Turnusmäßig findet ab dem 28. November 2016 an der VHS Braunschweig ein "Windows Server"-Seminar aus der PC-Systembetreuer-Reihe (Zertifikat: "Fachkraft IT-Systeme und Netzwerke - FITSN") statt.
In einem praxisorientiertem Seminar wollen wir die Verwaltung einer "Firmen-Domäne" mit de Windows Server 2016 Server-Betriebssystem aus dem Hause Microsoft kennen lernen.
Hier die Rahmendaten unseres Seminars:
Ort: VHS Braunschweig, Heydenstraße 2,
Raum 2.03 → 2.11 (Raumwechsel wegen NIC-Technik Problemen mit Server 2016: NIC Intel E217-V)
Zeiten: Mo, 28.11. - Fr, 02.12.2016; jeweils 08.30 - 16.00 Uhr
Freiwillige Prüfung: wird im Seminar mit den Interssierten TN abgesprochen!
Termin: Di., 06.12.2016, 16.30 Uhr, Raum 2.03 (3 TN)
Status Erstkorrektur: erledigt - 07.12.2016 - alle TN haben diese Prüfung bestanden - ich gratuliere und freue mich auf unsere nächsten Seminare!
Ich werde unser Seminar an dieser Stelle wie immer durch ein ausführliches tägliches Protokoll begleiten ...
Ihr Trainer Joe Brandes
Tag 01 - Montag
Montag, 28.11.2016, 08.30 - 16.00 Uhr
- Orientierungsphase, Pausenzeiten, freiwillige Prüfung
TN-Themen: Bitlocker (Praxis, Tipp zeigen: ohne TPM!), IIS (SSL), "2-Faktor-Authentifizierung" (Windows 10 Live-Account / Smartphone als Remote-Smartcard / Network Policy Server NPS mit 2FA / spezielle HW/SW-Lösungen z.B. authlite.com !?)
Hinweis Cobra Shop (Link), Unterichtsmaterialien (Screenshots zur BU-Woche - "Daumenkino"),
Anmerkung zu Herdt-Skript "W2012R2N - Netzwerkadministration"; zu Server 2016 aktuell noch kein Herdt-Skript): DNS dort sehr tief und übungsintensiv - bitte auf unseren "Roten Faden" konzentrieren (s.a. Prüfungsvorbereitung inkl. Musterprüfung am Freitag/Tag 05) - Server-Editionen: (nur als 64-Bit verfügbare 2008 R2 / 2012 R2 / 2016)
Client/Server-Betriebssystem-Familie: NT - New Technology
NT 3.51 / 4.0 Workstation und Server; Windows 2000 Professional und Server (5.0); Windows XP / Server 2003 (5.1)
Windows Vista / Server 2008 (6.0) und Windows 7 Professional / Windows Server 2008 R2 (6.1)
Editionen 2008 R2: Web, Standard, Enterprise, Datacenter, HPC (High Perfomance)
Unterschiede: RAM, CPU / Kerne, Ausstattungen, CALs, Preis, Hot PnP Technik, Virtualisierungen
ab Editionen 2012 R2 / 2016: Standard, Datacenter (Unterschiede bei den Virtuellen Instanzen) - Editionen / Lizenzen Server 2016 – alles ab Server 2012 R2 und mit Ausrichtung auf die Azure Cloud („Microsoft Wolke“)
nur noch Standard und Datacenter Editions mit gleichem Funktionsumfang (Gesamtübersicht "Thomas Krenn" - Preissrecherche Thomas Krenn)
Standard Edition: nur 2 Virtuelle Server pro Lizenz; 2 CPU-Sockel, ca. 650 - 700 € (ohne CALs)
Datacenter Edition: beliebig Virtuelle Server; 2 CPU-Sockel, ab ca. 4400 € (Systeme möglichst mit HW bündeln)
Essentials: 25 Benutzer und 50 Geräte, keine CALs nötig, ca. 350 € (Einzellizenz physikalisch oder virtuell); ab ca. 340 €; Hardwarebeschränkungen: 2 CPUs, max. 64 GB RAM
Spezielle Editionen: Storage Server: an Hardware gebunden - also nur über OEM-Kanäle; MultiPoint Premium Server: Academic Volume Licensing - Lizenzen für Domain-Betrieb:
Betriebssystem-Lizenzen "Server" und "Client" plus CALs (Client Access Licenses); CALs: ab ca. 20-25 € möglich
"kostenlose" Evaluation-Versionen (180 Tage) zum Testen in eigener Infrastruktur oder VMs
kostenloser uneingeschränkter (> 180 Tage) Hyper-V Server 2016 (natürlich als Core)
Anmerkung: für Downloads ein "Microsoft Live Account" nötig
CAL - Client Access Licenses; Lizenzen modellieren nach Gerät (Device) oder Benutzern (User),
kein Einsatz eines Lizensierungsservices mehr nötig - anders als bei den Terminal Services TS/RD und den TS/RD-CALs - Entwurf der Netzwerkumgebung
Planung der Topologie ("Schaltplan") für Übungsfirma
Anbindung über eigenenBU-ROUTER
mit Diensten: DHCP (Dynamic Host Configuration Protocol) und NAT-Routing
Hinweis: Server immer mit statischen Konfigurationen verwenden - Entwurf der Domainen (Übungsfirma)
1 Hauptdomäne (seminar.local
) mit 2 Sub-Domänen (abt01
bisabt02.seminar.local
);
jede Domäne stellt eine eigene Verwaltungsstruktur mit eigenem Active Directory dar
Grund für Subdomains: wir wollen nur ein DNS haben für die Übungsfirma - Dokumentation für Domänenmodell und Netzwerk erstellt/gezeigt - Tafelbild
Vergabe der Hostnames:
siehe auch Befehle in Eingabeaufforderunghostname
- oder natürlich Win + Pause ;-)PCXX
(für die Windows Clients - hier: Windows 10 Pro),SRVXX
(für die Windows Server 2016 "Clients" / Mitgliedsserver),DCYY
(Domaincontroller)
Adressen:
statisch für die Router und DCs
dynamisch - also per DHCP für alle Clients
Domain-Hierarchien: (von Rechts-nach-Links; Technisch: FQDN - Fully Qualified Domain Name)
Root-Level - TLD (Top Level Domain) - Domains - Subdomains - Hostname
Beispiel: (in Standardschreibweise Links-nach-Rechts)
servername.subdom.domain.tld. (ganz genau also mit Punkt am Ende für Root-Level!) - Installation der Server- und Client-Betriebssysteme
Begriffe: Image-basierte Installationen - Toolsammlung Microsoft für Imageerstellungen/Anpassungen:
Klassisch: WAIK - Windows Automated Installation Kit (Toolbox: z.B. ImageX, ... - Microsoft Link)
Nachfolger: Windows ADK (Microsoft Link - Download ADK Windows 8.1 und Co);
Partitionen, System-Reservierte Partition (MSR), Tool:diskpart
für cmd)
Tipp: Zugriff auf cmd während der Installation mit Tastenkombination Umschalten + F10
Anm.: später werden alle TN Zugriff auf die Domaincontroller (DC) haben - egal, ob Sie an den Clients oder Mitgliedsservern arbeiten, oder natürlich direkt an den DCs
Grundanforderungen an "Server" (siehe auch Anm. bei Installationen von Rollen/Features):
statische IP-Konfiguration, sichere Passwörter, Updates/Aktualisierungen
Anm.: in Firma Betrieb eines WSUS Servers (Windows Server Update Service) - Nachfolger vom SUS (Software Update Service) - Einrichten und Konfigurieren Netzwerk
ohne DHCP: Hinweis auf APIPA - Automatic Private IP Adressing (siehe 169.254.x.y / 16)
Alternativen genannt bei anderen OS: MacOS (Bonjour / Zeroconf), Linux (oft: Avahi); allgemein mDNS (Wikipedia Link)
Tool: ipconfig /all - Server-Manager
Installation der gewünschten Server-Software für (Anm.: Bottom-to-Top-Prinzip - erst einmal schlankes System...)
Rollen (die großen Dienste / Services), oder
Features (Erweiterungen wie Gruppenrichtlinienverwaltung, Dot.Net Framework, ...)
Hinweis: Systembegrüßung nach Serverinstallation immer auch nachträglich mittelsoobe
aufrufbar (Out-Of-Box-Experience) - Installation DHCP-Service (Rolle) auf
BU-ROUTER
(LAN-IP: 10.0.0.254 / 8)
Konfiguration eines Bereichs (Scope): 10.0.0.100 - .150; Subnetmask: 255.0.0.0;
DNS-Server 10.0.0.10 (wenn wir lokalen DNS haben), 192.168.0.254 für den Zugriff WAN - Anm.: ohne Routing per LAN noch gar nicht verfügbar!
Standard-Gateway (Router): 10.0.0.254; DNS Suffix: seminar.local
Tests auf Client-PC (PC17 erhält z.B. 10.0.0.100 / 8) mit obigen Konfigurationen
bzw. auf Servern dann später statische IPs (10.0.0.10 / .20 / .30 ) und auch die Konfigurationen zu Standard-GW (Router), DNS und DNS-Suffix manuell konfigurieren! - NAT-Routing über Maschine/Server
BU-ROUTER
LAN-NIC 10.0.0.254 ↔ "NAT-Routing" ↔ 192.168.0.99 WAN-NIC ↔ 192.168.0.254 (DSL-Router VHS BS)
NAT-Routing Installation über Rolle "Remotezugriff" (Anm.: Gesamte Remote-Technik für DirectAccess / VPN kommt gleich mit);
jetzt Weiterleitung (und Rückleitung) von Paketen zwischen NICs LAN ↔ WAN;
ServerBU-ROUTER
vom Dozi verhält sich jetzt wie Ihr "DSL-Router" zu Hause;
zur Konfiguration über Remotezugriffs-Verwaltungskonsole - dann Rechts-Oben RRAS Verwaltung öffnen (Routing und RAS)
Wichtig: alle Maschinen (Dynamisch oder statisch) müssen natürlich das Standard-Gateway (Router) richtig eingetragen haben (hier: 10.0.0.254 - LAN-Adapter der MaschineBU-ROUTER
)
DNS: damit die LAN-Maschinen auch an das DNS für das Öffentliche Netz (WAN - Internet) kommen, wurde im DNS-ServerDC00
(10.0.0.10) eine Weiterleitung auf den DNS des VHS BS DSL-Routers eingetragen (192.168.0.254); Anm.: das geschieht automatisch, wenn die MaschineDC00
richtig vorbereitet wurde (s.u.)! - Fachbegriffe für Domain-Einrichtungen:
Gesamtstruktur (Forest), Domänenstruktur / Domänenstamm (Tree) und Domäne (Domain)
Symbol für Domäne: Dreieck; wichtig: ohne DNS gibt es kein Active Directory (AD) - Domains vs. P2P (Peer-to-Peer; engl.: Peer: Gleichgestellter)
Zentrale Verwaltung in Domäne vs. lokale Verwaltungen in einer Arbeitsgruppe
anfangs/aktuell alles lokal verwaltet, was auch ein Blick in die Computerverwaltung (compmgmt.msc
) der Server-Installationen zeigt: Lokale Benutzer- und Gruppenverwaltung - Übungsfirma
seminar.local
neue Gesamtstruktur (Forest) und neue erste Stammdomäne für Domänenstruktur (Tree)
Installation der Rolle AD-Domänendienste; danach "dcpromo" (ab 2012 R2 nicht mehr wirklich eigenes Programm) durchgeführt,
wir erhalten neue Gesamtstruktur mit neuer Domäne
Tipp: vorher bei DCs über Systemeigenschaften mittels Win + Pause - Erweiterte Systemeinstellungen - Register Computername - Ändern - Weiter.. - Primäres DNS-Suffix des Computers: seminar.local festlegen
Stichworte: DNS (Verfügbarkeit, Delegierung, Installation, Zonen, AD-integriert);
Anm. zu AD-integriert: bei einem zweiten DC für Domäne (z.B BDC00) wird dann über Replikation die DNS-Zone gleich mit repliziert; allerdings ohne DNS-Server Rolle auf dem BDC00!
Hinweis zum Herdt-Skript des BU: dort viele Vertiefungen und Übungen zu DNS, die wir so hier nicht nachvollziehen werden,
Funktionsebenen (Function Level FL - auf Ebenen Forest und dann Tree), Globaler Katalog, RODC (Read Only Domain Controller) - DNS checken: nslookup
eigene Shell/Eingabeaufforderung; verlassen mit exit
Test für Domainauflösungs-Funktion: einfach Name der Domain (hier: seminar.local) eingeben
Danach kann man technisch sauber (z.B.)
a) einen ClientPC17
in der Domäneseminar.local
aufnehmen, oder
b) eine Sub-Domäneabt01.seminar.local
für die Stammdomäne seminar.local erstellen!
Tag 02 - Dienstag
Dienstag, 29.11.2016, 08.30 - 16.00 Uhr
- Rekapitulationen (Tag 01 - ausführlich), TN-Fragen
Termin/Koordination für freiwillige Prüfung
Tag 02: Netzinfrastruktur konsolidieren (DDNS), Domänen / Subdomänen abt01, abt02 / Clients/Mitgliedsserver, Übungen Benutzer
Wiederaufnahme "Roter Faden"... - DHCP Server autorisieren (
BU-ROUTER
- LAN 10.0.0.254 ↔ 192.168.0.99 WAN)
denBU-ROUTER
in Domäne aufnehmen, um von DDNS (Dynamic DNS → "Zusammenarbeit" von DHCP mit DNS) zu profitieren;
in der Domäne muss sich ein solcher DHCP-Server erst einmal als "offiziell ausweisen": DHCP autorisieren!
Anm.: autorisierendes AD-Konto muss mindestens zu den Organisations-Admins zugehören - Domain Controller für Trainingsdomänen der TN
DC01
für Subdomäneabt01.seminar.local
undDC02
für Subdomäneabt02.seminar.local
die MaschinenDC01
(10.0.0.11 / 8) undDC02
(10.0.0.12 / 8) zu Domänencontrollern für Subdomains abt01 und abt02.seminar.local promoten;
die DCs erhielten statische IPs 10.0.0.11 / 8 und 10.0.0.12 / 8 mit lokalem DNS 10.0.0.10 (für AD / LAN und WAN als Weiterleitung auf DNS-Server) und Standard-Gateway 192.168.0.254 (für WAN)
für die Subdomains wurden keine eigenständige DNS-Server installiert, sondern Sub-Zonen in bestehendem DNS aufDC00
erstellt
Wichtig: alle Einstellungen natürlich wieder intensiv mitnslookup
vor und nach den dcpromo's checken - Windows 10 Clients und Windows Server 2016 in Trainingsdomänen aufnehmen
Gruppenübung mit Fertigstellung aller Domänenmitgliedschaften für alle installierten Systeme; auch hier wieder Einsatz von nslookup;
bei Servern Fachbegriff: Mitgliedsserver - Remote-Techniken (Übersicht) für Windows Clients / Mitgliedsserver
1) RDP / Remote Desktop - nur für 2 gleichzeitig Zugriffe (ohne komplette RD-Server Rolle: Remotedesktopdienste)
2) Remoteserver Verwaltungstools (Remote Server Administration Tools - RSAT)
inklusive Server-Manager und allen Verwaltungstools (z.B.dsa.msc
- Active Directory Benutzer und Computer) auf Windows 10 Client
2a) Server 2016: über Server-Manager Verbindung zum entsprechenden DC (z.B. DC01) herstellen und ggf. die nötigen Features nachinstallieren
2b) Windows 10: RSAT downloaden (aktueller "heutiger" Link) und installieren des "Windows Updates - *.msu"
3) PowerShell: Remote Sessiones und WebAccess
4) Fremdsoftware wie Teamviewer & Co
5) MMC (mit Windows Management Interface - WMI): "Auslaufmodell" - Active Directory - Benutzer und Gruppen erkunden
Standard-Container: Builtin, Computers, Domain Controllers, Users
Hinweis: für alle neuen Objekte (Benutzer, Gruppen) werden OUs erstellt;
Koordination von Prefix (jb-test) /Suffix (test-jb) Systemen innerhalb der Domains, damit die TN ihre Übungen auseinanderhalten können
Übungen: Standardbenutzer in Domänen anlegen und auf "Clients" nutzen
Verwaltung der Domänencontroller (DCs) mittels Server-Manager - Darstellung von A-G-DL-P Regel:
Accounts (Benutzerkonto) - Mitglied von
Global Group (Globale Gruppen) - Mitglied von
Domain Local (Lokal in Domäne) - führt zu
Permissions (Berechtigungen)
Analyse der Benutzerrechte auf den Clients für Domänen-Benutzer und Domänen-Admins
Tipp: immer werden Accounts (Konten) Mitglieder in Globalen Gruppen - bitte nie die Mitgliedschaften direkt in den Domain Lokalen Gruppen oder auch später bitte keine einzelnen Benutzerkonten bei Berechtigungen für Freigabe/NTFS eintragen, sondern immer Gruppen definieren und zuweisen
Beispiele für verfügbare/bzw. nicht verfügabare Berechtigungen zwischen "Benutzern" und "Admins" auf den Clients:
a) Fähigkeit Freigaben für Ordner/Drucker einrichten können
b) Netzwerk konfigurieren
c) Datei in Hauptverzeichnis C:\ erstellen - Reverse Lookup Zone
Installation einer Reverse-Lookup-Zone10.in-addr.arpa
(also für alle IPs in Subnetz 10.0.0.0 /8)
Die Reverse Lookup Zone ist nicht zwingend für die Funktionalität AD DS nötig, aber sehr sinnvoll für alle weiteren Nutzungen und Strukturen im Firmennetz (Beispiele: Mailserver / Exchange)!
Anm.: mehr Erläuterungen zu nslookup, DNS und Co im Seminar "Netzwerk- und Internettechnik"
Tag 03 - Mittwoch
Mittwoch, 30.11.2016, 08.30 - 16.00 Uhr
- Rekapitulationen, TN-Fragen, Erinnerung Prüfungstermin (aktuell 3 Interessierte)
Tag 03: Übungen zu AGDLP (Netzwerker als Globale Gruppe erstellen und auf Client in lokaler Gruppe Netzwerkkonfigurations-Operatoren verdrahten), Gruppen, Benutzerprofile, Freigaben - Szenario Benutzerkonten (Nachfrage TN)
lokal (auf PC) und zentral (in Domäne) hinterfragt und erläutert
Anmeldungen sind technisch: Authentifizierungen
Umsetzungen klassisch mit Benutzername + Passwort; Alternativen: Smartcards, Biometrie, 2-Faktor-/Multi-Faktor-Authentifizierungen
Fragestellung: gegen welches Account-Management (SAM - Security Account Management; quasi "Kontendatenbank") werden Authentifizierungen geprüft/gestellt?
Lokale Anmeldungen:PC17\joeabadmin
mit lokalem SAM auf Maschine PC17
Anmeldungen an Domäne:seminar\joestandard
mit SAM auf DC (z.B. DC00 als Domänencontroller für seminar.local)
Erinnerung: Benutzerprofile sind generell immer erst einmal lokal - also:C:\Users\joebadmin
oderC:\Users\joestandard
- Gruppen
Gruppentypen: Sicherheit (siehe dann Sicherheitsgruppe - die "Standard"-Globale Gruppe), Verteilung (etwas für Maillisten und Co)
Gruppenbereiche: Lokal (in Domäne), Global, Universal (kann auch Benutzer und Gruppen aus anderen Domänenstämmen und Gesamtstrukturen aufnehmen) - Übungsszenario: Außendienstmitarbeiter mit Notebook
ausführliche Übungen für TN
Benutzer "joestandard" soll bei NotebookPC17
das Netzwerk konfigurieren dürfen
a) Benutzer joestandard in OU anlegen oder bereits vorhanden (wie immer in einer OU nach Wahl)
b) Neue Globale Gruppe "Netzhiwis" erstellen
c) Benutzer joestandard Mitglied machen von Globaler Gruppe "Netzhiwis"
d) in der Lokalen Benutzer- und Gruppenverwaltung vonPC17
bei Lokaler Gruppe Netzwerkkonfigurations-Operatoren die Gruppe "seminar\Netzhiwis" zum Mitglied machen - dadurch ergeben sich folgende Mitgliedschaft:
Useraccount joestandard Mitglied von Globaler Gruppe Netzhiwis
→ Netzhiwis Mitglied der Lokalen Benutzergruppe Netzwerkkonfigurations-Operatoren vonPC17
Wichtig also: die Mitgliedschaft einer Globalen Gruppe (hier Netzhiwis) zurPC17
Lokalen Gruppe Netzwerkkonfigurations-Operatoren
Anm.: das ist dann bei Terminal Server / Remotedesktopdiensten später dasselbe Vorgehen:
man muss dann wieder die User für die Remotedesktop-Nutzungen in die Lokale Gruppe Remotedesktopbenutzer des Terminal Servers "packen"
Anm.: das kann man später auch zentral organisieren/automatisieren (per Gruppenrichlinien), falls man das mal bei sehr vielen PCs/Laptops machen müsste! - Benutzerprofile
Typen:
nach Ort: lokal (local), servergespeichert (serverbased)
nach Eigenschaft: veränderlich, verbindlich (mandatory)
Wichtig: jeder Benutzer arbeitet immer mit einem "veränderlichem Lokalen Benutzerprofil"
Klassische Alternative: servergespeichertes Benutzerprofil (serverbased profile) - siehe Profil-Kontenblatt des Benutzers
Datei:ntuser.dat
- benutzerspezifischer Registrierdatenbankteil
Ein Profil als unveränderlich (mandatory) konfigurieren: ntuser.dat umbenennen inntuser.man
(mandatory profile)
Problem der servergespeicherten Benutzerprofile:
Profile wurden über die Zeit und die Client-OS immer größer und konnten teils nur schlecht und/oder fehlerhaft "synchronisiert" werden
Lösung: nur die variablen und interessanten Teile des Benutzerprofils auf einen Server umleiten (Roaming Profiles) - diese Ordnerstrukturen dann als Offline Ordner auf den Clients pflegen und clever mit den Serverfreigaben synchronisieren
Analyse der Verzeichnisstrukturen unsere Windows Installationen und der Benutzerprofile:C:\Users
- Anm.: Ordner Benutzer im Windows Explorer "nur eingedeutscht"
Technik für Aufruf / Anzeige / Analyse: Eingabeaufforderung (cmd) mit Befehldir /a
(alles im Verzeichnis anzeigen lassen)
So erkennt man: "Dokumente und Einstellungen" ist eine Junction (Abzweigung) zuC:\Users
Anm.: das erklärt "Fehlermeldung" bei Doppelklick, da ein Doppelklick nur auf Dateien, Ordner oder einfache Links/Verknüpfungen "funktioniert"
im BenutzerprofilC:\Users\%username%
(Anm.: Variable für Benutzername!) Hinweis auf Ordnerstrukturen und Junctions
Besonderes Interesse:C:\Users\%username%\AppData
mit Unterordnern Local, LocalLow undRoaming
Ordner .\AppData\Roaming wird uns bei unseren Übungen zu den "Roaming Profiles" morgen wieder begegnen (→ Ordnerumleitung AppData (Roaming) ) - Datenträgermanagement (für Datenlaufwerk - Technikbegriffe - Infos Partitionen)
Snap-In Console:diskmgmt.msc
; Partitionierung/Formatierung mit NTFS von Daten-Laufwerk E:
Kurz-Rekapitulation zu Booten mitbootmgr
und/boot/bcd
(Boot Code Configuration),
Fachbegriffe: MBR, Basisdatenträger vs. Dynamische Datenträger (z.B. für Software RAID mit Windows Server), GPT (GUID Partition Table) Volumes; Hinweise auf UEFI (Schneller, sicherer, Booten ab 2,2 TB, 64-Bit)
Technet-Artikel (MS) "Grundlegendes zu Datenträgerpartionen"
Windows (Server) kennt Basis (Datenträger) als auch Dynamische Datenträger;
Zweck: flexiblere Größenänderungen und natürlich Software-RAIDs - RAID- Redundant Array of Inexpensive/Independent Disks (Wikipedia Link)
Versuch der Optimierung von Geschwindigkeit und Redundanz/Ausfallsicherheit, Software- vs. Hardware-RAID (Vor- / Nachteile),
RAID-Level; Server-SW-RAID-Level:
RAID 0 Striping (ohne Redundanz / Ausfallsicherheit)
RAID 1 Mirroring/Spiegelung (Redundanz / Ausfallsicherheit - Empfehlung für Serverinstallationspartition!)
RAID 5 Striping mit Parität (min. 3 Datenträger - 1 Platte darf ausfallen - 1/n wird für Parity-Infos benötigt)
Anm.: RAID 5 wurde mit Virtueller Server 2012 R2 Installation gezeigt (3 virtuelle Festplatten) - Standardfreigaben
NETLOGON
: Freigabepfad zuC:\Windows\SYSVOL\sysvol\dombu.lokal\scripts
Anm.: klassische Anmeldeskripte seit NT - meist mit Dateiendung *.cmd statt als *.bat DateienSYSVOL
: Freigabepfad zuC:\Windows\SYSVOL\sysvol
(eine Freigabe über die dann auch die GPO mit Ordner policies erreichbar sind)C$
,Admin$
: Administrative Freigaben mit angehängtem $ (das $ am Ende versteckt die Freigabe im Netz)
Übersicht mit net share in der Befehlszeile;
alternativ siehe Computerverwaltung - Freigegebene Ordner - Freigabe oder über den Server-Manager - Datei-/Speicherdienste - Freigaben - Freigaben
Berechtigungen bitte immer ohne Freigabe-Assistent erstellen
Windows Explorer konfigurieren: Organisieren - Ordner- und Suchoptionen - Register Ansicht - Freigabe-Assistent deaktivieren
Freigaben kennen nur einfache Berechtigungen: Vollzugriff, Ändern, Lesen
Erläuterung / Erklärung zu Security-Principal (Spezialgruppe) Jeder:
Jeder / Lesen - hier ist wieder "Jeder Berechtigte" gefragt, also meine AD-Benutzerkonten plus die Domänenbenutzer, denen meine Domäne vertraut
siehe: Active Directory-Domänen und -Vertrauensstellungen
Syntax bei Freigabenamen: mit $ am Ende sind "versteckt";
administrative Freigaben C$, E$; Erinnerung an net share - Vertrauensstellungen
Management-Console: Active Directory-Domänen und -Vertrauensstellungen;
Fachbegriffe: bidirektional, eingehende und ausgehende Vertrauensstellungen, transitive Vertrauensstellungen (automatisch bei Domänenstamm / Tree) - NTFS (Zugriffsschutz auf Benutzerebene - Register "Sicherheit")
viel feinere Berechtigungen gegenüber Freigabe-Rechten;
wiederholen; NTFS-Rechte vererben; Besitz übernehmen,
Effektive / Effiziente Berechtigungen für Benutzer / Gruppen anzeigen lassen:
Effektiver Zugriff in den erweiterten Sicherheit-Einstellungen - net (Befehle)
net share
- Freigaben auflisten oder auch erstellen
Tipp - Freigabe mit Eingabeaufforderung/cmd erstellen:net share roaming=E:\roaming /grant:"seminar\Domänen-Benutzer,FULL" /remark:"Freigabe für Roaming-Technik"
Anm.: die Anführungszeichen/Strings in cmd nicht unbedingt nötig - aber Tipp falls mal in PowerShell unterwegs!net view
- eigene (oder auch andere) Domains/Arbeitsgruppen auflisten / Freigaben anderer Rechner anzeigennet use
- Netzwerkresourcen mappen (Netzwerklaufwerke und -Drucker)net /?
(listet Befehlsoptionen) und net use /? (listet die net use Optionen)
Tag 04 - Donnerstag
Donnerstag, 01.12.2016, 08.30 - 16.00 Uhr
- Rekapitulationen, TN-Fragen
Tag 04: Übungen mit NETLOGON (Anmeldeskript für Netzwerklaufwerk mit net use)
Schwerpunkt in Policies / Richtlinien (Gruppenrichtlinien / Group Policies für Roaming Profiles, ...)
AD Verwaltungscenter - Übung "klassische Anmeldeskripte"
mit Freigaben auf DCs und mit Netzlaufwerk per NETLOGON-Skriptlw-n-mappen.cmd
Einzeiler:net use N: \\dc00\projectX
Skriptlw-n-mappen.cmd
wird im Kontenblatt Profil eines AD-Users konfiguriert (Anm.: erfordert also manuellen Eingriff des Admin!)
Berechtigungen für Freigabe und NTFS:
Freigabe: Jeder / Vollzugriff
NTFS-Sicherheit: gewünschte Globale Gruppe (z.B. Domänen-Benutzer) / Ändern
Befehl für Mapping von Netzresourcen (Freigaben / Drucker):net use
(mit Schaltern /?, /persistent, /delete)
Anm.: die Übung ist gut für praktische Erfahrungen mit Skripten und Netzwerklaufwerken
die modernen Varianten dann später per Gruppenrichtlinien und Start-/Stop Skripten als normale Skripte (*.cmd) oder PowerShell-Varianten (*.ps1)
Anm. zum späteren Skripting per GPOs:
die Pfade zu den Skriptordnern führen in die User-Unterordner des jeweiligen GPO!
seit Windows 8.1 werden die Login-Skripte standardmäßig mit einer Verzögerung von 5 Minuten (!) durchgeführt, was selbstverständlich wieder durch eine Gruppenrichtlinie angepasst werden kann (Darstellung windowspro.de) - Einführung in Gruppenrichtlinien (Group Policies)
Erstes Beispiel:secpol.msc
(Lokale Sicherheitsrichtlinie) aufrufen
Verwaltung - Lokale Sicherheitsrichlinie - Kennwortrichtlinien -> alles GRAU/unbearbeitbar - ist eben alles Lokal!
Einstallungen ändern mittels Gruppenrichtlinienverwaltungs-Konsole:gpmc.msc
- Group Policy Management Console - Bearbeiten mittels Rechte Maus (gpedit.msc
- GP Editor):
Default Domain Policy - Computerkonfiguration - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Kontorichtlinien - Kennwortrichtlinien
Übung: Ändern der "Default Domain Policy" - Anpassen der Kennwortrichtilinien
wichtige cmd-Tools für die GPOs:gpupdate /force
(Erzwingen der Richtlinienaktualiserung für Computer und Benutzer)dcgpofix
(Wiederherstellen von Default Domain und/oder Default Domain Controllers Policy) - Gruppenrichtlinienobjekt (Group Policy Objects - GPO)
sind in Management Konsole unter Gruppenrichtlinienobjekte zentral organisiert (Gruppenrichtlinienverwaltung -gpmc.msc
) und dann als Verknüpfungen den jeweiligen Objekten zugewiesen
in der Gruppenrichtlinienverwaltung stehen darüber hinaus Analyse- und Modellierungswerkzeuge für spätere intensive Beschäftigungen mit Gruppenrichtlinien bereit
in der Konsole gibt es das Toolrsop.msc
(Resultant Set of Policies - Richtlinienergebnissatz) für die Zusammenfassung der Richtlinien
GPO werden mit GP-Editor bearbeitet (gpedit.msc
);
Group Policy Objekte (GPOs) bestehen aus zwei Teilen:
Computerkonfiguration (machine - wird beim Starten der Maschine gelesen) und
Benutzerkonfiguration (user - wird beim Anmelden des Benutzers gelesen)
Zielobjekte für GPOs: Gesamtstruktur, Domäne, DCs, Standorte, OUs / UnterOUs
GPO-Optionen: nicht konfiguriert, aktiviert, nicht aktiviert - Optionen geben dann mit Vererbung über die Hierarchien Sinn (z.B. verschachtelte OUs)
Die Richtlinien und Skripte auf einem System werden in einer klar definierten Reihenfolge abgearbeitet (siehe Herdt-Skript)
auf HD des DC:C:\Windows\SYSVOL\sysvol\seminar.local\policies
bzw.:C:\Windows\SYSVOL\domain\policies
mit ...\domain\ als Verknüpfung /Link / Junction - Erste Übung mit Gruppenrichtlinien: Anzeigeoptionen für Benutzer einer OU deaktivieren
Benutzerkonfiguration - Richtlinien - Administrative Vorlagen - Systemsteuerung - Anzeige - Einstellung: Systemsteuerungsoption "Anzeige" deaktivieren
Anm.: kann man ohne Neuanmeldung mittelsgpupdate /force
auf Client "erzwingen" - Große Übung zu Gruppenrichtlinien: Roaming Ordner (am Beispiel Desktop oder Documents)
Plan / GP-Entwurf:
Gruppenrichtlinie für Ordnerumleitungen (hier: Eigene Dokumente -C:\Users\%username%\Documents
) auf einen Ordner auf "Server"
Deutsches Webportal zum Thema Gruppenrichtlinien (mit Tipps, Tricks, Übersichten)
auf Server:
Active Directory: (hier wollen wir sauber mit eigens konstruierter Globaler Sicherheitsgruppe arbeiten)
neue OUroamers
mit neuem Benutzerjoeroamer
und Gruppenzugehörigkeit zu neuer Globaler Grupperoamers
erstellen
Anm./Erinnerung: bei den folgenden Berechtigungen immer die Globale Gruppe für Berechtigungen nutzen!
Datenträger/Explorer auf "Server" (hier:DC00
):
Daten-LW-Freigabe:E:\roaming-ordner
erstellen und freigeben mit Freigabenameroaming-ordner
und folgenden
Standardberechtigungen: (Microsoft-Vorschlag / "Best Practises")
Freigabe-Berechtigung: seminar\roamers mit Vollzugriff (oder aber "anonyme" Globale Gruppe Jeder)
NTFS-Berechtigung: seminar\roamers mit Berechtigung Ändern
Gruppenrichtlinienverwaltung:
Neues GPOroaming-documents
erstellen und bearbeiten:
GP-Editor: Benutzerkonfiguration - Richtilinien - Windows Einstellungen - Ordnerumleitungen - Dokumente - Rechte Maustaste - Konfigurationen vornehmen; siehe auch Extra-Register für "Exklusive Zugriffe" und "Verschieben/Behalten" von Dateien
GP-Objektroaming-documents
mit OUroamers
verknüpfen (bitte nicht vergessen!)
Gruppenrichtlinien aktualisieren oder einfach einen Moment warten!
auf Client:
neuen Userseminar\joeroamer
anmelden - hier jetzt im Benutzer-Profil kein Ordner Documents mehr (checken mit cmd - dir)!
in Eigenschaften von "Dokumente" sieht man den UNC-Pfad:\\DC00\roaming-ordner\joeroamer\Documents
(Anm.: in Pfadzeile des Explorers nicht mehr erkennbar!)
Speichern mittels Bibliotheken - Dokumente;
technische Umsetzung auf Client: Offline-Ordner für "Eigene Dokumente" (siehe Systemsteuerung - Synchronisierungscenter - Offlinedateien)
Anm.: in Windows 10 werden entsprechende Ordner mit Symbol für die Offline-Sync-Technik ausgestattet - Active Directory Verwaltungscenter
Neues Tool zur AD-Verwaltung; blendet alle Objekte des Active Directory standardmäßig ein;
inklusive Zugriff auf die entsprechenden PowerShell Skripte zur Durchführung in der neuen Befehlszeile
Tag 05 - Freitag
Freitag, 02.12.2016, 08.30 - 16.00 Uhr
- Rekapitulationen, TN-Fragen, Prüfungsvorbereitung (Musterprüfung "Beta" Server 2016)
Übung Forts./Wiederholung zu Roaming Profile Techniken, z.B. Documents oder AppData (Roaming) - Übung: Richtlinien komplettieren / wiederholen
Wiederholung mit Roaming-GPO für "Desktop"
Besondere Erwähnung:
Skripte (Standardskripte *.cmd) und PowerShell-Skripte (*.ps1) für Computer- und Benutzerkonfiguration mittels GPOs als Logon und Logoff Skripte!
Weitere Möglichkeiten für Computer- und Benutzerkonfigurationen:
- die "Netzwerker" ließen sich per GP (Computerkonfiguration) lösen,
- Softwareverteilungen mit msi-Paketen,
- Desktophintergrund (Wallpaper) zentral bereitstellen und in Benutzerprofilen konfigurieren, ...;
Anm.: fast 15.000 Richtilinien verfügbar - da sollte sich mit etwas Google-Geschick etwas finden lassen - aber bitte gut planen / strukturieren / testen und bei Online-Recherchen auf Darstellungen zu den richtigen Client/Server-Systemen achten (Empfehlung: mind. die Nennung von Server 2012)
Tipp für TN-Frage nach Bitlocker: mittels Richtlinie Bitlocker ohne TPM überhaupt erst einmal möglich machen (Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten - Bitlocker-Verschlüsselung - Betriebssystemlaufwerke - Einstellung: Zusätzliche Authentifizierung bei Start erforderlich!
Ausführliche Übung: "Netzwerkkonfigurations-Operatoren"
Anm.: hier alle relevanten Praxisthemen: Benutzer, Benutzergruppen, OUs, Gruppenrichtlinien, GPOs verknüpfen, Tools: gpmc.msc, gpedit.msc
Benutzer mit Mitgliedschaften in Lokaler Benutzergruppe "Netzwerkkonfigurations-Operatoren" mittels Gruppenrichtline für Computerkonfiguration ausstatten - BPA (Best Practise Analyzer)
erst Leistungsindikatoren starten (über Server-Manager)
dann per PowerShell (mit Admin-Rechten):Get-BpaModel | Invoke-BpaModel
ggf. diverse "gelbe/rote" Warnungen/Fehler können ignoriert werden
in der AD DS Serververwaltung findet man jetzt BPA Einträge:
1) Alle OUs vor versehentlichem Löschen schützen (Warnung)
2) Hinweis (Fehler) auf NTP / Zeitserver - Stichwort: PDC Betriebsmasterrolle
3) gewünschter 2. Domaincontroller - Stichwort: Redundanz (→ sehr wichtig!)
Anm.: die Best-Practise Vorschläge wurden diskutiert - Betriebsmasterrollen (→ Thema: Migrationen)
FSMO-Rollen (Flexible Single Master Of Operation): Schema-Master, Domänennamen-Master, PDC-Emulator, RID Master, Infrastruktur-Master
Link mit weiteren Erläuterungen; für Migrationen benötigt man dann noch spezielle Anleitungen und Tools - Druckserver
technischer Vergleich mit Netzwerkdrucker - alles wie immer:
bei Druckserver (also der Client/Server-Technik) sind die Treiber (und ggf. auch Druckaufbereitung) zentral auf Server,
während Netzwerkdrucker (zwar auch im Netz verbunden sind) die Treiber jeweils auf den nutzenden Clients hätten!
Druckeranschlüsse:
USB, LPT, TCP/IP, HP JetDirect, IPP (Internet Printing Protocol), LPD (Line Printer Daemon für Unix)
Treiber auf Druckserver:
nicht nur für den Server sondern natürlich auch für die Clients nötig (XP / Vista / Win7 / 32-Bit, Win7 32-Bit/64-Bit / Win 8.1 / Win 10)
Spooling (Druckaufträge in Speicher auf Datenträger zwischenspeichern) mit
Spoolordner:C:\Windows\system32\spool\PRINTERS
Spool-Ordner besser auf Datenlaufwerk oder Speziallaufwerk - hier:E:\__spool
) untergebracht
Begriffe: Queuing, Druckpriorität (von 1 - gering bis 99 maximale Dringlichkeit), Druckerpool, Treiber
Praxis: Installation / Einrichtung "Druckserver" aufDC00
und veröffentlichen im "Verzeichnis"; auf Clients mit freigegebenem Drucker verbinden bzw. "Drucker hinzufügen" (Domänen-Benutzer und alle "Vertrauten" sind berechtigt);
Hinweis auf Gruppenrichtlinie in Benutzerkonfiguration für das automatisierte "Verbinden" mit den Druckservern im AD
Server-Manager → Tool: Druckverwaltung - Server-Sicherung
Backupstrategien und Konzepte ("W-Fragen?"; siehe auch Modul PC-Systemsupport-Infos)
Einrichtung der Windows Server-Sicherungsfeatures über Windows Server Manager -> Features - Feature "Windows Server-Sicherung" hinzufügen
Sicherung konfigurieren / eingerichten;
Tool:wbadmin
(für die Konsole - siehewbadmin /?
)
Hinweis: Sicherung im laufenden Betrieb mit Hilfe von VSS (Volume Shadow Service - Volumenschattenkopien; auch nötig für die sogenannten Vorgängerversionen)
Hinweis zu Meldungen beim Sichern: wenn wir EFI-Partition mit sichern wollten - diese aber mit FAT32 partitioniert ist - gibt es Probleme, da VSS nur auf NTFS-Laufwerken funkitonieren kann!
Alternative Software: (eine kleine Auswahl)
Microsoft System Center 2012 R2 bzw. 2016 mit Data Protection Manager, EMC2 Data Protection Suite, Acronis Backup Windows Server - Bibliothek Windows Server 2012 R2 (Server 2016 noch nichts verfügbar)
1) OpenBook vom Rheinwerk Verlag (früher Galileo Verlang):
der 1400-Seiten-Wälzer Windows Server 2012 R2 von Ulrich B. Boddenberg "Das umfassende Handbuch" als OpenBook (Download/ Offline-Webseite)
Link zur gedruckten Version des Buchs
2) Alternative Microsoft Windows Server 2012 R2 - Das Handbuch - Insider-Wissen - praxisnah und kompetent / Autor: Thomas Joos, 978-3-86645-179-7; inkl. e-Book - Nachfolger zu Server 2016 "Microsoft Windows Server 2016 - Das Handbuch: Von der Planung und Migration bis zur Konfiguration und Verwaltung" angekündigt zum 23. März 2017 - Musterprüfung / Prüfungsvorbereitung
Anmerkungen zur Musterprüfung (Beta-Version Joe Brandes in Absprache mit EPZ)
Empfehlung für die Prüfungvorbereitung:
Bitte das Herdt-Skript "durchlesen/blättern" und unseren Roten Faden also diese Wochenbeitragsreihe (als Schwerpunkt) - TN-Bescheinigungen, Feedback-Bögen, letzte TN-Fragen
Vielen Dank für Ihre überaus positiven persönlichen und schriftlichen Rückmeldungen.
Ihr Trainer Joe Brandes