Windows Server / VHS BS / 08. - 12.12.2025

Topics zum Einstieg:

• Orientierungsphase, Pausenzeiten, TN-Themen
• Unterichtsmaterialien (Screenshots zur BU-Woche - "Daumenkino")
• freiwillige Prüfung ansprechen
• Anmerkung zu Herdt-Skript W2022N: "Windows Server 2022 Netzwerkadministration"
  passendes aktualisiertes Skript zu Windows Server 2025 liegt bei Herdt nicht vor. Abfrage in Seminar hinsichtlich "Lieferwunsch".
  Siehe auch TN-Anzahl Seminar und bereitgestellte Unterlagen zu Windows Server 2025 Seminar Trainer Joe Brandes
  Anm.: Herdt-Unterlagen ab 2026 nicht mehr für Seminare geplant.

Roter Faden 🎀

Diesen Begriff hört man in meinen Seminaren häufiger 😜. Gemeint ist hier: das grundsätzliche Verständnis der fraglichen IT-Techniken. Am Besten gleich so, dass man auch nach einer Zeit ohne Beschäftigung mit diesen Techniken sehr schnell wieder in Fahrt kommt.

Unter einem roten Faden versteht man ein Grundmotiv, einen leitenden Gedanken, einen Weg oder auch eine Richtlinie. „Etwas zieht sich wie ein roter Faden durch etwas“ bedeutet beispielsweise, dass man darin eine durchgehende Struktur oder ein Ziel erkennen kann.

Quelle: Wikipedia - Roter Faden

Und da kann es dann auch schon mal sein, dass ich mich mit bestimmten Ausführungen, Techniken und Fachbegriffen wiederhole 😉!

Windows Server Zusatzinfos 📚

Weitere Ausarbeitungen im Rahmen meiner IT-Seminare und Interessen findet man als RestructuredText Dokumente unter Kapitel Windows Server auf it.joe-brandes.de.

Mal sehen wo die Reise mit dieser Unterlage hingeht - Work in Progress (WIP) ...

Und los geht es mit unseren Windows Server Themen für die Seminarwoche.

Topics:

• Domänen planen: Topologien
• Domänen-Dokumentation
• Virtualisierung: Hyper-V-Host
• Hyper-V Sitzungshost
• Special: Hyper-V Cloning
• Special: Hyper-V TPM Export / Import bei Hyper-V-Umzug

Domänen planen: Topologien 

Über die Jahre haben wir die Seminare des FITSN (hier: Windows Server) in unterschiedlichen technischen Umsetzungen durchgeführt. In den meisten Seminarumgebungen habe ich als Trainer die gesamte Netzwerk-Infrastruktur-Technik (DHCP, DNS) für die Übungsdomänen bereitgestellt.

In unseren aktuellen Serverseminaren sollen alle Teilnehmer (TN) die Umsetzungen mit dem Microsoft Windows Server in einer jeweils eigenen Übungsdomäne durchführen können. Hierzu werden wir auf Host-Installationen mit Windows 11 Education (23H2) die Microsoft-Virtualisierungstechnik Hyper-V nutzen.

Die nötigen Installationen und Konfigurationen werden wir Step-by-Step miteinander durchführen und so ganz nebenbei die Microsoft-Virtualisierung Hyper-V praktisch nutzen. Diese Virtualisierungen stellen auch oft die Standards in modernen Infrastrukturen oder der Cloud (Azure) dar.

Entwurf der Netzwerkumgebung/Topologie für die Übungsfirmen der Teilnehmer. Jede Übungsfirma orientiert sich in der Nomenklatur nach der Platznummer (XY):

• TN-PCs mit Nummerierungen 01, 02, 03, ... 16
• Trainer-PC mit Nummer 17

Planung der Anbindung der jeweiligen Virtuellen Domänenstrukturen mit einem eigenen ROUTER-XY mit den zu installierenden Diensten:

• DHCP (Dynamic Host Configuration Protocol) und
• NAT-Routing (zur Anbindung der virtuellen an die physikalische Firmenstruktur)

Hinweis: die Server mit solchen und anderen Diensten bitte immer mit statischen IP-Konfigurationen verwenden! Man nennt andere Serverinstallationen, die einfach nur als Installationen in der Domäne sind Mitgliedsserver - also wortwörtlich: ein Server ist einfach nur Mitglied in der Domäen.

Domänen-Dokumentation

Wir erarbeiten uns für Domänenmodell und Netzwerk eine Dokumentation. Das geschieht per digitalem Tafelbild (Scribble) bzw. über ein LibreOffice Draw File.

Vergabe der Bezeichnungen:  (siehe auch Befehle in Eingabeaufforderung hostname - oder natürlich Win + Pause ;-)

• Domäne: FIRMAXY (für Domänen-NetBios-Name) bzw. firmaxy.local 
  FQDN - Fully Qualified Domain Name; Anm.:  in diesem Beispiel nutzen wir keinen Bindestrich!
• ROUTER-XY - für den VM-Router mit (min.) zwei Netzwerkadaptern (LAN, WAN)
• DC-XY - Domaincontroller und ggf. BDC-XY für 2. Domaincontroller; klassisch zu NT-Zeiten: Backup-DC (BDC)
• CLIENT-XY-01 , CLIENT-XY-02, ... (für die Windows Clients)
• SERVER-XY-01 , SERVER-XY-02, ... (für die Windows Server 2016 "Clients" / Mitgliedsserver)

IP-Adressen:

• statisch für die Router und DC
• dynamisch - also per DHCP für alle Clients
• reserviert -  DHCP Reservierung per MAC

Domain-Hierarchien / Technisch: FQDN - Fully Qualified Domain Name
Hostname/Servername - Subdomains - Domains -TLD (Top Level Domain) -  Root-Level (siehe Punkt)

Beispiel: (in Standardschreibweise Links-nach-Rechts)
servername.subdom.domain.tld.  (für FQDN ganz genau also eigentlich mit Punkt am Ende für Root-Level!)

Für die Trainer-Domäne also (z.B. und ohne Punkt am Ende):

• DC-17.firma17.local  
• ROUTER-17.firma17.local 
• CLIENT-17-01.firma17.local 
• SERVER-17-01.firma17.local

Die Auflösungen müssen im Seminar immer wieder überprüft und die Funktionalität von DNS gecheckt werden (siehe nslookup !).

Virtualisierung: Hyper-V-Host

Wir installieren und konfigurieren die Seminar-PCs mit Hyper-V unter Windows 11! Im Enterprise-Umfeld sind das dann einfach wieder Windows Server mit Hyper-V als Rolle (installierte Diensteumgebung inkl. Tools).

Vorgehensweise / Praktische Seminarumsetzungen:

• Installation Windows 11 Education auf TN-PCs (oft bereits gestartet oder vorbereitet)
  Anm.: hier nur einfach immer mit erstem Admin-Konto arbeiten im Seminar und keine weitere Partitionierung für Daten-Laufwerk vornehmen. 
  Vereinfachung: keine Datenpartition - wir wollen die bereitgestellte 500 GB SSD möglichste ohne "Verschnitt" nutzen!
• Aktualisierung des Host-Rechners und dann (oder auch sofort) die Updates für 5 Wochen einfrieren 
  Anm.: die Zeit nutzen wir für die weiteren Planungen (s.o.)
• Aktivierung des Features "Hyper-V" und bei Standard-Benutzerkonten Gruppenzugehörigkeit "Hyper-V-Administratoren" konfigurieren
• Grundkonfiguration: Virtuelle Switches - Hyper-V Netzwerke
  • Extern - Switch, der die VMs an die physikalische Host-Netzwerktechnik bindet / bridged
  • Privat - Switch, der die VMs in einem autonomen und einfachem Netzwerk koppelt
  • Intern - im Grunde wie Privat, aber mit Konnektion zwischen Hyper-V-Host und Switch

Anmerkungen zu den Hyper-V-Installationen:

• Nutzen der neuen Generation 2 Hyper-V-VMs (UEFI) mit dynamischem Arbeitsspeicher
  Anm.: nach ein paar negativen Ereignissen empfehle ich die Obergrenze für das VM-Ram zu begrenzen!
• Deaktivierung automatischer Snapshots
• Einbinden von Installations-ISOs (für Windows Server 2016/2019/2022/2025 bzw. Windows 11) als Virtuelle DVD-Laufwerke
• Boot-Reihenfolge für Installationen anpassen: DVD, VHD (Virtual Harddisk), Netzwerk

Nun folgen die eigentlichen Installationen unserer "virtuellen Firmen-Rechner" - beginnend mit dem erster Windows Server 2016/2019 als Router.

Hyper-V Sitzungshost

Wir werden den Hyper-V einfach nur für die virtuellen Umsetzungen nutzen. Allerdings ist an verschiedenen Stellen ein besseres Verständnis für die genutzten technischen Umsetzungen von Vorteil.

Das gilt insbesondere für die Nutzung des "Erweiterter Sitzungshost". Diese Technik ist - normaler Weise - in den "Hyper-V Einstellungen..." sowohl für die Server- als auch Benutzerebene aktiviert. Mit dieser Aktivierung können Hyper-V-VMs auf die volle technische Umsetzung der Hyper-V-Verbindungen zugreifen. Hierbei handelt es sich um RDP-Client-/Server-Technik, die insbesondere mit Windows-VMs hervorragend und performant funktioniert.

• bessere Grafikunterstützung in der VM mit variablen Auflösungen und guter Performance
• verbesserte Unterstützung Eingabegeräte und USB
• Audio - Tipp: so lässt sich bei Windows Clients leicht der Modus erkennen - Audio deaktiviert = Einfacher Sitzungshost
• Drucker
• Zwischenablage
• Drag & Drop 
• Sicherere Verbindung

Der Zustand für die aktuelle Verbindung mit der VM lässt sich über ein kleines Symbol am oberen Rand der Verbindung erkennen.

Erweiterter Sitzungshost:

Einfacher Sitzungshost:

Für die Änderungen des Sitzungshost muss man sich neu an der VM anmelden!

Bitte Beachten: Für den Erweiterten Sitzungshost muss das Benutzerkonto für die Anmeldung an der VM Mitglied der lokalen Gruppe Administratoren oder Remotedesktopbenutzer sein!

Entsprechende Übungen werden im Seminar erarbeitet. Für das Anmelden an Hyper-V-VMs sei an die Tastenkombination Strg + Alt + Ende  oder das Menü "Aktion" der Hyper-V-VM erinnert.

Mehr Infos rund um den (engl.) Enhanced Session Mode: https://www.ninjaone.com/blog/configure-hyper-v-enhanced-session-mode/ 

Special: Hyper-V Cloning

Das Klonen von VMs mit dem Hyper-V sieht auf den ersten Blick recht einfach aus. Und natürlich sollte man nicht einfach Copy & Paste mit den VM-Dateien durchführen wie bei diversen anderen Virtualisierern.

Hinweis: der Einsatz hier dargestellter Techniken erfolgt entweder nach Anleitung durch den Trainer oder auf eigene Gewähr. Für unsere Seminarumgebungen ergeben sich nur sehr geringen Vorteile gegenüber manuellen Einzelinstallationen!
Außerdem lasse ich den eigentlich wünschenswerten Einsatz des Audit Modes (Strg + Umschalten + F3) bei der Erstellung und Optimierung von Templates und die Unattend-Technik für das automatische Abarbeiten von OOBE weg!
Es handelt sich also um die Q&D Solution (Quick & Dirty) - die offizielle professionelle und komplette "Sysprep"-Lösung ist das Windows ADK (Assesment and Deployment Kit) von Microsoft und/oder der Einsatz von WDS (Windows Deployment Service) auf einem Windows Server in einer Domäne!

Cloning 101: erst einmal die Vorgehensweise in Kürze:
VM exportieren - dann VM importieren

Das Problem: Windows Betriebssystemen arbeiten mit den sogenannten SIDs! Diese müssen beim Einsatz geklonter Maschinen in einer Domäne hundertprozentig eindeutig sein. Microsoft liefert hierfür ein entsprechendes Tool (sysprep) mit, welches seinen Einsatz beim professionellen Massen-Ausrollen (Deployment) mit Tools wie ADK, WDS (Windows Deployment Server) zusammen mit DISM und unbeaufsichtigen Installationen (unattended.xml) hat.

Hier eine Kurzanleitung für den manuellen Einsatz mit unserer lokalen Entwicklungsumgebung bzw. Testumgebung für die Seminardomänen.

• Installation und Aktualisierung einer Template-VM
• Snapshot
• Sysprep - Pfad: C:\Windows\System32\Sysprep in administrativem Terminal
  Befehl: sysprep /generalize /shutdown /mode:vm  
  Leider meldet sich bei neuen Windows 11 trotzdem die Sysprep-GUI / einfach mit OK bestätigen - VM sollte herunterfahren
• Export (Professionelle Beispiele über GUI und PowerShell: https://www.nakivo.com/blog/hyper-v-export-import/ )
  Anm.: beim Exportieren den Snapshot-Status nutzen! Wenn man in der GUI (oben) die Maschine importiert werden alle Zustände / Screenshots exportiert!
• Import mit neuen Hyper-V IDs - siehe Auswahl (3 Optionen) am Anfang (unterste Auswahl)
• Neue VM umbenennen - im gleich Hyper-V Manager sind doppelte Einträge! Bitte auf Datumstempel achten.
  zusätzlich optional: Snapshot löschen und danach VHDX umbenennen und VM-Eigenschaften zur VHD aktualisieren)
• Neue VM starten - VM erhält neue Windows SIDs und durchläuft OOBE
  Für die komplette Automatisierung (OOBE deaktivieren) benötigt man weitere Techniken wie eine unattend.xml Antwortdatei.

c't Special rund um das Thema:  "VM-Generator c’t-Skript erstellt Windows-VMs in Hyper-V" - Heft 20/2020 S.162 ff. (Anmeldung!) 

Special: Hyper-V TPM Export / Import bei Hyper-V-Umzug

SEHR AUSFÜHRLICH!! - IN Short:
Certs aus altem Hyper-V-Server exportieren - dann in neuem Server importieren

https://www.informaticar.net/hyper-v-vm-import-error-the-key-protector-could-not-be-unwrapped/ 

Meldung / Problem lösen: Hyper-V VM import error – “The key protector could not be unwrapped”

Topics:

• New Technology (NT)
• Editionen / Lizenzen Server 2016/2019/2022 und 2025 
• Lizenzen für Domain-Betrieb
• Installation der Server- und Client-Betriebssysteme
• Datenträgermanagement
• Infrastruktur: DHCP + Routing
• PreInstallation: Domain Controller

New Technology (NT)

Der Windows Server 2016/2019/2022/2025 ist nur in 64-Bit verfügbar (genauer: alle Versionen ab 2008 R2).

Client/Server-Betriebssystem-Familie: NT - New Technology

• NT 3.51 / 4.0 Workstation und Server;
• Windows 2000 Professional und Server (5.0); Windows XP / Server 2003 (5.1)
• Windows Vista / Server 2008 (6.0) und Windows 7 Professional  / Windows Server 2008 R2 (6.1)
• Editionen 2008 R2: Web, Standard, Enterprise, Datacenter, HPC (High Perfomance)
  Unterschiede: RAM, CPU / Kerne, Ausstattungen, CALs, Preis, Hot PnP Technik, Virtualisierungen
• ab 2012 R2 / 2016 / 2019 / 2022: (Versionen wie parallel bei den Clients 10.x.BUILDNUMMER)
  Editionen: Standard, Datacenter - Unterschiede nur bei den Virtuellen Instanzen:
  Standard: 2 vs. Datacenter: "beliebig viele" Instanzen
• ab 2016 eine modernisierte AD-Technik, die genauso in 2019 und 2022 eingesetzt wird - quasi dasselbe Active Directory!
• mit 2025 erstmals wieder eine Aktualisierung beim Active Directory!

Editionen / Lizenzen Server 2016/2019/2022 und 2025

Anm.: alle Microsoft Server ab Server 2012 R2 mit Ausrichtung auf die Azure Cloud („Microsoft Wolke“)

Standard und Datacenter Editions mit ansonsten gleichem Funktionsumfang

• Gesamtübersicht 2016 "Thomas Krenn" 
• Preissrecherche Thomas Krenn 
• Übersicht zu Windows Server 2019
• Übersicht zu Windows Server 2022
• Übersicht zu Windows Server 2025 

Aktuelle Preise werden im Seminar recherchiert und verglichen.
Übersicht Editionen bei Microsoft (ohne Preise ;-): https://www.microsoft.com/de-de/windows-server/pricing 

Standard Edition:

• nur 2 Virtuelle Server pro Lizenz;
• ca. 650 - 700 € (ohne CALs - Client Access Licenses) - [Aktualisierung Okt 2025: ca. 800 €]

Datacenter Edition:

• beliebig viele Virtuelle Server
• ab ca. 2000 - 4000 € (Empfehlung: Systeme möglichst mit HW bündeln) - [Aktualisierung Okt 2025: ca. 4000 €]

Insgesamt muss man sagen, dass ab dem Windows Server 2016 die Server von Microsoft durch eine Änderung von "Pro CPU" zu "Pro Core" Lizensierung teurer werden, aber eben auch neue und noch attraktivere Techniken bieten.

Spezielle Edition: (Anm.: kein Foundation Server mehr bei Windows Server 2016)

Essentials: 25 Benutzer und 50 Geräte, keine CALs nötig (Einzellizenz physikalisch oder virtuell); ab ca. 250 €;
Hardwarebeschränkungen: 1 CPU / 10 Core, max. 64 GB RAM; kein späterer Umzug auf "echte" Server 2016 möglich!

Weitere Spezielle Editionen: Datacenter Azure Edition 
Ausgelaufene Editionen / Historische Editionen / ggf. in Enterprise (?): Storage Server: an Hardware gebunden - also nur über OEM-Kanäle; MultiPoint Premium Server: Academic Volume Licensing

Literatur/Buch: Microsoft Windows Server 2016 - Das Handbuch - Von der Planung und Migration bis zur Konfiguration und Verwaltung; ISBN-13: 978-3960090182

"Eines ändert sich mit Windows Server 2016 nicht: die Komplexität der Lizensierung."

Zitat Thomas Joos (siehe auch Autor bei Herdt-Skripten)

TODO: aktuelle Literatur auflisten... / siehe auch andere Abschnitte

Lizenzen für Domain-Betrieb

Wir benötigen:

• Betriebssystem-Lizenzen "Server" und "Client" (OS-Lizenzen; Operating System)
• plus CALs (Client Access Licenses)

Kosten CALs: ab ca. 20-25 € möglich
[Aktualisierung Okt 2025: ca. 30 bis 40 € je nach User oder Device]

CAL - Client Access Licenses; Lizenzen modellieren nach Gerät (Device) oder Benutzern (User),
kein Einsatz eines Lizensierungsservices mehr nötig - anders als bei den Terminal Services TS/RD und den TS/RD-CALs

Kostenlose Evaluation-Versionen (180 Tage) zum Testen in eigener Infrastruktur oder VMs (siehe Seminar)

Kostenloser uneingeschränkter (> 180 Tage) Hyper-V Server 2016 / 2019 (hier natürlich nur als Core) 
Microsoft hat mit der Version Hyper-V Server 2019 die kostenlose Verteilung des OS eingestellt - es gibt leider keine 2022er Variante!

Installation der Server- und Client-Betriebssysteme

Hardware Anforderungen Windows Server 2025:
https://learn.microsoft.com/en-us/windows-server/get-started/hardware-requirements?tabs=cpu&pivots=windows-server-2025 

Begriffe: Image-basierte Installationen - Toolsammlung Microsoft für Imageerstellungen/Anpassungen:

• Klassisch: WAIK - Windows Automated Installation Kit (Toolbox: z.B. ImageX, ... - Microsoft Link)
• Nachfolger: Windows ADK (Microsoft Link)

Partitionen:

• ESP (EFI System Partition)
• MSR (MS System-Reservierte Partition - siehe Bitlocker)
• OEM-Partition
• Wiederherstellungs-Partition
• Recovery-Partition

Tool: diskpart (für cmd)

Tipp: Zugriff auf cmd während der Installation mit Tastenkombination Umschalten + F10

Stichworte: statische IP-Konfiguration, sichere Passwörter, Updates/Aktualisierungen

Anm. zu Updates: in Firma Betrieb eines WSUS Servers (Windows Server Update Service) - Nachfolger vom SUS (Software Update Service)

Datenträgermanagement

Siehe auch in anderem Abschnitt - hier für neues Datenlaufwerk - Technikbegriffe - Infos Partitionen ...

• Snap-In Console: diskmgmt.msc
• Konsolen-Tool: diskpart 
• Übung: Partitionierung/Formatierung mit NTFS  von Daten-Laufwerk E:  

Kurz-Rekapitulation zu Booten mit bootmgr und /boot/bcd (Boot Code Configuration)

Fachbegriffe:

• MBR (Master Boot Record)
• Basisdatenträger vs. Dynamische Datenträger (z.B. für Software RAID mit Windows Server)
  Zweck: flexiblere Größenänderungen und natürlich Software-RAIDs
• GPT (GUID Partition Table) Volumes - Hinweise auf UEFI (Schneller, sicherer, Booten ab 2,2 TB, 64-Bit)

Technet-Artikel (MS) "Grundlegendes zu Datenträgerpartionen"

Infrastruktur: DHCP + Routing

Wir führen eine Standardinstallation eines Windows Server 2016/2019/2022 bzw. 2025 durch:

• Grundinstallation mit einem Netzwerkadapter "Extern" für VHS BS Netz
  Anm.: bekommt per DHCP des VHS BS Netz dynamisch eine passende WAN-IP-Konfiguration für das "Internet"
  Tipp: Ethernet-Adapter mit Name WAN (Wide Area Network) umbenennen!
• Komplexes Kennwort für Standard-Admin-Konto Admininstrator: (z.B.) VhsBs2018 oder P€ssw0rd  
• Anmeldungen an Hyper-V-VM mit Tastenkombination Strg + Alt + Ende  oder über Menü Aktion der Hyper-V-VM
  statt normalerweise: Strg + Alt + Entf; Alternativ: siehe Menüleiste für die Ansicht und weitere Aktionen
• Server-Manager nutzen - Rechnername festlegen: router-17  - Alt. PowerShell: Rename-Computer
• Nach Neustart(s) - bei ausgeschalteter VM - den zweiten NIC (Network Interface Card - Netzwerkadapter) für das "Privat-Netz" einbauen
  und statische IP konfigurieren: 192.168.17.1 / 24  (also mit Subnet-Mask 255.255.255.0 )
• Adapter mit Bezeichung LAN (Local Area Network) benennen und alles mit ipconfig /all  testen!

Wichtig: immer wieder einen kontrollierenden Blick auf die geplante Struktur und die durchgeführten Installationen / Konfigurationen!

DHCP - Dynamic Host Configuration Protocol (ROUTER-17)

Wir installieren und konfigurieren auf dem Router die DHCP-Rolle für die LAN-Seite (siehe statisch konfigurierte Router-Adresse 192.168.17.1).

Konfigurationen:

• Bereich (Scope):
  192.168.17.100 - 192.168.17.150  mit Subnetmask: 255.255.255.0  
• Standard-Gateway (Router):
  192.168.17.1 
• DNS-Server:
  8.8.8.8 , 1.1.1.1 - beispielhafte öffentliche DNS von Google und Cloudflare
  Anm.: DNS aus bestehender Infrastruktur (hier: Fa. VHS BS) vermeiden; Grund: könnten sich weigern 
• DNS-Suffix: firma17.local - vorbereiten der späteren Umsetzungen im AD

Präzisierungen für DNS-Server-Konfigurationen:

• VHS BS Netz DNS (s.o. 10.100.200.1 )
• Öffentliche DNS Server (z.B. Google 8.8.8.8  oder auch Cloudflare 1.1.1.1 )
• Später: der geplante DNS-Server für firma17.local: 192.168.17.10    
  Anm.: dann Anpassung der DHCP-Konfigurationen nicht vergessen!

Wichtig.: ohne Routing im LAN ist das Internet noch nicht verfügbar!

Recherche (siehe auch TN-Nachfragen) der Bindung eines Adapters zu einem Bereich:

Anleitung: Eigenschaften DHCP IPv4 - Register Erweitert - Bindungen...
PowerShell:  Get-DHCPServerv4Binding (Online Doc Microsoft Get-DHCPServerv4Binding)

Server dann später mit statischen IPs (192.168.17.10 / .20 / .30 ) und es müssen dann auch die Konfigurationen zu Standard-GW (Router), DNS und DNS-Suffix wieder manuell konfiguriert werden!

NAT-Routing (ROUTER-17)

Wir wollen das einfache Network Address Translation Routing, wie es auch bei Ihren "Fritz-Box / Speedport" Routern zum Einsatz kommt.

Idee: die Rechner im privaten LAN werden über eine öffentlichen IP an andere Netze (meist: Internet) angebunden. Alle Rechner können gleichzeitig Anfragen an Rechner und Internet senden und das NAT-Routing schickt/adressiert diese Anfragen an die richtigen Adressen im LAN zurück:

LAN - LAN-NIC 192.168.17.1 ↔️  NAT-Routing  ↔️ 10.100.200.231 WAN-NIC - VHS BS Netz / WAN / Internet

NAT-Routing Installation über Rolle "Remotezugriff"
(Anm.: Gesamte Remote-Technik für DirectAccess / VPN kommt gleich mit)

Weiterleitung (und Rückleitung) von Paketen zwischen NICs LAN ↔ WAN:
Server ROUTER-17 verhält sich jetzt wie Ihr "DSL-Router" zu Hause

Konfiguration: über Remotezugriffs-Verwaltungskonsole - dann Rechts-Oben RRAS Verwaltung öffnen (Routing und RAS)

Wichtig: alle Maschinen (Dynamisch oder statisch) müssen das Standard-Gateway (Router) richtig eingetragen haben:
192.168.17.1 - LAN-Adapter der Maschine ROUTER-17   

Router testen

Jetzt kommt der Test, ob alle Installationen / Konfigurationen funktionstüchtig sind:

Wir  hängen den DC-17 vom Netz "Extern" auf das Netz "Privat" um (Anm.: bei ausgeschalteter VM) und starten den DC-17 neu.
Jetzt muss der DC-17 dynamische IP haben - also erste IP-Adresse aus unserm Bereich (Scope) 192.168.17.100 und die entsprechenden Konfigurationen / Optionen (s.o. DHCP).

Test wieder mit: ipconfig /all  

Ob der DC-17 jetzt auch ins "Netz/Internet" kommt zeigt uns: ping www.bahn.de    - voilá!

PreInstallation: Domain Controller

Wir installieren einen zweiten Windows Server - den späteren Domain Controller (DC) für unsere "virtuelle" Firma (siehe: Installation Router).

Solange wir noch keinen funktionsfähigen DHCP-Services in unserem (virtuellen) LAN haben, installlieren wir uns den DC einfach mit einem Netzwerkadapter mit "Extern"-Anschluss oder mit "Default Switch" und Grundkonfiguration - also Netzwerkkonfiguration automatisch - per DHCP - holen.

Auch hier bitte wieder die wichtigsten Infos überprüfen und der Maschine den geplanten Hostname (hier: DC-17 ) konfigurieren und Neustarten.

Jetzt haben wir alle nötigen Netzwerkstrukturen geschaffen, damit wir unsere Übungsfirma / Übungsdomäne firma17.local komplettieren können.

Topics:

• Rekapitulation Übungsdomäne
• Arbeitsgruppe vs. Domäne
• Benutzerkonten / Authentifizierungen / SAM
• DC-Ausfall
• Fachbegriffe Active Directory Domains
• Domain Controller für (virtuelle) Trainingsdomäne
• DNS - Domain Name Service
• Reverse Lookup Zone
• Active Directory - Benutzer und Gruppen (dsa.msc)
• Windows Client in Domäne aufnehmen
• A-G-DL-P Regel

Rekapitulation Übungsdomäne

Ausführliche Rekapitulationen, ggf. TN-Fragen

Anm.: TN bekommen Infos und digitale Unterlagen zur Dokumentation

Arbeitsgruppe vs. Domäne

Anm.: Zuweisung zu Arbeitsgruppen / Domains in Windows stellt nur Hierarchien/Ordnungen zur Verfügung;
Das hat nichts mit der Netzwerkfunktionalität zu tun!

Anmeldungen können "lokal" oder "am Server" durchgeführt werden:
die Technik heißt immer SAM (Security Account Management) und den Vorgang nennt man Authentifizierung.

WICHTIGE Erkenntnis: die Benutzerprofile liegen standardmäßig immer auf der lokalen (also genutzten) Client-/Workstation-Maschine!

Benutzerkonten / Authentifizierungen / SAM

Konten und Ameldungen:

• lokal (auf PC) und
• zentral (global für Domäne auf DC)

Die Infos können mit diversen Tools (siehe PowerShell) hinterfragt und erläutert werden (siehe whoami /all )

Anmeldungen technisch: Authentifizierungen (engl. authentication)
Klassische Umsetzungen mit Benutzername + Passwort / moderne Varianten verlangen nach MFA (Multi-Faktor-Authentifizierung - bzw. 2FA).

Technik: Smartcards, Biometrie, 2-Faktor-/Multi-Faktor-Authentifizierungen

Fragestellung für die Analyse von Berechtigungen und Co:
Gegen welches Account-Management (SAM - Security Account Management; quasi "Kontendatenbank") werden Authentifizierungen geprüft/gestellt?
Wieder im System mit whoami erklären.

Lokale Anmeldungen: 
client-17\joebadmin  mit lokalem SAM auf Maschine client-17

Anmeldungen an Domäne: 
firma17\joestandard  mit SAM auf DomainController (z.B. DC-17 als Domänencontroller für firma17.local)

Anm.: wenn ein Konto einmal an der Domäne authentifiziert ist, dann lassen sich die Domänenkonten auch "offline" (z.B. in der Bahn / im Flieger ;-) weiter nutzen. Dann wird für die Anmeldung (Authentifizierung) die lokal gespeicherte (gecachete) Authentifzierung im lokalen SAM genutzt (genauer: im Security\Cache). Einschränkungen: Gruppenrichtlinie fordert ein explizites Login am DC; Anforderungen hinsichtlich Passwort (LocalMachine oder GP) verlangen einen Password-Wechsel.

DC-Ausfall

Wichtig - Problematik SPoF (Single Point of Failure)

• Redundanz für Dienst "Active Directory Domain Service - AD DS":
  zweiter Domain Controller (alter/klassischer Begriff: Backup-DC)
• Redundanz für Dienst "DNS":
  DNS im AD replizieren bzw. vollständige sekundäre Zone auf zweitem DNS-Server

Fachbegriffe Active Directory Domains

LDAP (Lightweight Directory Access Protocol)
abgespeckte Version des Mainframe-IBM-Protokolls X.500

DNS, DHCP, DDNS
Domain Name Service, Dynamic Host Configuration Protocol, Dynamic DNS (Zusammenarbeit des DHCP mit dem DNS-Server)

AD DS (Active Directory Domain Service)
Active Directory Domänendienste (siehe Rolle über Server-Manager)

Domäne (engl. Domain)
als Dreieck-Symbol in Dokumentationen; Organisationsstruktur für diverse Objekte (Benutzer, Gruppen, Drucker, Freigaben, ...)

DC (Domain Controller)
Domänencontroller; Anm.: bitte für Ausfallsicherheit/Redundanz sorgen - 2. DC (klass.: Backup Domain Controller - BDC)

Client (genauer hier: AD-Client)
Maschine, die in die Domäne aufgenommen wurde (Windows 11 Pro, Windows Server, ...)
Diese Rechner werden standardmäßig im AD-Container "Computer" auftauchen.

Mitgliedsserver
Wenn man eine Windows Server 2016 Installation als "Client" in die Domäne aufnimmt!

Replikation
Synchronisierung von AD-Eigenschaften in der Domäne über die verwaltenden Controller
Anm.: kann Minuten aber in WAN-Strukturen auch viele Stunden dauern; kann mit Tools (AD-Konsolen; klassisch: repadmin; aktuell: Active Directory Replication Status Tool adreplstatus) manuell angestoßen werden

Domänenstamm (engl. Tree):
Domänenstruktur mit Sub-Domains (z.B. verwaltung.firma17.local )

Gesamtstruktur (engl. Forest):
die vollständige Grundstruktur für auch mehrere Domänenstämme oder aber zu Beginn nur eine Stammdomäne (erste Domäne in neuer Gesamtstruktur)

Funktionsebene (engl. Functionlevel):
technologische Umsetzung mit Orientierung/Technik der Windows Server Varianten: 2008, 2008 R2, 2012, 2012 R2 bis 2016
Anm.: FL 2016 auch für den Windows Server 2019 (!)

Betriebsmasterrollen (Link) - engl. FSMO-Rollen genannt (Flexible Single Master Of Operation, flexibler Einzelbetriebsmaster)
einmalig auf Domänen-Controller der Gesamtstruktur: Schema-Master, Domänennamen-Master
einmalig auf Domänen-Controller in jeder Domäne: PDC Emulator, RID Master, Infrastruktur Master
diese Konfigurationen lassen sich über die "Active Directory Benutzer und Computer" und "Active Directory Vertrauensstellungen"
oder können über cmd, PowerShell analysiert (netdom query fsmo) und verändert werden.

Migration: (siehe: Link 1, Link 2 E-Book , Anleitung Joos IP-Insider )
z.B. ein "Umzug" einer Server 2012 R2 basierten Domäne auf Techniken umgesetzt mit Windows Server 2016
quasi ein "Upgrade" für Domänen - technisch eine sehr spezielle und komplexe Umsetzung, die ausgiebige Analysen und Kenntnisse verlangt.

Domain Controller für (virtuelle) Trainingsdomäne

Die DCs erhalten immer eine statische IP: 192.168.17.10 / 24   
mit DNS 10.100.200.1 (DNS aus VHS BS Netz für Internet Names) oder alternativ 8.8.8.8  (Google Public DNS) oder 1.1.1.1  (Cloudflare DNS)
und Standardgateway: 192.168.17.1 (für Routing)

Über Server-Manager die nötige Software (Rolle: Active Directory Domänendienste - AD DS) installieren!
Anm.: AD DS (Active Directory Domain Service; eingeführt mit Windows 2000 Server) der "Nachfolger" von NTDS (New Technology Directory Services); siehe hierzu auch gleichnamige Ordnerstrukturen im DC (C:\Windows\NTDS )

Die Maschine DC-17 (192.168.17.10 / 24) zu Domänencontroller für Domäne firma17.local promoten.
Anm.: ehemaliges/klassisches Tool: dcpromo  

Wir bekommen eine

• neue Gesamtstruktur firma17.local (engl. Forest)
• mit erster Stammdomäne firma17.local .

Den für AD DS nötigen DNS-Server lassen wir gleich mitinstallieren!

Wichtig: alle Einstellungen natürlich wieder intensiv vor und nach den DC Heraufstufungen checken!
Anm.: der DC stellt sich selbst (IP 127.0.0.1 bzw. ::1) als DNS-Server in seiner IP-Konfiguration ein.

Erste Erkundungen (nach Neustarts) von Rollen AD DS und DNS (im Server-Manager).

DNS - Domain Name Service

Wichtiges Grundverständnis:

Ohne eine Forward-Lookup-Zone für unsere neue Firmendomäne geht bei Active Directory gar nichts!

Technische Erlätuterng zu Forward Lookup Zone: 
der DNS löst  aus Maschinenname dc-17 (bzw. Fully Qualified Domain Name - FQDN: dc-17.firma17.local. ) die zugehörige IP-Adresse auf (hier: 192.168.17.10 ).

Die Reverse-Lookup-Zone für die Domäne ist noch nicht konfiguriert. Für eine Firmennutzung sollte später diese Zone noch eingerichtet werden (siehe z.B. Mailserver; andere Intranet-Server). Dann kann der DNS uns für eine IP-Adresse den FQDN auflösen!

Erinnerung: Testwerkzeug für DNS-Funktionalität nslookup  (meist als interaktives Werkzeug)

Reverse Lookup Zone

Installation einer Reverse-Lookup-Zone 17.168.192.in-addr.arpa

Also Reverse-Auflösungen für alle IPs in Subnetz 192.168.17.0 / 24   

Die Reverse Lookup Zone ist nicht zwingend für die Funktionalität AD DS nötig, aber sehr sinnvoll für alle weiteren Nutzungen und Strukturen im Firmennetz (Beispiele: Mailserver / Exchange)!

Anm.: mehr Erläuterungen zu nslookup, DNS und Co im Seminar "Netzwerk- und Internettechnik"

Active Directory - Benutzer und Gruppen (dsa.msc)

Klassische Management-Console (*.msc) erkunden - Standard-Container:

• Builtin
• Computers
• Domain Controllers
• Users

Hinweis: für alle neuen Objekte (Benutzer, Gruppen) werden OUs (Organizational Units - Organisationseinheiten) erstellen!

Bitte keine neuen Objekte in den Standard-Containern anlegen!

Organisationeneinheiten (OUs) ermöglichen die Organisation von AD-Objekten z.B. nach Firmenstruktur (Lager, Verwaltung, ...) und zusammen mit Gruppenrichtlinien die Konfigurationen von Maschinen und Benutzern in diesen OUs.

Windows Client in Domäne aufnehmen

Übungen: Installation eines "Windows 11"-Client für unser virtuelle Übungsfirma.
Standardbenutzer in Domänen anlegen und auf "Client" nutzen...

Analyse der neuen Windows-Client Installation (hier: client-17 ):

• Hostname checken und sauber konfigurieren
• mit ipconfig /all die Netzwerkinstallation checken
• mit nslookup die Namensauflösung für firma17.local checken

Bei letztem Test fällt auf, dass durch die Verteilung von DNS-Servern wie 10.100.200.1 (statt dem nötigen neuen AD-DNS-Server auf DC-17) durch unseren aktuellen DHCP-Server keine Namensauflösung für firma17.local gelingen kann. Das muss aber funktionieren, damit wir bei die Aufnahme des Rechners in die Domäne firma17.local durchführen können.

Also: Rekonfiguration des DHCP-Servers router-17 mit der richtigen DNS-Server Verteilung (jetzt: 192.168.17.10 ) und gleich noch den Domänennamen firma17.local per DHCP verteilen lassen, was später Namens-Auflösungen und -Nutzungen im Intranet erleichtert.

Anm.: für die Änderungen der Systemeigenschaften "Computername - in Domäne statt Arbeitsgruppe" benötigt man lokale Adminrechte. Für die Aufnahme in der Domäne muss man sich als "authentifizierter Benutzer" ausweisen - das könnten tatsächlich auch Domänen-Benutzer-Konten leisten (genauer: das ist 10-mal möglich).

Gruppenübung mit Fertigstellung aller Domänenmitgliedschaften für alle installierten Systeme.
Immer wieder: Einsatz von Testwerkzeugen (ping, ipconfig, nslookup)!

Fachbegriff: Mitgliedsserver, wenn man eine Windows Server 2016/2019 Installation als Client in die Domäne aufnimmt!

A-G-DL-P Regel

Kurzdarstellung:
siehe auch Analyse der Standardkonten für Benutzer und Admins im AD und auf dem Client (lusrmgr.msc - Lokale Benutzer- und Gruppenverwaltung)

• A ccounts (AD-Benutzerkonto) - Mitglied von
• G lobal Group (Globale Gruppen) - Mitglied von
• D omain L ocal (Lokal in Domäne) - führt zu
• P ermissions (Berechtigungen)

Übung: Analyse der Benutzerrechte auf den Clients für Domänen-Benutzer und Domänen-Admins

Tipp / Wichtig / Best Practise:

Immer werden Accounts (Konten) Mitglieder in Globalen Gruppen! Bitte nie die Mitgliedschaften direkt in den Domain Lokalen Gruppen oder auch später bitte keine einzelnen Benutzerkonten bei Berechtigungen für Freigabe/NTFS eintragen!
Also: immer Globale Gruppen definieren und Mitgliedschaften konfigurieren. Dann die (Globalen) Gruppen für Berechtigungen, Freigabe oder andere Gruppenzugehörigkeiten nutzen.

Topics:

• Benutzerkonzepte: Admininstrator vs. Standardbenutzer
• AD-Gruppen
• AD-Benutzer
• Benutzerprofile
• Freigaben

Benutzerkonzept: Computeradministrator vs. Standardbenutzer

Erinnerung / IT-Grundgesetz - für jedes Betriebssystem gilt: die tägliche Arbeit als "normaler User" und die administrativen Tätigkeiten als "Admin"

Bei unseren Windows Betriebssystemen ergibt sich folgende Gegenüberstellung

Bei den Windows Pro/Enterprise Varianten kann man mit speziellen Gruppenzugehörigkeiten (z.B. Gruppe Netzwerkkonfigurations-Operatoren) für Benutzer zusätzliche Berechtigungen ermöglichen - Übungen zu Benutzern und Gruppen folgen...

Das Betriebssystem sieht die Benutzer- und Gruppenobjekt in Form von Security Identifiers (SID):

C:\Users\joestandard>whoami /all

BENUTZERINFORMATIONEN
---------------------

Benutzername SID
================== ==============================================
pc17\joestandard   S-1-5-21-1050434216-2544497520-1104811520-1002
...

hier: Aufruf in cmd mit Befehl whoami /all  ; so kann man die Konten/Objekte auch umbenennen.

Wichtig: gelöschte SID (also Objekte) können nicht einfach wiederhergestellt werden!

Passwort ändern (Benutzer: Strg + Alt + Entf - Passwort ändern); im AD als Admin "Kennwort festlegen"

Mehr dann in den folgenden Übungen...

AD-Gruppen

Gruppentypen:

• Sicherheit
• Verteilung

Nutzung: Sicherheitsgruppe - die "Standard"-Globale Gruppe
Alternativ: Verteilung (etwas für Maillisten und Co)

Gruppenbereiche:

• Lokal (in Domäne)
  Siehe Standardverdrahtungen von Benutzern Administrator oder Standardbenutzerkonten
  Wirkung: Zuweisung von Berechtigungen auf Ressourcen
• Global 
  Standardgruppenbereich - Kapselung gewünschter User von einer Domäne
• Universal
  über mehrere Domains hinweg

In letzter kann man also auch Benutzer und Gruppen aus anderen Domänenstämmen und Gesamtstrukturen aufnehmen.

AD-Benutzer

Mit AD-Benutzer und Computer (dsa.msc) kann man neue AD-Objekte anlegen und nach Plan verdrahten.

Übungsszenario: Außendienstmitarbeiter mit Notebook

Ausführliche Übungen für TN:
Benutzer firma17\joestandard soll bei Notebook client-17 dessen Netzwerk konfigurieren dürfen!

1. Benutzer joestandard in OU anlegen oder bereits vorhanden (wie immer in einer OU nach Wahl)
2. Neue Globale Gruppe "Netzwerker" erstellen
3. Benutzer joestandard zu Mitglied machen von Globaler Gruppe "Netzwerker"
4. in der Lokalen Benutzer- und Gruppenverwaltung von PC17 bei Lokaler Gruppe Netzwerkkonfigurations-Operatoren die Gruppe "firma17\Netzwerker" zum Mitglied machen (Anm.: nötige Rechte für Bearbeigung der lusrmgr.msc - Lokale Benutzer und Gruppen)

Dadurch ergeben sich folgende Mitgliedschaften:
Useraccount joestandard Mitglied von Globaler Gruppe Netzwerker
-> Netzwerker sind Mitglied der Lokalen Benutzergruppe Netzwerkkonfigurations-Operatoren von client-17 

Wichtig also: die Mitgliedschaft einer Globalen Gruppe (hier Netzwerker) zur client-17 Lokalen Gruppe Netzwerkkonfigurations-Operatoren (und nicht etwa beim DC).

Anm.: das ist dann bei Terminal Server / Remotedesktopdiensten später dasselbe Vorgehen:
man muss dann wieder die User für die Remotedesktop-Nutzungen in die Lokale Gruppe Remotedesktopbenutzer des Terminal Servers "packen".
Bei den Umsetzungen mit Hyper-V-VMs ist diese Umsetzung ebenfalls wichtig, wenn man die erweiterten Sitzungseigenschaften einer Hyper-V-VM nutzen möchte (ideale Auflösungen, Sound-Unterstützung, Copy & Paste, ...)

Tipp/Übung:
Das Zuordnen der Gruppenzugehörigkeit auf den Clients kann man später auch zentral organisieren/automatisieren (sieheGruppenrichlinien) - falls man das mal bei sehr vielen PCs/Laptops/Usern machen müsste!

Benutzerprofile

Profil-Typen:

• nach Ort:
  lokal (local), servergespeichert  (serverbased)
• nach Eigenschaft:
  veränderlich, verbindlich (mandatory)

Wichtig: jeder Benutzer arbeitet an seinem PC/Client immer mit einem "Veränderlichen und Lokalen Benutzerprofil"

Klassische Alternative: servergespeichertes Benutzerprofil (serverbased profile) - siehe Profil-Kontenblatt des Benutzers
Anm.: so müssten aber heutzutage Gigabyte-große Benutzerprofile synchronisiert werden!

Datei: ntuser.dat  - benutzerspezifischer Registrierdatenbankteil
Ein Profil als unveränderlich (mandatory) konfigurieren: ntuser.dat umbenennen in ntuser.man   (mandatory profile)

Die Lösung mit servergespeicherten Profilen führte zu massiven Problemen bei immer größer werdenden Benutzerprofilen!
Lösung: nur die variablen und interessanten Teile des Benutzerprofils auf einen Server umleiten (Roaming Profiles). Diese Ordnerstrukturen dann als Offline Ordner auf den Clients pflegen und clever mit den Serverfreigaben synchronisieren bzw. als moderne Offline-Ordner (unterwegs) nutzen.

Analyse der Verzeichnisstrukturen unsere Windows Installationen und der Benutzerprofile:
C:\Users - Anm.: Ordner Benutzer im Windows Explorer "nur eingedeutscht"

Technik für Aufruf / Anzeige / Analyse: Eingabeaufforderung (cmd) mit Befehl  dir /a   (alles im Verzeichnis anzeigen lassen)
So erkennt man:
"Dokumente und Einstellungen" ist eine Junction (Abzweigung) zu C:\Users  (Tool: mklink /? - seit Windows 2000 dabei!)

Anm.: das erklärt "Fehlermeldung" bei Doppelklick, da ein Doppelklick nur auf Dateien, Ordner oder einfache Links/Verknüpfungen "funktioniert".

Benutzerprofil  C:\Users\%username%  (Anm.: Variable für Benutzername!)
Hinweis auf Ordnerstrukturen und Junctions, SymLinks zu Ordnern (symlinkd)

Besonderes Interesse: C:\Users\%username%\AppData  mit Unterordnern Local, LocalLow und Roaming
Der Ordner .\AppData\Roaming  wird uns bei unseren Übungen zu den "Roaming Profiles" wieder begegnen (siehe Ordnerumleitung AppData (Roaming) ).

Freigaben

Berechtigungen bitte immer ohne Freigabe-Assistent erstellen! (Herdt-Skript W2016N S. 182 unten)
Windows Explorer konfigurieren: Organisieren - Ordner- und Suchoptionen - Register Ansicht - Freigabe-Assistent deaktivieren

Freigaben kennen nur drei einfache Berechtigungen:

• Vollzugriff
• Ändern
• Lesen

Erläuterung / Erklärung zu Security-Principal (Spezialgruppe) Jeder:
Jeder / Lesen - hier ist wieder "Jeder Berechtigte" gefragt, also die AD-Benutzerkonten plus die Domänenbenutzer, denen meine Domäne vertraut! Siehe: Active Directory-Domänen und -Vertrauensstellungen

Syntax bei Freigabenamen: Freigaben mit $ am Ende sind "versteckt"

Administrative Freigaben C$, E$; Erinnerung an Auflistung in cmd mit net share  

DFS - Distributed File System

[Wikipedia] Das Distributed File System (DFS, englisch für Verteiltes Dateisystem) von Microsoft ermöglicht es, im Rechnernetz verteilte Verzeichnisse zu Verzeichnisstrukturen zusammenzustellen. Die Verzeichnisse können sich auf unterschiedlichen Datenspeichern befinden und erscheinen Benutzern dennoch als geschlossene Struktur. 

Topics:

• DHCP Server autorisieren
• Active Directory Verwaltungscenter
• BPA (Best Practice Analyzer)
• Administrationen per Ferne (Remote Administration)
• Verbindungsproblem Server-Manager

DHCP Server autorisieren

Plan: Wir wollen den router-17 in Domäne aufnehmen, um von DDNS (Dynamic DNS:  "Zusammenarbeit" von DHCP mit DNS) zu profitieren und den Router auch über einen Windows Server-Manager sauber mitverwalten zu können.

Anm.: hierfür muss - wieder (!!) - die Namensauflösungen für firma17.local funktionieren!
Also: DNS LAN-Seitig auf 192.168.17.10 konfigurieren und mit nslookup testen!

In der Domäne muss sich ein solcher DHCP-Server erst einmal als offiziell ausweisen: DHCP autorisieren!
Anm.: autorisierendes AD-Konto muss mindestens zu den Organisations-Admins gehören.
Also: AD-Konto nutzen und bitte nicht den lokalen router-17\Administrator.

Active Directory Verwaltungscenter

Engl.: ADAC (Active Directory Administrative Center)

Neues Tool zur AD-Verwaltung; blendet alle Objekte des Active Directory standardmäßig ein

ADAC ermöglicht Zugriff auf die entsprechenden PowerShell Aufrufe zur Durchführung in der neuen Befehlszeile für Microsoft Betriebssysteme.

Hinweis: neue Benutzerkonten ohne Passwort sind immer deaktiviert!

Tipp für dsa.msc (Active Directory Benutzer und Computer): Ansicht - Erweiterte Features aktivieren, damit sich auch "vor versehentlichem Löschen" geschützte Objekte löschen lassen.

Im Seminar führen wir praktische Übungen zum ADAC durch und verschaffen uns einen kleinen Einblick in die Welt der PowerShell Cmdlets.

BPA (Best Practice Analyzer)

Von den Vorschlägen zu Systemverbesserungen im Server-Manager profitieren:

• erst Leistungsindikatoren starten (über Server-Manager)
• dann per PowerShell (mit Admin-Rechten): Get-BpaModel | Invoke-BpaModel 

Anm.: ggf. diverse "gelbe/rote" Warnungen/Fehler können ignoriert werden

In der AD DS Serververwaltung findet man jetzt BPA Einträge:

• Alle OUs vor versehentlichem Löschen schützen (Warnung)
• Hinweis (Fehler) auf NTP / Zeitserver - Stichwort: PDC Betriebsmasterrolle
• gewünschter 2. Domaincontroller - Stichwort: Redundanz (sehr wichtig!)
• Hinweis auf Besonderheiten, da DC auf VM läuft

Anm.: die Best-Practice Vorschläge analysieren/verstehen!

Administrationen per Ferne (Remote Administration)

Übersicht für Umsetzungen auf Windows Clients und Mitgliedsservern:

RDP / Remote Desktop

klassischer Begriff: Terminal Service - nicht mehr für mehrere, gleichzeitige Zugriffe geeignet (Anm.: ohne komplette RD-Server Rolle: Remotedesktopdienste)

RDP-Server aktivieren auf gewünschtem "Server": Win + Pause - Remoteeinstellungen - RDP aktivieren
Standard: nur Admins haben RDP-Zugriff, gerne aber auch User in der lokalen Gruppe Remotedesktopbenutzer des gewünschten "Servers" (kann auch Win10-Client sein!)
Software: mstsc  (Microsoft Terminal Service Client)

RSAT - Remoteserver Verwaltungstools (Remote Server Administration Tools)

inklusive Server-Manager und allen Verwaltungstools (z.B. dsa.msc - Active Directory Benutzer und Computer) auf Windows Client

• Server 2016/2019/2022 und 2025:
  über Server-Manager Verbindung zum entsprechenden DC (z.B. DC-17, ROUTER-17) herstellen und ggf. die nötigen Features (Remoteserver Verwaltungstools fü DHCP und Co) nachinstallieren
• Windows Client: RSAT
  [ALT: RSAT downloaden (aktueller "heutiger" Link) und installieren des "passenden Windows Updates - *.msu"
  Download (z.B): WindowsTH-RSAT_WS_1803-x64.msu ]

Ab Windows Version 1809 werden die RSAT-Tools als "Optionale Features" direkt bereitgestellt: siehe wieder "Link zu RSAT-Tools" - Features on Demand 

Natürlich kann die Bereitstellung auch mit der PowerShell erfolgen:
Get-WindowsCapability -Online | Where-Object { $_.Name -like "*rsat*" -and $_.State -eq "NotPresent" } | Add-WindowsCapability -Online  

Für die Bereitstellung der RSAT-Tools sollte etwas Zeit eingeplant werden. Von der Komplettinstallation aller RSAT-Tools via obigem PowerShell Oneliner muss ich daher leider in Seminarumgebungen abraten. Dort gehe ich einfach als Admin eines Windows Client auf die Optionalen Features und installiere manuell die 4-5 RSAT Tools, die wir im Seminar nutzen wollen.

Windows Admin Center

Die moderne (browsergestützte) Administratitionsoberfläche - auch als zentrale Gateway-Lösung in der Firma einsetzbar!
Verschiedene Enterprise-Firmen (HP, Lenovo, Dell, Fujitsu) bieten Extensions für Ihre eigenen Server-Technologien über das Admin Center an.

Das Installationspaket (*.msi) muss aus denselben Portalen wie die Eval-Versionen heruntergeladen werden und benötigt somit einen Live-Account von Microsoft.

• Windows Admin Center Portal Link 
• Windows Admin Center Dokumentation Link 
• Windows Admin Center Download Link  

Ausführliche Übungen im Seminar - inklusive Nachinstallation von Extensions zur Pflege des AD, DNS, DHCP, ...

PowerShell

Remote Sessions und WebAccess - zeige ich in PowerShell Seminaren
Die PowerShell Remote Sessionen können auch über den Server-Manager mittels Kontextmenü auf verwaltete Server geöffnet werden!

Andere technischen Umsetzungen:

• Fremdsoftware - wie Teamviewer & Co
• MMC (mit Windows Management Interface - WMI): "Auslaufmodell" 

Verbindungsproblem Server-Manager 

Mit dem Windows Server 2025 zeigt sich beim Verbinden mit anderen Server manchmal ein Fehler, der die Verbindung scheitern lässt. Hier eine beispielhafte Meldung: "Fehler ROUTER-18: Fehler beim Aktualisieren der Konfiguration: Der WS-Verwaltungsdienst kann die Anforderung nicht verarbeiten. Die berechnete Antwortpaketgröße (517179) überschreitet die maximal zulässige Umschlaggröße (512000)."

Hier sind anscheinend Paketgrößen definiert, die von moderner Servertechnik überschritten wird.
Siehe beispielhafte Recherchen und Lösungen:

• https://www.frankysweb.de/community/diverses/server-manager-fehler-beim-datenabruf-bei-upgedateten-servern/ (Registry)
• https://www.sven-stromann.de/fehler-beim-datenabruf-im-server-manager/ (PowerShell WS Command)

[Status Dez 2025] Mit der PowerShell-Lösung aus Quelle "Sven Str..." den Fehler behoben:

Set-WSManInstance -ResourceURI winrm/config -ValueSet @{MaxEnvelopeSizekb = "550"}  

Den Aufruf auf den beteiligten Servern durchführen. In Vorseminaren hatte ich die Registrylösung genutzt, die ebenfalls funktionierte.

Topics:

• Einführung Gruppenrichtlinienobjekte
• Gruppenrichtlinienobjekte (Group Policy Objects - GPO)
• Übungen mit Gruppenrichtlinien
• Große Übung GPO: Roaming Ordner

Einführung Gruppenrichtlinien (Group Policies)

Lokales Beispiel für Richtlinien auf DC: secpol.msc (Lokale Sicherheitsrichtlinie) aufrufen:
Verwaltung - Lokale Sicherheitsrichlinie - Kennwortrichtlinien -> alles GRAU/unbearbeitbar - ist eben alles Lokal!

Einstellungen ändern mittels Gruppenrichtlinienverwaltungs-Konsole:
gpmc.msc -  Group Policy Management Console - Bearbeiten mittels Rechte Maus (gpedit.msc - GP Editor):

Übung: Ändern der "Default Domain Policy" - Anpassen der Kennwortrichtilinien

Default Domain Policy - Computerkonfiguration - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Kontorichtlinien - Kennwortrichtlinien

Wichtige cmd-Tools für die GPOs:

• gpupdate /force  (Erzwingen der Richtlinienaktualiserung für Computer und Benutzer)
• dcgpofix  (Wiederherstellen von Default Domain und/oder Default Domain Controllers Policy)
• gepresult oder auch rsop.msc (erstellen Analyseberichte über die angewendeten Policies auf Client)

Gruppenrichtlinienobjekte (Group Policy Objects - GPO)

Die GPOs sind in der Management Konsole unter Gruppenrichtlinienobjekte zentral organisiert (Gruppenrichtlinienverwaltung - gpmc.msc ) und dann als Verknüpfungen den jeweiligen Objekten zugewiesen.

In der Gruppenrichtlinienverwaltung stehen darüber hinaus graphische Analyse- und Modellierungswerkzeuge für spätere intensive Beschäftigungen mit Gruppenrichtlinien bereit.
In der Konsole gibt es das Tool rsop.msc (Resultant Set of Policies - Richtlinienergebnissatz) für die Zusammenfassung der Richtlinien auf den Clients.

GPOs werden mit dem Group-Policy-Editor bearbeitet ( gpedit.msc ). Es wird nicht gespeichert. Im Grunde handelt es sich um Registry-Tweaks. 

Diese Konfigurationen sind nicht in "Sekundenschnelle" AD-weit verfügbar. Auch ohne Replikationspartner (siehe 2. DC/BDC) benötigt das AD eine gewisse Zeit für die saubere Verarbeitung von neuen Richtlinien. Dazu kommen noch Besonderheiten wie die Ausführungsrichtlinien für (PowerShell) Skripte, die als Standard eine verzögerte Ausführungen nach GP-Client-Anmeldung vorsehen (Standard: 5 min - siehe GP "Anmeldeskriptverzögerung konfigurieren" bei Computerkonf. - Richtlinien - Adm. Vorlagen - System - Gruppenrichtlinie).

Group Policy Objekte (GPOs) bestehen aus zwei Teilen:

• Computerkonfiguration (machine)
  wird beim Starten der Maschine gelesen
• Benutzerkonfiguration (user)
  wird beim Anmelden des Benutzers gelesen - stehen unter einer Freigabe über DCs im Netz zur Verfügung

Erzwingen der Computer-/Benutzer-Policies: gpudate /force 
Anm.: bei Computer-Policies ggf. mit Fehlermeldungen je nach verlangten Richtlinien

Zielobjekte für GPOs:

• Gesamtstruktur
• Domäne
• DCs
• Standorte
• OUs bzw. UnterOUs

GPO-Optionen:

• nicht konfiguriert
• aktiviert
• nicht aktiviert

Optionen geben dann mit Vererbung über die Hierarchien Sinn (z.B. verschachtelte OUs).

Die Richtlinien (und Skripte) auf einem System werden in einer klar definierten Reihenfolge abgearbeitet: 
https://learn.microsoft.com/de-de/windows-server/identity/ad-ds/manage/group-policy/group-policy-processing 

• Das lokale GPO wird angewendet
• GPOs, die mit Standorten verknüpft sind, werden angewendet.
• GpOs, die mit Domänen verknüpft sind, werden angewendet.
• GPOs, die mit Organisationseinheiten (OUs) verknüpft sind, werden angewendet.
  In einer verschachtelten OU-Struktur werden GPOs, die mit übergeordneten OUs verknüpft sind, zuerst angewendet, gefolgt von GPOs, die mit den untergeordneten OUs verknüpft sind.

Speicherort (Harddisk des DC): C:\Windows\SYSVOL\sysvol\seminar.local\policies 
bzw.: C:\Windows\SYSVOL\domain\policies   mit ...\domain\ als Verknüpfung  /Link / Junction

Die Resource findet sich natürlich über die Standard-Freigaben eines Domänencontrollers im Netz.

Übungen mit Gruppenrichtlinien

Mit Hilfe von Gruppenrichtlinien lassen sich Tausende von Konfigurationen an Maschinen und in Benutzer- und Software-Umgebungen realisieren - bitte auswendig lernen 😉.

Beispielhafte GPO-Idee:
Anzeigeoptionen für Benutzer einer OU deaktivieren - ein Klassiker aus den Tagen ohne Virtualisierungen / Hyper-V

Anm.: bei Umsetzungen mit Hyper-V-VMs die Nutzung von einfachem Sitzungsmodus (also nicht Erweiterter Sitzungsmodus) beachten oder eben Übungen mit anderen GPO-Konfigurationen.

Policy: Benutzerkonfiguration - Richtlinien - Administrative Vorlagen - Systemsteuerung - Anzeige - Einstellung: Systemsteuerungsoption "Anzeige" deaktivieren

Anm.: die Aktualisierung der GPO kann auch ohne Neuanmeldung mittels gpupdate /force  auf Client "erzwungen" werden!

Weitere GPO-Ideen: Im Seminar werden unterschiedliche praktische GPO-Umsetzungen nach Anleitung durchgeführt

• Lokale Gruppenzugehörigkeiten automatisieren: (Übungen im Seminar)
  Remotedesktopbenutzer (für RDP/Hyper-V)
  Netzwerkkonfigurations-Operatoren (für Mitarbeiter auf Montage)
• Softwareverteilung per GPO - eine von vielen technischen Umsetzungen mit Windows Boardmitteln
  https://learn.microsoft.com/de-de/troubleshoot/windows-server/group-policy/use-group-policy-to-install-software
  https://www.inwerken.de/softwareverteilung-mit-windows-bordmitteln/ 
  Fremdanbieter Enterprise: Baramundi, PDQ, ...
• Wallpaper (Hintergrundbild Desktop) und/oder Login/Lock-Screen Hintergründe anpassen
  passende Pics bei Trainer-Downloads - Anleitung Microsoft:
  https://learn.microsoft.com/en-us/windows/configuration/background/?tabs=gpo&pivots=windows-11 
• Erweiterung GPOs über ADMX Templates für z.B. Mozilla Firefox Konfigurationen
  Links: Mozilla Support GPO -  GitHub Mozilla GPO Releases - Mozilla Firefox Enterprise Support  
  Hinweis auf Ordner "PolicyDefinitions" und die Nutzung eines "Central Store" für das Verteilen der Policies auf mehrere Server in der Domäne.
• and the list goes on and on ....

Und manchmal recherchieren wie einfach nach spannenden GPOs (oder Trainee-Themen) und versuchen unser Glück.

Eine besondere Herausforderung sind Umsetzungen für GPOs, die andere Umsetzungen wie Netzwerkfreigaben und Berechtigungen verlangen. Das führt uns zu einem meiner Lieblingsthemen: den Roaming Profiles Folders.

Große Übung GPO: Roaming Ordner

Vorbereitung von Gruppenrichtlinie für Ordnerumleitungen: bei den folgenden Berechtigungen immer eine Globale Gruppe für Berechtigungen nutzen!

Beispiel mit Profilordner Desktop oder Documents

Plan / GP-Entwurf

Gruppenrichtlinie für Ordnerumleitungen konfigurieren - hier:
Eigene Dokumente - C:\Users\%username%\Documents ) auf einen Ordner auf "Datei-Server" umleiten

Erinnerung: Deutsches Webportal zum Thema Gruppenrichtlinien (mit Tipps, Tricks, Übersichten)

Hier jetzt die praktischen Umsetzungen:

Active Directory / Einstellungen zu Ordner auf DC

Active Directory:
wir wollen wieder sauber mit eigens konstruierter Globaler Sicherheitsgruppe arbeiten

Neue OU  roamers mit neuem Benutzer  joeroamer und
Gruppenzugehörigkeit (Mitgliedschaft) zu neuer Globaler Gruppe roamers erstellen

Anm./Erinnerung: bei den Berechtigungen immer eine Globale Gruppe für Berechtigungen nutzen - niemals einzelne Benutzerkonten!

Datenträger/Explorer auf "Datei-Server" (hier: DC-17 ):
Daten-LW-Freigabe: E:\roaming   erstellen und freigeben mit Freigabename roaming  und folgenden Standardberechtigungen: (Microsoft-Vorschlag / "Best Practises")

• Freigabe-Berechtigung: seminar\roamers mit Berechtigung Vollzugriff 
• NTFS-Berechtigung: seminar\roamers mit Berechtigung Ändern

Gruppenrichtlinienverwaltung:
Neues GPO roaming-documents (oder gerne GPO mit ausführlicherer Beschreibung) erstellen und bearbeiten:

GP-Editor:
Benutzerkonfiguration - Richtilinien - Windows Einstellungen - Ordnerumleitungen - Dokumente - Rechte Maustaste - Konfigurationen vornehmen
Siehe auch Extra-Register für "Exklusive Zugriffe" und "Verschieben/Behalten" von Dateien

Erinnerung: GP-Objekt roaming-documents  mit OU roamers verknüpfen (bitte nicht vergessen!)
Gruppenrichtlinien aktualisieren oder einfach einen Moment warten!

Hier eine Anleitung als Scribble aus Seminar:

Tests am Client

Neuen User seminar\joeroamer anmelden - hier existiert jetzt im Benutzer-Profil kein lokaler Ordner Documents mehr (checken mit cmd - dir)!
in Eigenschaften (Rechte Maus) von "Ordner Dokumente" sieht man den neuen UNC-Pfad: 
\\DC-17\roaming\joeroamer\Documents  

Anm.: bei den aktuellen Windows OS in Pfadzeile des Explorers oft nicht mehr erkennbar!
Technische Umsetzung auf Client: Offline-Ordner für "Eigene Dokumente" (siehe Systemsteuerung - Synchronisierungscenter - Offlinedateien)

Anm.: in Windows 10 werden entsprechende Ordner mit Zusatz-Symbol für die Offline-Sync-Technik ausgestattet

Topics:

• Systemstart
• Infos zu klassischen Anmeldeskripten
• net (Befehle)
• Druckserver
• Datenträgerverwaltung
• RAID - Redundant Array of Inexpensive/Independent Disks
• Server-Sicherung
• Bibliothek Windows Server 2012 R2 / 2016 / 2019 / 2022
• Unterlagen / Musterprüfung / Prüfungsvorbereitung

Systemstart

... eines MBR-Rechners - bei UEFI Nutzung von GPT

• Einschalten (Reset - Drücken des Einschalt-Tasters),
• BIOS (Basic Input Output System, neue Bios-Techniken: UEFI, welches BIOS-Techniken beinhaltet),
• POST (Power On Self Test)
• Bootsequenz abarbeiten - Bootmedien / Bootquellen
  Netzwerk: PXE Preboot Execution Environment / TFTP (spannendes Thema rund um WDS/ Unbeaufsichtigte Installationen, ...),
  Optische Medien: USB, CD / DVD / BD,
  klassische Datenträgermedien: HDD/SSD, Diskette
• HDD (Hard Disk Drive, oder natürlich gerne auch SSD Solid State Drive oder M.2 NVMe)
• MBR (Master Boot Record vor den eigentlichen HD-Daten-/Partitionsbereichen)
  Partitionstabelle 4 Einträge möglich: also aktive, primäre Partition finden (Gemeinsamkeit ALLER Microsoft Operating Systems)
  speziell: Erweiterte Partition mit logischen Laufwerken (siehe Technet-Artikel (MS) zum Thema Partitionen: "Grundlegendes zu Datenträgerpartionen")

Wichtig: die folgenden Daten liegen in einer ersten aktiven Partition mit Namen "System Reserviert" (ca. 500 MB), die automatisch beim Installieren (Partitionieren) für uns angelegt worden is.

Tipp: die Partition kann man sich mal kurz per Datenträgerverwaltung mit Laufwerksbuchstaben (z.B. U:) sichtbar/nutzbar machen!

• Bootsektor (Anfang - Sektor 0) der aktiven, primären Partition lesen (Gemeinsamkeit: bei allen Microsoft Betriebssystemen seit DOS nötig)
  hier liegt der Windows Bootmanager: bootmgr
  mit Boot Configuration Data in Unterordner Boot/BCD; 
  in diesem Ordner auch memtest - ein Tool zum Speichertesten
• dann "eigentlicher" Windows-Betriebssystem-Start (siehe winload.exe bzw winload.efi

Weitere Infos:

• Hierzu auch gerne Herdt-Skript mit komplettem Bootvorgang Windows (nicht in allen Seminaren)
• Online-Artikel zum Booten mit BIOS/UEFI: (Link , ...)
• Infos bei Microsoft zu der Erweiterten Systemwiederherstellung 
• Allgemeine Infos zu "Betriebssystemen Windows und Datenträgerverwaltungen"

Datenträgerverwaltung (diskmgmt.msc )

Übung/Hinweis: Ändern von Laufwerksbuchstaben, Erstellen von RAID, Verkleinern von Volumes, ...

Hinweis auf die Eigenschaften:

• System
• Start
• Aktive Partition (siehe Starten Rechner/Windows)

Analyse für Laufwerke: MBR oder GPT? Erinnerung: Technet-Artikel (MS) zum Thema Partitionen: "Grundlegendes zu Datenträgerpartionen"
siehe Rechte Maustaste - Eigenschaften - Register Volume

MBR vs. GPT - eine kleine Gegenüberstellung "Master Boot Recort" vs. "GUID Partition Table"

Analyse der vorliegenden Festplatten-Partitionsstile mittels der Datenträgerverwaltung - Eigenschaften einer HD - Registerkarte: Volumes

Hinweis für Windows Komplettsysteme: Technik Secure Boot beachten (für Neu- und Parallelinstallationen BIOS/UEFI Optionen beachten)
Tipp: bei Parallelinstallationen mit freien Linux Betriebssystemen entscheidet man sich oft Secure Boot zu deaktivieren.

Für Installation von Windows-Systemen mit UEFI/GPT Partitionierungsstil muss bei der Installation eine "UEFI DVD" Auswahl gewählt werden
z.B.: bei ASUS-Boards beim Start F8 für eine erweiterte Bootauswahl (oder F2/F11 bei MSI-Boards)

Technet-Artikel (MS) zum Thema Partitionen: "Grundlegendes zu Datenträgerpartionen"

Windows kennt sowohl Basis-Datenträger als auch Dynamische Datenträger.
Zweck: flexiblere Größenänderungen und Software-RAIDs (RAID 0 Striping und RAID 1 Mirroring/Spiegelung)

Infos zu klassischen Anmeldeskripten

Anm.: keine Übungen mehr zu den klassischen Batch/CMD-Skripten, da Skripting heute bei An-/Abmelden mittels GPOs abgearbeitet wird. Und natürlich handelt es sich heute (meistens) um PowerShell-Skripte.

In Kürze:

Freigabe auf DC - Netzlaufwerk per NETLOGON-Skript lw-n-mappen.cmd 
Skript-Einzeiler: net use N: \\dc00\projectX  
Skript lw-n-mappen.cmd wird im Kontenblatt Profil eines AD-Users konfiguriert / Anm.: erfordert also manuellen Eingriff des Admin!

Berechtigungen für Freigabe und NTFS:

• Freigabe: Jeder / Vollzugriff
• NTFS-Sicherheit: gewünschte Globale Gruppe (z.B. Domänen-Benutzer) / Ändern

Befehl für Mapping von Netzresourcen (Freigaben / Drucker):
net use (mit Schaltern /?, /persistent, /delete) - weitere Befehle s.u.

Anm.: die Übung ist gut für praktische Erfahrungen mit Skripten und Netzwerklaufwerken
Die modernen Varianten werden später per Gruppenrichtlinien und Start-/Stop Skripten als normale Skripte (*.cmd) oder PowerShell-Varianten (*.ps1) konfiguriert.

Anm. für das Skripting per GPOs:  die Pfade zu den Skriptordnern führen in die User-Unterordner des jeweiligen GPO!
WICHTIG: seit Windows 8.1 werden die Login-Skripte standardmäßig mit einer Verzögerung von 5 Minuten (!) durchgeführt, was selbstverständlich wieder durch eine Gruppenrichtlinie angepasst werden kann (Darstellung windowspro.de).

net (Befehle)

An dieser Stelle eine kurze Auflistung der (wichtigsten) Net Befehle:

• net view - eigene (oder auch andere) Domains/Arbeitsgruppen auflisten / Freigaben anderer Rechner anzeigen
• net use - Netzwerkresourcen mappen (Netzwerklaufwerke und -Drucker)
• net /? (listet Befehlsoptionen) und net use /? (listet die net use Optionen)
• net share - Freigaben auflisten oder auch erstellen

Tipp - Freigabe mit Eingabeaufforderung/cmd erstellen: 
net share roaming=E:\roaming /grant:"seminar\Domänen-Benutzer,FULL" /remark:"Freigabe für Roaming-Technik" 

Anm.: die Anführungszeichen/Strings in cmd nicht immer nötig - aber Tipp falls mal in PowerShell unterwegs!

Druckserver

Es folgt ein technischer Vergleich mit Netzwerkdrucker - bei dieser Analyse ist alles wie immer:

Bei Druckserver (also der Client/Server-Technik) sind die Treiber (und auch Druckaufbereitung) zentral auf Server,
während Netzwerkdrucker (zwar auch im Netz verbunden sind) die Treiber jeweils auf den nutzenden Clients haben!

Druckeranschlüsse:

• USB
• LPT
• TCP/IP
• HP JetDirect
• IPP (Internet Printing Protocol)
• LPD (Line Printer Daemon für Unix)

Treiber auf Druckserver:
Die Treiber sind nicht nur für den Server sondern immer auch für die Clients nötig (XP / Vista / Win7 / 32-Bit, Win7 32-Bit/64-Bit / Win 8.1 / Win 10 / Win 11)
Hinweis: beim Kauf des Druckers für den Einsatz als Druckserver also unbedingt auf geeignete Druckertreiber achten!

Spooling (Druckaufträge in Speicher auf Datenträger zwischenspeichern) mit
Spoolordner: C:\Windows\system32\spool\PRINTERS  

Spool-Ordner werden besser auf Datenlaufwerk oder Speziallaufwerk - hier: E:\__spool ) untergebracht.

Begriffe:

• Queuing
• Druckpriorität (von 1 - gering bis 99 maximale Dringlichkeit)
• Druckerpool
• Treiber

Praxis: Installation / Einrichtung "Druckserver" auf router-17 oder dc-17 und veröffentlichen im "Verzeichnis";
auf Clients mit freigegebenem Drucker verbinden bzw. "Drucker hinzufügen" (Domänen-Benutzer und alle "Vertrauten" sind berechtigt);
Hinweis auf Gruppenrichtlinie in Benutzerkonfiguration für das automatisierte "Verbinden" mit den Druckservern im AD

Über den Server-Manager hat man wieder ein Extra-Tool: Druckverwaltung

Bereitstellung von Druckern in Domäne per Gruppenrichtlinie: (learn.microsoft.com - Steuern von Druckern ... )

Kurzdarstellung / Drucker Adm. Vorlagen: 
Computerkonfiguration - Administrative Vorlagen - Printers mit den gewünschten Einstellungen wie z.B. "Neue Drucker im AD automatisch veröffentlichen".

RAID - Redundant Array of Inexpensive/Independent Disks

(Wikipedia Link) Versuch der Optimierung von Geschwindigkeit und Redundanz/Ausfallsicherheit

Gegenüberstellung: Software- vs. Hardware-RAID (Vor- / Nachteile kennen)

Server-Software-RAID-Level: (Anm.: bei Windows werden 0 und 1 als SW-RAID-Level unterstützt / nicht Windows Home!)

• RAID 0 Striping (ohne Redundanz / Ausfallsicherheit)
• RAID 1 Mirroring/Spiegelung (Redundanz / Ausfallsicherheit - Empfehlung für Serverinstallationspartition!)
• RAID 5 Striping mit Parität (min. 3 Datenträger - 1 Platte darf ausfallen - 1/n wird für Parity-Infos benötigt)

Anm.: RAID kann mit virtuellen Systemen leicht gezeigt werden, da man einfach weitere HDDs einbauen kann (Übung im Seminar: RAID 5 auf DC).

Server-Sicherung

Diskussion von Backupstrategien und Konzepten ("W-Fragen?"; siehe auch Modul PC-Systemsupport-Infos bzw. s.u.)

Einrichtung der Windows Server-Sicherungsfeatures über Windows Server Manager -> Features - Feature "Windows Server-Sicherung" hinzufügen

Zeigen: Sicherung konfigurieren / einrichten; Wichtig: bei Sicherungen auf UNC-Pfaden werden Sicherungen immer überschrieben

CLI-Tool: wbadmin (für die Konsole - siehe wbadmin /? )

Technik: Sicherung im laufenden Betrieb mit Hilfe von VSS (Volume Shadow Service - Volumenschattenkopien; auch nötig für die sogenannten Vorgängerversionen)

Alternative Backp-Software: (eine kleine Auswahl)

• Veeam - die Nummer 1 bei den professionellen Backups für alle Umgebungen
  Kostenloser Einstieg (mit Einschränkungen möglich): Veeam Backup Recovery - Free 
• Microsoft System Center
  mit Data Protection Manager (eigentlich: Server 2012 Tech) oder aktueller System Center DPM 2019 
• EMC2 Data Protection Suite
  jetzt Dell - siehe auch SANStorageWorks - Kosten: 4-6 stellig!
• Acronis Backup Windows Server
  für den schlanken Admin/Beutel

Einschätzung: Systemdaten vs. Eigene Dateien

• Wichtigkeit
• Sicherungstechnik Images für komplette Laufwerke

klassische Trennung:

• Datei-/Ordner-orientiert (Daten)
• Images (System)

Backup-Software kombiniert heute alle Ansätze.

Windows Werkzeug: Dateiversionsverlauf mit Dateisicherungen von Bibliotheken und Desktop - dort auch Link für Systemabbildsicherung (unterhalb) verfügbar.
in Vorversionen Vista / Win7 bitte Systemsteuerung - Sichern und Wiederherstellen

Backupstrategie / Backupideen

Hinweis: Bitte für die Server-Seminare die Fachbegriffe kennen (z. B. Inkrementell vs. Differentiell) und die Tools eines Windows Server: Windows Server Sicherung bzw. wbadmin für die Konsole.

Hier noch ein paar Topics zum "Backup-Thema":

Gründe für Datensicherung:

• Diebstahl
• Malware
• Feuer
• Wasser,
• ...

Datensicherungsstrategie (W-Fragen)

• Wer?
  Verantwortlicher, Stellvertreter
• Wann/Wie?
  Zeiten, Zyklen, Backupart: komplett/ differentiell/ inkrementell
• Worauf?
  Medien: ext. HD mit USB oder eSATA, NAS, CD/DVD/BDs
• Wo?
  Aufbewahrungsort, klimatisch passend, räumliche Trennung, sicher

Wichtig: Dokumentation und Testen der Strategie nicht vergessen!

Bibliothek Windows Server

Zur Erinnerung: die Windows Server 2016, 2019 und 2022 stellen im Grunde dasselbe AD DS (Active Directory) dar - technisch: denselben Funktionslevel! Der Windows Server 2025 stellt eine Neuerung dar gegenüber diesen Vorgängern - oder wenn man so will: diesem Vorgänger!

Version 2025

• Microsoft Windows Server 2025 - Das Handbuch: Von der Planung und Migration bis zur Konfiguration und Verwaltung
  Autor: Thomas Joos, Bundle: 978-3-96010-906-8 (inkl. eBook)
  Verlag: O'Reilly
• Windows Server 2025 - Das umfassende Handbuch
  Autoren: Diverse, Bundle: 978-3-367-10342-3 (inkl. DRM-freie EBooks)

...tbc..

Server 2019

• Microsoft Windows Server 2019 – Das Handbuch: Von der Planung und Migration bis zur Konfiguration und Verwaltung
  (Deutsch) Gebundene Ausgabe – 16. Mai 2019 - ISBN-13: 978-3960091004

• Windows Server 2019 - Das umfassende Handbuch - Rheinwerk Verlag
  5 Autoren, 1285 Seiten, 2019, gebunden Rheinwerk Computing, ISBN 978-3-8362-6657-4

Versionen 2012 R2 / 2016

• Windows Server 2012 R2 - Das Handbuch - Insider-Wissen - praxisnah und kompetent
  Autor: Thomas Joos, 978-3-86645-179-7; inkl. e-Book
• Microsoft Windows Server 2016 - Das Handbuch: Von der Planung und Migration bis zur Konfiguration und Verwaltung
  (angekündigt/geliefert zum 23. März 2017 - ISBN-13: 978-3960090182)
  Nachfolger zu Server 2019:

Oldie but Goldie and OpenSource

• OpenBook vom Rheinwerk Verlag (früher Galileo Verlag):
  der 1400-Seiten-Wälzer Windows Server 2012 R2 von Ulrich B. Boddenberg "Das umfassende Handbuch" als OpenBook (Download/ Offline-Webseite); Link zur gedruckten Version des Buchs - Druckversion bei Verlag vergriffen!

Herdt-Skripte

• Herdt-Skript W2019N: (aktuell W2022N)
  Windows Server 2019 - Netzwerkadministration - Für den erfolgreichen Einstieg in die Netzwerkadministration mit Windows!
  Thomas Joos, Martin Dausch
• Herdt-Skript W2019AVN: (aktuell W2022AVN)
  Windows Server 2019 - Aufbau und Verwaltung eines Netzwerks - Windows-Netzwerke verstehen, aufbauen und administrieren!
  Thomas Joos

Schwerpunkt Gruppenrichtlinien

• Gruppenrichtlinien in Windows Server 2016, 2012 und 2008 R2
  Ein praktischer Leitfaden für die Windows-Verwaltung Gebundene Ausgabe – 5. Dezember 2016; von Holger Voges (Autor),‎ Martin Dausch (Autor)

Unterlagen / Musterprüfung / Prüfungsvorbereitung

Ich gebe Anmerkungen und Hinweise zur Musterprüfung und Empfehlung für die Prüfungvorbereitung:
Bitte auf unsere Seminarthemen konzentrieren! - Orientierung: unsere Roten Faden also dieser Beitrag (als Schwerpunkt)

Digitale Unterlagen:

• Screenshots der BU-Woche
• Scribbles (digitale Whiteboards / Trainererläuterungen)
• dieser Beitrag
• Server Kapitel auf it.joe-brandes.de

Falls Sie Ihre komplette VM-Domäne mitnehmen wollen:

• VMs mit Hyper-V exportieren (Link 1, Link 2 ) - Anm.: nur die Virtual HDs reichen nicht aus!
• Ausreichend externes Storage-Medium (ab 300 GB) und Zeit zu Seminarende einrechnen!
• Bei Verwendung von TPM für die VMs: Export der Signaturen nicht vergessen!

Seminarende:

• TN-Bescheinigungen
• Feedback-Bögen
• letzte TN-Fragen

Hier kommen ein paar "Specials" aus dem Dunstkreis des Seminars...

# Q & D PW local
$cred = Get-Credential -Message "Bitte Kennwort eingeben:" -UserName firma17\Administrator
$cred.Password | ConvertFrom-SecureString | Out-File -FilePath passwd.pwd

# PowerShell script: start Server Manager with Credential from local $cred.Password file
$pw = Get-Content passwd.pwd | ConvertTo-SecureString
$cred = New-Object System.Management.Automation.PSCredential "firma17\Administrator", $pw
Start-Process -Credential $cred C:\Windows\System32\ServerManager.exe

# Installs via Winget#

# Commands:
winget list
winget upgrade   # list all upgradables 
winget upgrade --all

## winget installs - before search of Software via winget search

winget install --id 7zip.7zip
winget install --id Mozilla.Firefox 
winget install --id Microsoft.PowerToys 
winget install --id Mozilla.Thunderbird
winget install --id KeePassXCTeam.KeePassXC
winget install --id ONLYOFFICE.DesktopEditors 
winget install --id Mobatek.MobaXterm
winget install --id Notepad++.Notepad++
winget install --id Microsoft.VisualStudioCode
winget install --id Git.Git
winget install --id FastStone.Viewer
winget install --id Starship.Starship

$ fdisk -l
...
Gerät Start Ende Sektoren Größe Type
/dev/sda1 2048 923647 921600 450M Windows recovery environment
/dev/sda4 1161216 122882047 121720832 58G Microsoft basic data
...

- - - - User Edit Menu:
 1 - Clear (blank) user password
 2 - Unlock and enable user account [probably locked now]
 3 - Promote user (make user an administrator)
 4 - Add user to a group
 5 - Remove user from a group
 q - Quit editing user, back to user select

$ loadkeys de-latin1.map
$ fdisk -l
$ mount -t ntfs /dev/sda4 /mnt
$ cd /mnt/Windows/System32/config
$ /mnt/Windows/System32/config# chntpw -l SAM
$ /mnt/Windows/System32/config# chntpw -u user01 SAM 
1 / q / y

$ cd /
$ umount /mnt
$ reboot

Have Fun!

...to be continued ...