Turnusmäßig findet ab dem 30. November 2015 an der VHS Braunschweig ein "Windows Server"-Seminar aus der PC-Systembetreuer-Reihe (Zertifikat: "Fachkraft IT-Systeme und Netzwerke - FITSN") statt.

windows server plan 20151130 740px
Schaltplan / Topologie Windows Server Seminar

In einem praxisorientiertem Seminar wollen wir die Verwaltung einer "Firmen-Domäne" mit den Windows Server 2012 R2 Server-Betriebssystemen aus dem Hause Microsoft kennen lernen.

Hier die Rahmendaten unseres Seminars:

Ort: VHS Braunschweig, Heydenstraße 2, Raum 2.11
Zeiten: Mo, 30.11. - Fr, 04.12.2015; jeweils 08.30 - 16.00 Uhr
Freiwillige Prüfung: wird im Seminar mit den Interssierten TN abgesprochen!
Termin: Mi., 09.12.2015, 16.30 Uhr, Raum 2.11 (5 Teilnehmer)
Erstkorrektur: Status - erledigt 11.12.2015
alle TN haben die Prüfung bestanden - ein stolzer Trainer gratuliert!
Nach dem Seminar ist vor dem Seminar:  bitte denken Sie an unser Workshop/Aufbauseminar
zum Windows Server ab dem 25.01.2016 an der VHS Braunschweig.

Ich werde unser Seminar an dieser Stelle - wie mittlerweile gewohnt - durch ein ausführliches tägliches Protokoll begleiten ...
Ihr Trainer Joe Brandes

 

Tag 01 - Montag

Montag, 30.11.2015, 08.30 - 16.00 Uhr

  • Orientierungsphase, Pausenzeiten, freiwillige Prüfung
    Hinweis Cobra Shop (Link), Unterichtsmaterialien,
    Anmerkung zu Herdt-Skript "W202R2N - Netzwerkadiministration): DNS dort sehr tief und übungsintensiv - bitte auf unseren "Roten Faden" konzentrieren (s.a. Prüfungsvorbereitung inkl. Musterprüfung am Freitag/Tag 05)
  • Server-Editionen: (nur als 64-Bit verfügbare 2008 R2 / 2012 R2)
    Client/Server-Betriebssystem-Familie: NT - New Technology
    NT 3.51 / 4.0 Workstation und Server; Windows 2000 Professional und Server (5.0); Windows XP / Server 2003 (5.1)
    Windows Vista / Server 2008 (6.0) und Windows 7 Professional  / Windows Server 2008 R2 (6.1)
    Editonen 2008 R2: Web, Standard, Enterprise, Datacenter, HPC (High Perfomance)
    Unterschiede: RAM, CPU / Kerne, Ausstattungen, CALs, Preis, Hot PnP Technik
  • Editionen / Lizenzen Server 2012 R2 – alles mit 2012 R2 neu und mit Blick auf die Cloud („Wolke“)
    nur noch Standard und Datacenter Editions mit gleichem Funktionsumfang (Gesamtübersicht "Thomas Krenn" - Preissrecherche Thomas Krenn)
    Standard Edition: nur 2 Virtuelle Server pro Lizenz; 2 CPU-Sockel, ca. 650 - 700 € (ohne CALs)
    Datacenter Edition: beliebig Virtuelle Server; 2 CPU-Sockel, ab ca. 4200 € (Systeme möglichst mit HW bündeln)
    Spezialeditionen: (jeweils ohne HyperV)
    Essentials: 25 Benutzer, keine CALs nötig, ca. 350 €
    Foundation: 1 CPU, 15 Benutzer, keines CALs nötig, an Hardware gebunden (OEM), ca. 200 €
  • Entwurf der Netzwerkumgebung
    Planung der Topologie ("Schaltplan") für Übungsfirma; Dienste: DHCP (Dynamic Host Configuration Protocol) und NAT-Routing
    Hinweis: Server möglichst mit statischen Konfigurationen verwenden
  • Entwurf der Domainen (Übungsfirma)
    1 Hauptdomäne (dombu.local) mit 3 Sub-Domänen (sub01 bis sub03.dombu.local);
    jede Domäne eine eigene Verwaltungsstruktur mit eigenem Active Directory;
    Grund für Subdomains: wir wollen nur ein DNS haben für die Übungsfirma
  • Dokumentation für Domänenmodell und Netzwerk erstellt/gezeigt - Tafelbild
    Vergabe der Hostnames:
    pcXX (für die Windows 8.1 Clients),
    srvXX (für die Windows Server 2012 R2 "Clients" / Mitgliedsserver),
    dcYY (Domaincontroller)
    Adressen (statisch für die Router und DCs / dynamisch - also per DHCP für alle Clients),
    Domain-Hierarchien: Root-Level - TLD (Top Level Domain) - Domains - Subdomains
  • Installation der Server- und Client-Betriebssysteme
    Begriffe: Image-basierte Installationen (Toolsammlung MS für Imageerstellungen/Anpassungen:
    Klassisch: WAIK - Windows Automated Installation Kit (Toolbox: z.B. ImageX, ... - Microsoft Link)
    Nachfolger: Windows ADK (Microsoft Linkrosoft Link - Download ADK Windows 8.1 und Co); 
    Partitionen, System-Reservierte Partition, Tool: diskpart für cmd)
    Anm.: später werden alle TN Zugriff auf die Domaincontroller (DC) haben - egal, ob Sie an den 8.1-Clients oder Mitgliedsservern arbeiten, oder direkt an den DCs
  • Einrichten und Konfigurieren Netzwerk
    ohne DHCP: Hinweis auf APIPA - Automatic Private IP Adressing (siehe 169.254.x.y / 16)
    Alternativen genannt bei anderen OS: MacOS (Bonjour / Zeroconf), Linux (oft: Avahi); allgemein mDNS (Wikipedia Link)
    Tool: ipconfig /all
  • Server-Manager
    Rollen (die großen Dienste / Services), Features (Erweiterungen wie Dot.Net Framework, ...)
    Hinweis: Systembegrüßung nach Serverinstallation nachträglich mittels "oobe" aufrufbar (Out-Of-Box-Experience)
  • Installation DHCP-Service (Rolle) auf bu-router (IP: 10.0.0.1 / 8)
    Konfiguration eines Bereichs (scope): 10.0.0.100 - .200; Subnetmask: 255.0.0.0;
    DNS-Server 192.168.0.254 für den Zugriff WAN - Anm.: ohne Routing per LAN noch gar nicht verfügbar!
    Standard-Gateway (Router): 10.0.0.1
    Tests auf Client-PC (pc17 erhält 10.0.0.100 / 8) bzw. Auf Servern dann später statische IPs (10.0.0.5  / .10 / .20 / .30 )
  • NAT-Routing
    NAT-Routing: jetzt über Rolle "Remotezugriff" (Anm.: Alles für DirectAccess / VPN kommt gleich mit); jetzt Weiterleitung (und Rückleitung) von Paketen zwischen NICs LAN <-> WAN; Server bu-router vom Dozi verhält sich jetzt wie Ihr "Router" zu Hause; zur Konfiguration über Remotezugriffs-Verwaltungskonsole - dann Rechts RRAS Verwaltung öffnen (Routing und RAS)
    Wichtig: alle Maschinen (Dynamisch oder statisch) müssen natürlich das StandardGateway (Router) richtig eingetragen haben (hier: 10.0.0.1 - LAN-Adapter der Maschine bur-outer)
    DNS: damit die LAN-Maschinen auch an das DNS für das Öffentliche Netz (WAN - Internet) kommen, wurde im DNS-Server dc00 (10.0.0.1) eine Weiterleitung auf den DNS des VHS BS QSQ DSL-Routers eingetragen (192.168.0.254)
  • Fachbegriffe für Domain-Einrichtungen:
    Gesamtstruktur (Forest), Domänenstruktur / Domänenstamm (Tree) und Domäne (Domain)
    Symbol für Domäne: Dreieck; wichtig: ohne DNS gibt es kein Active Director (AD)
  • Domains vs. P2P (Peer-to-Peer; engl.: Peer: Gleichgestellter)
    Zentrale Verwaltung vs. lokale Verwaltungen einer Arbeitsgruppe
    anfangs/aktuell alles lokal, was auch ein Blick in die Computerverwaltung (compmgmt.msc) der Server-Installationen zeigt: Lokale Benutzer- und Gruppenverwaltung
  • Übungfsirma dombu.local
    neue Gesamtstruktur - Forest und neue erste Stammdomäne für Domänenstruktur - Tree
    Installation der Rolle AD-Domänendienste; danach "dcpromo" (in 2012 R2 nicht mehr wirklich eigenes Programm) durchgeführt, wir erhalten neue Gesamtstruktur mit neuer Domäne
    Tipp: vorher bei DCs über Systemeigenschaften (Win + Pause - Erweiterte Systemeinstellungen - Register Computername - Ändern - Weiter.. - Primäres DNS-Suffix des Computers: dombu.local; bei den DCs für die Sub-Dom dann entsprechend sub01.dombu.local, ...)
    Stichworte: DNS (Verfügbarkeit, Delegierung, Installation, Zonen, AD-integriert; Hinweis zum Skript des BU: dort viele Vertiefungen und Übungen zu DNS, die wir so hier nicht nachvollziehen werden), Funktionsebenen (Function Level FL - auf Ebenen Forest und dann Tree), Globaler Katalog, RODC (Read Only Domain Controller)
  • DNS checken: nslookup
    eigene Shell/Eingabeaufforderung; verlassen mit exit
    Test für Domainauflösungs-Funktion: einfach Name der Domain (hier: dombu.local) eingeben
    eigenen gewünschten DNS-Server festlegen: server 10.0.0.5 oder 8.8.8.8 (Googles Public DNS)
  • Reverse Lookup Zone
    Installation einer Reverse-Lookup-Zone 10.in-addr.arpa (für alle IPs mit 10.x.y.z/8)
    Die Reverse Lookup Zone ist nicht für die Funktionalität AD DS nötig, aber sehr sinnvoll für alle weiteren Nutzungen und Strukturen im Firmennetz!
    Anm.: mehr Erläuterungen zu nslookup, DNS und Co im Seminar "Netzwerk- und Internettechnik"
  • DHCP Server (bu-router - 10.0.0.1) autorisieren
    den bu-router in Domäne aufgenommen, um von DDNS zu profitieren (Dynamic DNS);
    also: DHCP autorisieren!
    Anm.: AD-Konto muss mindestens zu den Organisations-Admins zugehören

 

  • DHCP autorisierenDHCP autorisieren
  • AD DomänendiensteAD Domänendienste
  • Client in DomäneClient in Domäne
  • Bereich (Scope)Bereich (Scope)
  • NAT-RoutingNAT-Routing
  • LAN - WANLAN - WAN

 

Tag 02 - Dienstag

Dienstag, 01.12.2015, 08.30 - 16.00 Uhr

  • Rekapitulation, TN-Themen/Fragen
    Anm.: ausführliche Rekapitulation inkl. Tafelbild für unsere "Übungsfirma dombu.local"
  • Lizenzen zum Domain-Betrieb:
    OS-Lizenzen "Server" und "Client" plus CALs (Client Access Licenses)
    Serverlizenz Windows Server 2012 R2 Standard: Preis recherchiert ca. 600 €;  CALs: ab ca. 20-25 €
    kostenlose Evaluation-Versionen (180 Tage)
    kostenloser uneingeschränkter HyperV Server 2012 R2 (als Core) - Anmerkung: für Downloads ein "MS Live Account" nötig
    CAL - Client Access Licenses; Lizenzen modellieren nach Gerät (Device) oder Benutzern (User),
    kein Einsatz eines Lizensierungsservices im DC (anders als bei den Terminal Services TS/RD und den TS/RD-CALs)
  • Domain Controller für Trainingsdomänen der TN
    DC01, DC02, DC03 für Subdomänen
    (sub01.dombu.local bis sub03.dombu.local)
    die Maschinen DC01 bis DC03 bis Domänencontrollern für Subdomains SUB01 bis SUB03.dombu.local erstellen/promoten;
    die DCs erhielten statische IPs 10.0.0.10/8 bis 10.0.0.30/8 mit DNS 10.0.0.5 und Standard-Gateway 10.0.0.1
    für sub0X.dombu.local wurden keine eigenständiger DNS-Server installiert, sondern Sub-Zonen in bestehendem DNS auf DC00 erstellt
    Wichtig: alle Einstellungen natürlich wieder intensiv mit nslookup vor und nach den dcpromo's checken
  • Windows 8.1 Clients und Windows Server 2012 R2  in Trainingsdomänen aufnehmen
    Gruppenübung mit Fertigstellung aller Domänenmitgliedschaften für alle installierten Systeme; auch hier wieder Einsatz von nslookup; bei Servern Fachbegriff: Mitgliedsserver
  • Remote-Techniken (Übersicht) für Windwos 8.1-Clients / Mitgliedsserver
    1) RDP / Remote Desktop - nur für 2 gleichzeitig Zugriffe (ohne komplette RD-Server Rolle: Remotedesktopdienste)
    2) Remoteserver Verwaltungstools (Remote Server Administration Tools - RSAT)
    2a) Server 2012 R2: über Server-Manager die nötigen Features nachinstallieren
    2b) Windows 8.1: RSAT downloaden und installieren des "Windows Updates - *.msu"
    3)  PowerShell: Remote Sessiones und WebAccess
    4) Fremdsoftware wie Teamviewer & Co
    5) MMC (mit Windows Management Interface - WMI): "Auslaufmodell"
  • Snap-In Consoles für die MMC (MS Management Console)
    siehe Ordner C:\Windows\System32 - filtern nach *.msc
    einige Consoles angesprochen:
    dsa.msc, lusrmgr.msc, compmgmt.msc, devmgmt.msc, eventvwr.msc, secpol.msc, ...
    Übung: bitte austesten und Bedeutung der Consoles kennenlernen und direktes Aufrufen der Tools mittels z.B. Win + R "secpol.msc" durchgeführt
    Anm.: auf DCs ist lusrmgr.msc (Lokale Benutzer und Gruppen) "leer"
    Hinweis: .\System32-Ordner enthält auf 64-Bit OS die 64-Bit Programme/Bibliotheken, die kompatiblen 32.-Bit Pendants sind in .\SysWOW64 (System Windows on Windows 64-Bit) zu finden! Logisch ;-)
  • Active Directory - Benutzer und Gruppen erkunden
    Standard-Container Builtin, Computers, Domain Controllers, Users
    Hinweis: für alle neuen Objekte (Benutzer, Gruppen) werden OUs erstellt;
    Koordination von Prefix (jb-test) /Suffix (test-jb) Systemen innerhalb der Domains, damit die TN ihre Übungen auseinanderhalten können
  • Darstellung von A-G-DL-P Regel:
    Accounts (Benutzerkonto) - Mitglied von
    Global Group (Globale Gruppen) - Mitglied von
    Domain Local (Lokal in Domäne) - führt zu
    Permissions (Berechtigungen)
    Analyse der Benutzerrechte auf den Clients für Domänen-Benutzer und Domänen-Admins
    Tipp: immer werden Accounts (Konten) Mitglieder in Globalen Gruppen - bitte nie die Mitgliedschaften direkt in den Domain Lokalen Gruppen oder auch später bitte keine einzelnen Benutzerkonten bei Berechtigungen für Freigabe/NTFS eintragen, sondern immer Gruppen definieren und zuweisen
    Beispiele für verfügbare/bzw. nicht verfügabare Berechtigungen zwischen "Benutzern" und "Admins":
    a) Fähigkeit Freigaben für Ordner/Drucker einrichten können
    b) Netzwerk konfigurieren
    c) Datei in Hauptverzeichnis C:\ erstellen
  • Übungsszenario: Außendienstmitarbeiter mit Notebook
    Anm.: heute (Di) nur als Abschlussübung durch Dozi gezeigt - morgen Übung für TN
    Benutzer "joestandard" soll bei Notebook "pc17" das Netzwerk konfigurieren dürfen
    a) Benutzer joetestuser anlegen (wie immer in einer OU nach Wahl)
    b) Neue Globale Gruppe "Netzhiwis" erstellen
    c) joestandard Mitglied machen von Globaler Gruppe "Netzhiwis"
    d) in der Lokalen Benutzer- und Gruppenverwaltung von pc17 bei Lokaler Gruppe Netzwerkkonfigurations-Operatoren die Gruppe "DOMBU\Netzhiwis" zum Mitglied machen - dadurch ergeben sich folgende Mitgliedschaft:
    Useraccount joestandard Mitglied von Globaler Gruppe Netzhiwis
    Netzhiwis Mitglied der Lokalen Benutzergruppe Netzwerkkonfigurations-Operatoren von pc17
    Anm.: das kann man später auch zentral organisieren/automatisieren (per Gruppenrichlinien), falls man das mal bei sehr vielen Laptops machen müsste!

 

  • MMC Consolen inkl. RSATMMC Consolen inkl. RSAT
  • KomplexitätsanforderungenKomplexitätsanforderungen
  • Server-ManagerServer-Manager
  • IP reservierenIP reservieren
  • Feature nachinstallierenFeature nachinstallieren
  • vor Löschen schützenvor Löschen schützen

 

Tag 03 - Mittwoch

Mittwoch, 02.12.2015, 08.30 - 16.00 Uhr

  • Rekapitulation, TN-Themen/Fragen
  • Übung: "Netzwerker / Außendienstmitarbeiter" (siehe Di)
    Wichtig: die Mitgliedschaft einer Globalen Gruppe (hier Netzhiwis) zur pc17 Lokalen Gruppe Netzwerkkonfigurations-Operatoren
    Anm.: das ist dann bei Terminal Server / Remotedesktopdiensten später dasselbe Vorgehen: man muss dann wieder die User für die Remotedesktop-Nutzungen in die Lokale Gruppe Remotedesktopbenutzer des Terminal Servers "packen"
  • Gruppen
    Gruppentypen: Sicherheit (siehe dann Sicherheitsgruppe - die "Standard"-Globale Gruppe), Verteilung (etwas für Maillisten und Co)
    Gruppenbereiche: Lokal (in Domäne), Global, Universal (kann auch Benutzer und Gruppen aus anderen Domänenstämmen und Gesamtstrukturen aufnehmen)
  • Benutzerprofile (Typen: lokal, servergespeichert / veränderlich, verbindlich)
    Wichtig: jeder Benutzer arbeitet immer mit einem "veränderlichemLokalen Benutzerprofil"
    Alternative: servergespeichertes Benutzerprofil (serverbased profile) - siehe Profil-Kontenblatt des Benutzers
    Datei: ntuser.dat  - benutzerspezifischer Registrierdatenbankteil
    Ein Profil als unveränderlich (mandatory) konfigurieren: ntuser.dat umbenennen in ntuser.man   (mandatory profile)
    Problem der servergespeicherten Benutzerprofile: Profile wurden immer größer und konnten teils nur schlecht und falsch "synchronisiert" werden
    Lösung: nur die variiablen und interessanten Teile des Benutzerprofils auf einen Server umleiten (Roaming Profiles) - diese Ordnerstrukturen als Offline Ordner auf den Clients pflegen lassen
    Analyse der Verzeichnisstrukturen unsere Windows Installationen und der Benutzerprofile (C:\Users - Anm.: Ordner Benutzer im Windows Explorer "nur eingedeutscht")
    Technik für Aufruf / Anzeige / Analyse: Eingabeaufforderung (cmd) mit Befehl  dir /a   (alles im Verzeichnis anzeigen lassen)
    So erkennt man: "Dokumente und Einstellungen" ist eine Junction (Abzweigung) zu C:\Users 
    Anm.: das erklärt "Fehlermeldung" bei Doppelklick, da ein Doppelklick nur auf Dateien, Ordner oder einfache Links/Verknüpfungen funktioniert
    im Benutzerprofil  C:\Users\%username%  (Anm.: Variable für Benutzername!) Hinweis auf Ordnerstrukturen und Junctions
    Besonderes Interesse: C:\Users\%username%\AppData  mit Unterordnern Local, LocalLow und Roaming
    Ordner .\AppData\Roaming  wird uns bei unseren Übungen zu den "Roaming Profiles" morgen wieder begegnen
  • Datenträgermanagement (für Datenlaufwerk - Technikbegriffe - Infos Partitionen)
    Snap-In Console: diskmgmt.msc; Partitionierung/Formatierung mit NTFS  von Daten-Laufwerk E:
    Kurz-Rekapitulation zu Booten mit bootmgr und /boot/bcd (Boot Code Configuration), Fachbegriffe: MBR, Basisdatenträger vs. Dynamische Datenträger (z.B. für Software RAID mit Windows Server), GPT (GUID Partition Table) Volumes; Hinweise auf UEFI (Schneller, sicherer, Booten ab 2,2 TB, 64-Bit)
    Technet-Artikel (MS) "Grundlegendes zu Datenträgerpartionen"
    Windows Server 2012 R2 kennt Basis (Datenträger) als auch Dynamische Datenträger;
    Zweck: flexiblere Größenänderungen und natürlich Software-RAIDs
  • RAID- Redundant Array of Inexpensive/Independent Disks (Wikipedia Link)
    Versuch der Optimierung von Geschwindigkeit und Redundanz/Ausfallsicherheit, Software- vs. Hardware-RAID (Vor- / Nachteile),
    RAID-Level; Server-SW-RAID-Level:
    RAID 0 Striping (ohne Redundanz / Ausfallsicherheit)
    RAID 1 Mirroring/Spiegelung (Redundanz / Ausfallsicherheit - Empfehlung für Serverinstallationspartition!)
    RAID 5 Striping mit Parität (min. 3 Datenträger - 1 Platte kann ausfallen - 1/n wird für Parity-Infos benötigt)
  • Standardfreigaben
    NETLOGON: Freigabepfad zu C:\Windows\SYSVOL\sysvol\dombu.lokal\scripts
    (klassische Anmeldeskripte seit NT - meist als *.cmd statt als einfache *.bat Dateien)
    SYSVOL: Freigabepfad zu C:\Windows\SYSVOL\sysvol (eine Freigabe über die dann auch die GPO mit Ordner policies erreichbar sind)
    C$, Admin$: Administrative Freigaben mit angehängtem $ (das $ am Ende versteckt die Freigabe im Netz)
    Übersicht mit net share  in der Befehlszeile; alternativ siehe Computerverwaltung - Freigegebene Ordner - Freigabe oder über den Server-Manager - Datei-/Speicherdienste - Freigaben
  • Freigaben
    Berechtigungen ohne Freigabe-Assistent einstellen (Windows Explorer konfigurieren)
    Freigaben kennen nur einfache Berechtigungen: Vollzugriff, Ändern, Lesen
    Windows Explorer: Organisieren - Ordner- und Suchoptionen - Register Ansicht - Freigabe-Assisten deaktivieren
    Jeder / Lesen - hier ist wieder "Jeder Berechtigte" gefragt, also meine AD-Benutzerkonten plus die Domänenbenutzer, denen meine Domäne vertraut
    siehe: Active Directory-Domänen und -Vertrauensstellungen
    Syntax bei Freigabenamen: mit $ am Ende sind "versteckt";
    administrative Freigaben C$, E$; Erinnerung an net share
  • Vertrauensstellungen
    Active Directory-Domänen und -Vertrauensstellungen;
    Fachbegriffe: bidirektional, eingehende und ausgehende Vertrauensstellungen, transitive Vertrauensstellungen (autmatisch bei Domänenstamm / Tree)
  • Server-Manager für Freigaben
    Bereitstellung neuer Freigaben auf den verwalteteten Rechnern mit Hilfe des Server-Managers - Datei-/Speicherdienste - Freigaben (siehe hierzu auch Anleitungen im Herdt-Skript)
  • NTFS (Zugriffsschutz auf Benutzerebene - Register "Sicherheit")
    bitte feinere Berechtigungen gegenüber Freigabe-Rechten;
    wiederholen; NTFS-Rechte vererben; Besitz übernehmen,
    Effektive/Effiziente Berechtigungen für Benutzer/Gruppen anzeigen lassen: Effektiver Zugriff in den erweiterten Sicherheit-Einstellungen
  • net (Befehle)
    net share - Freigaben auflisten oder auch erstellen
    net view - eigene (oder auch andere) Domains/Arbeitsgruppen auflisten / Freigaben anderer Rechner anzeigen
    net use - Netzwerkresourcen mappen (Netzwerklaufwerke und -Drucker)
    net /? (listet Befehlsoptionen) und net use /? (listet die net use Optionen)

 

  • BenutzerprofileBenutzerprofile
  • Profilordner - dir /aProfilordner - dir /a
  • AD KontoAD Konto
  • DatenträgerverwaltungDatenträgerverwaltung
  • AD VertrauensstellungenAD Vertrauensstellungen
  • Effektiver ZugriffEffektiver Zugriff

 

Tag 04 - Donnerstag

Donnerstag, 03.12.2015, 08.30 - 16.00 Uhr

  • Rekapitulation, TN-Themen/Fragen
    To-Do-List:
    Übung mit NETLOGON (Anmeldeskript für Netzwerklaufwerk mit net use)
    Einführung in Policies/Richtlinien (Gruppenrichtlinien / Group Policies für Roaming Profiles)
    AD Verwaltungscenter
  • Bibliothek Windows Server 2012 R2
    1) OpenBook vom Rheinwerk Verlag (früher Galileo):
    der 1400-Seiten-Wälzer Windows Server 2012 R2 von Ulrich B. Boddenberg "Das umfassende Handbuch" als OpenBook (Download/ Offline-Webseite)
    Link zur gedruckten Version des Buchs
    2) Alternative Microsoft Windows Server 2012 R2 - Das Handbuch - Insider-Wissen - praxisnah und kompetent / Autor: Thomas Joos, 978-3-86645-179-7; inkl. e-Book
  • Übung "klassische Anmeldeskripte"
    mit Freigaben auf DCs und mit Netzlaufwerk per NETLOGON-Skript
    Einzeiler: net use N: \\dc00\projectX   im Kontenblatt Profil eines AD-Users konfiguriert
    Freigabe: Jeder / Vollzugriff; NTFS-Sicherheit: gewünschte Globale Gruppe (z.B. Domänen-Benutzer) / Ändern
    Befehl für Mapping von Netzrsourcen (Freigaben / Drucker):
    net use (mit Schaltern /?, /persistent, /delete)
    Anm.: die Übung ist gut für praktische Erfahrungswerte mit Skripten und Netzwerklaufwerken
    die modernen Varianten dann später per Gruppenrichtlinien und Start-/Stop Skripten als normale Skripte (*.cmd) oder PowerShell-Varianten (*.ps1)
  • Einführung in Gruppenrichtlinien (Group Policies)
    Erstes Beispiel: secpol.msc (Lokale Sicherheitsrichtlinie) aufrufen
    Verwaltung - Lokale Sicherheitsrichlinie - Kennwortrichtlinien -> alles GRAU/unbearbeitbar - ist eben alles Lokal!
    Einstallungen ändern mittels Gruppenrichtlinienverwaltungs-Konsole
    gpmc.msc -  Group Policy Management Console - Bearbeiten mittels Rechte Maus (gpedit.msc - GP Editor):
    Default Domain Policy - Computerkonfiguration - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Kontorichtlinien - Kennwortrichtlinien
    Übung: Ändern der "Default Domain Policy" - Anpassen der Kennwortrichtilinien
    wichtige cmd-Tools für die GPOs:
    gpupdate /force  (Erzwingen der Richtlinienaktualiserung für Computer und Benutzer)
    dcgpofix  (Wiederherstellen von Default Domain und/oder Default Domain Controllers Policy)
  • Gruppenrichtlinienobjekt (Group Policy Objects - GPO)
    sind in Management Konsole unter Gruppenrichtlinienobjekte zentral organisiert (Gruppenrichtlinienverwaltung - gpmc.msc) und dann als Verknüpfungen den jeweiligen Objekten zugewiesen; werden mit GP-Editor bearbeitet (gpedit.msc);
    bestehen aus zwei Teilen:
    Computerkonfiguration (machine - wird beim Starten der Maschine gelesen) und
    Benutzerkonfiguration (user - wird beim Anmelden des Benutzers gelesen)
    Zielobjekte für GPOs: Gesamtstruktur, Domäne, DCs, Standorte, OUs / UnterOUs
    GPO-Optionen: nicht konfiguriert, aktiviert, nicht aktiviert - Optionen geben dann mit Vererbung über die Hierarchien Sinn (z.B. verschachtelte OUs)
    auf HD des DC: C:\Windows\SYSVOL\sysvol\dombu.local\policies
    bzw.: C:\Windows\SYSVOL\domain\policies   mit ...\domain\ als Verknüpfung  /Link / Junction
  • Große Übung zu Gruppenrichtlinien: Roaming Ordner (am Beispiel Documents)
    Plan / GP-Entwurf:
    Gruppenrichtlinie für Ordnerumleitungen (hier: Eigene Dokumente - C:\Users\Fred\Documents) auf einen Ordner auf "Server"
    Deutsches Webportal zum Thema Gruppenrichtlinien (mit Tipps, Tricks, Übersichten)
    auf Server:
    Active Directory: neue OU roamers mit neuem Benutzer joeroamer und Globaler Gruppe roamers
    Anm.: die Globale Gruppe nur für Berechtigungen
    Datenträger/Explorer: Daten-LW-Freigabe: E:\roaming-ordner   freigeben mit Freigabename roaming-ordner   und folgenden
    Standardberechtigungen: (MS-Vorschlag)
    Freigabe-Berechtigung: Jeder / Vollzugriff
    NTFS-Berechtigung mit DOMBU\roamers / Ändern
    Gruppenrichtlinienverwaltung: Neues GPO roaming-documents erstellen und bearbeiten:
    GP-Editor: Benutzerkonfiguration - Windows Einstellungen - Ordnerumleitungen - Dokumente - Rechte Maustaste - Konfigurationen vornehmen; siehe auch Extra-Register für "Exklusive Zugriffe" und "Verschieben/Behalten" von Dateien
    GPO-Objekte mit OU roamers verknüpfen (bitte nicht vergessen!)
    Gruppenrichtlinien aktualisieren oder einfach einen Moment warten (gerne auf Client zum Erzwingen der Benutzerkonfiguration): gpupdate /force
    auf Client:
    neuen User DOMBU\joeroamer anmelden - hier jetzt im Benutzer-Profil kein Ordner Documents mehr!
    in Eigenschaften von "Dokumente" sieht man den UNC-Pfad: 
    \\DC00\roaming-ordner\joeroamer\Documents   (Anm.: in Pfadzeile des Explorers nicht mehr erkennbar!)
    Speichern mittels Bibliotheken - Dokumente;
    technische Umsetzung auf Client: Offline-Ordner für "Eigene Dokumente" (siehe Systemsteuerung - Synchronisierungscenter - Offlinedateien)
    Übung wird am Freitag wiederholt / ggf. komplettiert

 

  • Offline OrdnerOffline Ordner
  • NETLOGONNETLOGON
  • GruppenrichtlinienobjekteGruppenrichtlinienobjekte
  • KennwortrichtlinienKennwortrichtlinien
  • dcgpofixdcgpofix
  • Roaming DocumentsRoaming Documents

 

Tag 05 - Freitag

Freitag, 04.12.2015, 08.30 - 16.00 Uhr

  • Rekapitulation, TN-Themen/Fragen
    To-Do-List: Übungen/Vertiefungen GP (siehe Übungen der Woche mit Netzwerkkonfigurations-Operatoren - jetzt per GPO), AD Verwaltungscenter, Drucken, Backup, Musterprüfung/Prüfungsvorbereitung
  • Wiederholung / Komplettierung Übung Gruppenrichtlinien "Roaming / Documents"
    Übung Richtlinien komplettieren; Wiederholung mit Roaming-GPO für "Desktop"
    Besondere Erwähnung: Skripte (Standardskripte *.cmd) und PowerShell-Skrkpte (*.ps1) für Computer- und Benutzerkonfiguration mittels GPOs als Logon und Logoff Skripte!
    Weitere Möglichkeiten für Computer- und Benutzerkonfigurationen: Netzhiwis ließe sich per GP lösen, Softwareverteilungen mit msi-Paketen, ...;
    Anm.: fast 15.000 Richtilinien verfügbar - da sollte sich etwas finden lassen - aber bitte gut planen und strukturieren
  • Active Directory Verwaltungscenter
    Neues Tool zur AD-Verwelung inklusive Zugriff auf die entsprechenden PowerShell Skripte zur Durchführung in der neuen Befehlszeile
  • Hyper-V (Version 3)
    Nutzung von virtualisierten Server- und Windows-Installationen: beispielhafte Verwaltung und Installation von VMs (Beispiel IIS Installation)
    hier nur Kurzdarstellung; Hinweis auf NICs und Vorbereitung der "Virtuellen Switches"; Virtuelle HDs: *.vhd (bzw. neu *.vhdx); geeignete CPU beachten (Unterstützung von SLAT); Technik auch auf den Pro-Varianten von Windows 8 und Windows 10 verfügbar oder natürlich die kostenlose und zeitlich unbegrenzte Evaluationversion "Hyper-V Windows Server 2012 R2" (Link)
  • Druckserver
    technischer Vergleich mit Netzwerkdrucker - alles wie immer: bei Server (oder eigentlich Client/Server-Technik) sind hier die Treiber zentral auf Server, während Netzwerkdrucker (zwar auch im Netz verbunden sind) die Treiber jeweils auf den nutzenden Clients hätten!
    Druckeranschlüsse:
    USB, LPT, TCP/IP, HP JetDirect, IPP (Internet Printing Protocol), LPD (Line Printer Daemon für Unix)
    Treiber beim Druckserver
    nicht nur für den 2012 R2 Server sondern ggf. auch für die Clients nötig (XP / Vista / Win7 / 32-Bit, Win7 32-Bit/64-Bit)
    Spooling mit Spoolordner: C:\Windows\system32\spool/PRINTERS  
    Ordner besser auf Datenlaufwerk oder Speziallaufwerk - hier: E:\__spool ) untergebracht
    Begriffe: Queuing, Druckpriorität (von 1 - gering bis 99 maximale Dringlichkeit), Druckerpool, Treiber
    Praxis: Installation "Druckserver" auf DC00 und veröffentlichen im "Verzeichnis"; auf Clients mit freigegebenem Drucker verbinden bzw. "Drucker hinzufügen" (Domänen-Benutzer sind berechtigt); Hinweis auf Gruppenrichtlinie in Benutzerkonfiguration für das automatisierte "Verbinden" mit den Druckservern im AD
    Tool Druckverwaltung gezeigt
  • Server-Sicherung
    Backupstrategien und Konzepte ("W-Fragen?"; siehe auch PC-Systemsupport-Infos)
    Einrichtung der Windows Server-Sicherungsfeatures über Windows Server Manager -> Features - Feature hinzufügen
    Sicherung konfigurieren / eingerichten; Tool: wbadmin (für die Konsole)
    Hinweis: Sicherung im laufenden Betrieb mit Hilfe von VSS (Volume Shadow Service - Volumenschattenkopien; auch nötig für die Vorgängerversionen)
    Hinweis zu Meldungen beim Sichern: beim Durchsehen der Screenshots ist mir aufgefallen, dass wir die EFI-Partition mit sichern wollten - da diese aber mit FAT32 partitioniert ist, gibt es Probleme, da VSS natürlich nur auf NTFS-Laufwerken funkitonieren kann!
    Alternative Software: (eine kleine Auswahl)
    Microsoft System Center 2012 R2 mit Data Protection Manager, EMC2 Data Protection Suite, Acronis Backup Windows Server
  • Herdt-Skript
    mit den TN das Herdt-Skript "W2012R2N" durchgegangen und Schwerpunkte ("Roter Faden") verdeutlicht
  • Musterprüfung
    Vorbereitung der an Prüfung interessierten TN für unsere Prüfung am nächsten Mittwoch
    und wieder: Schwerpunkte unseres Seminar beachten - siehe dieser Beitrag
  • Bereitstellungen Downloads, Musterprüfung, Screenshots, Info-PDFs
  • TN-Bescheinigungen, Feedback, letzte Fragen

 

  • Exklusiver ZugriffExklusiver Zugriff
  • Int. Gruppen aktualisierenInt. Gruppen aktualisieren
  • AD VerwaltungscenterAD Verwaltungscenter
  • PowerShell RemotePowerShell Remote
  • Drucker im VerzeichnisDrucker im Verzeichnis
  • Windows BackupWindows Backup

 

 

Vielen Dank für Ihre überaus freundlichen und positiven Feedbacks und das laute Klopfen zum Ende unseres Seminars.
Ihr Trainer Joe Brandes

  Privates

... zu Joe Brandes

Sie finden auf dieser Seite - als auch auf meiner privaten Visitenkarte joe-brandes.de einige Hintergrundinformationen zu mir und meinem Background.
Natürlich stellt die IT einen Schwerpunkt in meinem Leben dar - aber eben nicht nur ...

joe brandes 600px

Private Visitenkarte / Technik: HTML & CSS /
  joe-brandes.de

  Jobs

... IT-Trainer & Dozent

Ich erarbeite und konzipiere seit über 20 Jahren IT-Seminare und -Konzepte. Hierfür stehen der "PC-Systembetreuer / FITSN" und der "CMS Online Designer / CMSOD". Ich stehe Ihnen gerne als Ansprechpartner für Ihre Fragen rund um diese und andere IT-Themen zur Verfügung!

becss 600px

BECSS Visitenkarte / Technik: HTML & CSS /
  becss.de

  Hobby

... Snooker & more

Wer einmal zum Snookerqueue gegriffen hat, der wird es wohl nicht wieder weglegen. Und ich spiele auch immer wieder gerne eine Partie Billard mit den Kumpels und Vereinskameraden. Der Verein freut sich über jeden, der einmal in unserem schicken Vereinsheim vorbeischauen möchte.

bsb 2011 600px

Billard Sport BS / Joomla 3.x /
  billard-bs.de

PC Systembetreuer ist J. Brandes - IT seit über 35 Jahren - Technik: Joomla 3.4+, Bootstrap 3.3.4 und "Knowledge"

© 2018 - Websitedesign und Layout seit 07/2015 - Impressum
Nach oben