Turnusmäßig findet ab dem 04. Dezember 2017 an der VHS Braunschweig ein "Windows Server"-Seminar aus der PC-Systembetreuer-Reihe (Zertifikat: "Fachkraft IT-Systeme und Netzwerke - FITSN") statt.

windows server plan 2017 11 800px

In einem praxisorientiertem Seminar wollen wir die Verwaltung einer "Firmen-Domäne" mit de Windows Server 2016 Server-Betriebssystem aus dem Hause Microsoft kennen lernen.

Hier die Rahmendaten unseres Seminars:

Ort: VHS Braunschweig, Heydenstraße 2, Raum 2.03
Zeiten: Mo, 04.12. - Fr, 08.12.2017; jeweils 08.30 - 16.00 Uhr
Freiwillige Prüfung: wird im Seminar mit den Interssierten TN abgesprochen!
Prüfungstermin: Mi., 13.12.2017, Raum 2.03, 17.00 Uhr (aktuell: 3 TN)
Erstkorrektur: Status erledigt, 17.12.17 - Ich gratulieren allen Teilnehmern!

Ich werde unser Seminar an dieser Stelle wie immer durch ein ausführliches tägliches Protokoll begleiten ...
Ihr Trainer Joe Brandes

Tag 01 - Montag

Montag, 04.12.2017, 08.30 - 16.00 Uhr

  • Orientierungsphase, Pausenzeiten, freiwillige Prüfung, TN-Themen
    Hinweis Cobra Shop (Link), Unterichtsmaterialien (Screenshots zur BU-Woche - "Daumenkino"),
    Anmerkung zu Herdt-Skript "W2016N - Netzwerkadministration"
  • Server-Editionen: (nur als 64-Bit verfügbare 2008 R2 / 2012 R2 / 2016)
    Client/Server-Betriebssystem-Familie: NT - New Technology
    NT 3.51 / 4.0 Workstation und Server;
    Windows 2000 Professional und Server (5.0); Windows XP / Server 2003 (5.1)
    Windows Vista / Server 2008 (6.0) und Windows 7 Professional  / Windows Server 2008 R2 (6.1)
    Editionen 2008 R2: Web, Standard, Enterprise, Datacenter, HPC (High Perfomance)
    Unterschiede: RAM, CPU / Kerne, Ausstattungen, CALs, Preis, Hot PnP Technik, Virtualisierungen
    ab Editionen 2012 R2 / 2016: Standard, Datacenter (Unterschiede bei den Virtuellen Instanzen)
  • Editionen / Lizenzen Server 2016 – alles ab Server 2012 R2 mit Ausrichtung auf die Azure Cloud („Microsoft Wolke“)
    nur noch Standard und Datacenter Editions mit gleichem Funktionsumfang (Gesamtübersicht "Thomas Krenn" - Preissrecherche Thomas Krenn)
    Standard Edition: nur 2 Virtuelle Server pro Lizenz; ca. 650 - 700 € (ohne CALs)
    Datacenter Edition: beliebig Virtuelle Server; ab ca. 4400 € (Systeme möglichst mit HW bündeln)
    insgesamt muss man sagen, dass mit 2016 die Server von MS durch eine Änderung von "Pro CPU" zu "Pro Core" Lizensierung teurer werden, aber eben auch neue und noch attraktivere Techniken bieten.
    Zitat Thomas Joos - siehe auch Autor bei Herdt-Skripten
    (Microsoft Windows Server 2016 - Das Handbuch - Von der Planung und Migration bis zur Konfiguration und Verwaltung; ISBN-13: 978-3960090182)
    "Eines ändert sich mit Windows Server 2016 nicht: die Komplexität der Lizensierung."
    spezielle Edition: (kein Foundation Server mehr bei 2016)
    Essentials
    : 25 Benutzer und 50 Geräte, keine CALs nötig, ca. 350 € (Einzellizenz physikalisch oder virtuell); ab ca. 340 €; Hardwarebeschränkungen: 2 CPUs, max. 64 GB RAM
    Spezielle Editionen: Storage Server: an Hardware gebunden - also nur über OEM-Kanäle; MultiPoint Premium Server: Academic Volume Licensing
  • Lizenzen für Domain-Betrieb:
    Betriebssystem-Lizenzen "Server" und "Client" plus CALs (Client Access Licenses);  CALs: ab ca. 20-25 € möglich
    "kostenlose" Evaluation-Versionen (180 Tage) zum Testen in eigener Infrastruktur oder VMs
    kostenloser uneingeschränkter (> 180 Tage) Hyper-V Server 2016 (natürlich als Core)
    Anmerkung: für Downloads ein "Microsoft Live Account" nötig
    CAL - Client Access Licenses; Lizenzen modellieren nach Gerät (Device) oder Benutzern (User),
    kein Einsatz eines Lizensierungsservices mehr nötig - anders als bei den Terminal Services TS/RD und den TS/RD-CALs
  • Entwurf der Netzwerkumgebung
    Planung der Topologie ("Schaltplan") für Übungsfirma
    Anbindung über eigenen BU-ROUTER mit Diensten: DHCP (Dynamic Host Configuration Protocol) und NAT-Routing
    Hinweis: Server immer mit statischen Konfigurationen verwenden
  • Entwurf der Domainen (Übungsfirma)
    1 Hauptdomäne (seminar.local) mit 2 Sub-Domänen (abt01 bis abt02.seminar.local);
    jede Domäne stellt eine eigene Verwaltungsstruktur mit eigenem Active Directory dar
    Grund für Subdomains: wir wollen nur ein DNS haben für die Übungsfirma
  • Dokumentation für Domänenmodell und Netzwerk erstellt/gezeigt - Tafelbild
    Vergabe der Hostnames:
    siehe auch Befehle in Eingabeaufforderung hostname - oder natürlich Win + Pause ;-)
    PCXX (für die Windows Clients - hier: Windows 10 Pro),
    SRVXX (für die Windows Server 2016 "Clients" / Mitgliedsserver),
    DCYY (Domaincontroller)
    Adressen:
    statisch für die Router und DCs
    dynamisch - also per DHCP für alle Clients
    Domain-Hierarchien: (von Rechts-nach-Links; Technisch: FQDN - Fully Qualified Domain Name)
    Root-Level - TLD (Top Level Domain) - Domains - Subdomains - Hostname
    Beispiel: (in Standardschreibweise Links-nach-Rechts)
    servername.subdom.domain.tld.  (ganz genau also mit Punkt am Ende für Root-Level!)
  • Installation der Server- und Client-Betriebssysteme
    Begriffe: Image-basierte Installationen - Toolsammlung Microsoft für Imageerstellungen/Anpassungen:
    Klassisch: WAIK - Windows Automated Installation Kit (Toolbox: z.B. ImageX, ... - Microsoft Link)
    Nachfolger: Windows ADK (Microsoft Link - Download ADK Windows 8.1 und Co); 
    Partitionen, System-Reservierte Partition (MSR), Tool: diskpart für cmd)
    Tipp: Zugriff auf cmd während der Installation mit Tastenkombination Umschalten + F10
    Anm.: später werden alle TN Zugriff auf die Domaincontroller (DC) haben - egal, ob Sie an den Clients oder Mitgliedsservern arbeiten, oder natürlich direkt an den DCs
    Grundanforderungen an "Server" (siehe auch Anm. bei Installationen von Rollen/Features):
    statische IP-Konfiguration, sichere Passwörter, Updates/Aktualisierungen
    Anm.: in Firma Betrieb eines WSUS Servers (Windows Server Update Service) - Nachfolger vom SUS (Software Update Service)
  • Einrichten und Konfigurieren Netzwerk
    ohne DHCP: Hinweis auf APIPA - Automatic Private IP Adressing (siehe 169.254.x.y / 16)
    Alternativen genannt bei anderen OS: MacOS (Bonjour / Zeroconf), Linux (oft: Avahi); allgemein mDNS (Wikipedia Link)
    Tool: ipconfig /all
  • Server-Manager
    Installation der gewünschten Server-Software für (Anm.: Bottom-to-Top-Prinzip - erst einmal schlankes System...)
    Rollen (die großen Dienste / Services), oder
    Features (Erweiterungen wie Gruppenrichtlinienverwaltung, Dot.Net Framework, ...)
    Hinweis: Systembegrüßung nach Serverinstallation immer auch nachträglich mittels oobe aufrufbar (Out-Of-Box-Experience)
  • Installation DHCP-Service (Rolle) auf BU-ROUTER (LAN-IP: 172.16.0.254 / 16)
    Konfiguration eines Bereichs (Scope): 172.16.0.100 - .200; Subnetmask: 255.255.0.0;
    DNS-Server 172.16.0.1 (wenn wir lokalen Firmen-DNS haben), 192.168.178.1 für den Zugriff WAN
    Anm.: ohne Routing per LAN noch gar nicht verfügbar!
    Standard-Gateway (Router): 172.16.0.254; DNS Suffix: seminar.local
    Tests auf Client-PC (PC17 erhält z.B. 172.16.0.103 / 16) mit obigen Konfigurationen
    bzw. auf Servern dann später statische IPs (172.16.0.10 / .20 / .30 ) und auch die Konfigurationen zu Standard-GW (Router), DNS und DNS-Suffix manuell konfigurieren!
  • NAT-Routing über Maschine/Server BU-ROUTER 
    LAN-NIC 172.16.0.254 ↔ "NAT-Routing" ↔ 192.168.178.30 WAN-NIC
    ↔ 192.168.178.1 (DSL-Router VHS BS; hier: FritzBox)
    NAT-Routing Installation über Rolle "Remotezugriff" (Anm.: Gesamte Remote-Technik für DirectAccess / VPN kommt gleich mit);
    jetzt Weiterleitung (und Rückleitung) von Paketen zwischen NICs LAN ↔ WAN;
    Server BU-ROUTER vom Dozi verhält sich jetzt wie Ihr "DSL-Router" zu Hause;
    zur Konfiguration über Remotezugriffs-Verwaltungskonsole - dann Rechts-Oben RRAS Verwaltung öffnen (Routing und RAS)
    Wichtig: alle Maschinen (Dynamisch oder statisch) müssen natürlich das Standard-Gateway (Router) richtig eingetragen haben (hier: 172.16.0.254 - LAN-Adapter der Maschine BU-ROUTER)
    DNS: damit die LAN-Maschinen auch an das DNS für das Öffentliche Netz (WAN - Internet) kommen, wurde im DNS-Server DC00 (172.16.0.1) eine Weiterleitung auf den DNS des VHS BS DSL-Routers eingetragen (192.168.178.1); Anm.: das geschieht automatisch, wenn die Maschine DC00 richtig vorbereitet wurde (s. Best Practises Anmerkungen)!
  • Fachbegriffe für Domain-Einrichtungen:
    Gesamtstruktur (Forest), Domänenstruktur / Domänenstamm (Tree) und Domäne (Domain)
    Symbol für Domäne: Dreieck; wichtig: ohne DNS gibt es kein Active Directory (AD)
  • Domains vs. P2P (Peer-to-Peer; engl.: Peer: Gleichgestellter)
    Zentrale Verwaltung in Domäne vs. lokale Verwaltungen in einer Arbeitsgruppe
    anfangs/aktuell alles lokal verwaltet, was auch ein Blick in die Computerverwaltung (compmgmt.msc) der Server-Installationen zeigt: Lokale Benutzer- und Gruppenverwaltung
  • Übungsfirma seminar.local  
    neue Gesamtstruktur (Forest) und neue erste Stammdomäne für Domänenstruktur (Tree)
    Installation der Rolle AD-Domänendienste; danach "dcpromo" (ab 2012 R2 nicht mehr wirklich eigenes Programm) durchgeführt,
    wir erhalten neue Gesamtstruktur mit neuer Domäne
    Tipp: vorher bei DCs über Systemeigenschaften mittels Win + Pause - Erweiterte Systemeinstellungen - Register Computername - Ändern - Weiter.. - Primäres DNS-Suffix des Computers: seminar.local festlegen
    Stichworte: DNS (Verfügbarkeit, Delegierung, Installation, Zonen, AD-integriert);
    Anm. zu AD-integriert: bei einem zweiten DC für Domäne (z.B BDC00) wird dann über Replikation die DNS-Zone gleich mit repliziert; allerdings ohne DNS-Server Rolle auf dem BDC00!
    Hinweis zum Herdt-Skript des BU: dort viele Vertiefungen und Übungen zu DNS, die wir so hier nicht nachvollziehen werden,
    Funktionsebenen (Function Level FL - auf Ebenen Forest und dann Tree), Globaler Katalog, RODC (Read Only Domain Controller)

 

  • DHCPDHCP
  • DHCP - BereichDHCP - Bereich
  • Active DirectoryActive Directory
  • Gesamtstruktur - StammdomäneGesamtstruktur - Stammdomäne
  • NAT-RoutingNAT-Routing
  • LAN - WANLAN - WAN

 

Tag 02 - Dienstag

Dienstag, 05.12.2017, 08.30 - 16.00 Uhr

  • Rekapitulationen (Tag 01 - ausführlich), TN-Fragen
    Termin/Koordination für freiwillige Prüfung
    Tag 02: Netzinfrastruktur konsolidieren (DDNS), Domänen / Subdomänen abt01, abt02 / Clients/Mitgliedsserver, Übungen Benutzer
    Wiederaufnahme "Roter Faden"...
  • DHCP Server autorisieren (BU-ROUTER - LAN 172.16.0.254 ↔ 192.168.178.30 WAN)
    den BU-ROUTER in Domäne aufnehmen, um von DDNS (Dynamic DNS → "Zusammenarbeit" von DHCP mit DNS) zu profitieren;
    in der Domäne muss sich ein solcher DHCP-Server erst einmal als "offiziell ausweisen": DHCP autorisieren!
    Anm.: autorisierendes AD-Konto muss mindestens zu den Organisations-Admins zugehören
  • Domain Controller für Trainingsdomänen der TN
    DC01 für Subdomäne
    abt01.seminar.local  und
    DC02 für Subdomäne abt02.seminar.local   
    die Maschinen DC01 (172.16.0.10 / 16) und DC02 (172.16.0.20 / 16) zu Domänencontrollern für Subdomains abt01 und abt02.seminar.local promoten;
    die DCs erhielten statische IPs mit lokalem DNS 172.16.0.10 (für AD / LAN und für WAN als Weiterleitung auf DNS-Server) und Standard-Gateway 172.16.0.254 (für WAN)
    für die Subdomains wurden keine eigenständige DNS-Server installiert, sondern Sub-Zonen in bestehendem DNS für Zone seminar.local auf DC00 erstellt
    Wichtig: alle Einstellungen natürlich wieder intensiv mit nslookup vor und nach den dcpromo's checken
  • Windows 10 Clients und Windows Server 2016  in Trainingsdomänen aufnehmen
    Gruppenübung mit Fertigstellung aller Domänenmitgliedschaften für alle installierten Systeme; auch hier wieder Einsatz von nslookup;
    bei Servern Fachbegriff: Mitgliedsserver
  • Remote-Techniken (Übersicht) für Windows Clients / Mitgliedsserver
    1) RDP / Remote Desktop - nur für 2 gleichzeitig Zugriffe (ohne komplette RD-Server Rolle: Remotedesktopdienste)
    2) Remoteserver Verwaltungstools (Remote Server Administration Tools - RSAT)
    inklusive Server-Manager und allen Verwaltungstools (z.B. dsa.msc - Active Directory Benutzer und Computer) auf Windows 10 Client
    2a) Server 2016: über Server-Manager Verbindung zum entsprechenden DC (z.B. DC01) herstellen und ggf. die nötigen Features nachinstallieren
    2b) Windows 10: RSAT downloaden (aktueller "heutiger" Link) und installieren des "Windows Updates - *.msu"
    3)  PowerShell: Remote Sessions und WebAccess
    4) Fremdsoftware wie Teamviewer & Co
    5) MMC (mit Windows Management Interface - WMI): "Auslaufmodell"
  • Active Directory - Benutzer und Gruppen erkunden
    Standard-Container: Builtin, Computers, Domain Controllers, Users
    Hinweis: für alle neuen Objekte (Benutzer, Gruppen) werden OUs erstellt;
    Koordination von Prefix (jb-test) /Suffix (test-jb) Systemen innerhalb der Domains, damit die TN ihre Übungen auseinanderhalten können
    Übungen: Standardbenutzer in Domänen anlegen und auf "Clients" nutzen
    Verwaltung der Domänencontroller (DCs) mittels Server-Manager
  • Darstellung von A-G-DL-P Regel:
    Accounts (Benutzerkonto) - Mitglied von
    Global Group (Globale Gruppen) - Mitglied von
    Domain Local (Lokal in Domäne) - führt zu
    Permissions (Berechtigungen)
    Analyse der Benutzerrechte auf den Clients für Domänen-Benutzer und Domänen-Admins
    Tipp: immer werden Accounts (Konten) Mitglieder in Globalen Gruppen - bitte nie die Mitgliedschaften direkt in den Domain Lokalen Gruppen oder auch später bitte keine einzelnen Benutzerkonten bei Berechtigungen für Freigabe/NTFS eintragen, sondern immer Gruppen definieren und zuweisen
    Beispiele für verfügbare/bzw. nicht verfügbare Berechtigungen zwischen "Benutzern" und "Admins" auf den Clients:
    a) Fähigkeit Freigaben für Ordner/Drucker einrichten können
    b) Netzwerk konfigurieren
    c) Datei in Hauptverzeichnis C:\ erstellen
  • Gruppen (Übungen)
    Gruppentypen: Sicherheit
    siehe dann Sicherheitsgruppe - die "Standard"-Globale Gruppe, Alternativ: Verteilung (etwas für Maillisten und Co)
    Gruppenbereiche: Lokal (in Domäne), Global,
    oder Universal (kann auch Benutzer und Gruppen aus anderen Domänenstämmen und Gesamtstrukturen aufnehmen)
  • Reverse Lookup Zone
    Installation einer Reverse-Lookup-Zone 16.172.in-addr.arpa (also für alle IPs in Subnetz 172.16.0.0  / 16)
    Die Reverse Lookup Zone ist nicht zwingend für die Funktionalität AD DS nötig, aber sehr sinnvoll für alle weiteren Nutzungen und Strukturen im Firmennetz (Beispiele: Mailserver / Exchange)!
    Anm.: mehr Erläuterungen zu nslookup, DNS und Co im Seminar "Netzwerk- und Internettechnik"

 

  • DHCP autorisierenDHCP autorisieren
  • Standarduser als DomAdmStandarduser als DomAdm
  • RSATRSAT
  • Reverse Lookup - nslookupReverse Lookup - nslookup
  • Organisationseinheit (OU)Organisationseinheit (OU)
  • Reverse Lookup ZoneReverse Lookup Zone

 

Tag 03 - Mittwoch

Mittwoch, 06.12.2017, 08.30 - 16.00 Uhr

  • Rekapitulation, TN-Fragen
  • Szenarien Benutzerkonten / Authentifizierungen / SAM / DC-Ausfall
    lokal (auf PC) und zentral (in Domäne) hinterfragt und erläutert
    Anmeldungen sind technisch: Authentifizierungen
    Umsetzungen klassisch mit Benutzername + Passwort;
    Alternativen: Smartcards, Biometrie, 2-Faktor-/Multi-Faktor-Authentifizierungen
    Fragestellung: gegen welches Account-Management (SAM - Security Account Management; quasi "Kontendatenbank") werden Authentifizierungen geprüft/gestellt?
    Lokale Anmeldungen:  PC17\joeabadmin  mit lokalem SAM auf Maschine PC17
    Anmeldungen an Domäne:  seminar\joestandard  mit SAM auf DC (z.B. DC00 als Domänencontroller für seminar.local)
    Redundanz für Dienst "Active Directory Domain Service - AD DS": zweiter Domain Controller (Backup-DC)
    Redundanz für Dienst "DNS": sekundäre Zone auf zweitem DNS-Server
    Erinnerung: Benutzerprofile sind generell immer erst einmal lokal - also:
    C:\Users\joebadmin oder C:\Users\joestandard  
  • Freigaben
    Berechtigungen bitte immer ohne Freigabe-Assistent erstellen! (aktuelles Herdt-Skript W2016N S. 182 unten)
    Windows Explorer konfigurieren: Organisieren - Ordner- und Suchoptionen - Register Ansicht - Freigabe-Assistent deaktivieren
    Freigaben kennen nur einfache Berechtigungen: Vollzugriff, Ändern, Lesen
    Erläuterung / Erklärung zu Security-Principal (Spezialgruppe) Jeder:
    Jeder / Lesen - hier ist wieder "Jeder Berechtigte" gefragt,
    also meine AD-Benutzerkonten plus die Domänenbenutzer, denen meine Domäne vertraut
    siehe: Active Directory-Domänen und -Vertrauensstellungen
    Syntax bei Freigabenamen: mit $ am Ende sind "versteckt";
    administrative Freigaben C$, E$; Erinnerung an net share
  • Vertrauensstellungen
    Management-Console: Active Directory-Domänen und -Vertrauensstellungen;
    Fachbegriffe: bidirektional, eingehende und ausgehende Vertrauensstellungen, transitive Vertrauensstellungen (automatisch bei Domänenstamm / Tree)
  • NTFS (Zugriffsschutz auf Benutzerebene - Register "Sicherheit")
    viel feinere Berechtigungen gegenüber Freigabe-Rechten;
    wiederholen; NTFS-Rechte vererben; Besitz übernehmen,
    Effektive / Effiziente Berechtigungen für Benutzer / Gruppen anzeigen lassen:
    Effektiver Zugriff in den erweiterten Sicherheit-Einstellungen
  • net (Befehle)
    net share - Freigaben auflisten oder auch erstellen
    Tipp - Freigabe mit Eingabeaufforderung/cmd erstellen: 
    net share roaming=E:\roaming /grant:"seminar\Domänen-Benutzer,FULL" /remark:"Freigabe für Roaming-Technik" 
    Anm.: die Anführungszeichen/Strings in cmd nicht unbedingt nötig - aber Tipp falls mal in PowerShell unterwegs!
    net view - eigene (oder auch andere) Domains/Arbeitsgruppen auflisten / Freigaben anderer Rechner anzeigen
    net use - Netzwerkresourcen mappen (Netzwerklaufwerke und -Drucker)
    net /? (listet Befehlsoptionen) und net use /? (listet die net use Optionen)
  • Übungsszenario: Außendienstmitarbeiter mit Notebook
    ausführliche Übungen für TN
    Benutzer "seminar\joestandard" soll bei Notebook PC17 das Netzwerk konfigurieren dürfen
    a) Benutzer joestandard in OU anlegen oder bereits vorhanden (wie immer in einer OU nach Wahl)
    b) Neue Globale Gruppe "Netzhiwis" erstellen
    c) Benutzer joestandard Mitglied machen von Globaler Gruppe "Netzhiwis"
    d) in der Lokalen Benutzer- und Gruppenverwaltung von PC17 bei Lokaler Gruppe Netzwerkkonfigurations-Operatoren die Gruppe "seminar\Netzhiwis" zum Mitglied machen - dadurch ergeben sich folgende Mitgliedschaft:
    Useraccount joestandard Mitglied von Globaler Gruppe Netzhiwis
    → Netzhiwis Mitglied der Lokalen Benutzergruppe Netzwerkkonfigurations-Operatoren von PC17 
    Wichtig also: die Mitgliedschaft einer Globalen Gruppe (hier Netzhiwis) zur PC17 Lokalen Gruppe Netzwerkkonfigurations-Operatoren
    Anm.: das ist dann bei Terminal Server / Remotedesktopdiensten später dasselbe Vorgehen:
    man muss dann wieder die User für die Remotedesktop-Nutzungen in die Lokale Gruppe Remotedesktopbenutzer des Terminal Servers "packen"
    Anm.: das kann man später auch zentral organisieren/automatisieren (per Gruppenrichlinien), falls man das mal bei sehr vielen PCs/Laptops machen müsste!
  • Active Directory Verwaltungscenter
    Neues Tool zur AD-Verwaltung; blendet alle Objekte des Active Directory standardmäßig ein;
    inklusive Zugriff auf die entsprechenden PowerShell Skripte zur Durchführung in der neuen Befehlszeile
    Hinweis: neue Benutzerkonten ohne Passwort sind immer deaktiviert
    Tipp für dsa.msc (Active Directory Benutzer und Computer): Ansicht - Erweiterte Features aktivieren
  • Diverses rund um Benutzerobjekte
    Passwort ändern (Benutzer: Strg + Alt + Entf - Passwort ändern)
    SID - Security Identifier; eindeutige Nummer für AD-Objekt (siehe cmd - whoami /all)
    Verschlüsselungen mittels NTFS/EFS oder Bitlocker (Verschlüsselung von Laufwerken - auch C:)
  • Benutzerprofile
    Typen:
    nach Ort: lokal (local), servergespeichert  (serverbased) 
    nach Eigenschaft: veränderlich, verbindlich (mandatory)
    Wichtig: jeder Benutzer arbeitet an seinem "PC" immer mit einem "veränderlichem Lokalen Benutzerprofil"
    Klassische Alternative: servergespeichertes Benutzerprofil (serverbased profile) - siehe Profil-Kontenblatt des Benutzers
    Datei: ntuser.dat  - benutzerspezifischer Registrierdatenbankteil
    Ein Profil als unveränderlich (mandatory) konfigurieren: ntuser.dat umbenennen in ntuser.man   (mandatory profile)
    Problem der servergespeicherten Benutzerprofile:
    Profile wurden über die Zeit und die Client-OS immer größer und konnten teils nur schlecht und/oder fehlerhaft "synchronisiert" werden
    Lösung: nur die variablen und interessanten Teile des Benutzerprofils auf einen Server umleiten (Roaming Profiles) - diese Ordnerstrukturen dann als Offline Ordner auf den Clients pflegen und clever mit den Serverfreigaben synchronisieren bzw. als moderne Offline-Ordner (unterwegs) nutzen
    Analyse der Verzeichnisstrukturen unsere Windows Installationen und der Benutzerprofile:
    C:\Users - Anm.: Ordner Benutzer im Windows Explorer "nur eingedeutscht"
    Technik für Aufruf / Anzeige / Analyse: Eingabeaufforderung (cmd) mit Befehl  dir /a   (alles im Verzeichnis anzeigen lassen)
    So erkennt man: "Dokumente und Einstellungen" ist eine Junction (Abzweigung) zu C:\Users 
    Anm.: das erklärt "Fehlermeldung" bei Doppelklick, da ein Doppelklick nur auf Dateien, Ordner oder einfache Links/Verknüpfungen "funktioniert"
    im Benutzerprofil  C:\Users\%username%  (Anm.: Variable für Benutzername!) Hinweis auf Ordnerstrukturen und Junctions
    Besonderes Interesse: C:\Users\%username%\AppData  mit Unterordnern Local, LocalLow und Roaming
    Ordner .\AppData\Roaming  wird uns bei unseren Übungen zu den "Roaming Profiles" morgen wieder begegnen (→ Ordnerumleitung AppData (Roaming) )

 

  • EFS - Encrypted FSEFS - Encrypted FS
  • Lokale Gruppe - Globale GruppeLokale Gruppe - Globale Gruppe
  • Freigaben einrichtenFreigaben einrichten
  • StandorteStandorte
  • AD VerwaltungscenterAD Verwaltungscenter
  • Kennwort zurücksetzenKennwort zurücksetzen

 

Tag 04 - Donnerstag

Donnerstag, 07.12.2017, 08.30 - 16.00 Uhr

  • Rekapitulation, TN-Fragen
  • Einführung in Gruppenrichtlinien (Group Policies)
    Erstes (lokales) Beispiel für Richtlinien: secpol.msc (Lokale Sicherheitsrichtlinie) aufrufen
    Verwaltung - Lokale Sicherheitsrichlinie - Kennwortrichtlinien -> alles GRAU/unbearbeitbar - ist eben alles Lokal!
    Einstellungen ändern mittels Gruppenrichtlinienverwaltungs-Konsole:
    gpmc.msc -  Group Policy Management Console - Bearbeiten mittels Rechte Maus (gpedit.msc - GP Editor):
    Default Domain Policy - Computerkonfiguration - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Kontorichtlinien - Kennwortrichtlinien
    Übung: Ändern der "Default Domain Policy" - Anpassen der Kennwortrichtilinien
    wichtige cmd-Tools für die GPOs:
    gpupdate /force  (Erzwingen der Richtlinienaktualiserung für Computer und Benutzer)
    dcgpofix  (Wiederherstellen von Default Domain und/oder Default Domain Controllers Policy)
  • Gruppenrichtlinienobjekt (Group Policy Objects - GPO)
    sind in Management Konsole unter Gruppenrichtlinienobjekte zentral organisiert (Gruppenrichtlinienverwaltung - gpmc.msc ) und dann als Verknüpfungen den jeweiligen Objekten zugewiesen
    in der Gruppenrichtlinienverwaltung stehen darüber hinaus Analyse- und Modellierungswerkzeuge für spätere intensive Beschäftigungen mit Gruppenrichtlinien bereit
    in der Konsole gibt es das Tool rsop.msc (Resultant Set of Policies - Richtlinienergebnissatz) für die Zusammenfassung der Richtlinien
    GPO werden mit GP-Editor bearbeitet ( gpedit.msc );
    Group Policy Objekte (GPOs) bestehen aus zwei Teilen:
    Computerkonfiguration (machine - wird beim Starten der Maschine gelesen) und
    Benutzerkonfiguration (user - wird beim Anmelden des Benutzers gelesen)
    Zielobjekte für GPOs: Gesamtstruktur, Domäne, DCs, Standorte, OUs / UnterOUs
    GPO-Optionen: nicht konfiguriert, aktiviert, nicht aktiviert - Optionen geben dann mit Vererbung über die Hierarchien Sinn (z.B. verschachtelte OUs)
    Die Richtlinien und Skripte auf einem System werden in einer klar definierten Reihenfolge abgearbeitet (siehe Herdt-Skript)
    auf HD des DC: C:\Windows\SYSVOL\sysvol\seminar.local\policies 
    bzw.: C:\Windows\SYSVOL\domain\policies   mit ...\domain\ als Verknüpfung  /Link / Junction
  • Erste Übung mit Gruppenrichtlinien: Anzeigeoptionen für Benutzer einer OU deaktivieren
    Benutzerkonfiguration - Richtlinien - Administrative Vorlagen - Systemsteuerung - Anzeige - Einstellung: Systemsteuerungsoption "Anzeige" deaktivieren
    Anm.: kann man ohne Neuanmeldung mittels gpupdate /force  auf Client "erzwingen"
  • Große Übung zu Gruppenrichtlinien: Roaming Ordner (am Beispiel Desktop oder Documents)
    Plan / GP-Entwurf:
    Gruppenrichtlinie für Ordnerumleitungen (hier: Eigene Dokumente - C:\Users\%username%\Documents ) auf einen Ordner auf "Server"
    Deutsches Webportal zum Thema Gruppenrichtlinien (mit Tipps, Tricks, Übersichten)
    auf Server:
    Active Directory: (hier wollen wir sauber mit eigens konstruierter Globaler Sicherheitsgruppe arbeiten)
    neue OU  roamers mit neuem Benutzer  joeroamer und Gruppenzugehörigkeit zu neuer Globaler Gruppe roamers erstellen
    Anm./Erinnerung: bei den folgenden Berechtigungen immer die Globale Gruppe für Berechtigungen nutzen!
    Datenträger/Explorer auf "Server" (hier: DC00 ):
    Daten-LW-Freigabe: E:\roaming-ordner   erstellen und freigeben mit Freigabename roaming-ordner  und folgenden
    Standardberechtigungen: (Microsoft-Vorschlag / "Best Practises")
    Freigabe-Berechtigung: seminar\roamers mit Vollzugriff (oder aber "anonyme" Globale Gruppe Jeder)
    NTFS-Berechtigung: seminar\roamers mit Berechtigung Ändern
    Gruppenrichtlinienverwaltung:
    Neues GPO roaming-documents erstellen und bearbeiten:
    GP-Editor: Benutzerkonfiguration - Richtilinien - Windows Einstellungen - Ordnerumleitungen - Dokumente - Rechte Maustaste - Konfigurationen vornehmen; siehe auch Extra-Register für "Exklusive Zugriffe" und "Verschieben/Behalten" von Dateien
    GP-Objekt roaming-documents  mit OU roamers verknüpfen (bitte nicht vergessen!)
    Gruppenrichtlinien aktualisieren oder einfach einen Moment warten!
    auf Client:
    neuen User seminar\joeroamer anmelden - hier jetzt im Benutzer-Profil kein Ordner Documents mehr (checken mit cmd - dir)!
    in Eigenschaften von "Dokumente" sieht man den UNC-Pfad: 
    \\DC00\roaming-ordner\joeroamer\Documents   (Anm.: in Pfadzeile des Explorers nicht mehr erkennbar!)
    Speichern mittels Bibliotheken - Dokumente;
    technische Umsetzung auf Client: Offline-Ordner für "Eigene Dokumente" (siehe Systemsteuerung - Synchronisierungscenter - Offlinedateien)
    Anm.: in Windows 10 werden entsprechende Ordner mit Symbol für die Offline-Sync-Technik ausgestattet
  • Info zu "klassische Anmeldeskripte"
    (Anm.: keine Übungen mehr, da Skripting heute für An-/Abmelden mittels GPOs)
    mit Freigaben auf DCs und mit Netzlaufwerk per NETLOGON-Skript lw-n-mappen.cmd 
    Einzeiler: net use N: \\dc00\projectX  
    Skript lw-n-mappen.cmd wird im Kontenblatt Profil eines AD-Users konfiguriert (Anm.: erfordert also manuellen Eingriff des Admin!)
    Berechtigungen für Freigabe und NTFS:
    Freigabe: Jeder / Vollzugriff
    NTFS-Sicherheit: gewünschte Globale Gruppe (z.B. Domänen-Benutzer) / Ändern
    Befehl für Mapping von Netzresourcen (Freigaben / Drucker):
    net use (mit Schaltern /?, /persistent, /delete)
    Anm.: die Übung ist gut für praktische Erfahrungen mit Skripten und Netzwerklaufwerken
    die modernen Varianten dann später per Gruppenrichtlinien und Start-/Stop Skripten als normale Skripte (*.cmd) oder PowerShell-Varianten (*.ps1)
    Anm. zum späteren Skripting per GPOs:
    die Pfade zu den Skriptordnern führen in die User-Unterordner des jeweiligen GPO!
    seit Windows 8.1 werden die Login-Skripte standardmäßig mit einer Verzögerung von 5 Minuten (!) durchgeführt, was selbstverständlich wieder durch eine Gruppenrichtlinie angepasst werden kann (Darstellung windowspro.de)

 

  • Auflösungen fixierenAuflösungen fixieren
  • Offline-OrdnerOffline-Ordner
  • Group Policy Objects (GPO)Group Policy Objects (GPO)
  • KennwortrichtlinienKennwortrichtlinien
  • neues GPOneues GPO
  • OrdnerumleitungOrdnerumleitung

 

 

Tag 05 - Freitag

Freitag, 08.12.2017, 08.30 - 16.00 Uhr

  • Rekapitulation zur bisherigen BU-Woche, TN-Fragen
  • Bibliothek Windows Server 2012 R2 / 2016
    1) OpenBook vom Rheinwerk Verlag (früher Galileo Verlang):
    der 1400-Seiten-Wälzer Windows Server 2012 R2 von Ulrich B. Boddenberg "Das umfassende Handbuch" als OpenBook (Download/ Offline-Webseite)
    Link zur gedruckten Version des Buchs
    2) Microsoft Windows Server 2012 R2 - Das Handbuch - Insider-Wissen - praxisnah und kompetent / Autor: Thomas Joos, 978-3-86645-179-7; inkl. e-Book -
    Nachfolger zu Server 2016: "Microsoft Windows Server 2016 - Das Handbuch: Von der Planung und Migration bis zur Konfiguration und Verwaltung" (angekündigt zum 23. März 2017 - ISBN-13: 978-3960090182)
    3) Schwerpunkt "Policies": Gruppenrichtlinien in Windows Server 2016, 2012 und 2008 R2: Ein praktischer Leitfaden für die Windows-Verwaltung Gebundene Ausgabe – 5. Dezember 2016; von Holger Voges (Autor),‎ Martin Dausch (Autor)
  • Übung: Richtlinien komplettieren / wiederholen
    Wiederholung mit Roaming-GPO für "Desktop"
    freitag gpo umleitungen rekap 800px
    Digitales "Tafelbild"
  • BPA (Best Practise Analyzer)
    erst Leistungsindikatoren starten (über Server-Manager)
    dann per PowerShell (mit Admin-Rechten): Get-BpaModel | Invoke-BpaModel 
    ggf. diverse "gelbe/rote" Warnungen/Fehler können ignoriert werden
    in der AD DS Serververwaltung findet man jetzt BPA Einträge:
    1) Alle OUs vor versehentlichem Löschen schützen (Warnung)
    2) Hinweis (Fehler) auf NTP / Zeitserver - Stichwort: PDC Betriebsmasterrolle
    3) gewünschter 2. Domaincontroller - Stichwort: Redundanz (→ sehr wichtig!)
    Anm.: die Best-Practise Vorschläge wurden diskutiert
  • Betriebsmasterrollen (→ Thema: Migrationen)
    FSMO-Rollen (Flexible Single Master Of Operation):
    Schema-Master, Domänennamen-Master, PDC-Emulator, RID Master, Infrastruktur-Master
    Link mit weiteren Erläuterungen; für Migrationen benötigt man dann noch spezielle Anleitungen und Tools
  • Druckserver
    technischer Vergleich mit Netzwerkdrucker - alles wie immer:
    bei Druckserver (also der Client/Server-Technik) sind die Treiber (und ggf. auch Druckaufbereitung) zentral auf Server,
    während Netzwerkdrucker (zwar auch im Netz verbunden sind) die Treiber jeweils auf den nutzenden Clients hätten!
    Druckeranschlüsse:
    USB, LPT, TCP/IP, HP JetDirect, IPP (Internet Printing Protocol), LPD (Line Printer Daemon für Unix)
    Treiber auf Druckserver:
    nicht nur für den Server sondern natürlich auch für die Clients nötig (XP / Vista / Win7 / 32-Bit, Win7 32-Bit/64-Bit / Win 8.1 / Win 10)
    Spooling (Druckaufträge in Speicher auf Datenträger zwischenspeichern) mit
    Spoolordner: C:\Windows\system32\spool\PRINTERS  
    Spool-Ordner besser auf Datenlaufwerk oder Speziallaufwerk - hier: E:\__spool ) untergebracht
    Begriffe: Queuing, Druckpriorität (von 1 - gering bis 99 maximale Dringlichkeit), Druckerpool, Treiber
    Praxis: Installation / Einrichtung "Druckserver" auf DC00 und veröffentlichen im "Verzeichnis"; auf Clients mit freigegebenem Drucker verbinden bzw. "Drucker hinzufügen" (Domänen-Benutzer und alle "Vertrauten" sind berechtigt);
    Hinweis auf Gruppenrichtlinie in Benutzerkonfiguration für das automatisierte "Verbinden" mit den Druckservern im AD
    Server-Manager → Tool: Druckverwaltung
  • Server-Sicherung
    Backupstrategien und Konzepte ("W-Fragen?"; siehe auch Modul PC-Systemsupport-Infos)Einrichtung der Windows Server-Sicherungsfeatures über Windows Server Manager -> Features - Feature "Windows Server-Sicherung" hinzufügen
    Sicherung konfigurieren / eingerichten; bei Sicherungen auf UNC-Pfaden werden Sicherungen immer überschrieben (kurze Hinweise zu iSCSI / SAN Techniken inkl. digitalem Tafelbild)
    Tool: wbadmin (für die Konsole - siehe wbadmin /? )
    Hinweis: Sicherung im laufenden Betrieb mit Hilfe von VSS (Volume Shadow Service - Volumenschattenkopien; auch nötig für die sogenannten Vorgängerversionen)
    Alternative Software: (eine kleine Auswahl)
    Microsoft System Center 2012 R2 bzw. 2016 mit Data Protection Manager, EMC2 Data Protection Suite, Acronis Backup Windows Server
  • Musterprüfung / Prüfungsvorbereitung
    Anmerkungen zur Musterprüfung (Beta-Version Joe Brandes in Absprache mit EPZ)
    Empfehlung für die Prüfungvorbereitung:
    Bitte das Herdt-Skript "durchlesen/blättern" und unseren Roten Faden also diese Wochenbeitragsreihe (als Schwerpunkt)
  • Digitale Unterlagen:
    Screenshots der BU-Woche, Scribbles (digitale Whiteboards / Trainererläuterungen), Screenshotsammlung zu Server (all Topics A to Z)
  • TN-Bescheinigungen, Feedback-Bögen, letzte TN-Fragen

 

  • Wiederholung OrdnerumleitungenWiederholung Ordnerumleitungen
  • DHCP - ReservierungDHCP - Reservierung
  • Drucker im VerzeichnisDrucker im Verzeichnis
  • RAID 5RAID 5
  • Drucker freigebenDrucker freigeben
  • Server SicherungServer Sicherung

 

 

Vielen Dank für Ihre überaus positiven Feedbackbögen und persönlichen Rückmeldungen und Ihr Interesse an weiteren und weiterführenden Seminaren.
Ihr Trainer Joe Brandes

  Privates

... zu Joe Brandes

Sie finden auf dieser Seite - als auch auf meiner privaten Visitenkarte joe-brandes.de einige Hintergrundinformationen zu mir und meinem Background.
Natürlich stellt die IT einen Schwerpunkt in meinem Leben dar - aber eben nicht nur ...

joe brandes 600px

Private Visitenkarte / Technik: HTML & CSS /
  joe-brandes.de

  Jobs

... IT-Trainer & Dozent

Ich erarbeite und konzipiere seit über 20 Jahren IT-Seminare und -Konzepte. Hierfür stehen der "PC-Systembetreuer / FITSN" und der "CMS Online Designer / CMSOD". Ich stehe Ihnen gerne als Ansprechpartner für Ihre Fragen rund um diese und andere IT-Themen zur Verfügung!

becss 600px

BECSS Visitenkarte / Technik: HTML & CSS /
  becss.de

  Hobby

... Snooker & more

Wer einmal zum Snookerqueue gegriffen hat, der wird es wohl nicht wieder weglegen. Und ich spiele auch immer wieder gerne eine Partie Billard mit den Kumpels und Vereinskameraden. Der Verein freut sich über jeden, der einmal in unserem schicken Vereinsheim vorbeischauen möchte.

bsb 2011 600px

Billard Sport BS / Joomla 3.x /
  billard-bs.de

PC Systembetreuer ist J. Brandes - IT seit über 35 Jahren - Technik: Joomla 3.4+, Bootstrap 3.3.4 und "Knowledge"

© 2018 - Websitedesign und Layout seit 07/2015 - Impressum
Nach oben