.01.2020, 08.30 - 16.00 Uhr

Rekapitulation, TN-Fragen

Datenträgerverwaltung auf DC (und ggf.auch anderen Maschinen)...

Partitionierung eines Daten-LW E: für folgende Übungen - Erläuterungen zu RAID...

RAID - Redundant Array of Inexpensive/Independent Disks

(Wikipedia Link) Versuch der Optimierung von Geschwindigkeit und Redundanz/Ausfallsicherheit

Software- vs. Hardware-RAID (Vor- / Nachteile kennen)

Server-SW-RAID-Level: (Anm.: bei Windows 10 werden 0 und 1 als SW-RAID-Level unterstützt)

  • RAID 0 Striping (ohne Redundanz / Ausfallsicherheit)
  • RAID 1 Mirroring/Spiegelung (Redundanz / Ausfallsicherheit - Empfehlung für Serverinstallationspartition!)
  • RAID 5 Striping mit Parität (min. 3 Datenträger - 1 Platte darf ausfallen - 1/n wird für Parity-Infos benötigt)

Anm.: RAID kann mit virtuellen Systemen leicht gezeigt werden, da man einfach weitere HDDs einbauen kann.

Wichtig: RAID ersetzt kein Backup!

 

Übungen mit Gruppenrichtlinien

Plan: Anzeigeoptionen für Benutzer einer OU deaktivieren
Anm.: bei Hyper-V-VMs so nicht konfigurierbar.

Policy: Benutzerkonfiguration - Richtlinien - Administrative Vorlagen - Systemsteuerung - Anzeige - Einstellung: Systemsteuerungsoption "Anzeige" deaktivieren
Anm.: kann man auch ohne Neuanmeldung mittels gpupdate /force  auf Client "erzwingen"

Allgemein: solche Konfigurationen sind nicht in "Sekundenschnelle" AD-weit verfügbar. Auch ohne Replikationspartner (siehe 2. DC/BDC) benötigt das AD eine gewisse Zeit für die saubere Verarbeitung von neuen Richtlinien.

Vorbereitung von Gruppenrichtlinie für Ordnerumleitungen:

Anm./Erinnerung: bei den folgenden Berechtigungen immer eine Globale Gruppe für Berechtigungen nutzen!

Datenträger/Explorer auf "Server" (hier: DC-17 ):
Daten-LW-Freigabe: E:\roaming   erstellen und freigeben mit Freigabename roaming  und folgenden
Standardberechtigungen: (Microsoft-Vorschlag / "Best Practises")
Freigabe-Berechtigung: seminar\Jeder mit Vollzugriff (oder aber eigene Globale Gruppe)
NTFS-Berechtigung: seminar\Domänen-Benutzer mit Berechtigung Ändern (oder aber eigene Globale Gruppe)

 

Große Übung zu Gruppenrichtlinien: Roaming Ordner

(am Beispiel Profilordner Desktop bzw. Documents)

Plan / GP-Entwurf:
Gruppenrichtlinie für Ordnerumleitungen
hier: Eigene Dokumente - C:\Users\%username%\Documents ) auf einen Ordner auf "Server" umleiten
Deutsches Webportal zum Thema Gruppenrichtlinien (mit Tipps, Tricks, Übersichten)

im AD / auf DC:
Active Directory: (hier wollen wir sauber mit eigens konstruierter Globaler Sicherheitsgruppe arbeiten)

Neue OU  roamers mit neuem Benutzer  joeroamer und
Gruppenzugehörigkeit zu neuer Globaler Gruppe roamers erstellen
Anm./Erinnerung: bei den folgenden Berechtigungen immer eine Globale Gruppe für Berechtigungen nutzen!

Datenträger/Explorer auf "Server" (hier: DC-17 ):
Daten-LW-Freigabe: E:\roaming   erstellen und freigeben mit Freigabename roaming  und folgenden
Standardberechtigungen: (Microsoft-Vorschlag / "Best Practises")
Freigabe-Berechtigung: seminar\roamers mit Berechtigung Vollzugriff 
NTFS-Berechtigung: seminar\roamers mit Berechtigung Ändern

Gruppenrichtlinienverwaltung:
Neues GPO roaming-documents (oder gerne GPO mit ausführlicherer Beschreibung) erstellen und bearbeiten:
GP-Editor: Benutzerkonfiguration - Richtilinien - Windows Einstellungen - Ordnerumleitungen - Dokumente - Rechte Maustaste - Konfigurationen vornehmen;
Siehe auch Extra-Register für "Exklusive Zugriffe" und "Verschieben/Behalten" von Dateien
Erinnerung: GP-Objekt roaming-documents  mit OU roamers verknüpfen (bitte nicht vergessen!)
Gruppenrichtlinien aktualisieren oder einfach einen Moment warten

roaming documents 800px

Bild: "Scribble" aus Seminar(en) zu Windows Server

am Client:
Neuen User seminar\joeroamer anmelden - hier jetzt im Benutzer-Profil kein lokaler Ordner Documents mehr (checken mit cmd - dir)!
in Eigenschaften von "Dokumente" sieht man den UNC-Pfad: 
\\DC-17\roaming\joeroamer\Documents  
Anm.: bei den aktuellen Windows OS in Pfadzeile des Explorers nicht mehr erkennbar!
Speichern mittels Bibliotheken - Dokumente;
technische Umsetzung auf Client: Offline-Ordner für "Eigene Dokumente" (siehe Systemsteuerung - Synchronisierungscenter - Offlinedateien)
Anm.: in Windows 10 werden entsprechende Ordner mit Symbol für die Offline-Sync-Technik ausgestattet

Crashkurs: PowerShell

Hier: mit Schwerpunkt auf das AD - ausführliche Einführungen gerne mal als komplette Seminarwoche ;-)

Module

Über Module kapselt man bei der PowerShell technische Umsetzungen zu bestimmten Umgebungen: siehe Modul ActiveDirectory

Aufrufe:

  • Get-Module (aktuell geladene Module)
  • Get-Module -ListAvailable (alle verfügbaren Module)
  • Get-Command -Module ActiveDirectory  (alle Kommandos des Moduls ActiveDirectory)
  • Import-Module ... (lädt manuell ein Modul)

Mit Modul ActiveDirectory steht uns jetzt sogar ein "Laufwerk" AD: zur Verfügung:  cd AD:  gefolgt von einem klassischen dir  zeigt die Inhalte an!

psdrive AD: 800px

Anm.: cd und dir sind in der PowerShell sogenannte Aliase und repräsentieren die Cmdlets Set-Location und Get-ChildItem !

Auswahl AD-Cmdlets bzw. -Aufrufe

  • Get-ADForest
  • Get-ADDomain
  • Get-ADDomainController
  • Get-ADUser
  • Get-ADObject
    Beispielaufruf: Get-ADObject -Filter 'l -like "Wash*"'   zeigt die "Unter-der-AD-Haube" befindlichen AD-Bezeichner
    Hier: l steht für (dt.) Ort bzw. (engl.) City
    Hinweis: Tools ADSI-Editor bzw Registerkarte Attribut-Editor
  • ...

Auch für andere interessante Techniken im AD und für die genutzten Infrastruktur-Dienste gibt es Module/Kommandos:

  • GPO
  • DHCP
  • DNS
  • SmbShare
  • ...

PowerShell Session und Fernaufrufe

Viele PowerShell Aufrufe können mittels Parameter "-Computername" die Technik auf anderen Maschinen aufrufen:
Get-Command -Parametername Computername  

Mit dem CmdLet Invoke-Command kann man ganze Scriptblöcke (oder direkt PowerShell-Scripts) auf einer oder mehreren Maschinen remote ausführen lassen:
Invoke-Command -Computername pc01, pc02, pc03 -Scriptblock {  Befehl1; Befehl2 }   

Mit den PSSession-Techniken kann man direkt sich über die PowerShell auf einer anderen Maschine einloggen:
Enter-PSSession -Computername dc01  

Mit PSWA (PowerShell Web Access) kann - wie auch mit OWA Outlook Web Acces - ein Zugriff über einen Browser erfolgen!
Kurzanleitung:

  • Install-WindowsFeature -Name web-server, windowspowershellwebaccess  
  • Install-PswaWebApplication -UseTestCertificate  
  • Add-PswaAuthorizationRule -UserName * -ComputerName * -ConfigurationName *  

Für alle Fernzugriffe müssen natürlich die nötigen Firewallkonfigurationen, Services und Rechte vorhanden sein.

AD-Benutzer massenhaft per Script anlegen

Beispiel: Schwichtenberg bzw. Google Recher (Suchbegriffe: powershell AD bulk create users - führt zu: Toplink Recherche)
AD-User per Script über eine CSV-Datei einlesen und die nötigen Gruppen, Gruppenzugehörigkeiten, Passworte und OUs erstellen.

 

Zu allen Techniken wurden diverse Übungen, Tests und Aufrufe durchprobiert

 

  • BerechtigungenBerechtigungen
  • OrdnerumleitungOrdnerumleitung
  • PSProvider ADPSProvider AD
  • PSSessionPSSession
  • Invoke-CommandInvoke-Command
  • PSWAPSWA

 

Tag 05 - Freitag

Freitag, 24.01.2020, 08.30 - 16.00 Uhr

Rekapitulation, TN-Fragen
Anm.: bitte frühzeitig an Ihre digitalen Unterlagen und ggf. Hyper-V-Exporte denken!

To-Do:

  • Routing: Port-Forwarding für PSWA
  • 2. DC bereitstellen (Replikationsmechanismen und Tools)
  • DFS
  • RemoteApps
  • ...

Routing: Port-Forwarding

Übung: PSWA auf Privat-Netz-Rechner DC aus dem öffentlichen Firmen-Netz (hier: VHS BS Netz) erreichen können.

Über Console "Routing und RAS" die NAT Konfiguration (IPv4) öffnen und die Eigenschaften des "WAN"-Adapters öffnen: Registerkarte "Dienste und Ports".
Aktivieren und Konfigurieren des Eintrags "Sicherer Webserver (HTTPS)" für unsere lokale Maschine (hier: 192.168.17.10).

Testaufrufe von "Außen" mit Hilfe der öffentlichen IP unseres Routers für die Demo-Site des Webserver (IIS) oder aber auch für PSWA.

Hinweis auf Sicherheit (Offene Ports) und das Tool NMAP für die Analyse in privaten Netzen.

Zweiter Domaincontroller (DC-02)

Für Redundanz und Ausfallsicherheit der wichtigsten Services (AD DS, DNS) einen zweiten Domaincontroller bereitstellen.
Hinweis: wir nutzen hier wieder einen Core-Server.

Wir bekommen auch gleich die vollständige Installation eines zweiten DNS-Servers auf DC-02 angeboten. Auch dieser Dienst ist wieder Active Dirctory-integriert. Allerdings zeigen ausführliche DNS-Tests (mit ausgeschalteten DNS-Server DC-01), dass man noch nachkonfigurieren sollte:

  • Weiterleitungen der DNS-Server
  • Verteilung des zweiten DNS per DHCP

Und immer wieder: Analyse des DNS mit Windows Boardmittel nslookup 

Testen der Replikationen zwischen den DNS-Servern mit Einträgen von neuen CNAME.

Replikationen

Tools:

  • repadmin (siehe: RSAT-Tools)
  • AdReplStatus - Gui
  • AD-Standorte und -Dienste
  • ntdsutil

Übungen: cmd-Aufrufe für repadmin, Installation von AdReplStatus Tool (Gui)

Über die Gui von AdReplStatus kann man sich diverse Info-Seiten von Microsoft zu Replikations-Techniken und -Mechanismen anzeigen lassen.

RemoteApps per RDP-Services

Implementierung und Konfiguration von RDP-Services für die Bereitstellung von RemoteApps:

  • Remotedesktop-Verbindungsbroker
  • Remote Desktop Session Host
  • Web Access für Remotedesktop

Anm.: wir lassen hier mal (zu Übungszwecken) den RDP-Lizensierungsserver weg - siehe hierzu die Meldungen und in die Diskussionen im Seminar.

Sauber werden die Dienste beim "Hinzufügen von Rollen und Features" über die Option "Installation von Remotedesktopdiensten" installiert und vorkonfiguriert.

Die Komplettierung findet dann über den Server-Manager - Remotedesktop-Dienste Übersicht statt. Wir erstellen uns noch eine Sammlung für RemoteApps und Testen die veröffentlichten Techniken über unsere Clients.

Für die Lizensierung sind RDP CALs nötig und (natürlich) der Betrieb des RDP-Lizensierungsservers.

 

Für die Nutzung von DFS (Distributed File System) hier ein paar technische Details der verwendeten Techniken...

Datenträgermanagement / Freigaben

(für neues Datenlaufwerk - Technikbegriffe - Infos Partitionen)

Snap-In Console: diskmgmt.msc

Partitionierung  /Formatierung mit NTFS  von Daten-Laufwerk E:  

Kurz-Rekapitulation zu Booten mit bootmgr und /boot/bcd (Boot Code Configuration),
Fachbegriffe: MBR, Basisdatenträger vs. Dynamische Datenträger (z.B. für Software RAID mit Windows Server), GPT (GUID Partition Table) Volumes;
Hinweise auf UEFI (Schneller, sicherer, Booten ab 2,2 TB, 64-Bit)

Technet-Artikel (MS) "Grundlegendes zu Datenträgerpartionen"
Windows (Server) kennt Basis (Datenträger) als auch Dynamische Datenträger;
Zweck: flexiblere Größenänderungen und natürlich Software-RAIDs

Tipp: Das Datenträgermanagement und die nötigen Freigaben (SMB-Shares) kann man auch den Server-Manager zentral verwalten.

DFS (Distributed File System)

Implementierung eines Domänenbasierten DFS (Alternative: Eigenständiges DFS) mit den nötigen DFS-Services (Namespaces, Replication).

DFS Domänenstamm 800px 

Auch hier benötigen wir Replikationsmechnismen: das System erstellt die Komplettierung durch die Erstellung einer Replikationsgruppe, die die genauen Mechanismen für den Abgleich der hier beteilgten Freigaben und Server regelt.

Kurze Übung und Tests mit Freigaben und lokalen Ordner (C:\Shares\Tools).

 

Allgemeine Unterlagen

Letzte TN-Fragen, Feedback-Bögen, TN-Bescheinigungen

 

  • Port-ForwardingPort-Forwarding
  • 2.DC (BDC)2.DC (BDC)
  • AD mit 2 DCsAD mit 2 DCs
  • Manuell replizierenManuell replizieren
  • Tool: adreplstatusTool: adreplstatus
  • RDPRDP
  • RemoteAppsRemoteApps
  • SMB-FreigabenSMB-Freigaben
  • DFSDFS

 

 

Vielen Dank für Ihre überaus positiven persönlichen und schriftlichen Feedbacks
und Ihr Interesse an weiteren Seminaren...

Ihr Trainer Joe Brandes

  Privates

... zu Joe Brandes

Sie finden auf dieser Seite - als auch auf meiner privaten Visitenkarte joe-brandes.de einige Hintergrundinformationen zu mir und meinem Background.
Natürlich stellt die IT einen Schwerpunkt in meinem Leben dar - aber eben nicht nur ...

joe brandes 600px

Private Visitenkarte / Technik: HTML & CSS /
  joe-brandes.de

  Jobs

... IT-Trainer & Dozent

Ich erarbeite und konzipiere seit über 25 Jahren IT-Seminare und -Konzepte. Hierfür stehen der "PC-Systembetreuer / FITSN" und der "CMS Online Designer / CMSOD". Ich stehe Ihnen gerne als Ansprechpartner für Ihre Fragen rund um diese und andere IT-Themen zur Verfügung!

becss 600px

BECSS Visitenkarte / Technik: HTML & CSS /
  becss.de

  Hobby

... Snooker & more

Wer einmal zum Snookerqueue gegriffen hat, der wird es wohl nicht wieder weglegen. Und ich spiele auch immer wieder gerne eine Partie Billard mit den Kumpels und Vereinskameraden. Der Verein freut sich über jeden, der einmal in unserem schicken Vereinsheim vorbeischauen möchte.

bsb 2011 600px

Billard Sport BS / Joomla 3.x /
  billard-bs.de

PC Systembetreuer ist J. Brandes - IT seit über 35 Jahren - Technik: Joomla 3.4+, Bootstrap 3.3.4 und "Knowledge"

© 2025 - Websitedesign und Layout seit 07/2015 - Impressum - Datenschutzerklärung
Nach oben