Ab dem 16. Februar 2015 findet an der VHS Braunschweig ein "Windows Server"-Workshop statt. In diesem praxisorientiertem Intensivseminar wollen wir die Fähigkeiten des aktuellen Microsoft-Server-Betriebssystems vertiefen.workshop-vhsbs-20150217

Aufbauend auf Kenntnissen entsprechend dem Server-Seminar (siehe FITSN-Module) werden wir die Schwerpunktthemen (ADS, OU/Gruppenrichtlinien, DNS/DDNS, DHCP, Routing/RAS, Sicherheit, IIS, Fileserver/DFS, Terminalservices) in selbst entworfenen und erstellten Übungsdomänen anschaulich erarbeiten, wiederholen und vertiefen.
Für die Praxis steht jedem Teilnehmer neben einem eigenen Übungs-PC auch noch zusätzliche PC- und Servertechnik zur Verfügung.

Hier die Rahmendaten unseres Seminars:

Ort: VHS Braunschweig, Heydenstraße 2, Raum 2.11
Zeiten: Mo, 16.02. - Fr, 20.02.2015; jeweils 08.30 - 16.00 Uhr

Ich werde unser Seminar an dieser Stelle - wie mittlerweile gewohnt - durch ein ausführliches tägliches Protokoll begleiten...
Ihr Trainer Joe Brandes

 

Montag

Montag, 16.02.2015, 08.30 - 16.00 Uhr

  • Orientierungsphase, Pausenzeiten, TN-Themen, BU-Planung
    Hinweis Cobra Shop (Link), BU-Tagesbeiträge (siehe hier) und Screenshots
  • BU-Schwerpunkt:
    Firmennetzwerk mit aktuellen Windows Server 2012 R2 und Windows 8.1 Clients nach Vorgabe/Ausschreibung des Seminars
  • Lizenzen – alles neu und mit Blick auf die Cloud („Wolke“)
    nur noch Standard und Datacenter Editions mit gleichem Funktionsumfang
    Standard Edition: nur 2 Virtuelle Server pro Lizenz; 2 CPU-Sockel
    Datacenter Edition: beliebig Virtuelle Server; 2 CPU-Sockel
    Spezialeditionen: (jeweils ohne Hyper-V)
    Essentials: 25 Benutzer, keine CALs nötig
    Foundation: 1 CPU, 15 Benutzer, keines CALs nötig, an Hardware gebunden (OEM)
    Übersichtsseite Editionen und Lizensierungen; Lizensierungsvideos und PDFs
  • Entwurf der Netzwerkumgebung
    Planung der Topologie ("Schaltplan") für Übungsfirma "BuFirma";
    Dienste: DHCP (Dynamic Host Configuration Protocol) und NAT-Routing
    Hinweis: Server möglichst mit statischen Konfigurationen verwenden
  • Entwurf der Domainen (Übungsfirma)
    1 Hauptdomäne (bufirma.lokal) mit 2 Sub-Domänen (links und rechts.bufirma.lokal);
    jede Domäne eine eigene Verwaltungsstruktur mit eigenem Active Directory;
    Grund für Subdomains: wir wollen nur ein DNS haben für die Übungsfirma
  • Dokumentation für Domänenmodell und Netzwerk erstellt/gezeigt
    Vergabe der Hostnames (WIN-XX, dc-YY), Adressen (statisch / dynamisch), Hierarchien
  • Installation der Server- und Client-Betriebssysteme
    Begriffe: Image-basierte Installationen (Toolsammlung MS für Imageerstellungen/Anpassungen:Klassisch: WAIK - Windows Automated Installation Kit (Toolbox: z.B. ImageX, ... - Microsoft Link) - Nachfolger: Windows ADK (Microsoft Linkrosoft Link - Download ADK Windows 8.1 und Co);  Partitionen, System-Reservierte Partition, Tool: diskpart für cmd)
    Installationen bis auf den BUROUTER per UEFI (Darstellungen zu Partitionierungen MBR/UEFI bei Technet-Artikel (MS) "Grundlegendes zu Datenträgerpartionen")
    Anm.: später werden alle TN Zugriff auf die Domaincontroller (DC) haben
  • Einrichten und Konfigurieren Netzwerk
    ohne DHCP: Hinweis auf APIPA - Automatic Private IP Adressing (siehe 169.254.x.y / 16)
    Tool: ipconfig /all
  • Server-Manager
    Rollen (die großen Dienste / Services), Features (Erweiterungen wie Dot.Net Framework, ...)
    Hinweis: Systembegrüßung nach Serverinstallation nachträglich mittels "oobe" aufrufbar (Out-Of-Box-Experience)
  • Installation DHCP-Service (Rolle) auf burouter (IP: 10.0.0.254 / 8)
    Konfiguration eines Bereichs (scope): 10.0.0.100 - .150; Subnetmask: 255.0.0.0;
    aktuell DNS-Server 10.0.0.1 für LAN (noch gar nicht verfügbar!)
    Standard-Gateway (Router): 10.0.0.254
    Tests auf Client-PCs mit dynamischen IPs bzw. auf Servern dann später statische IPs (10.0.0.10 / 8 und 10.0.0 .20 / 8)
  • Fachbegriffe für Domain-Einrichtungen:
    Gesamtstruktur (Forest), Domänenstruktur / Domänenstamm (Tree) und Domäne (Domain)
    Symbol für Domäne: Dreieck; wichtig: ohne DNS gibt es kein Active Directory (AD)
  • Domains vs. P2P (Peer-to-Peer; engl.: Peer: Gleichgestellter)
    Zentrale Verwaltung vs. lokale Verwaltungen einer Arbeitsgruppe
    anfangs alles lokal, was auch ein Blick in die Computerverwaltung (compmgmt.msc) der Server-Installationen zeigt: Lokale Benutzer- und Gruppenverwaltung
  • Übungfsirma bufirma.lokal (neue Gesamtstruktur - Forest und neue erste Stammdomäne für Domänenstruktur - Tree)
    Installation der Rolle AD-Domänendienste; danach "dcpromo" (in 2012 R2 nicht mehr wirklich eigenes Programm) durchgeführt für Maschiene DB-BUFIRMA-01, wir erhalten neue Gesamtstruktur mit neuer Domäne
    Tipp: vorher bei DCs über Systemeigenschaften (Win + Pause - Erweiterte Systemeinstellungen - Register Computername - Ändern - Weiter.. - Primäres DNS-Suffix des Computers: bufirma.lokal; bei den DCs)
    Stichworte/Fachbegriffe: DNS (Verfügbarkeit, Delegierung, Installation, Zonen, AD-integriert; Funktionsebenen (Function Level FL - auf Ebenen Forest und dann Tree), Globaler Katalog, RODC (Read Only Domain Controller)
  • DNS checken: nslookup
    eigene Shell/Eingabeaufforderung; verlassen mit exit
    Test für Domainauflösungs-Funktion: einfach Name der Domain (hier: bufirma.lokal) eingeben; muss auf Rechnern, die mit dieser Struktur arbeiten wollen direkt funktionieren
    eigenen gewünschten DNS-Server festlegen: server 10.0.0.1
  • DHCP Server (burouter - 10.0.0.254) autorisieren
    den burouter in Domäne aufgenommen, um von DDNS zu profitieren (Dynamic DNS);
    also: DHCP autorisieren!
    Anm.: AD-Konto muss mindestens zu den Organisations-Admins zugehören
  • DCs (DC-07, DC-12) für Subdomänen (rechts und links.bufirma.lokal)
    die Maschinen für Subdomains LINKS und RECHTS erstellen/promoten; die DCs erhielten statische IPs 10.0.0.10/8 und 10.0.0.20/8
    für SubDom-Controller wurden keine eigenständiger DNS-Server installiert, sondern Sub-Zonen in bestehendem DNS auf DC-BUFIRMA-01 erstellt
    Wichtig: alle Einstellungen natürlich wieder intensiv mit nslookup checken
  • NAT-Routing
    NAT-Routing: jetzt über Rolle "Remotezugriff" (Anm.: Alles für DirectAccess / VPN kommt gleich mit); jetzt Weiterleitung (und Rückleitung) von Paketen zwischen NICs LAN <-> WAN; Server vom Dozi verhält sich jetzt wie Ihr "Router" zu Hause; zur Konfiguration über Remotezugriffs-Verwaltungskonsole - dann Rechts RRAS Verwaltung öffnen (Routing und RAS)
    Wichtig: alle Maschinen (Dynamisch oder statisch) müssen natürlich das StdGW (Router) richtig eingetragen haben (hier: 10.0.0.254 - LAN-Adapter der Maschine BUROUTER)
    DNS: damit die LAN-Maschinen auch an das DNS für das Öffentliche Netz (Internet) kommen, wurde im DNS-Server DC-BUFIRMA-01 (10.0.0.1) eine Weiterleitung auf den DNS der VHS eingetragen (ISERV - 192.168.11.1)
  • Windows 8.1 Clients und Windows Server 2012 R2  in Domänen aufnehmen
    Gruppenübung mit Fertigstellung aller Domänenmitgliedschaften für alle installierten Systeme; auch hier wieder Einsatz von nslookup; bei Servern Fachbegriff: Mitgliedsserver
  • Skripte Herdt
    Standard-Skript für unser Windows Server Seminar: W2012R2N; alternative Skripte gezeigt: W2012R2EN und W2012R2AVN
    weitere Hinweise auf Literatur (online / offline) folgen

 

  • DHCP autorisierenDHCP autorisieren
  • Primäres DNS-SuffixPrimäres DNS-Suffix
  • AD DS RolleAD DS Rolle
  • NAT-RoutingNAT-Routing
  • FunktionslevelFunktionslevel
  • DNS WeiterleitungDNS Weiterleitung

Dienstag

Dienstag, 17.02.2015, 08.30 - 16.00 Uhr

  • Rekapitulation, TN-Fragen
    Interesse an Prüfung Modul "Windows Server" gecheckt;
    Ausführliche Reakpitulation zu Planungen und Installationen des ersten Tages
  • Literatur - Forts. Bücher
    Thomas Joos, Windows Server 2012 R2 - Das Handbuch (Amazon-Link)
    Ullrich Boddenberg, Galileo Openbook (jetzt Rheinwerk Verlag - Openbook-Link)
  • Lizenzen (Hinweis auf nötige Lizenzen zum Domain-Betrieb)
    OS-Lizenzen "Server" und "Client" plus CALs (Client Access Licenses)
    Serverlizenz Windows Server 2012 R2 Standard: Preis recherchiert ca. 580 €;  CALs: ca. 20-25 €
    kostenlose Evaluation-Versionen (180 Tage) bzw. kostenloser uneingeschränkter Server 2012 R2 HyperV (als Core) - Anmerkung: für Downloads ein "MS Live Account" nötig
    CAL - Client Access Licenses; Lizenzen modellieren nach Gerät (Device) oder Benutzern (User), kein Einsatz eines Lizensierungsservices im DC (anders als bei den Terminal Services TS/RD und den TS/RD-CALs)
  • Remote-Techniken (Übersicht) für Windwos 8.1-Clients / Mitgliedsserver
    1) RDP / Remote Desktop - nur für 2 gleichzeitig Zugriffe (ohne komplette RD-Server Rolle)
    2) Remoteserver Verwaltungstools (Remote Server Administration Tools - RSAT)
    2a) Server 2012 R2: über Server-Manager die nötigen Features nachinstallieren
    2b) Windows 8.1: RSAT downloaden und installieren des "Windows Updates - *.msu"
    3) Server-Manager (mit anderen Maschinen verbinden und per Tools (ggf. nachinstallieren) verwalten
    4)  PowerShell: Remote Sessions und WebAccess (PSWA)
    5) Fremdsoftware wie Teamviewer & Co
    6) MMC (mit Windows Management Interface - WMI): "Auslaufmodell"
    Übungen und Installationen zu 1) und 2)
  • Snap-In Consoles für die MMC (MS Management Console)
    siehe Ordner C:\Windows\System32 - filtern nach *.msc
    einige Consoles angesprochen:
    dsa.msc, lusrmgr.msc, compmgmt.msc, devmgmt.msc, eventvwr.msc, diskmgmt.msc, ...
    Übung: bitte austesten und Bedeutung der Consoles kennenlernen und direktes Aufrufen der Tools mittels z.B. Win + R "lusrmg.msc" durchgeführt
    Anm.: auf DCs ist lusrmgr.msc (Lokale Benutzer und Gruppen) "leer"
  • Active Directory - Benutzer und Gruppen erkunden
    Standard-Container Builtin, Computers, Domain Controllers, Users
    Hinweis: für alle neuen Objekte (Benutzer, Gruppen) werden OUs erstellt; Koordination von Prefix (jb-test) /Suffix (test-jb) Systemen innerhalb der Domains, damit die TN ihre Übungen auseinanderhalten können
  • Darstellung von A-G-DL-P Regel:
    Accounts (Benutzerkonto) - Mitglied von
    Global Group (Globale Gruppen) - Mitglied von
    Domain Local (Lokal in Domäne) - führt zu
    Permissions (Berechtigungen)
    Analyse der Benutzerrechte auf den Clients für Domänen-Benutzer und Domänen-Admins
    Tipp: immer werden Accounts (Konten) Mitglieder in Globalen Gruppen - bitte nie die Mitgliedschaften direkt in den Domain Lokalen Gruppen oder auch später bitte keine einzelnen Benutzerkonten bei Berechtigungen für Freigabe/NTFS eintragen, sondern immer Gruppen definieren und zuweisen
    Beispiele für verfügbare/bzw. nicht verfügabare Berechtigungen zwischen "Benutzern" und "Admins":
    a) Fähigkeit Freigaben für Ordner/Drucker einrichten können
    b) Netzwerk konfigurieren
    c) Datei in Hauptverzeichnis C:\ erstellen
  • Übungsszenario: Außendienstmitarbeiter mit Notebook
    Benutzer "joedienstag" soll bei Notebook "WIN-17" das Netzwerk konfigurieren dürfen
    a) Benutzer joedienstag anlegen (immer in einer OU nach Wahl)
    b) Neue Globale Gruppe "Netzhiwis" erstellen
    c) joedienstag Mitglied machen von Globaler Gruppe "Netzhiwis"
    d) in der Lokalen Benutzer- und Gruppenverwaltung von WIN-17 bei Gruppe Netzwerkkonfigurations-Operatoren die Gruppe "Netzhiwis" zum Mitglied machen - das bewirkt:
    Useraccount joetestuser Mitglied von Globaler Gruppe Netzhiwis
    Netzhiwis Mitglied der Lokalen Benutzergruppe Netzwerkkonfigurations-Operatoren von pc17
    Anm.: das kann man später auch zentral organisieren/automatisieren, falls man mal 5000 Notebooks hätte (per Gruppenrichlinien)
  • Gruppenrichtlinienobjekt (Group Policy Objects - GPO)
    sind in Management Konsole unter Gruppenrichtlinienobjekte zentral organisiert (Gruppenrichtlinienverwaltung - gpmc.msc) und dann als Verknüpfungen den jeweiligen Objekten zugewiesen; werden mit GP-Editor bearbeitet (gpedit.msc); bestehen aus zwei Teilen:
    Computerkonfiguration (machine - wird beim Starten der Maschine gelesen) und
    Benutzerkonfiguration (user - wird beim Anmelden des Benutzers gelesen)
    Zielobjekte für GPOs: Gesamtstruktur, Domäne, DCs, Standorte, OUs / UnterOUs
    GPO-Optionen: nicht konfiguriert, aktiviert, nicht aktiviert - Optionen geben dann mit Vererbung über die Hierarchien Sinn (z.B. verschachtelte OUs)
    auf HD des DC: C:\Windows\SYSVOL\sysvol\dombu.local\policies
    (bzw.: C:\Windows\SYSVOL\domain\policies mit domain als Verknüpfung/Link)
  • wichtige cmd-Tools für die GPOs:
    gpupdate /force (Erzwingen der Richtlinienaktualiserung für Computer und Benutzer)
    dcgpofix (Wiederherstellen von Default Domain und/oder Default Domain Controllers Policy)
  • Einführung in Gruppenrichtlinien (Group Policies)
    Einstallungen recherchiert mittels Gruppenrichtlinienverwaltungs-Konsole (gpmc.msc -  Group Policy Management Console) - Bearbeiten mittels Rechte Maus (gpedit.msc - GP Editor):
    Default Domain Policy - Computerkonfiguration - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Kontorichtlinien - Kennwortrichtlinien -> hier alle Konfigurationen zun Kennworten inklusive "Komplexitätsanforderungen" an die Kennworte für Domänen-Benutzer
  • Übungen zu GPOs dann morgen nach einer kurzen Rekapitulation

 

  • Win 8.1 RSATWin 8.1 RSAT
  • Tools (Features)Tools (Features)
  • OU erstellenOU erstellen
  • Microsoft ConsolesMicrosoft Consoles
  • DNS Reverse ZoneDNS Reverse Zone
  • GPOsGPOs

Mittwoch

Mittwoch, 18.02.2015, 08.30 - 16.00 Uhr

  • Rekapitulation, TN-Fragen
  • Gruppenrichtlinien (ausführliche Übungen)
    Benutzerkonfiguration - Richtlinien - Administrative Vorlagen - Systemsteuerung - Anzeige -  Systemsteuerungsoption "Anzeige" deaktivieren (muss natürlich aktiviert werden ;-)
    manuelle Aktualisierungsmögichkeit auf Client (WIN-17) mittels gpupdate /force
    Computerkonfiguration - Einstellungen - Systemsteuerungseinstellungen - Lokale Benutzer und Gruppen - Aktualisieren der Netzwerkkonfigurations-Operatoren (int. - lokal) - Mitglieder: BUFIRMA\Netzhiwis (hinzufügen - ADD)
    Fachbegriffe (Vererbung, ...) siehe auch Dienstag
    Bereitstellung/Kopie zur Reihenfolge der Abarbeitung von Richtlinien:
    Computerstart - lokales GPO - Skripts - GPO-Liste (GPO lokaler Computer - GPO Standort - GPO Domäne - GPOs OUs/OU-Hierachie)
    Anmeldung (Login) - Benutzerprofil - GPO-ListeGPO lokaler Computer - GPO Standort - GPO Domäne - GPOs OUs/OU-Hierachie) - Anmeldeskripts
    Nutzung von Gruppenrichtlinienergebnisse (rsop.msc - Resultant Set of Policies) mit Hilfe eines Assistenten in der Gruppenrichtlinienverwaltung (gpmc.msc)
  • Datenträgermanagement (für Datenlaufwerk - Technikbegriffe - Infos Partitionen)
    Snap-In Console: diskmgmt.msc; Partitionierung/Formatierung mit NTFS  von Daten-Laufwerk E:
    Kurz-Rekapitulation zu Booten mit bootmgr und /boot/bcd (Boot Code Configuration), Fachbegriffe: MBR, Basisdatenträger vs. Dynamische Datenträger (z.B. für Software RAID mit Windows Server), GPT (GUID Partition Table) Volumes; Hinweise auf UEFI (Schneller, sicherer, Booten ab 2,2 TB, 64-Bit)
    Technet-Artikel (MS) "Grundlegendes zu Datenträgerpartionen"
    Windows Server 2012 R2 kennt Basis (Datenträger) als auch Dynamische Datenträger; Zweck: flexiblere Größenänderungen und vor Allem Software-RAIDs (RAID 0 Striping und RAID 1 Mirroring/Spiegelung, RAID 5 Striping mit Parität - Darstellung folgt mit VM-Technik; System/Startlaufwerk C: empfohlen mit RAID 1 / Mirroring)
  • RAID- Redundant Array of Inexpensive/Independent Disks (Wikipedia Link)
    Versuch der Optimierung von Geschwindigkeit und Redundanz/Ausfallsicherheit, Software- vs. Hardware-RAID (Vor- / Nachteile),
    RAID-Level; Server-SW-RAID-Level: 0 (Striping), 1 (Mirroring - Empfehlung für Serverinstallations-Volume), 5 (Striping mit Parität); Vorschau: mit Virtueller Maschine auf Windows Server 2012 R2 Hyper-V (hier: Version 3)
  • Programm vs. Service
    Programm: Benutzeranmeldung nötig (auch bei "Autostarts" - Hinweis Analyse-Tool "autoruns" aus Sysinternals-Suite von Microsoft)
    Service / Dienst / Daemon: ohne Benutzeranmeldung, effiziente Start/Stop/Restart/Reload-Mechanismen, Abhängigkeiten von anderen Diensten konfigurierbar; Benutzerkonten zuweisbar
  • UNC (Universal Naming Convention)
    Netzwerkpfad aus \\servername\freigabename\ordner\unterordner\datei.ext
  • Freigaben
    Berechtigungen ohne Freigabe-Assistent erstellen
    Freigaben kennen nur einfache Berechtigungen: Vollzugriff, Ändern, Lesen
    Windows Explorer: Organisieren - Ordner- und Suchoptionen - Register Ansicht - Freigabe-Assisten deaktivieren
    Jeder / Lesen - hier ist wieder "Jeder Berechtigte" gefragt, also meine AD-Benutzerkonten plus die Domänenbenutzer, denen meine Domäne vertraut (siehe: Active Directory-Domänen und -Vertrauensstellungen)
    Syntax bei Freigabenamen: mit $ am Ende sind "versteckt"; administrative Freigaben C$, E$; Erinnerung an net share
    Übung mit Freigaben auf DC inkl. nachträglichen Änderungen (hier: sofortige Wirksamkeit/Auswirkung der Änderungen von Berechtigungen für Freigaben)
    Befehl für Mapping von Netzressourcen (Freigaben / Drucker): net use (mit Schaltern /?, /persistent, /delete)
  • Vertrauensstellungen
    Active Directory-Domänen und -Vertrauensstellungen; Fachbegriffe: bidirektional, eingehende und ausgehende Vertrauensstellungen, transitive Vertrauensstellungen (autmatisch bei Domänenstamm / Tree)
  • NTFS (Zugriffsschutz auf Benutzerebene - Register "Sicherheit")
    bitte feinere Berechtigungen gegenüber Freigabe-Rechten; wiederholen; NTFS-Rechte vererben; Besitz übernehmen, Effektive/Effiziente Berechtigungen (Neu: Effektiver Zugriff) für Benutzer/Gruppen anzeigen lassen
  • Ordneranalyse C: (Wiederholung - hier intensive Nutzung cmd)
    Papierkorb $Recycle.Bin (Tipp: Eigenschaften des Papierkorb: Größe konfiguriert),
    Benutzer (auf Festplatte Ordner C:\Users),
    Junctions "Dokumente und Einstellungen" und "Documents and Settings" auf C:\Users (Tool: mklink - seit Windows 2000)
    diverse Programme-Ordner/-Strukturen (mit x86 für 32-Bit-SW),
    Windows-Unterordner mit Erläuterung zu System32 (hier 64-Bit-SW!) wenn auch SysWOW64 (mit 32-Bit wegen "System Windows on Windows 64")
  • Benutzerprofile (auf Windows 8.1 Client analysiert)
    Analyse der doppelten desktop.ini(s) auf dem Desktop - im persönlichen Desktop unter C:\Users\joestandard\Desktop und Datei auch zu finden bei C:\Users\public (die ehemalige All Users\Desktop Struktur)
    Gegenüberstellung der klassischen Windows 2000/XP Profile mit Vista/Win7 ergibt:
       C:\Dokumente und Einstellungen\username\Desktop  (2000 / Win XP)
       C:\Users\username\Desktop  (Vista / Win 7 / Win 8)
    Erläuterung zu "Verbindung(en)" (Junctions); Kommandozeilentool: mklink (Hilfe mit mklink /?)
    Installation von Google Chrome ohne UAC - also ohne Adminrechte in das Benuzterprofil unter
    Pfad "C:\Users\%username%\AppData\Local\Google"
    Tipp: den Benutzerprofile-Ordner AppData genauer anschauen; besonders dort Roaming Strukturen (enthalten z.B. die kompletten Firefox Benutzerprofile, die sich nahezu beliebig zwischen verschiedenen Plattform - sogar verschiedenen OS - austauschen lassen
    Übung: Benutzerprofilordner analysiert - NTUSER.dat als benutzerspezifischer Anteil der Registrierdatenbank (registry)

 

  • Analyse C: - JunctionAnalyse C: - Junction
  • GPO OrdnerGPO Ordner
  • Administrative VorlageAdministrative Vorlage
  • Reverse Lookup ZoneReverse Lookup Zone
  • RSOPRSOP
  • FreigabenFreigaben

Donnerstag

Donnerstag, 19.02.2015, 08.30 - 16.00 Uhr

  • Rekapitulation, TN-Fragen
  • Große Übung zu Gruppenrichtlinien: Roaming Ordner (am Beispiel Dokumente bzw. Ordner Documents)
    Gruppenrichtlinie für Ordnerumleitungen (hier: Dokumente - C:\Users\joedonnerstag\Documents)
    Deutsches Webportal zum Thema Gruppenrichtlinien (mit Tipps, Tricks, Übersichten)
    auf Server:
    neue OU donnerstag mit neuem Benutzer joedonnerstag
    Daten-LW-Freigabe: E:\userdaten freigeben mit Freigabename userdaten und
    Standardberechtigungen: (MS-Vorschlag)
    Freigabe-Berechtigung: Jeder / Vollzugriff
    NTFS-Berechtigung (hier für Standard-Global-Gruppe) mit Domänen-Benutzer / Ändern
    Neues GPO roaming-dokumente erstellen und bearbeiten:
    GP-Editor: Benutzerkonfiguration - Richtlinien - Windows Einstellungen - Ordnerumleitungen - Dokumente - Rechte Maustaste - Konfigurationen vornehmen; siehe auch Extra-Register für "Exklusive Zugriffe" und "Verschieben/Behalten" von Dateien
    GPO-Objekte mit OU donnerstag verknüpfen (nicht vergessen!)
    Gruppenrichtlinien aktualisieren (abwarten oder erzwingen versuchen mit gpupdate /force)
    auf Client:
    neuen User anmelden - hier jetzt im Profil kein Ordner Documente mehr!
    Speichern mittels Dieser PC - Dokumente; UNC-Pfad in den Eigenschaften zu sehen; Hinweis auf effiziente und schnelle Synchronisierungen und Offline-Techniken
  • Netzlaufwerke mappen (Übung)
    mit Freigaben auf DCs und mit Netzlaufwerk per NETLOGON-Skript (Einzeiler:
    net use X: \\dc00\projectX) im Kontenblatt Profil eines AD-Users konfiguriert.
    Befehl für Mapping von Netzrsourcen (Freigaben / Drucker): net use (mit Schaltern /?, /persistent, /delete)
    moderne Umsetzung mit Gruppenrichtlinien: Benutzerkonfiguration - Richtlinien - Windows Einstellungen - Skripts (für An- und Abmeldungen); die Pfade zu den Skriptsordnern führen in die User-Unterordner des jeweiligen GPO!
  • Hyper-V (hier: Version 3)
    ein Typ-1 Hypervisor - eine Hyper-V-Maschine behandelt sich quasi auch als VM - siehe Wikipedia-Artikel
    Verfügbarkeit: Windows Server 2012 R2 (Versionen Standard und Datacenter), Hyper-V 2012 R2 (kostenlos - siehe Evaluationsprogramm Microsoft), Windows 8.x Pro und Enterprise (leicht eingeschränkter Hyper-V)
    Nutzung der VMs mittels Verwaltungstools Hyper-V gezeigt: beim Server einfach wieder das entsprechende Feature nachinstallieren - bei Windows 8 bitte über "Programme und Funktionen" die Verwaltungstools bereitstellen
    In Kombination mit den neuen Remotedesktopdiensten lassen sich dann komplette Virtuelle Maschinen oder auch "einzelne Desktop" bereitstellen (die alte Idee der "Thin Clients")
    Installation einer VM "Server 2012 R2" gezeigt, Nutzung mit Hyper-V Verwaltungstools
  • RAID Level 5
    mit der installierten VM und drei zusätzlichen VHDs (Virtual Hard Disks; hier: *.vhdx) die Inbetriebnahme eines RAID-5-Laufwerk über die Datenträgerverwaltung (diskmgmt.msc) gezeigt: HDs initialisieren (online schalten), über Assistenten ein RAID-5 Laufwerk erstellen; Rechnung: 3 mal 20 GB HD ergeben 40 GB RAID-LW -> Rechnung bei gleich großen Platten: n Platten mit 1/n Verlust wegen Redundanz/Ausfallsicherheit; bei diesem RAID-Level darf nur eine Platte ausfallen
  • Active Directory-Verwaltungscenter
    die moderne Variante für AD-Verwaltung: unter der Haube arbeitet die PowerShell und die erzeugten Kommandos lassen sich auch im unteren "Logberereich" einsehen und zu eigenen Zwecken als Vorlage nutzen zum PowerShell-Skripting
    Übung: Anlegen von Test-OU und Test-Benutzer und Ansicht der erzeugten PowerShell Kommandos

 

  • Hyper-V auf Windows 8.1Hyper-V auf Windows 8.1
  • Roaming per GPORoaming per GPO
  • Laufwerk mappenLaufwerk mappen
  • Hyper-VHyper-V
  • RAIDRAID
  • AD-VerwaltungscenterAD-Verwaltungscenter

Freitag

Freitag, 20.02.2015, 08.30 - 16.00 Uhr

  • Rekapitulation, TN-Fragen; Klarstellung zum Thema Lizensierungen Server (siehe Links Montag)
    Screenshots der Maschinen für Donnerstag und Freitag zusammensammeln und bereitstellen
  • Active Directory-Verwaltungscenter
    die moderne Oberfläche mit der PowerShell unter der Haube
    Übung: neue OU freitag mit Standardobjekten OU, Gruppe und User erstellt

    New-ADOrganizationalUnit -Name:"freitag" -Path:"DC=bufirma,DC=lokal" -ProtectedFromAccidentalDeletion:$true -Server:"DC-BUFIRMA-01.bufirma.lokal"
    Set-ADObject -Identity:"OU=freitag,DC=bufirma,DC=lokal" -ProtectedFromAccidentalDeletion:$true -Server:"DC-BUFIRMA-01.bufirma.lokal"
    New-ADOrganizationalUnit -Name:"unter-ou" -Path:"OU=freitag,DC=bufirma,DC=lokal" -ProtectedFromAccidentalDeletion:$true -Server:"DC-BUFIRMA-01.bufirma.lokal"
    Set-ADObject -Identity:"OU=unter-ou,OU=freitag,DC=bufirma,DC=lokal" -ProtectedFromAccidentalDeletion:$true -Server:"DC-BUFIRMA-01.bufirma.lokal"
    New-ADGroup -GroupCategory:"Security" -GroupScope:"Global" -Name:"freitag" -Path:"OU=freitag,DC=bufirma,DC=lokal" -SamAccountName:"freitag" -Server:"DC-BUFIRMA-01.bufirma.lokal"
    New-ADUser -DisplayName:"Joe Freitag" -GivenName:"Joe" -Name:"Joe Freitag" -Path:"OU=freitag,DC=bufirma,DC=lokal" -SamAccountName:"joefreitag" -Server:"DC-BUFIRMA-01.bufirma.lokal" -Surname:"Freitag" -Type:"user"
    Set-ADAccountControl -AccountNotDelegated:$false -AllowReversiblePasswordEncryption:$false -CannotChangePassword:$false -DoesNotRequirePreAuth:$false -Identity:"CN=Joe Freitag,OU=freitag,DC=bufirma,DC=lokal" -PasswordNeverExpires:$false -Server:"DC-BUFIRMA-01.bufirma.lokal" -UseDESKeyOnly:$false
    Set-ADUser -ChangePasswordAtLogon:$true -Identity:"CN=Joe Freitag,OU=freitag,DC=bufirma,DC=lokal" -Server:"DC-BUFIRMA-01.bufirma.lokal" -SmartcardLogonRequired:$false
    

    Papierkorb für das AD aktiviert und diskutiert - und wieder: Nutzung über die PowerShell
  • PowerShell (eine kurze Einführung)
    Version anzeigen lassen mit $PSVersionTable; Aufrufe (cmdlet) bestehen aus Verb-Hauptwort Paaren
    Anzeige der Ausführbarkeit von Skripten mit Get-ExecutionPolicy (und ggf. auf Win8-Clients setzen der Ausführbarkeit mit Set-ExecutionPolicy RemoteSigned)
    Orientierung und Testaufrufe: Get-ChildItem (Alias dir, ls), Set-Location (Alias cd), Get-PSProvider, Get-PSDrive, Get-Process, Get-HotFix, Get-Help (Aktualisieren der Hilfe mit administrativer PowerShell Update-Help, Verlinkungen auf Online-Websites zu den Cmdlets), Ausgaben per Out-GridView oder sagar per Sprache mit Out-Speech (bei installierten PowerShell Community Extensions)
    PowerShell Skript Code bereitgestellt für einfache Funktion "cdd" (Change Directory mit Windows Dialog)
  • PowerShell Sessions - die moderne MS Terminalsitzung / Shellsession
    Technikhintergrund: WinRM (Windows Remote Management); Anforderungen für WinRM Services: Microsoft .NET Framework 2.0 oder höher; Windows PowerShell 2.0 oder höher; Windows Remote Management (WinRM) 2.0
    Rechner für PowerShell Sessions (PSRemoting) vorbereiten:

    # WinRM-Systemdienst starten (inkl. Firewall - Netzwerkverbindungstyp beachten - kein Öffentliches Profil!)
    Enable-PSRemoting
    # Unterdrücken der Nachfragen mit
    Enable-PSRemoting -force
    # Testen der Fähigkeit:
    New-PSSession
    

    in Firmen/Domänen kann man die folgende Gruppenrichtlinie nutzen:
    Computer Configuration\Administrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM service
    Beispielhafte Nutzung:
    # Interaktiv Sitzung:
    Enter-PSSession –Computername dc-bufirma-01
    # komplette Anmeldung inkl. -credential
    Enter-PSSession dc-bufirma-0xyz -Authentication Negotiate -credential dom2012r2\Administrator
    # Beenden:
    Exit-PSSession
    # aktuelle Konsolenmaschine
    [System.Environment]::MachineName
    

    Alternative Aufrufe und weitere technische Möglichkeiten mittels Commandlet Invoke-Command
    Anregung: Recherche nach Cmdlets mit *PSSession*
    komplettes Seminar (5-Tage-BU) zur PowerShell an der VHS Braunschweig ab 14.12.2015
  • PowerShell WebAccess (PSWA)
    Installation auf Server von Rolle "Web Server (IIS)" und Feature "Windows PowerShell/Windows PowerShell Web Access"; alternativ mit PowerShell: Install-WindowsFeature -name web-server, windowspowershellwebaccess
    # Installieren/Bereitstellen von Test-Zertifikat
    Install-PswaWebApplication -UseTestCertificate
    # Anm.: jetzt Server erreichbar unter https://localhost/pswa
    # Regel (hier sehr "frei") für die Erreichbarkeit von PSWA erstellen:
    Add-PswaAuthorizationRule –UserName * -ComputerName * -ConfigurationName *
    

    Beim Aufruf der Webseite https://dc-bufirma-01/pswa muss man natürlich das Zertifikat anerkennen (lassen).
  • BPA (Best Practise Analyzer)
    erst Leistungsindikatoren starten (über Server-Manager) dann per PowerShell:
    Get-BPAModel | Invoke-BPAModel
    in der AD DS Serververwaltung findet man jetzt BPA Einträge (Hinweis auf NTP / Zeitserver, einen gewünschten 2. Domaincontroller, ...)
  • Abschließende Übungen in der cmd
    Nutzen von net use, net share (Freigaben anzeigen lassen aber auch Freigaben erstellen in der cmd)
    beim Thema Freigaben auch zum Dienst "Distributed File Service" (DFS) gefunden und kurz erläutert
  • Hinweis auf "Netzwerk- und Internettechnik" Bildungsurlaub ab 22.06.2015
  • TN-Unterlagen, Bereitstellung von Screenshot-Reihen zum Windows Server und diesem Seminar für TN, TN-Bescheinigungen, Feedback, letzte Fragen

 

  • PowerShell Web AccessPowerShell Web Access
  • Update-HelpUpdate-Help
  • IIS 8.5IIS 8.5
  • VertrauensstellungenVertrauensstellungen
  • net sharenet share
  • StandorteStandorte

Vielen Dank für Ihre überaus freundlichen und positiven Feedbackbögen und auch persönlichen Feedbacks zum Seminarende.
Ihr Trainer Joe Brandes

  Privates

... zu Joe Brandes

Sie finden auf dieser Seite - als auch auf meiner privaten Visitenkarte joe-brandes.de einige Hintergrundinformationen zu mir und meinem Background.
Natürlich stellt die IT einen Schwerpunkt in meinem Leben dar - aber eben nicht nur ...

joe brandes 600px

Private Visitenkarte / Technik: HTML & CSS /
  joe-brandes.de

  Jobs

... IT-Trainer & Dozent

Ich erarbeite und konzipiere seit über 20 Jahren IT-Seminare und -Konzepte. Hierfür stehen der "PC-Systembetreuer / FITSN" und der "CMS Online Designer / CMSOD". Ich stehe Ihnen gerne als Ansprechpartner für Ihre Fragen rund um diese und andere IT-Themen zur Verfügung!

becss 600px

BECSS Visitenkarte / Technik: HTML & CSS /
  becss.de

  Hobby

... Snooker & more

Wer einmal zum Snookerqueue gegriffen hat, der wird es wohl nicht wieder weglegen. Und ich spiele auch immer wieder gerne eine Partie Billard mit den Kumpels und Vereinskameraden. Der Verein freut sich über jeden, der einmal in unserem schicken Vereinsheim vorbeischauen möchte.

bsb 2011 600px

Billard Sport BS / Joomla 3.x /
  billard-bs.de

PC Systembetreuer ist J. Brandes - IT seit über 35 Jahren - Technik: Joomla 3.4+, Bootstrap 3.3.4 und "Knowledge"

© 2017 - Websitedesign und Layout seit 07/2015 - Impressum
Nach oben