Turnusmäßig findet ab dem 28. November 2016 an der VHS Braunschweig ein "Windows Server"-Seminar aus der PC-Systembetreuer-Reihe (Zertifikat: "Fachkraft IT-Systeme und Netzwerke - FITSN") statt.

windows server plan 2016 11 740px
Schaltplan / Topologie Windows Server Seminar

In einem praxisorientiertem Seminar wollen wir die Verwaltung einer "Firmen-Domäne" mit de Windows Server 2016 Server-Betriebssystem aus dem Hause Microsoft kennen lernen.

Hier die Rahmendaten unseres Seminars:

Ort: VHS Braunschweig, Heydenstraße 2,
Raum 2.03 → 2.11 (Raumwechsel wegen NIC-Technik Problemen mit Server 2016: NIC Intel E217-V)
Zeiten: Mo, 28.11. - Fr, 02.12.2016; jeweils 08.30 - 16.00 Uhr
Freiwillige Prüfung: wird im Seminar mit den Interssierten TN abgesprochen!
Termin: Di., 06.12.2016, 16.30 Uhr, Raum 2.03 (3 TN)
Status Erstkorrektur: erledigt - 07.12.2016 - alle TN haben diese Prüfung bestanden - ich gratuliere und freue mich auf unsere nächsten Seminare!

Ich werde unser Seminar an dieser Stelle wie immer durch ein ausführliches tägliches Protokoll begleiten ...
Ihr Trainer Joe Brandes

Tag 01 - Montag

Montag, 28.11.2016, 08.30 - 16.00 Uhr

  • Orientierungsphase, Pausenzeiten, freiwillige Prüfung
    TN-Themen: Bitlocker (Praxis, Tipp zeigen: ohne TPM!), IIS (SSL), "2-Faktor-Authentifizierung" (Windows 10 Live-Account / Smartphone als Remote-Smartcard / Network Policy Server NPS mit 2FA / spezielle HW/SW-Lösungen z.B. authlite.com !?)
    Hinweis Cobra Shop (Link), Unterichtsmaterialien (Screenshots zur BU-Woche - "Daumenkino"),
    Anmerkung zu Herdt-Skript "W2012R2N - Netzwerkadministration"; zu Server 2016 aktuell noch kein Herdt-Skript): DNS dort sehr tief und übungsintensiv - bitte auf unseren "Roten Faden" konzentrieren (s.a. Prüfungsvorbereitung inkl. Musterprüfung am Freitag/Tag 05)
  • Server-Editionen: (nur als 64-Bit verfügbare 2008 R2 / 2012 R2 / 2016)
    Client/Server-Betriebssystem-Familie: NT - New Technology
    NT 3.51 / 4.0 Workstation und Server; Windows 2000 Professional und Server (5.0); Windows XP / Server 2003 (5.1)
    Windows Vista / Server 2008 (6.0) und Windows 7 Professional  / Windows Server 2008 R2 (6.1)
    Editionen 2008 R2: Web, Standard, Enterprise, Datacenter, HPC (High Perfomance)
    Unterschiede: RAM, CPU / Kerne, Ausstattungen, CALs, Preis, Hot PnP Technik, Virtualisierungen
    ab Editionen 2012 R2 / 2016: Standard, Datacenter (Unterschiede bei den Virtuellen Instanzen)
  • Editionen / Lizenzen Server 2016 – alles ab Server 2012 R2 und mit Ausrichtung auf die Azure Cloud („Microsoft Wolke“)
    nur noch Standard und Datacenter Editions mit gleichem Funktionsumfang (Gesamtübersicht "Thomas Krenn" - Preissrecherche Thomas Krenn)
    Standard Edition: nur 2 Virtuelle Server pro Lizenz; 2 CPU-Sockel, ca. 650 - 700 € (ohne CALs)
    Datacenter Edition: beliebig Virtuelle Server; 2 CPU-Sockel, ab ca. 4400 € (Systeme möglichst mit HW bündeln)
    Essentials: 25 Benutzer und 50 Geräte, keine CALs nötig, ca. 350 € (Einzellizenz physikalisch oder virtuell); ab ca. 340 €; Hardwarebeschränkungen: 2 CPUs, max. 64 GB RAM
    Spezielle Editionen: Storage Server: an Hardware gebunden - also nur über OEM-Kanäle; MultiPoint Premium Server: Academic Volume Licensing
  • Lizenzen für Domain-Betrieb:
    Betriebssystem-Lizenzen "Server" und "Client" plus CALs (Client Access Licenses);  CALs: ab ca. 20-25 € möglich
    "kostenlose" Evaluation-Versionen (180 Tage) zum Testen in eigener Infrastruktur oder VMs
    kostenloser uneingeschränkter (> 180 Tage) Hyper-V Server 2016 (natürlich als Core)
    Anmerkung: für Downloads ein "Microsoft Live Account" nötig
    CAL - Client Access Licenses; Lizenzen modellieren nach Gerät (Device) oder Benutzern (User),
    kein Einsatz eines Lizensierungsservices mehr nötig - anders als bei den Terminal Services TS/RD und den TS/RD-CALs
  • Entwurf der Netzwerkumgebung
    Planung der Topologie ("Schaltplan") für Übungsfirma
    Anbindung über eigenen BU-ROUTER mit Diensten: DHCP (Dynamic Host Configuration Protocol) und NAT-Routing
    Hinweis: Server immer mit statischen Konfigurationen verwenden
  • Entwurf der Domainen (Übungsfirma)
    1 Hauptdomäne (seminar.local) mit 2 Sub-Domänen (abt01 bis abt02.seminar.local);
    jede Domäne stellt eine eigene Verwaltungsstruktur mit eigenem Active Directory dar
    Grund für Subdomains: wir wollen nur ein DNS haben für die Übungsfirma
  • Dokumentation für Domänenmodell und Netzwerk erstellt/gezeigt - Tafelbild
    Vergabe der Hostnames:
    siehe auch Befehle in Eingabeaufforderung hostname - oder natürlich Win + Pause ;-)
    PCXX (für die Windows Clients - hier: Windows 10 Pro),
    SRVXX (für die Windows Server 2016 "Clients" / Mitgliedsserver),
    DCYY (Domaincontroller)
    Adressen:
    statisch für die Router und DCs
    dynamisch - also per DHCP für alle Clients
    Domain-Hierarchien: (von Rechts-nach-Links; Technisch: FQDN - Fully Qualified Domain Name)
    Root-Level - TLD (Top Level Domain) - Domains - Subdomains - Hostname
    Beispiel: (in Standardschreibweise Links-nach-Rechts)
    servername.subdom.domain.tld.  (ganz genau also mit Punkt am Ende für Root-Level!)
  • Installation der Server- und Client-Betriebssysteme
    Begriffe: Image-basierte Installationen - Toolsammlung Microsoft für Imageerstellungen/Anpassungen:
    Klassisch: WAIK - Windows Automated Installation Kit (Toolbox: z.B. ImageX, ... - Microsoft Link)
    Nachfolger: Windows ADK (Microsoft Link - Download ADK Windows 8.1 und Co); 
    Partitionen, System-Reservierte Partition (MSR), Tool: diskpart für cmd)
    Tipp: Zugriff auf cmd während der Installation mit Tastenkombination Umschalten + F10
    Anm.: später werden alle TN Zugriff auf die Domaincontroller (DC) haben - egal, ob Sie an den Clients oder Mitgliedsservern arbeiten, oder natürlich direkt an den DCs
    Grundanforderungen an "Server" (siehe auch Anm. bei Installationen von Rollen/Features):
    statische IP-Konfiguration, sichere Passwörter, Updates/Aktualisierungen
    Anm.: in Firma Betrieb eines WSUS Servers (Windows Server Update Service) - Nachfolger vom SUS (Software Update Service)
  • Einrichten und Konfigurieren Netzwerk
    ohne DHCP: Hinweis auf APIPA - Automatic Private IP Adressing (siehe 169.254.x.y / 16)
    Alternativen genannt bei anderen OS: MacOS (Bonjour / Zeroconf), Linux (oft: Avahi); allgemein mDNS (Wikipedia Link)
    Tool: ipconfig /all
  • Server-Manager
    Installation der gewünschten Server-Software für (Anm.: Bottom-to-Top-Prinzip - erst einmal schlankes System...)
    Rollen (die großen Dienste / Services), oder
    Features (Erweiterungen wie Gruppenrichtlinienverwaltung, Dot.Net Framework, ...)
    Hinweis: Systembegrüßung nach Serverinstallation immer auch nachträglich mittels oobe aufrufbar (Out-Of-Box-Experience)
  • Installation DHCP-Service (Rolle) auf BU-ROUTER (LAN-IP: 10.0.0.254 / 8)
    Konfiguration eines Bereichs (Scope): 10.0.0.100 - .150; Subnetmask: 255.0.0.0;
    DNS-Server 10.0.0.10 (wenn wir lokalen DNS haben), 192.168.0.254 für den Zugriff WAN - Anm.: ohne Routing per LAN noch gar nicht verfügbar!
    Standard-Gateway (Router): 10.0.0.254; DNS Suffix: seminar.local
    Tests auf Client-PC (PC17 erhält z.B. 10.0.0.100 / 8) mit obigen Konfigurationen
    bzw. auf Servern dann später statische IPs (10.0.0.10 / .20 / .30 ) und auch die Konfigurationen zu Standard-GW (Router), DNS und DNS-Suffix manuell konfigurieren!
  • NAT-Routing über Maschine/Server BU-ROUTER 
    LAN-NIC 10.0.0.254 ↔ "NAT-Routing" ↔ 192.168.0.99 WAN-NIC
    ↔ 192.168.0.254 (DSL-Router VHS BS)
    NAT-Routing Installation über Rolle "Remotezugriff" (Anm.: Gesamte Remote-Technik für DirectAccess / VPN kommt gleich mit);
    jetzt Weiterleitung (und Rückleitung) von Paketen zwischen NICs LAN ↔ WAN;
    Server BU-ROUTER vom Dozi verhält sich jetzt wie Ihr "DSL-Router" zu Hause;
    zur Konfiguration über Remotezugriffs-Verwaltungskonsole - dann Rechts-Oben RRAS Verwaltung öffnen (Routing und RAS)
    Wichtig: alle Maschinen (Dynamisch oder statisch) müssen natürlich das Standard-Gateway (Router) richtig eingetragen haben (hier: 10.0.0.254 - LAN-Adapter der Maschine BU-ROUTER)
    DNS: damit die LAN-Maschinen auch an das DNS für das Öffentliche Netz (WAN - Internet) kommen, wurde im DNS-Server DC00 (10.0.0.10) eine Weiterleitung auf den DNS des VHS BS DSL-Routers eingetragen (192.168.0.254); Anm.: das geschieht automatisch, wenn die Maschine DC00 richtig vorbereitet wurde (s.u.)!
  • Fachbegriffe für Domain-Einrichtungen:
    Gesamtstruktur (Forest), Domänenstruktur / Domänenstamm (Tree) und Domäne (Domain)
    Symbol für Domäne: Dreieck; wichtig: ohne DNS gibt es kein Active Directory (AD)
  • Domains vs. P2P (Peer-to-Peer; engl.: Peer: Gleichgestellter)
    Zentrale Verwaltung in Domäne vs. lokale Verwaltungen in einer Arbeitsgruppe
    anfangs/aktuell alles lokal verwaltet, was auch ein Blick in die Computerverwaltung (compmgmt.msc) der Server-Installationen zeigt: Lokale Benutzer- und Gruppenverwaltung
  • Übungsfirma seminar.local  
    neue Gesamtstruktur (Forest) und neue erste Stammdomäne für Domänenstruktur (Tree)
    Installation der Rolle AD-Domänendienste; danach "dcpromo" (ab 2012 R2 nicht mehr wirklich eigenes Programm) durchgeführt,
    wir erhalten neue Gesamtstruktur mit neuer Domäne
    Tipp: vorher bei DCs über Systemeigenschaften mittels Win + Pause - Erweiterte Systemeinstellungen - Register Computername - Ändern - Weiter.. - Primäres DNS-Suffix des Computers: seminar.local festlegen
    Stichworte: DNS (Verfügbarkeit, Delegierung, Installation, Zonen, AD-integriert);
    Anm. zu AD-integriert: bei einem zweiten DC für Domäne (z.B BDC00) wird dann über Replikation die DNS-Zone gleich mit repliziert; allerdings ohne DNS-Server Rolle auf dem BDC00!
    Hinweis zum Herdt-Skript des BU: dort viele Vertiefungen und Übungen zu DNS, die wir so hier nicht nachvollziehen werden,
    Funktionsebenen (Function Level FL - auf Ebenen Forest und dann Tree), Globaler Katalog, RODC (Read Only Domain Controller)
  • DNS checken: nslookup
    eigene Shell/Eingabeaufforderung; verlassen mit exit
    Test für Domainauflösungs-Funktion: einfach Name der Domain (hier: seminar.local) eingeben
    Danach kann man technisch sauber (z.B.)
    a) einen Client PC17 in der Domäne seminar.local aufnehmen, oder
    b) eine Sub-Domäne abt01.seminar.local für die Stammdomäne seminar.local erstellen!

 

  • Client in DomäneClient in Domäne
  • nslookup Testnslookup Test
  • "dcpromo"
  • DHCP ScopeDHCP Scope
  • Server-ManagerServer-Manager
  • NAT-RoutingNAT-Routing

 

Tag 02 - Dienstag

Dienstag, 29.11.2016, 08.30 - 16.00 Uhr

  • Rekapitulationen (Tag 01 - ausführlich), TN-Fragen
    Termin/Koordination für freiwillige Prüfung
    Tag 02: Netzinfrastruktur konsolidieren (DDNS), Domänen / Subdomänen abt01, abt02 / Clients/Mitgliedsserver, Übungen Benutzer
    Wiederaufnahme "Roter Faden"...
  • DHCP Server autorisieren (BU-ROUTER - LAN 10.0.0.254 ↔ 192.168.0.99 WAN)
    den BU-ROUTER in Domäne aufnehmen, um von DDNS (Dynamic DNS → "Zusammenarbeit" von DHCP mit DNS) zu profitieren;
    in der Domäne muss sich ein solcher DHCP-Server erst einmal als "offiziell ausweisen": DHCP autorisieren!
    Anm.: autorisierendes AD-Konto muss mindestens zu den Organisations-Admins zugehören
  • Domain Controller für Trainingsdomänen der TN
    DC01 für Subdomäne
    abt01.seminar.local  und
    DC02 für Subdomäne abt02.seminar.local   
    die Maschinen DC01 (10.0.0.11 / 8) und DC02 (10.0.0.12 / 8) zu Domänencontrollern für Subdomains abt01 und abt02.seminar.local promoten;
    die DCs erhielten statische IPs 10.0.0.11 / 8 und 10.0.0.12 / 8 mit lokalem DNS 10.0.0.10 (für AD / LAN und WAN als Weiterleitung auf DNS-Server) und Standard-Gateway 192.168.0.254 (für WAN)
    für die Subdomains wurden keine eigenständige DNS-Server installiert, sondern Sub-Zonen in bestehendem DNS auf DC00 erstellt
    Wichtig: alle Einstellungen natürlich wieder intensiv mit nslookup vor und nach den dcpromo's checken
  • Windows 10 Clients und Windows Server 2016  in Trainingsdomänen aufnehmen
    Gruppenübung mit Fertigstellung aller Domänenmitgliedschaften für alle installierten Systeme; auch hier wieder Einsatz von nslookup;
    bei Servern Fachbegriff: Mitgliedsserver
  • Remote-Techniken (Übersicht) für Windows Clients / Mitgliedsserver
    1) RDP / Remote Desktop - nur für 2 gleichzeitig Zugriffe (ohne komplette RD-Server Rolle: Remotedesktopdienste)
    2) Remoteserver Verwaltungstools (Remote Server Administration Tools - RSAT)
    inklusive Server-Manager und allen Verwaltungstools (z.B. dsa.msc - Active Directory Benutzer und Computer) auf Windows 10 Client
    2a) Server 2016: über Server-Manager Verbindung zum entsprechenden DC (z.B. DC01) herstellen und ggf. die nötigen Features nachinstallieren
    2b) Windows 10: RSAT downloaden (aktueller "heutiger" Link) und installieren des "Windows Updates - *.msu"
    3)  PowerShell: Remote Sessiones und WebAccess
    4) Fremdsoftware wie Teamviewer & Co
    5) MMC (mit Windows Management Interface - WMI): "Auslaufmodell"
  • Active Directory - Benutzer und Gruppen erkunden
    Standard-Container: Builtin, Computers, Domain Controllers, Users
    Hinweis: für alle neuen Objekte (Benutzer, Gruppen) werden OUs erstellt;
    Koordination von Prefix (jb-test) /Suffix (test-jb) Systemen innerhalb der Domains, damit die TN ihre Übungen auseinanderhalten können
    Übungen: Standardbenutzer in Domänen anlegen und auf "Clients" nutzen
    Verwaltung der Domänencontroller (DCs) mittels Server-Manager
  • Darstellung von A-G-DL-P Regel:
    Accounts (Benutzerkonto) - Mitglied von
    Global Group (Globale Gruppen) - Mitglied von
    Domain Local (Lokal in Domäne) - führt zu
    Permissions (Berechtigungen)
    Analyse der Benutzerrechte auf den Clients für Domänen-Benutzer und Domänen-Admins
    Tipp: immer werden Accounts (Konten) Mitglieder in Globalen Gruppen - bitte nie die Mitgliedschaften direkt in den Domain Lokalen Gruppen oder auch später bitte keine einzelnen Benutzerkonten bei Berechtigungen für Freigabe/NTFS eintragen, sondern immer Gruppen definieren und zuweisen
    Beispiele für verfügbare/bzw. nicht verfügabare Berechtigungen zwischen "Benutzern" und "Admins" auf den Clients:
    a) Fähigkeit Freigaben für Ordner/Drucker einrichten können
    b) Netzwerk konfigurieren
    c) Datei in Hauptverzeichnis C:\ erstellen
  • Reverse Lookup Zone
    Installation einer Reverse-Lookup-Zone 10.in-addr.arpa (also für alle IPs in Subnetz 10.0.0.0  /8)
    Die Reverse Lookup Zone ist nicht zwingend für die Funktionalität AD DS nötig, aber sehr sinnvoll für alle weiteren Nutzungen und Strukturen im Firmennetz (Beispiele: Mailserver / Exchange)!
    Anm.: mehr Erläuterungen zu nslookup, DNS und Co im Seminar "Netzwerk- und Internettechnik"

 

  • RSAT für Windows 10RSAT für Windows 10
  • AD-Konto EigenschaftenAD-Konto Eigenschaften
  • DNS - Reverse Lookup ZoneDNS - Reverse Lookup Zone
  • DHCP AutorisierenDHCP Autorisieren
  • DNS Server WeiterleitungDNS Server Weiterleitung
  • Server-Manager StandarduserServer-Manager Standarduser

 

Tag 03 - Mittwoch

Mittwoch, 30.11.2016, 08.30 - 16.00 Uhr

  • Rekapitulationen, TN-Fragen, Erinnerung Prüfungstermin (aktuell 3 Interessierte)
    Tag 03: Übungen zu AGDLP (Netzwerker als Globale Gruppe erstellen und auf Client in lokaler Gruppe Netzwerkkonfigurations-Operatoren verdrahten), Gruppen, Benutzerprofile, Freigaben
  • Szenario Benutzerkonten (Nachfrage TN)
    lokal (auf PC) und zentral (in Domäne) hinterfragt und erläutert
    Anmeldungen sind technisch: Authentifizierungen
    Umsetzungen klassisch mit Benutzername + Passwort; Alternativen: Smartcards, Biometrie, 2-Faktor-/Multi-Faktor-Authentifizierungen
    Fragestellung: gegen welches Account-Management (SAM - Security Account Management; quasi "Kontendatenbank") werden Authentifizierungen geprüft/gestellt?
    Lokale Anmeldungen:  PC17\joeabadmin  mit lokalem SAM auf Maschine PC17
    Anmeldungen an Domäne:  seminar\joestandard  mit SAM auf DC (z.B. DC00 als Domänencontroller für seminar.local)
    Erinnerung: Benutzerprofile sind generell immer erst einmal lokal - also:
    C:\Users\joebadmin oder C:\Users\joestandard  
  • Gruppen
    Gruppentypen: Sicherheit (siehe dann Sicherheitsgruppe - die "Standard"-Globale Gruppe), Verteilung (etwas für Maillisten und Co)
    Gruppenbereiche: Lokal (in Domäne), Global, Universal (kann auch Benutzer und Gruppen aus anderen Domänenstämmen und Gesamtstrukturen aufnehmen)
  • Übungsszenario: Außendienstmitarbeiter mit Notebook
    ausführliche Übungen für TN
    Benutzer "joestandard" soll bei Notebook PC17 das Netzwerk konfigurieren dürfen
    a) Benutzer joestandard in OU anlegen oder bereits vorhanden (wie immer in einer OU nach Wahl)
    b) Neue Globale Gruppe "Netzhiwis" erstellen
    c) Benutzer joestandard Mitglied machen von Globaler Gruppe "Netzhiwis"
    d) in der Lokalen Benutzer- und Gruppenverwaltung von PC17 bei Lokaler Gruppe Netzwerkkonfigurations-Operatoren die Gruppe "seminar\Netzhiwis" zum Mitglied machen - dadurch ergeben sich folgende Mitgliedschaft:
    Useraccount joestandard Mitglied von Globaler Gruppe Netzhiwis
    → Netzhiwis Mitglied der Lokalen Benutzergruppe Netzwerkkonfigurations-Operatoren von PC17 
    Wichtig also: die Mitgliedschaft einer Globalen Gruppe (hier Netzhiwis) zur PC17 Lokalen Gruppe Netzwerkkonfigurations-Operatoren
    Anm.: das ist dann bei Terminal Server / Remotedesktopdiensten später dasselbe Vorgehen:
    man muss dann wieder die User für die Remotedesktop-Nutzungen in die Lokale Gruppe Remotedesktopbenutzer des Terminal Servers "packen"
    Anm.: das kann man später auch zentral organisieren/automatisieren (per Gruppenrichlinien), falls man das mal bei sehr vielen PCs/Laptops machen müsste!
  • Benutzerprofile
    Typen:
    nach Ort: lokal (local), servergespeichert  (serverbased) 
    nach Eigenschaft: veränderlich, verbindlich (mandatory)
    Wichtig: jeder Benutzer arbeitet immer mit einem "veränderlichem Lokalen Benutzerprofil"
    Klassische Alternative: servergespeichertes Benutzerprofil (serverbased profile) - siehe Profil-Kontenblatt des Benutzers
    Datei: ntuser.dat  - benutzerspezifischer Registrierdatenbankteil
    Ein Profil als unveränderlich (mandatory) konfigurieren: ntuser.dat umbenennen in ntuser.man   (mandatory profile)
    Problem der servergespeicherten Benutzerprofile:
    Profile wurden über die Zeit und die Client-OS immer größer und konnten teils nur schlecht und/oder fehlerhaft "synchronisiert" werden
    Lösung: nur die variablen und interessanten Teile des Benutzerprofils auf einen Server umleiten (Roaming Profiles) - diese Ordnerstrukturen dann als Offline Ordner auf den Clients pflegen und clever mit den Serverfreigaben synchronisieren
    Analyse der Verzeichnisstrukturen unsere Windows Installationen und der Benutzerprofile:
    C:\Users - Anm.: Ordner Benutzer im Windows Explorer "nur eingedeutscht"
    Technik für Aufruf / Anzeige / Analyse: Eingabeaufforderung (cmd) mit Befehl  dir /a   (alles im Verzeichnis anzeigen lassen)
    So erkennt man: "Dokumente und Einstellungen" ist eine Junction (Abzweigung) zu C:\Users 
    Anm.: das erklärt "Fehlermeldung" bei Doppelklick, da ein Doppelklick nur auf Dateien, Ordner oder einfache Links/Verknüpfungen "funktioniert"
    im Benutzerprofil  C:\Users\%username%  (Anm.: Variable für Benutzername!) Hinweis auf Ordnerstrukturen und Junctions
    Besonderes Interesse: C:\Users\%username%\AppData  mit Unterordnern Local, LocalLow und Roaming
    Ordner .\AppData\Roaming  wird uns bei unseren Übungen zu den "Roaming Profiles" morgen wieder begegnen (→ Ordnerumleitung AppData (Roaming) )
  • Datenträgermanagement (für Datenlaufwerk - Technikbegriffe - Infos Partitionen)
    Snap-In Console: diskmgmt.msc ; Partitionierung/Formatierung mit NTFS  von Daten-Laufwerk E:
    Kurz-Rekapitulation zu Booten mit bootmgr und /boot/bcd (Boot Code Configuration),
    Fachbegriffe: MBR, Basisdatenträger vs. Dynamische Datenträger (z.B. für Software RAID mit Windows Server), GPT (GUID Partition Table) Volumes; Hinweise auf UEFI (Schneller, sicherer, Booten ab 2,2 TB, 64-Bit)
    Technet-Artikel (MS) "Grundlegendes zu Datenträgerpartionen"
    Windows (Server) kennt Basis (Datenträger) als auch Dynamische Datenträger;
    Zweck: flexiblere Größenänderungen und natürlich Software-RAIDs
  • RAID- Redundant Array of Inexpensive/Independent Disks (Wikipedia Link)
    Versuch der Optimierung von Geschwindigkeit und Redundanz/Ausfallsicherheit, Software- vs. Hardware-RAID (Vor- / Nachteile),
    RAID-Level; Server-SW-RAID-Level:
    RAID 0 Striping (ohne Redundanz / Ausfallsicherheit)
    RAID 1 Mirroring/Spiegelung (Redundanz / Ausfallsicherheit - Empfehlung für Serverinstallationspartition!)
    RAID 5 Striping mit Parität (min. 3 Datenträger - 1 Platte darf ausfallen - 1/n wird für Parity-Infos benötigt)
    Anm.: RAID 5 wurde mit Virtueller Server 2012 R2 Installation gezeigt (3 virtuelle Festplatten)
  • Standardfreigaben
    NETLOGON: Freigabepfad zu C:\Windows\SYSVOL\sysvol\dombu.lokal\scripts
    Anm.: klassische Anmeldeskripte seit NT - meist mit Dateiendung *.cmd statt als *.bat Dateien
    SYSVOL: Freigabepfad zu C:\Windows\SYSVOL\sysvol (eine Freigabe über die dann auch die GPO mit Ordner policies erreichbar sind)
    C$, Admin$: Administrative Freigaben mit angehängtem $ (das $ am Ende versteckt die Freigabe im Netz)
    Übersicht mit net share  in der Befehlszeile;
    alternativ siehe Computerverwaltung - Freigegebene Ordner - Freigabe oder über den Server-Manager - Datei-/Speicherdienste - Freigaben
  • Freigaben
    Berechtigungen bitte immer ohne Freigabe-Assistent erstellen
    Windows Explorer konfigurieren: Organisieren - Ordner- und Suchoptionen - Register Ansicht - Freigabe-Assistent deaktivieren
    Freigaben kennen nur einfache Berechtigungen: Vollzugriff, Ändern, Lesen
    Erläuterung / Erklärung zu Security-Principal (Spezialgruppe) Jeder:
    Jeder / Lesen - hier ist wieder "Jeder Berechtigte" gefragt, also meine AD-Benutzerkonten plus die Domänenbenutzer, denen meine Domäne vertraut
    siehe: Active Directory-Domänen und -Vertrauensstellungen
    Syntax bei Freigabenamen: mit $ am Ende sind "versteckt";
    administrative Freigaben C$, E$; Erinnerung an net share
  • Vertrauensstellungen
    Management-Console: Active Directory-Domänen und -Vertrauensstellungen;
    Fachbegriffe: bidirektional, eingehende und ausgehende Vertrauensstellungen, transitive Vertrauensstellungen (automatisch bei Domänenstamm / Tree)
  • NTFS (Zugriffsschutz auf Benutzerebene - Register "Sicherheit")
    viel feinere Berechtigungen gegenüber Freigabe-Rechten;
    wiederholen; NTFS-Rechte vererben; Besitz übernehmen,
    Effektive / Effiziente Berechtigungen für Benutzer / Gruppen anzeigen lassen:
    Effektiver Zugriff in den erweiterten Sicherheit-Einstellungen
  • net (Befehle)
    net share - Freigaben auflisten oder auch erstellen
    Tipp - Freigabe mit Eingabeaufforderung/cmd erstellen: 
    net share roaming=E:\roaming /grant:"seminar\Domänen-Benutzer,FULL" /remark:"Freigabe für Roaming-Technik" 
    Anm.: die Anführungszeichen/Strings in cmd nicht unbedingt nötig - aber Tipp falls mal in PowerShell unterwegs!
    net view - eigene (oder auch andere) Domains/Arbeitsgruppen auflisten / Freigaben anderer Rechner anzeigen
    net use - Netzwerkresourcen mappen (Netzwerklaufwerke und -Drucker)
    net /? (listet Befehlsoptionen) und net use /? (listet die net use Optionen)

 

  • diskmgmt.mscdiskmgmt.msc
  • A-G-DL-PA-G-DL-P
  • BenutzerprofilBenutzerprofil
  • System - Lokale ProfileSystem - Lokale Profile
  • versteckte Freigabeversteckte Freigabe
  • FreigabenFreigaben

 

Tag 04 - Donnerstag

Donnerstag, 01.12.2016, 08.30 - 16.00 Uhr

  • Rekapitulationen, TN-Fragen
    Tag 04: Übungen mit NETLOGON (Anmeldeskript für Netzwerklaufwerk mit net use)
    Schwerpunkt in Policies / Richtlinien (Gruppenrichtlinien / Group Policies für Roaming Profiles, ...)
    AD Verwaltungscenter
  • Übung "klassische Anmeldeskripte"
    mit Freigaben auf DCs und mit Netzlaufwerk per NETLOGON-Skript lw-n-mappen.cmd 
    Einzeiler: net use N: \\dc00\projectX  
    Skript lw-n-mappen.cmd wird im Kontenblatt Profil eines AD-Users konfiguriert (Anm.: erfordert also manuellen Eingriff des Admin!)
    Berechtigungen für Freigabe und NTFS:
    Freigabe: Jeder / Vollzugriff
    NTFS-Sicherheit: gewünschte Globale Gruppe (z.B. Domänen-Benutzer) / Ändern
    Befehl für Mapping von Netzresourcen (Freigaben / Drucker):
    net use (mit Schaltern /?, /persistent, /delete)
    Anm.: die Übung ist gut für praktische Erfahrungen mit Skripten und Netzwerklaufwerken
    die modernen Varianten dann später per Gruppenrichtlinien und Start-/Stop Skripten als normale Skripte (*.cmd) oder PowerShell-Varianten (*.ps1)
    Anm. zum späteren Skripting per GPOs:
    die Pfade zu den Skriptordnern führen in die User-Unterordner des jeweiligen GPO!
    seit Windows 8.1 werden die Login-Skripte standardmäßig mit einer Verzögerung von 5 Minuten (!) durchgeführt, was selbstverständlich wieder durch eine Gruppenrichtlinie angepasst werden kann (Darstellung windowspro.de)
  • Einführung in Gruppenrichtlinien (Group Policies)
    Erstes Beispiel: secpol.msc (Lokale Sicherheitsrichtlinie) aufrufen
    Verwaltung - Lokale Sicherheitsrichlinie - Kennwortrichtlinien -> alles GRAU/unbearbeitbar - ist eben alles Lokal!
    Einstallungen ändern mittels Gruppenrichtlinienverwaltungs-Konsole:
    gpmc.msc -  Group Policy Management Console - Bearbeiten mittels Rechte Maus (gpedit.msc - GP Editor):
    Default Domain Policy - Computerkonfiguration - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Kontorichtlinien - Kennwortrichtlinien
    Übung: Ändern der "Default Domain Policy" - Anpassen der Kennwortrichtilinien
    wichtige cmd-Tools für die GPOs:
    gpupdate /force  (Erzwingen der Richtlinienaktualiserung für Computer und Benutzer)
    dcgpofix  (Wiederherstellen von Default Domain und/oder Default Domain Controllers Policy)
  • Gruppenrichtlinienobjekt (Group Policy Objects - GPO)
    sind in Management Konsole unter Gruppenrichtlinienobjekte zentral organisiert (Gruppenrichtlinienverwaltung - gpmc.msc ) und dann als Verknüpfungen den jeweiligen Objekten zugewiesen
    in der Gruppenrichtlinienverwaltung stehen darüber hinaus Analyse- und Modellierungswerkzeuge für spätere intensive Beschäftigungen mit Gruppenrichtlinien bereit
    in der Konsole gibt es das Tool rsop.msc (Resultant Set of Policies - Richtlinienergebnissatz) für die Zusammenfassung der Richtlinien
    GPO werden mit GP-Editor bearbeitet ( gpedit.msc );
    Group Policy Objekte (GPOs) bestehen aus zwei Teilen:
    Computerkonfiguration (machine - wird beim Starten der Maschine gelesen) und
    Benutzerkonfiguration (user - wird beim Anmelden des Benutzers gelesen)
    Zielobjekte für GPOs: Gesamtstruktur, Domäne, DCs, Standorte, OUs / UnterOUs
    GPO-Optionen: nicht konfiguriert, aktiviert, nicht aktiviert - Optionen geben dann mit Vererbung über die Hierarchien Sinn (z.B. verschachtelte OUs)
    Die Richtlinien und Skripte auf einem System werden in einer klar definierten Reihenfolge abgearbeitet (siehe Herdt-Skript)
    auf HD des DC: C:\Windows\SYSVOL\sysvol\seminar.local\policies 
    bzw.: C:\Windows\SYSVOL\domain\policies   mit ...\domain\ als Verknüpfung  /Link / Junction
  • Erste Übung mit Gruppenrichtlinien: Anzeigeoptionen für Benutzer einer OU deaktivieren
    Benutzerkonfiguration - Richtlinien - Administrative Vorlagen - Systemsteuerung - Anzeige - Einstellung: Systemsteuerungsoption "Anzeige" deaktivieren
    Anm.: kann man ohne Neuanmeldung mittels gpupdate /force  auf Client "erzwingen"
  • Große Übung zu Gruppenrichtlinien: Roaming Ordner (am Beispiel Desktop oder Documents)
    Plan / GP-Entwurf:
    Gruppenrichtlinie für Ordnerumleitungen (hier: Eigene Dokumente - C:\Users\%username%\Documents ) auf einen Ordner auf "Server"
    Deutsches Webportal zum Thema Gruppenrichtlinien (mit Tipps, Tricks, Übersichten)
    auf Server:
    Active Directory: (hier wollen wir sauber mit eigens konstruierter Globaler Sicherheitsgruppe arbeiten)
    neue OU  roamers mit neuem Benutzer  joeroamer und Gruppenzugehörigkeit zu neuer Globaler Gruppe roamers erstellen
    Anm./Erinnerung: bei den folgenden Berechtigungen immer die Globale Gruppe für Berechtigungen nutzen!
    Datenträger/Explorer auf "Server" (hier: DC00 ):
    Daten-LW-Freigabe: E:\roaming-ordner   erstellen und freigeben mit Freigabename roaming-ordner  und folgenden
    Standardberechtigungen: (Microsoft-Vorschlag / "Best Practises")
    Freigabe-Berechtigung: seminar\roamers mit Vollzugriff (oder aber "anonyme" Globale Gruppe Jeder)
    NTFS-Berechtigung: seminar\roamers mit Berechtigung Ändern
    Gruppenrichtlinienverwaltung:
    Neues GPO roaming-documents erstellen und bearbeiten:
    GP-Editor: Benutzerkonfiguration - Richtilinien - Windows Einstellungen - Ordnerumleitungen - Dokumente - Rechte Maustaste - Konfigurationen vornehmen; siehe auch Extra-Register für "Exklusive Zugriffe" und "Verschieben/Behalten" von Dateien
    GP-Objekt roaming-documents  mit OU roamers verknüpfen (bitte nicht vergessen!)
    Gruppenrichtlinien aktualisieren oder einfach einen Moment warten!
    auf Client:
    neuen User seminar\joeroamer anmelden - hier jetzt im Benutzer-Profil kein Ordner Documents mehr (checken mit cmd - dir)!
    in Eigenschaften von "Dokumente" sieht man den UNC-Pfad: 
    \\DC00\roaming-ordner\joeroamer\Documents   (Anm.: in Pfadzeile des Explorers nicht mehr erkennbar!)
    Speichern mittels Bibliotheken - Dokumente;
    technische Umsetzung auf Client: Offline-Ordner für "Eigene Dokumente" (siehe Systemsteuerung - Synchronisierungscenter - Offlinedateien)
    Anm.: in Windows 10 werden entsprechende Ordner mit Symbol für die Offline-Sync-Technik ausgestattet
  • Active Directory Verwaltungscenter
    Neues Tool zur AD-Verwaltung; blendet alle Objekte des Active Directory standardmäßig ein;
    inklusive Zugriff auf die entsprechenden PowerShell Skripte zur Durchführung in der neuen Befehlszeile

 

  • Freigaben via Server-ManagerFreigaben via Server-Manager
  • Anzeige anpassen deaktiviertAnzeige anpassen deaktiviert
  • Roaming ProfilordnerRoaming Profilordner
  • Sicherheit - NTFS BerechtigungenSicherheit - NTFS Berechtigungen
  • Offline-Ordner (Roaming)Offline-Ordner (Roaming)
  • Laufwerk mappenLaufwerk mappen

 

Tag 05 - Freitag

Freitag, 02.12.2016, 08.30 - 16.00 Uhr

  • Rekapitulationen, TN-Fragen, Prüfungsvorbereitung (Musterprüfung "Beta" Server 2016)
    Übung Forts./Wiederholung zu Roaming Profile Techniken, z.B. Documents oder AppData (Roaming)
  • Übung: Richtlinien komplettieren / wiederholen
    Wiederholung mit Roaming-GPO für "Desktop"
    Besondere Erwähnung:
    Skripte (Standardskripte *.cmd) und PowerShell-Skripte (*.ps1) für Computer- und Benutzerkonfiguration mittels GPOs als Logon und Logoff Skripte!
    Weitere Möglichkeiten für Computer- und Benutzerkonfigurationen:
    - die "Netzwerker" ließen sich per GP (Computerkonfiguration) lösen,
    - Softwareverteilungen mit msi-Paketen,
    - Desktophintergrund (Wallpaper) zentral bereitstellen und in Benutzerprofilen konfigurieren,  ...;
    Anm.: fast 15.000 Richtilinien verfügbar - da sollte sich mit etwas Google-Geschick etwas finden lassen - aber bitte gut planen / strukturieren / testen und bei Online-Recherchen auf Darstellungen zu den richtigen Client/Server-Systemen achten (Empfehlung: mind. die Nennung von Server 2012)
    Tipp für TN-Frage nach Bitlocker: mittels Richtlinie Bitlocker ohne TPM überhaupt erst einmal möglich machen (Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten - Bitlocker-Verschlüsselung - Betriebssystemlaufwerke - Einstellung: Zusätzliche Authentifizierung bei Start erforderlich!
    Ausführliche Übung: "Netzwerkkonfigurations-Operatoren"
    Anm.: hier alle relevanten Praxisthemen: Benutzer, Benutzergruppen, OUs, Gruppenrichtlinien, GPOs verknüpfen, Tools: gpmc.msc, gpedit.msc
    Benutzer mit Mitgliedschaften in Lokaler Benutzergruppe "Netzwerkkonfigurations-Operatoren" mittels Gruppenrichtline für Computerkonfiguration ausstatten
  • BPA (Best Practise Analyzer)
    erst Leistungsindikatoren starten (über Server-Manager)
    dann per PowerShell (mit Admin-Rechten): Get-BpaModel | Invoke-BpaModel 
    ggf. diverse "gelbe/rote" Warnungen/Fehler können ignoriert werden
    in der AD DS Serververwaltung findet man jetzt BPA Einträge:
    1) Alle OUs vor versehentlichem Löschen schützen (Warnung)
    2) Hinweis (Fehler) auf NTP / Zeitserver - Stichwort: PDC Betriebsmasterrolle
    3) gewünschter 2. Domaincontroller - Stichwort: Redundanz (→ sehr wichtig!)
    Anm.: die Best-Practise Vorschläge wurden diskutiert
  • Betriebsmasterrollen (→ Thema: Migrationen)
    FSMO-Rollen (Flexible Single Master Of Operation): Schema-Master, Domänennamen-Master, PDC-Emulator, RID Master, Infrastruktur-Master
    Link mit weiteren Erläuterungen; für Migrationen benötigt man dann noch spezielle Anleitungen und Tools
  • Druckserver
    technischer Vergleich mit Netzwerkdrucker - alles wie immer:
    bei Druckserver (also der Client/Server-Technik) sind die Treiber (und ggf. auch Druckaufbereitung) zentral auf Server,
    während Netzwerkdrucker (zwar auch im Netz verbunden sind) die Treiber jeweils auf den nutzenden Clients hätten!
    Druckeranschlüsse:
    USB, LPT, TCP/IP, HP JetDirect, IPP (Internet Printing Protocol), LPD (Line Printer Daemon für Unix)
    Treiber auf Druckserver:
    nicht nur für den Server sondern natürlich auch für die Clients nötig (XP / Vista / Win7 / 32-Bit, Win7 32-Bit/64-Bit / Win 8.1 / Win 10)
    Spooling (Druckaufträge in Speicher auf Datenträger zwischenspeichern) mit
    Spoolordner: C:\Windows\system32\spool\PRINTERS  
    Spool-Ordner besser auf Datenlaufwerk oder Speziallaufwerk - hier: E:\__spool ) untergebracht
    Begriffe: Queuing, Druckpriorität (von 1 - gering bis 99 maximale Dringlichkeit), Druckerpool, Treiber
    Praxis: Installation / Einrichtung "Druckserver" auf DC00 und veröffentlichen im "Verzeichnis"; auf Clients mit freigegebenem Drucker verbinden bzw. "Drucker hinzufügen" (Domänen-Benutzer und alle "Vertrauten" sind berechtigt);
    Hinweis auf Gruppenrichtlinie in Benutzerkonfiguration für das automatisierte "Verbinden" mit den Druckservern im AD
    Server-Manager → Tool: Druckverwaltung
  • Server-Sicherung
    Backupstrategien und Konzepte ("W-Fragen?"; siehe auch Modul PC-Systemsupport-Infos)
    Einrichtung der Windows Server-Sicherungsfeatures über Windows Server Manager -> Features - Feature "Windows Server-Sicherung" hinzufügen
    Sicherung konfigurieren / eingerichten;
    Tool: wbadmin (für die Konsole - siehe wbadmin /? )
    Hinweis: Sicherung im laufenden Betrieb mit Hilfe von VSS (Volume Shadow Service - Volumenschattenkopien; auch nötig für die sogenannten Vorgängerversionen)
    Hinweis zu Meldungen beim Sichern: wenn wir EFI-Partition mit sichern wollten - diese aber mit FAT32 partitioniert ist - gibt es Probleme, da VSS nur auf NTFS-Laufwerken funkitonieren kann!
    Alternative Software: (eine kleine Auswahl)
    Microsoft System Center 2012 R2 bzw. 2016 mit Data Protection Manager, EMC2 Data Protection Suite, Acronis Backup Windows Server
  • Bibliothek Windows Server 2012 R2 (Server 2016 noch nichts verfügbar)
    1) OpenBook vom Rheinwerk Verlag (früher Galileo Verlang):
    der 1400-Seiten-Wälzer Windows Server 2012 R2 von Ulrich B. Boddenberg "Das umfassende Handbuch" als OpenBook (Download/ Offline-Webseite)
    Link zur gedruckten Version des Buchs
    2) Alternative Microsoft Windows Server 2012 R2 - Das Handbuch - Insider-Wissen - praxisnah und kompetent / Autor: Thomas Joos, 978-3-86645-179-7; inkl. e-Book - Nachfolger zu Server 2016 "Microsoft Windows Server 2016 - Das Handbuch: Von der Planung und Migration bis zur Konfiguration und Verwaltung" angekündigt zum 23. März 2017
  • Musterprüfung / Prüfungsvorbereitung
    Anmerkungen zur Musterprüfung (Beta-Version Joe Brandes in Absprache mit EPZ)
    Empfehlung für die Prüfungvorbereitung:
    Bitte das Herdt-Skript "durchlesen/blättern" und unseren Roten Faden also diese Wochenbeitragsreihe (als Schwerpunkt)
  • TN-Bescheinigungen, Feedback-Bögen, letzte TN-Fragen

 

  • Drucker via VerzeichnisDrucker via Verzeichnis
  • Best Practice AnalyzerBest Practice Analyzer
  • ComputerkonfigurationComputerkonfiguration
  • GruppenrichtlinienverwaltungGruppenrichtlinienverwaltung
  • Druckserver - SpoolordnerDruckserver - Spoolordner
  • Server-SicherungServer-Sicherung

 

 

 

Vielen Dank für Ihre überaus positiven persönlichen und schriftlichen Rückmeldungen.
Ihr Trainer Joe Brandes

  Privates

... zu Joe Brandes

Sie finden auf dieser Seite - als auch auf meiner privaten Visitenkarte joe-brandes.de einige Hintergrundinformationen zu mir und meinem Background.
Natürlich stellt die IT einen Schwerpunkt in meinem Leben dar - aber eben nicht nur ...

joe brandes 600px

Private Visitenkarte / Technik: HTML & CSS /
  joe-brandes.de

  Jobs

... IT-Trainer & Dozent

Ich erarbeite und konzipiere seit über 20 Jahren IT-Seminare und -Konzepte. Hierfür stehen der "PC-Systembetreuer / FITSN" und der "CMS Online Designer / CMSOD". Ich stehe Ihnen gerne als Ansprechpartner für Ihre Fragen rund um diese und andere IT-Themen zur Verfügung!

becss 600px

BECSS Visitenkarte / Technik: HTML & CSS /
  becss.de

  Hobby

... Snooker & more

Wer einmal zum Snookerqueue gegriffen hat, der wird es wohl nicht wieder weglegen. Und ich spiele auch immer wieder gerne eine Partie Billard mit den Kumpels und Vereinskameraden. Der Verein freut sich über jeden, der einmal in unserem schicken Vereinsheim vorbeischauen möchte.

bsb 2011 600px

Billard Sport BS / Joomla 3.x /
  billard-bs.de

PC Systembetreuer ist J. Brandes - IT seit über 35 Jahren - Technik: Joomla 3.4+, Bootstrap 3.3.4 und "Knowledge"

© 2018 - Websitedesign und Layout seit 07/2015 - Impressum - Datenschutzerklärung
Nach oben