Ab dem 25. Januar 2016 findet an der VHS Braunschweig ein "Windows Server"-Workshop statt. In diesem praxisorientiertem Intensivseminar wollen wir die Fähigkeiten der aktuellen Microsoft-Server-Betriebssysteme und Active Directory Verwaltungen vertiefen.

Aufbauend auf Kenntnissen entsprechend dem Windows-Server-Seminar (siehe FITSN-Module) werden wir die Schwerpunktthemen (ADS, OU/Gruppenrichtlinien, DNS/DDNS, DHCP, Routing/RAS, Sicherheit, IIS, Fileserver/DFS, Terminalservices) in selbst entworfenen und erstellten Übungsdomänen anschaulich erarbeiten, wiederholen und vertiefen.

windows server plan 2016 01 740px

Für die Praxis steht jedem Teilnehmer neben einem eigenen Übungs-PC auch noch zusätzliche PC- und Servertechnik zur Verfügung.

Hier die Rahmendaten unseres Seminars:

Ort: VHS Braunschweig, Heydenstraße 2, Raum 2.11
Zeiten: Mo, 25.01. - Fr, 29.01.2016; jeweils 08.30 - 16.00 Uhr

Ich werde unser Seminar an dieser Stelle - wie mittlerweile gewohnt - durch ein ausführliches tägliches Protokoll begleiten...
Ihr Trainer Joe Brandes

Montag

Montag, 25.01.2016, 08.30 - 16.00 Uhr

  • Orientierungsphase, Pausenzeiten, TN-Themen, BU-Planung
    Hinweis Cobra Shop (Link), BU-Tagesbeiträge (siehe hier) und Screenshots
  • BU-Schwerpunkt:
    Firmennetzwerk mit aktuellen Windows Server 2012 R2 und Windows 8.1 Clients nach Vorgabe/Ausschreibung des Seminars
  • Lizenzen – alles neu und mit Blick auf die Cloud („Wolke“)
    nur noch Standard und Datacenter Editions mit gleichem Funktionsumfang
    Standard Edition: nur 2 Virtuelle Server pro Lizenz; 2 CPU-Sockel
    Datacenter Edition: beliebig Virtuelle Server; 2 CPU-Sockel
    Spezialeditionen: (jeweils ohne Hyper-V)
    Essentials: 25 Benutzer, keine CALs nötig
    Foundation: 1 CPU, 15 Benutzer, keines CALs nötig, an Hardware gebunden (OEM)
    Übersichtsseite Editionen und Lizensierungen; Lizensierungsvideos und PDFs
  • Entwurf der Netzwerkumgebung
    Planung der Topologie ("Schaltplan") für Übungsfirma "BuFirma";
    Dienste: DHCP (Dynamic Host Configuration Protocol) und NAT-Routing
    Hinweis: Server immer mit statischen Netzwerk-Konfigurationen verwenden
  • Entwurf der Domainen (Übungsfirma)
    1 Hauptdomäne  - seminar.local 
    jede Domäne eine eigene Verwaltungsstruktur mit eigenem Active Directory;
    erste Domäne erstellt auch die Gesamtstruktur
  • Dokumentation für Domänenmodell und Netzwerk erstellen
    Vergabe der Hostnames (...), Adressen (statisch / dynamisch), Hierarchien, ...
    wird im Laufe der Woche verfeinert und bereit gestellt
  • Installation der Server- und Client-Betriebssysteme
    Begriffe: Image-basierte Installationen (Toolsammlung MS für Imageerstellungen/Anpassungen:Klassisch: WAIK - Windows Automated Installation Kit (Toolbox: z.B. ImageX, ... - Microsoft Link) - Nachfolger: Windows ADK (Microsoft Linkrosoft Link - Download ADK Windows 8.1 und Co);  Partitionen, System-Reservierte Partition, Tool: diskpart für cmd)
    Installationen diese Woche ohne UEFI (Darstellungen zu Partitionierungen MBR/UEFI bei Technet-Artikel (MS) "Grundlegendes zu Datenträgerpartionen")
    Anm.: später werden alle TN Zugriff auf die Domaincontroller (DC) haben
  • Einrichten und Konfigurieren Netzwerk
    ohne DHCP: Hinweis auf APIPA - Automatic Private IP Adressing (siehe 169.254.x.y / 16)
    Grundtechnik: zeroconf; bei Apple als BonJour und bei Linux-Systemen meist als Avahi-Service bereitgestellt
    Tool: ipconfig /all
  • Server-Manager
    Rollen (die großen Dienste / Services), Features (Erweiterungen wie Dot.Net Framework, ...)
    Zentrale Anlaufstelle für die Installation von Rollen und Features; Allgemein: Server wird "ohne Fähigkeiten/SW" ausgeliiefert und dann nach Wunsch von "unten nach oben (bottom to top)" mit den gewünschten Diensten und Fähigkeiten ausgestattet
    Hinweis: Systembegrüßung nach Serverinstallation nachträglich mittels "oobe" aufrufbar (Out-Of-Box-Experience)
  • Installation DHCP-Service (Rolle) auf BU-ROUTER (LAN-IP: 10.0.0.1 / 8)
    Konfiguration eines Bereichs (scope): 10.0.0.100 - .199; Subnetmask: 255.0.0.0;
    DNS-Server 10.0.0.5 für LAN (noch gar nicht verfügbar!)
    Standard-Gateway (Router): 10.0.0.1
    Tests auf Client-PCs mit dynamischen IPs bzw. auf Servern dann später statische IPs (z.B. 10.0.0.10 / 8 joder 10.0.0 .20 / 8)
    Einrichtung von RDP (Remotedesktop) auf BU-ROUTER für Nutzung als "Kopfloser Server" (eigentliche nicht nur ohne Monitor, sondern auch ohne Maus/Tastatatur); Beachten: noch ohne Domäne, also bitte Netzwerktyp (z.B. Öffentlich, Privat) beachten und die damit verbundenen Firewall-Regeln!
  • Fachbegriffe für Domain-Einrichtungen:
    Gesamtstruktur (Forest), Domänenstruktur / Domänenstamm (Tree) und Domäne (Domain)
    Symbol für Domäne: Dreieck; wichtig: ohne DNS gibt es kein Active Directory (AD)
  • Domains vs. P2P (Peer-to-Peer; engl.: Peer: Gleichgestellter)
    Zentrale Verwaltung vs. lokale Verwaltungen einer Arbeitsgruppe
    anfangs alles lokal, was auch ein Blick in die Computerverwaltung (compmgmt.msc) der Server-Installationen zeigt: Lokale Benutzer- und Gruppenverwaltung
  • Übungfsirma seminar.local (neue Gesamtstruktur - Forest und neue erste Stammdomäne für Domänenstruktur - Tree)
    Installation der Rolle AD-Domänendienste; danach "dcpromo" (in 2012 R2 nicht mehr wirklich eigenes Programm) durchgeführt für Maschiene DC00, wir erhalten neue Gesamtstruktur mit neuer Domäne
    Tipp: vorher bei DCs (feste IP: 10.0.0.5 / 8) über Systemeigenschaften (Win + Pause - Erweiterte Systemeinstellungen - Register Computername - Ändern - Weiter.. - Primäres DNS-Suffix des Computers: seminar.local bei den DCs)
    Stichworte/Fachbegriffe: DNS (Verfügbarkeit, Delegierung, Installation, Zonen, AD-integriert; Funktionsebenen (Function Level FL - auf Ebenen Forest und dann Tree), Globaler Katalog, RODC (Read Only Domain Controller)
  • DNS checken: nslookup
    eigene Shell/Eingabeaufforderung; verlassen mit exit
    Test für Domainauflösungs-Funktion: einfach Name der Domain (hier: seminar.local) eingeben; muss auf Rechnern, die mit dieser Struktur arbeiten wollen direkt funktionieren
    eigenen gewünschten DNS-Server festlegen: server 10.0.0.5
  • NAT-Routing
    NAT-Routing: jetzt über Rolle "Remotezugriff" (Anm.: Alles für DirectAccess / VPN kommt gleich mit); jetzt Weiterleitung (und Rückleitung) von Paketen zwischen NICs LAN <-> WAN; Server vom Dozi verhält sich jetzt wie Ihr "Router" zu Hause; zur Konfiguration über Remotezugriffs-Verwaltungskonsole - dann Rechts RRAS Verwaltung öffnen (Routing und RAS)
    Wichtig: alle Maschinen (Dynamisch oder statisch) müssen natürlich das StdGW (Router) richtig eingetragen haben (hier: 10.0.0.1 - LAN-Adapter der Maschine BU-ROUTER)

 

  • FunktionsebenenFunktionsebenen
  • dcpromo per PowerShelldcpromo per PowerShell
  • Bereich (Scope)Bereich (Scope)
  • Client in DomäneClient in Domäne
  • NAT-RoutingNAT-Routing
  • Server-ManagerServer-Manager

 

Dienstag

Dienstag, 26.01.2016, 08.30 - 16.00 Uhr

  • Rekapitulationen, TN-Fragen
  • Lizenzen (Hinweis auf nötige Lizenzen zum Domain-Betrieb - auch am Montag diskutiert)
    OS-Lizenzen "Server" und "Client" plus CALs (Client Access Licenses)
    Serverlizenz Windows Server 2012 R2 Standard: Preis recherchiert ca. 580 €;  CALs: ca. 20-25 €
    kostenlose Evaluation-Versionen (180 Tage) bzw. kostenloser uneingeschränkter Server 2012 R2 HyperV (als Core) - Anmerkung: für Downloads ein "MS Live Account" nötig
    CAL - Client Access Licenses; Lizenzen modellieren nach Gerät (Device) oder Benutzern (User),
    kein Einsatz eines Lizensierungsservices im DC
    bei den Terminal Services TS/RD und den TS/RD-CALs ist Online-Anbindung und Nutzung von Lizensierungsservices via Microsoft nötig
  • DHCP Server (bu-router) autorisieren
    den bu-router in Domäne aufgenommen, um u.a. auch von DDNS zu profitieren (Dynamic DNS);
    also: DHCP autorisieren! Bei autonomen DHCP-Systemen (z.B. in Printservern, Mobilen Hotspots) ist solche Möglichkeit nicht gegeben!
    Anm.: AD-Konto für Autorisiierung muss mindestens zu den Organisations-Admins zugehören
  • Reverse Lookup Zone
    Installation einer Reverse-Lookup-Zone 10.in-addr.arpa (für alle IP-Adressen mit 10.x.y.z / 8)
    Alternatives Beispiel: Netzwerk-ID / Netzwerkadresse 192.168.11.0 / 24 ergibt 11.168.192.in-addr.arpa
    Die Reverse Lookup Zone ist nicht zwingend für die Funktionalität AD DS nötig, aber sehr sinnvoll für alle weiteren Nutzungen und Strukturen im Firmennetz!
    Anm.: mehr Erläuterungen zu nslookup, DNS und Co auch im Seminar "Netzwerk- und Internettechnik"
  • DCs (DC01, DC02) für Subdomänen (abt01 und abt02.seminar.local)
    die Maschinen für Subdomains abt01 und abt02 nerstellen/promoten; die DCs erhielten statische IPs 10.0.0.10 / 8 und 10.0.0.20 / 8
    und die nötigen manuellen Standard-Gateway und DNS-Server Konfigurationen
    für SubDom-Controller wurden keine eigenständiger DNS-Server installiert, sondern Sub-Zonen in bestehendem DNS auf DC00 erstellt
    Wichtig: alle Einstellungen natürlich wieder intensiv mit nslookup checken
  • FQDN - Fully Qualified Domain Name
    besteht aus: hostname.subdom.domain.tld. 
    genau genommen rechts also ein Punkt, welcher das Root-Level der hierarchische DNS-Struktur kennzeichnet
    tld steht für Top Level Domain - also z.B. de, com, info oder unsere "erfundene" local
  • Vertrauensstellungen
    siehe Tool Active Directory-Domänen und -Vertrauensstellungen;
    Fachbegriffe: bidirektional, eingehende und ausgehende Vertrauensstellungen, transitive Vertrauensstellungen (autmatisch bei Domänenstamm / Tree)
  • Active Directory - Benutzer und Gruppen erkunden
    Standard-Container Builtin, Computers, Domain Controllers, Users
    Hinweis: für alle neuen Objekte (Benutzer, Gruppen) werden OUs erstellt; Koordination von Prefix (jb-test) /Suffix (test-jb) Systemen innerhalb der Domains, damit die TN ihre Übungen auseinanderhalten können
    Übung: OU Hilfsadmins für erste Konten der Teilnehmer in ihren Domänen
    Einblicke in die Eigenschaften eines AD-Kontos (die vielen einzelnen Kontenblätter)
    Übung: Mitgliedschaften zuweisen für Benutzerkonten
  • Schema (der Gesamtstruktur) - Schema-Admins
    eine Übung und Analyse der Gruppe Schema-Admins ergibt, dass nur Konten der Stammdomäne seminar.local (erste Domäne der Gesamtstruktur gleichen Namens seminar.local) die Zugehörigkeit zu Schema-Admins erhalten können
    Technisch: das Schema in einer Gesamtstruktur (Forest) ist einzigartig und kann nur durch Konten der Stammdomäne geändert werden. Das Schema ist so etwas wie die Beschreibung für Eigenschaften von Objekten im AD (siehe Beispiel mit neuer zusätzlicher Telefonnummer "Geheimnummer" in den Kontoeigenschaften)
  • Betriebsmasterrollen / FSMO (eine TN-Nachfrage und Zusatzinfo zum "Roten Faden Server")
    Abk.: FSMO - Flexible Single Master Of Operation, flexibler Einzelbetriebsmaster
    es gibt insgesamt fünf solcher Zuordnungen:
    SCHEMA-MASTER, DOMÄNENNAMEN-MASTER
    einmalig auf einem Domänen-Controller in jeder Domäne
    PDC EMULATOR, RID MASTER, INFRASTRUKTUR MASTER
    gute Erläuterung auf Webportal IT-Zeugs (Link)  
    cmd/Eingabeaufforderung: netdom query fsmo 
  • Windows 8.1 Clients und Windows Server 2012 R2  in Domänen aufnehmen
    Gruppenübung mit Fertigstellung aller Domänenmitgliedschaften für alle installierten Systeme; auch hier wieder Einsatz von nslookup; bei Servern Fachbegriff: Mitgliedsserver
  • Remote-Techniken (Übersicht) für Windwos 8.1-Clients / Mitgliedsserver
    1) RDP / Remote Desktop - nur für 2 gleichzeitige Zugriffe (ohne komplette RD-Server Rolle)
    2) Remoteserver Verwaltungstools (Remote Server Administration Tools - RSAT - Microsoft Download Link)
    2a) Server 2012 R2: über Server-Manager die nötigen Features nachinstallieren
    2b) Windows 8.1: RSAT downloaden und installieren des "Windows Updates - *.msu"
    Anm.: richtige Betriebssystem-Variante (Windows 7, Windows 8, Windows 8.1) und Bit-Variante (32- oder 64-Bit) beachten
    3) Server-Manager (mit anderen Maschinen verbinden und per Tools (ggf. nachinstallieren) verwalten
    4)  PowerShell: Remote Sessions und WebAccess (PSWA)
    5) Fremdsoftware wie Teamviewer & Co
    6) MMC (mit Windows Management Interface - WMI): "Auslaufmodell"
    Übungen und Installationen zu 1) bis 3)

 

  • ARP - IP - MACARP - IP - MAC
  • DHCP autorisierenDHCP autorisieren
  • Reverse LookupReverse Lookup
  • RSATRSAT
  • Gruppen zuweisenGruppen zuweisen
  • Win8.1 mit RSATWin8.1 mit RSAT

 

Mittwoch

Mittwoch, 27.01.2016, 08.30 - 16.00 Uhr

  • Rekapitulationen, TN-Fragen
  • Darstellung von A-G-DL-P Regel:
    Accounts (Benutzerkonto) - Mitglied von
    Global Group (Globale Gruppen) - Mitglied von
    Domain Local (Lokal in Domäne) - führt zu
    Permissions (Berechtigungen)
    Analyse der Benutzerrechte auf den Clients für Domänen-Benutzer und Domänen-Admins
    Tipp: immer werden Accounts (Konten) Mitglieder in Globalen Gruppen - bitte nie die Mitgliedschaften direkt in den Domain Lokalen Gruppen oder auch später bitte keine einzelnen Benutzerkonten bei Berechtigungen für Freigabe/NTFS eintragen, sondern immer Gruppen definieren und zuweisen
    Beispiele für verfügbare/bzw. nicht verfügabare Berechtigungen zwischen "Benutzern" und "Admins":
    a) Fähigkeit Freigaben für Ordner/Drucker einrichten können
    b) Netzwerk konfigurieren
    c) Datei in Hauptverzeichnis C:\ erstellen
    d) Standardinstallationen wie z.B. MS Office
  • Übungsszenario: Außendienstmitarbeiter mit Notebook (hier ohne Gruppenrichtlinien)
    Benutzer "joemittwoch" soll bei Notebook "PC17" das Netzwerk konfigurieren dürfen
    a) Benutzer joemittwoch anlegen (immer in einer OU nach Wahl - hier: OU mittwoch ;-)
    b) Neue Globale Gruppe "Netzwerkhiwis" erstellen
    c) joemittwoch Mitglied machen von Globaler Gruppe "Netzwerkhiwis"
    d) in der Lokalen Benutzer- und Gruppenverwaltung von PC17 (!!) bei Gruppe Netzwerkkonfigurations-Operatoren die Gruppe "Netzhiwis" zum Mitglied machen - das bewirkt:
    Useraccount joemittwoch - Mitglied von Globaler Gruppe Netzwerkhiwis - wird Mitglied in Lokaler Gruppe Netzwerkkonfigurations-Operatoren
    Anm.: das kann man später auch zentral organisieren/automatisieren, falls man mal 5000 Notebooks hätte (siehe folgende Übung zu Gruppenrichlinien)
  • Gruppenrichtlinienobjekte (Group Policy Objects - GPO)
    sind in Gruppenrichtlinien-Management Konsole unter Gruppenrichtlinienobjekte zentral organisiert (Gruppenrichtlinienverwaltung - gpmc.msc) und dann als Verknüpfungen den jeweiligen Objekten zugewiesen; werden mit GP-Editor bearbeitet (gpedit.msc); bestehen aus zwei Teilen:
    Computerkonfiguration (machine - wird beim Starten der Maschine gelesen) und
    Benutzerkonfiguration (user - wird beim Anmelden des Benutzers gelesen)
    Zielobjekte für GPOs: Gesamtstruktur, Domäne, DCs, Standorte, OUs / UnterOUs
    GPO-Optionen: nicht konfiguriert, aktiviert, nicht aktiviert - Optionen geben dann mit Vererbung über die Hierarchien Sinn (z.B. verschachtelte OUs)
    auf HD des DC: C:\Windows\SYSVOL\sysvol\dombu.local\policies
    (bzw.: C:\Windows\SYSVOL\domain\policies mit domain als Verknüpfung/Link)
  • wichtige cmd-Tools für die GPOs:
    gpupdate /force (Erzwingen der Richtlinienaktualiserung für Computer und Benutzer)
    dcgpofix (Wiederherstellen von Default Domain und/oder Default Domain Controllers Policy)
  • Gruppenrichtlinien (ausführliche Übungen - siehe Infoportal gruppenrichtlinien.de )
    Übung a) Benutzer sollen die Bildschirmauflösung nicht mehr ändern können!
    Benutzerkonfiguration - Richtlinien - Administrative Vorlagen - Systemsteuerung - Anzeige -  Systemsteuerungsoption "Anzeige" deaktivieren (muss natürlich aktiviert werden ;-)
    manuelle Aktualisierungsmögichkeit auf Client PC17 mittels gpupdate /force 
    Übung b) auf einer Maschine soll automatisch eine Globale Gruppe Mitglied in der Lokalen Gruppe Netzwerkkonfigurations-Operatoren werden!
    Computerkonfiguration - Einstellungen - Systemsteuerungseinstellungen - Lokale Benutzer und Gruppen - Aktualisieren der Netzwerkkonfigurations-Operatoren (int. - lokal) - Mitglieder: BUFIRMA\Netzhiwis (hinzufügen - ADD)
    Anm.: das ist dann bei Terminal Server / Remotedesktopdiensten später dasselbe Vorgehen: man muss dann wieder die Globale Gruppe für die Remotedesktop-Nutzer in die Lokale Gruppe Remotedesktopbenutzer des Terminal Servers "packen"
    wichtig: GPs zur Computerkonfiguration werden erst durch Neustarts/Starts der "Maschine" ermöglicht
    Fachbegriffe (Vererbung, ...) siehe auch Folgeübungen morgen
    Reihenfolge der Abarbeitung von Richtlinien:
    1) Machine
    Computerstart - lokales GPO - Skripts - GPO-Liste (GPO lokaler Computer - GPO Standort - GPO Domäne - GPOs OUs/OU-Hierachie)
    2) User
    Anmeldung (Login) - Benutzerprofil - GPO-Liste (GPO lokaler Computer - GPO Standort - GPO Domäne - GPOs OUs/OU-Hierachie) - Anmeldeskripts
    Nutzung von Gruppenrichtlinienergebnisse (rsop.msc - Resultant Set of Policies) oder mit Hilfe eines Assistenten in der Gruppenrichtlinienverwaltung (gpmc.msc)
  • Softwareinstallation per Group Policy
    Software mit msi-Installerpaketen lässt sich über (z.B.) Computerkonfiguration - Richtlinien - Softwareeinstellungen verteilen
    Beispiel: FrontMotion Firefox Community Edition (Link)

 

  • GPOsGPOs
  • Lokale Gruppe per GPLokale Gruppe per GP
  • lusrmgr.msclusrmgr.msc
  • FSMOFSMO
  • MSCMSC
  • GP deaktiviert AnzeigeGP deaktiviert Anzeige

 

 

Donnerstag

Donnerstag, 28.01.2016, 08.30 - 16.00 Uhr

  • Rekapitulationen, TN-Fragen
  • Bibliothek Windows Server 2012 R2
    1) OpenBook vom Rheinwerk Verlag (früher Galileo):
    der 1400-Seiten-Wälzer Windows Server 2012 R2 von Ulrich B. Boddenberg "Das umfassende Handbuch" als OpenBook (Download/ Offline-Webseite)
    Link zur gedruckten Version des Buchs
    2) Alternative Microsoft Windows Server 2012 R2 - Das Handbuch - Insider-Wissen - praxisnah und kompetent / Autor: Thomas Joos, 978-3-86645-179-7; inkl. e-Book
  • Datenträgermanagement (für Datenlaufwerk - Technikbegriffe - Infos Partitionen)
    Snap-In Console: diskmgmt.msc; Partitionierung/Formatierung mit NTFS  von Daten-Laufwerk E:
    Fachbegriffe: MBR, Basisdatenträger vs. Dynamische Datenträger (z.B. für Software RAID mit Windows Server), GPT (GUID Partition Table) Volumes; Hinweise auf UEFI (Schneller, sicherer, Booten ab 2,2 TB, 64-Bit)
    Technet-Artikel (MS) "Grundlegendes zu Datenträgerpartionen"
    Windows Server 2012 R2 kennt Basis (Datenträger) als auch Dynamische Datenträger; Zweck: flexiblere Größenänderungen und vor Allem Software-RAIDs
    RAID 0 Striping und RAID 1 Mirroring/Spiegelung,
    RAID 5 Striping mit Parität - Darstellung folgt mit VM-Technik;
    System/Startlaufwerk C: empfohlen mit RAID 1 / Mirroring
  • UNC (Universal Naming Convention)
    Netzwerkpfad aus \\servername\freigabename\ordner\unterordner\datei.ext 
  • Freigaben
    Berechtigungen ohne Freigabe-Assistent erstellen - also Windows Explorer Optionen konfigurieren (s.u.)
    Freigaben kennen nur einfache Berechtigungen: Vollzugriff, Ändern, Lesen  (verglichen mit NTFS)
    Windows Explorer: Organisieren - Ordner- und Suchoptionen - Register Ansicht - Freigabe-Assisten deaktivieren
    Jeder / Lesen - hier ist wieder "Jeder Berechtigte" gefragt, also meine AD-Benutzerkonten plus die Domänenbenutzer, denen meine Domäne vertraut (siehe: Active Directory-Domänen und -Vertrauensstellungen)
    Syntax bei Freigabenamen: mit $ am Ende sind "versteckt"; administrative Freigaben C$, E$; Erinnerung an net share
  • Standardfreigaben
    NETLOGON: Freigabepfad zu C:\Windows\SYSVOL\sysvol\dombu.lokal\scripts
    (klassische Anmeldeskripte seit NT - meist als *.cmd statt als einfache *.bat Dateien)
    SYSVOL: Freigabepfad zu C:\Windows\SYSVOL\sysvol (eine Freigabe über die dann auch die GPO mit Ordner policies erreichbar sind)
    C$, Admin$: Administrative Freigaben mit angehängtem $ (das $ am Ende versteckt die Freigabe im Netz)
    Übersicht mit net share  in der Befehlszeile; alternativ siehe Computerverwaltung - Freigegebene Ordner - Freigabe oder über den Server-Manager - Datei-/Speicherdienste - Freigaben
  • NTFS (Zugriffsschutz auf Benutzerebene - Register "Sicherheit")
    bitte feinere Berechtigungen gegenüber Freigabe-Rechten;
    wiederholen; NTFS-Rechte vererben; Besitz übernehmen, Effektive/Effiziente Berechtigungen (Neu: Effektiver Zugriff) für Benutzer/Gruppen anzeigen lassen
  • Benutzerprofile I (auf Windows 8.1 Client analysiert)
    Desktop unter C:\Users\joestandard\Desktop und auch zu finden bei C:\Users\public\Desktop  (die ehemalige All Users\Desktop Struktur)
    Gegenüberstellung der klassischen Windows 2000/XP Profile mit Vista/Win7 ergibt:
       C:\Dokumente und Einstellungen\username\Desktop  (2000 / Win XP)
       C:\Users\username\Desktop  (Vista / Win 7 / Win 8)
    Erläuterung zu "Verbindung(en)" (Junctions); Kommandozeilentool: mklink (Hilfe mit mklink /?)
    Beispiel-Installation von Google Chrome ohne UAC - also ohne Adminrechte in das Benuzterprofil unter
    Pfad "C:\Users\%username%\AppData\Local\Google"
    Tipp: den Benutzerprofile-Ordner AppData genauer anschauen; besonders dort Roaming Strukturen (enthalten z.B. die kompletten Firefox Benutzerprofile, die sich nahezu beliebig zwischen verschiedenen Plattform - sogar verschiedenen OS - austauschen lassen
    Übung: Benutzerprofilordner analysiert - NTUSER.dat als benutzerspezifischer Anteil der Registrierdatenbank (registry)
  • Benutzerprofile II (Typen: lokal, servergespeichert / veränderlich, verbindlich/unveränderlich)
    Wichtig: jeder Benutzer arbeitet immer mit einem "veränderlichem, lokalen Benutzerprofil"
    Klassische Alternative (2000/2003/XP): servergespeichertes Benutzerprofil (serverbased profile) - siehe Profil-Kontenblatt des Benutzers
    Datei: ntuser.dat  - benutzerspezifischer Registrierdatenbankteil
    Ein Profil als unveränderlich (mandatory) konfigurieren: ntuser.dat umbenennen in ntuser.man   (mandatory profile)
    Problem der servergespeicherten Benutzerprofile: Profile wurden immer größer und konnten teils nur schlecht und falsch "synchronisiert" werden
    Lösung: nur die variiablen und interessanten Teile des Benutzerprofils auf einen Server umleiten (Roaming Profiles) - diese Ordnerstrukturen als Offline Ordner auf den Clients pflegen lassen
    Analyse der Verzeichnisstrukturen unsere Windows Installationen und der Benutzerprofile (C:\Users - Anm.: Ordner Benutzer im Windows Explorer "nur eingedeutscht")
    Technik für Aufruf / Anzeige / Analyse: Eingabeaufforderung (cmd) mit Befehl  dir /a   (alles im Verzeichnis anzeigen lassen)
    So erkennt man: "Dokumente und Einstellungen" ist eine Junction (Abzweigung) zu C:\Users 
    Anm.: das erklärt "Fehlermeldung" bei Doppelklick, da ein Doppelklick nur auf Dateien, Ordner oder einfache Links/Verknüpfungen funktioniert
    im Benutzerprofil  C:\Users\%username%  (Anm.: Variable für Benutzername!) Hinweis auf Ordnerstrukturen und Junctions
    Besonderes Interesse: C:\Users\%username%\AppData  mit Unterordnern Local, LocalLow und Roaming
    Ordner .\AppData\Roaming  wird uns bei unseren Übungen zu den "Roaming Profiles" morgen wieder begegnen
  • Große Übung zu Gruppenrichtlinien:
    Roaming Ordner (
    am Beispiel Desktop und Ordner Documents / Dokumente)
    Gruppenrichtlinie für Ordnerumleitungen (hier: Dokumente - C:\Users\joedonnerstag\Documents)
    Deutsches Webportal zum Thema Gruppenrichtlinien (mit Tipps, Tricks, Übersichten)
    auf Server:
    neue OU donnerstag mit neuem Benutzer joedonnerstag
    Daten-LW-Freigabe: E:\roaming freigeben mit Freigabename roaming und
    Standardberechtigungen: (MS-Vorschlag)
    Freigabe-Berechtigung: Jeder / Vollzugriff
    Tipp - Freigabe mit Eingabeaufforderung/cmd: 
    net share roaming=E:\roaming /grant:"seminar\Domänen-Benutzer,FULL" /remark:"Freigabe für Roaming-Technik" 
    Anm.: die Anführungszeichen/Strings in cmd nicht unbedingt nötig - aber Tipp falls mal in PowerShell unterwegs!
    NTFS-Berechtigung (hier für Standard-Global-Gruppe) mit Domänen-Benutzer / Ändern
    Neues GPO roaming-dokumente erstellen und bearbeiten:
    GP-Editor: Benutzerkonfiguration - Richtlinien - Windows Einstellungen - Ordnerumleitungen - Dokumente - Rechte Maustaste - Konfigurationen vornehmen;
    Beachten: UNC-Stammpfad zur Freigabe einrichten 
    \\DC00\roaming  ergibt \\DC00\roaming\Fred\Documents  (bei Standardeinstellungen der Richtlinie)
    siehe auch Extra-Register für "Exklusive Zugriffe" und "Verschieben/Behalten" von Dateien
    GPO-Objekte mit OU donnerstag verknüpfen (nicht vergessen!)
    Gruppenrichtlinien aktualisieren (einfach abwarten oder erzwingen versuchen mit gpupdate /force)
    auf Client:
    neuen User anmelden - hier jetzt im Profil kein Ordner Documente mehr bzw. über Eigenschaften der von Dokumente im Explorer den UNC-Pfad sehen!
    Speichern mittels Dieser PC - Dokumente; UNC-Pfad in den Eigenschaften zu sehen;
    Hinweis auf effiziente und schnelle Synchronisierungen und Offline-Techniken
    Tests an diversen Clients
  • Netzlaufwerke mappen (Übung)
    mit Freigaben auf DCs und mit Netzlaufwerk per NETLOGON-Skript; Einzeiler:
    net use X: \\dc00\projectX 
    im Kontenblatt Profil eines AD-Users konfiguriert.
    Befehl für Mapping von Netzrsourcen (Freigaben / Drucker): net use (mit Schaltern /?, /persistent, /delete)
    moderne Umsetzung mit Gruppenrichtlinien:
    Benutzerkonfiguration - Einstellungen - Windows Einstellungen - Laufwerkszuordnungen
    Anm. zum Skripting per GPOs:
    die Pfade zu den Skriptsordnern führen in die User-Unterordner des jeweiligen GPO!
    seit Windows 8.1 werden die Login-Skripte standardmäßig mit einer Verzögerung von 5 Minuten (!) durchgeführt, was selbstverständlich wieder durch eine Gruppenrichtlinie angepasst werden kann (Darstellung windowspro.de)
  • BPA (Best Practise Analyzer)
    erst Leistungsindikatoren starten (über Server-Manager) dann per PowerShell (mit Admin-Rechten):
    Get-BpaModel | Invoke-BpaModel 
    ggf. diverse "gelbe/rote" Warnungen und Fehler können ignoriert werden
    in der AD DS Serververwaltung findet man jetzt BPA Einträge (Hinweis auf NTP / Zeitserver, einen gewünschten 2. Domaincontroller, ...)

 

  • RoamingRoaming
  • net sharenet share
  • Benutzerprofil - mklinkBenutzerprofil - mklink
  • GP für RoamingGP für Roaming
  • Core ServerCore Server
  • PowerShell - Get-ADUserPowerShell - Get-ADUser

 

 

Freitag

Freitag, 29.01.2016, 08.30 - 16.00 Uhr

  • Rekapitulationen, TN-Fragen
    To-Do-List: AD-Verwaltungscenter (PowerShell Ausgaben!), Hyper-V, Druckserver, PowerShell Remoting und WebAccess (PSWA), ...
  • Active Directory-Verwaltungscenter
    die moderne Variante für AD-Verwaltung: unter der Haube arbeitet die PowerShell und die erzeugten Kommandos lassen sich auch im unteren "Logberereich" einsehen und zu eigenen Zwecken als Vorlage nutzen zum PowerShell-Skripting
    Übung: Anlegen von Test-OU und Test-Benutzer und Ansicht der erzeugten PowerShell Kommandos
    Hinweise: Papierkorb für das AD kann aktiviert werden - und wieder: Nutzung über die PowerShell
  • Druckserver
    technischer Vergleich mit Netzwerkdrucker - alles wie immer: bei Servertechnik (oder eigentlich Client/Server-Technik) sind hier die Treiber zentral auf Server, während Netzwerkdrucker (zwar auch im Netz verbunden sind) die Treiber jeweils auf den nutzenden Clients hätten!
    IP-Konfiguration mittels DHCP Reservierung: der Drucker bekommt mittels seiner MAC-Adresse eine "feste" IP-Adresse (außerhalb des dynamische Scopes / Bereichs (10.0.0.100 - .199) zugewiesen (hier 10.0.0.200)
    Druckeranschlüsse:
    USB, LPT, TCP/IP, HP JetDirect, IPP (Internet Printing Protocol), LPD (Line Printer Daemon für Unix)
    Treiber beim Druckserver
    nicht nur für den 2012 R2 Server sondern für die Clients nötig (XP / Vista / Win7 / 32-Bit, Win7 - 32-Bit / 64-Bit) - ein anderes "Hinzufügen" von Treibern auf einem Druckserver-System!
    Spooling mit Spoolordner: C:\Windows\system32\spool/PRINTERS  
    Ordner besser auf Datenlaufwerk oder Speziallaufwerk - hier: E:\__spool ) untergebracht
    Begriffe: Queuing, Druckpriorität (von 1 - gering bis 99 maximale Dringlichkeit), Druckerpool, Treiber
    Praxis: Installation "Druckserver" auf DC00 und veröffentlichen im "Verzeichnis"; auf Clients mit freigegebenem Drucker verbinden bzw. "Drucker hinzufügen" (Domänen-Benutzer sind berechtigt); Hinweis auf Gruppenrichtlinie in Benutzerkonfiguration für das automatisierte "Verbinden" mit den Druckservern im AD
    Tool Druckverwaltung gezeigt (muss als Rolle nachinstalliert werden)
  • Hyper-V (hier: Version 3)
    ein Typ-1 Hypervisor - eine Hyper-V-Maschine behandelt sich quasi auch als VM - siehe Wikipedia-Artikel
    Verfügbarkeit: Windows Server 2012 R2 (Versionen Standard und Datacenter),
    Hyper-V 2012 R2 (kostenlos - siehe Evaluationsprogramm Microsoft),
    Windows 8.x / 10 Pro und Enterprise (bzw. 10 Education) mit leicht eingeschränkten Hyper-V Techniken
    Nutzung der VMs mittels Verwaltungstools Hyper-V gezeigt:
    beim Server einfach wieder das entsprechende Feature nachinstallieren - bei Windows 8 / 10 bitte über "Programme und Funktionen" die Verwaltungstools bereitstellen
    In Kombination mit den neuen Remotedesktopdiensten lassen sich dann komplette Virtuelle Maschinen oder auch "einzelne Desktop" bereitstellen (die alte Idee der "Thin Clients")
    Installation einer VM "Server 2012 R2" gezeigt, Nutzung mit Hyper-V Verwaltungstools
    Übungen für TN mit Hyper-V Installationen
  • PowerShell Sessions - die moderne MS Terminalsitzung / Shellsession
    Anm.: hier der komplette technische Hintergrund und manuelle Vorgehensweisen
    in unserem BU/Serverworkshop haben wir einfach die PowerShell Konsole über unsere Server-Manager aufgerufen!

    Technikhintergrund: WinRM (Windows Remote Management); Anforderungen für WinRM Services: Microsoft .NET Framework 2.0 oder höher; Windows PowerShell 2.0 oder höher; Windows Remote Management (WinRM) 2.0
    Rechner für PowerShell Sessions (PSRemoting) vorbereiten:
    View source
    1. # WinRM-Systemdienst starten (inkl. Firewall - Netzwerkverbindungstyp beachten - kein Öffentliches Profil!)
    2. Enable-PSRemoting
    3. # Unterdrücken der Nachfragen mit
    4. Enable-PSRemoting -force
    5. # Testen der Fähigkeit:
    6. New-PSSession

    in Firmen/Domänen kann man die folgende Gruppenrichtlinie nutzen:
    Computer Configuration\Administrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM service
    Beispielhafte Nutzung:
    View source
    1. # Interaktiv Sitzung:
    2. Enter-PSSession –Computername domvbox-2012r2
    3. # komplette Anmeldung inkl. -credential
    4. Enter-PSSession domvbox-2012r2 -Authentication Negotiate -credential dom2012r2\Administrator
    5. # Beenden:
    6. Exit-PSSession
    7. # aktuelle Konsolenmaschine
    8. [System.Environment]::MachineName
    Alternative Aufrufe und weitere technische Möglichkeiten mittels Commandlet Invoke-Command
    Anregung: Recherche nach Cmdlets mit *PSSession*
  • PowerShell WebAccess (PSWA)
    Installation auf Server von Rolle "Web Server (IIS)" und Feature "Windows PowerShell/Windows PowerShell Web Access"; alternativ mit PowerShell:
    Install-WindowsFeature -name web-server, windowspowershellwebaccess 

    Einstellungen / Konfigurationen für PowerShell WebAccess:
    View source
    1. # Installieren/Bereitstellen von Test-Zertifikat
    2. Install-PswaWebApplication -UseTestCertificate
    3. # Anm.: jetzt Server erreichbar unter https://localhost/pswa
    4. # Regel (hier sehr "frei") für die Erreichbarkeit von PSWA erstellen:
    5. Add-PswaAuthorizationRule –UserName * -ComputerName * -ConfigurationName *

    Beim Aufruf der Webseite https://dc00/pswa muss man natürlich das Zertifikat anerkennen (lassen) - ist bei unterschiedlichen Browsern immer etwas anders gelöst.
  • WICHTIG (Anm.: erledigt - Danke an die TN für die Unterstützung) :
    Netz zurückkabeln/zurückbauen / HDDs wechseln / Raum-Installationen und Netzwerk testen (alle Rechner)
  • TN-Unterlagen, Bereitstellung von Screenshot-Reihen zum Windows Server und diesem Seminar für TN, TN-Bescheinigungen, Feedback, letzte Fragen

 

  • PowerShell WebAccessPowerShell WebAccess
  • Erweiterte FeaturesErweiterte Features
  • AD VerwaltungscenterAD Verwaltungscenter
  • DHCP ReservierungDHCP Reservierung
  • Hyper-VHyper-V
  • Drucker im VerzeichnisDrucker im Verzeichnis

 

 

 

Nachtrag/ TN-Wunsch: ... "Tafelbilder / PDFs" (Schauen wir mal) ...

 

Vielen Dank für Ihr überaus positives persönliches Feedback und die Evaluationsbögen. Ich freue mich auf unsere nächsten Seminare.
Ihr Trainer Joe Brandes

 

  Privates

... zu Joe Brandes

Sie finden auf dieser Seite - als auch auf meiner privaten Visitenkarte joe-brandes.de einige Hintergrundinformationen zu mir und meinem Background.
Natürlich stellt die IT einen Schwerpunkt in meinem Leben dar - aber eben nicht nur ...

joe brandes 600px

Private Visitenkarte / Technik: HTML & CSS /
  joe-brandes.de

  Jobs

... IT-Trainer & Dozent

Ich erarbeite und konzipiere seit über 20 Jahren IT-Seminare und -Konzepte. Hierfür stehen der "PC-Systembetreuer / FITSN" und der "CMS Online Designer / CMSOD". Ich stehe Ihnen gerne als Ansprechpartner für Ihre Fragen rund um diese und andere IT-Themen zur Verfügung!

becss 600px

BECSS Visitenkarte / Technik: HTML & CSS /
  becss.de

  Hobby

... Snooker & more

Wer einmal zum Snookerqueue gegriffen hat, der wird es wohl nicht wieder weglegen. Und ich spiele auch immer wieder gerne eine Partie Billard mit den Kumpels und Vereinskameraden. Der Verein freut sich über jeden, der einmal in unserem schicken Vereinsheim vorbeischauen möchte.

bsb 2011 600px

Billard Sport BS / Joomla 3.x /
  billard-bs.de

PC Systembetreuer ist J. Brandes - IT seit über 35 Jahren - Technik: Joomla 3.4+, Bootstrap 3.3.4 und "Knowledge"

© 2018 - Websitedesign und Layout seit 07/2015 - Impressum - Datenschutzerklärung
Nach oben