Kursus MCITP 2008

Inhaltsverzeichnis

Kursus MCITP 2008. 1

1.0.      Windows Server 2008 R2. 2

1.1.      Grundlagen / Infos. 2

1.2.      Installation eines Core-Server 3

1.2.1.      Befehle. 3

1.2.2.      Aufgabe: Dual Boot Server Core Installation.. 4

1.2.3.      Hyper-V Installation.. 4

1.2.4.      Betriebsmaster-Rollen (FSMO) 5

2.0.      DNS.. 6

2.1.      Berechtigungen in der Domäne. 7

2.2.      Reverse-Lookup-Zone. 9

2.3.      LDAP (Lightweight Directory Access Protocol) 13

2.3.1.      Übung: 13

2.4.      AD-Datenbank. 14

2.5.      NTDSUtil 16

2.6.      Powershell 17

3.0.      GPO (Group Policy Objects) 20

 

 

 

 

 

 

 

 

 

 

 

1.0.      Windows Server 2008 R2

1.1.          Grundlagen / Infos

Buch:

Das Handbuch Windows Server R2

Thomas Joos

ISBN: 978-3-86645-139-1

59,-€

Konfigurieren von Windows Server 2008 AD

ISBN: 978-3-86645-940-3

79,-€

 

*      nur 64 Bit

*      Versionen: (Fondation), (Web), Standard, Enterprise, Datacenter

*      Standalone-Server, Memberserver, Domain Controller

*      HCL (Hardware Compatibility List)

 

Rollen

*      DNS, DHCP, Active Directory Service

 

Features

*      Sicherung

 

Core-Server

*      keine grafische Oberfläche

*      Konsolenebene nur „CMD“

 

AD                  =          Certificate Service

AD                  =          Domain Service

AD                  =          Lightweight Directory Service (ehemals ADAM = Active Directory              Application Mode)    

 

Rollen eines Core-Server

*      Hyper-V

*      DHCP

*      DNS

*      Dateidienste

*      Branch Cache (Niederlassungs Cache)

*      Druckdienste

*      Mediaservices

*      iiS (Internet Information Server) => wichtigste Dienst WebServices

        

1.2.          Installation eines Core-Server

 

*      RAM: 1024 MB

*      20 GB

*      Enterprise-Core

*      Tastatur / Land / Passwort anpassen

*      deutsches Sprachpaket installieren (muss lokal auf dem Server vorliegen)

-       Befehl: „control intl.cpl“ zum wechseln der Sprache

*      Zugriff auf Konsole wenn geschlossen über Taskmanager „neuer Task“ cmd

 

1.2.1.   Befehle

System beenden                 =          shutdown –s –t 0

System Neustart                  =          shutdown –r –t 0

IP ändern                             =          netsh int ipv4 sh in

                                                           netsh int ipv4 set add 3 static <ip> <mask> <gw>

DNS ändern                        =          netsh int ipv4 set dns 3 static <ip>

2.DNS                                               =          netsh int ipv4 add dns 3 <ip>

Computername                   =          netdom renamecomputer <old name>  /newname

                                                           <neuer name>

Serverkonfig anzeigen      =          sconfig

Netz-LW verbinden            =          net use z: \\arthur.cbm.local\teilnehmer\klassen\nm                                                   14-3

Liste Komp./Features         =          oclist | more

suchen „backup“                 =          oclist |find /I “backup” |more

WindowsServ.Back.           =          ocsetup WindowsServerBackup

“Installiert” zeigen               =          oclist | find “Installiert” |more

 

1.2.2.   Aufgabe: Dual Boot Server Core Installation

 

1)    Anmeldung an Windows 7 Arbeitsstation als ein Administrator                   Lösung: als Admin anmelden

2)    Festplattenpartition (C:) größtmöglich verkleinern                                               Lösung:  Datenträgerverwaltung oder Diskpart

3)    Neustart der Maschine. F12 für Bootoptionen. Start von DVD

4)    Benutzerdefinierte Installation von Core Server Enterprise in freier Partition (siehe 2)

5)    Server konfigurieren

Lösung:  deutsche Sprachdatei installieren, Netzwerk konfigurieren

6)    Remote-Desktopzugang auf Server aktivieren und testen

Lösung: sconfig

7)    Hyper-V installieren!

Lösung: oclist | find /i „hyper“ | more

8)    Eindeutiges, administratives Konto einrichten

Lösung: net user (www.support.microsoft.com/kb/251394) oder sconfig

            net user hpyervisor /add /passwordchg:no

            net localgroup Administrators /add hypervisor

netsh adv set dom state off

netsh adv set private state off

netsh adv set public state off

netstart | find /i “rpc”

Zusätzlich benötigt man das “Remoteserver-Verwaltungstool”.

 

1.2.3.   Hyper-V Installation

1)    hosts (Win7) eintragen z.B. 172.16.200.11       hyperv hyperv.cbm.local

2)    Remote Server Verwaltungstools installieren

3)    User auf dem hyperv Server anlegen der auf dem PC installiert ist

net user /add helmut

net localgroup administrators /add helmut

4)    Anschließend auf der Windows7 unter Systemsteuerung \Programme\Windowsfunktionen RemoteServerVerwaltungstools \Rollenverwaltungstools\HyperV hinzufügen

5)    hvremote Datei nach c: auf dem Windows7 kopieren

6)    cscript hvremote.wsf /anondcom:grant

cmdkey /add:hyperv /user:hyperv\hypervisor /pass

cscript hvremote.wsf /mmc:enable

7)    hyperv starten

8)    Server erstellen und installieren

9)    Name und IP ändern

10)  dcpromo /adv ausführen

 

1.2.4.   Betriebsmaster-Rollen (FSMO)

Stammdomäne

Gesamtstruktur (forrest)

Struktur (tree)

Domäne

Betriebsmaster-Rollen (FSMO-Flexibel Single Master Operation)

Active Directory

Modus der Domäne

Modus der Gesamtstruktur

 

implizit                       =          wird automatisch verknüpft

transitiv                     =          alle Domänen vertrauen sich in der Gesamtstruktur

Verzeichnis              =          Katalog

Stamm DC                =          Erster DC in einer Domäne

 

1x pro Gesamtstruktur

Schema-Master (nur auf Stamm DC) – Sammelung aller Klassen (Beschreibungen) für die Objekte

Domain Name Master (nur auf Stamm DC) – Hinzufügen und Entfernen von Domänen

 

1x pro Domäne

PDC-Emulator – Zeitgeber

RiD (R=Relativ-ID)-Master – Vergibt eindeutige ID´s

Infrastruktur Master – Korrekte Veröffentlichung der Objekte im Katalog

 

Aufgabe

IP-Bereich: 172.16.200.130 – 172.16.200.139

 

DCPROMO

1)    Bei Vergabe des Namen darauf achten dass es ein

-       FQDN ist z.B. bremen.lokal

-       wenn lokal verwendet wird nicht local schreiben, da es Probleme mit der DNS-Auflösung kommen kann wenn Linux-Server verwendet werden

 

2.0.      DNS

 

RR      Resource Records

SOA               Start of Authority

Eigenschaften von SOA

è Verantwortliche Person: Email Adresse des Verantwortlichen

z.B. helmut.googlemail.com

Das „@“ initalisiert die übergeordnete Zone und wird deshalb durch einen „.“ getauscht.

NS                  Nameserver (DNS)

A                     Address

AAAA             Address (IPv6)

 

Fragen

1)    DNS-Client auf DC korrekt konfiguriert?

Lösung:

2)    DNS-Client: Ist die automatische Namensregistrierung aktiviert?

Lösung:

3)    DNS-Client: Ist das „primäre Domänensuffix korrekt gesetzt?

Lösung: Computer\Eigenschaften\Ändern\weitere

4)    DNS-Server: Zonentyp primär oder AD integriert?

Dynamische Updates zugelassen?

Aktion: Verwaltung\Dienste Anmeldedienst beenden / Anmeldedienst neu starten

Lösung Test:

1)     

2.1.          Berechtigungen in der Domäne

route add <Zielnetz> <Subnetmask> <Gateway>

Bsp.

route add 192.168.100.0 255.255.255.0 192.168.200.248

Benutzername: FQDN

helmutj@bremen.local

Anmeldung an lokales Konto: Host \ Benutzer

Anmeldung an Domänenkonto: benutzer@bremen.local

 

Lokal anmelden zulassen

Gleichschenkliges Dreieck: andreas                        SAM                                                              DC

                     andreas                                                       

-----------------------------------------------------------------------------------------------------------------

 

 

 

 

 


Anmelden an Sonnenschein

Der Benutzer andreas@sonnenschein.lokal meldet sich an der Domäne an. Dabei wird ein „Access Token“ ausgetauscht und der Benutzer wird daraufhin ein Domänen-Benutzer.

 

Keine Gruppenschachtelung von Globalen Gruppen (Keine Universalgruppen) verwenden !!!

 

Account

Global Group

Domain Local Group

Permissions (Rechte und Berechtigungen)

 

Benutzer dürfen nur 10x einer Domäne beitreten!!!

 

Übung

1)    Aus Domäne Sonnenschein austreten

2)    In eigene Domäne mit Windows 7 Maschine eintreten

3)    Aktivieren von RSAT-Tools für DNS

4)    In der Domäne zwei Benutzerkonten einrichten. Eins davon als administratives Konto. Das andere als „normales“ Benutzerkonto.

Die Verwendung von RDP ist nicht erlaubt!

 

Hyper-V\Server 2008R2

IP: 172.16.200.130 /16

User: helmutj

Domäne: bremen.local

 

Windows 7

IP: 172.16.200.131 /16

 

Info:

www.gruppenrichtlinien.de

 

2.2.          Reverse-Lookup-Zone

 

Bsp. 172.16.0.0

Es wird nur die Netz-ID verwendet

172.16.

Reverse-Lookup-Zone

16.172. in-addr.arpa

Bei Reverse-Lookupzonen wird Subnetting ignoriert !

Bsp:

10.20.40 \24

10.in-addr.arpa

 

Reverse-Lookup-Zone einrichten

Reverse-Lookupzonen \ Neue Zone

weiter

weiter

Datei wird immer in %Systemroot%\System32\<dns>

Anschließend Fertigstellen

 

 

Anschließend muss noch der „Pointer Eintrag“ hinzugefügt werden.

Anschließend muss ein 2. Pointer Eintrag hinzugefügt werden

2.3.          LDAP (Lightweight Directory Access Protocol)

 

DC                  =                     Domain Component

OU                  =                     Organizational Unit

CN                  =                     Common Name      

DN                  =                     Distinguisted Name (Eindeutiger Name)

RDN               =                     Relativ Eindeutiger Name

 

Beispiel für LDAP-Namen:

cn=PC-1, ou=finanzen, dc=training,dc=local

 

2.3.1.   Übung:

Schreibt den kompletten LDAP-Namen auf.

 

dom.lokal

CN

 
 


CN

 
                                               users

                                                                       Domänen-Admins

OU

 
                                               builtin

                                                                                                                                                                                                                   administratoren

OU

 
                                               Bremen                    

 

                                                           Personal

                                                                                  Andrea Berger

OU

 
                                                                                  computer

 

                                                                                              PC12

 

Lösung:

cn=users, cn=Domänen-Admins, dc=dom, dc=local

cn=builtin, cn=administratoren, dc=dom, dc=local

cn=Andrea Berger, ou=Bremen, ou=Personal, dc=dom, dc=local

cn=PC12, ou=Bremen, ou=Personal, ou=computer, dc=dom, dc=local

 

2.4.          AD-Datenbank

 

Partitionen der AD-Datenbank

 

Schema-Partition

 
                                               Replikation an alle DC´s der

                                               Gesamtstruktur

 

Konfigurations-

Partition

 
 


                                               Vertrauensstellungen

 

 

 

 

Domänen-Partition

 
                                               Konten / Richtlinen (Infos unserer

                                               Domäne). Muß an alle DC´s einer Domäne

benutzer definierte

Partition

 
____________________  repliziert werden.

                                               Anwendungs-Partition

                                               Gebrauch davon macht DNS

 

 

 

 

 

 

 

Verwaltung \ Active Directory-Standorte und -Dienste

Sites               =          Standort

 


                                                                                 

 

DC

 

DC

 
 

 

 

 

 


Standort (Site) => der Summe schnell untereinander verbundener Netze

 

2.5.          Tools

2.5.1.   NTDSUtil

Auf Domain-Server „cmd“ als Admin ausführen

2.5.2.   dsadd

Das Programm „dsadd“ dient zur Automatisierung von Scripten.

dsadd                       =          erstellt ein Objekt im Verzeichnis

dsget             =          anzeigen von Attributen eines Objekts

dsmod          =          ändern von Attributen eines Objekts

dsmove        =          verschieben eines Objektes in eine OU oder CN

dsrm              =          entfernen von Objekten

 

Organizational Unit erstellen

Bsp.: dsadd ou „ou=demo1, dc=domhelmut, dc=lokal“

User anlegen:

Bsp..: dsadd user „cn=andreas,ou=demo1,dc=domhelmut,dc=lokal“ –upn andreas@domhelmut.lokal –samid andreas –pwd Start4cbm

Änderungen an bestehenden Usern oder Attributen vornehmen

Bsp.: dsmod user „cn=Kalle Wirsch, ou=demo,ou=demo2, dc=domhelmut,dc=lokal“ –fn Karl-Hein –ln Wirsch –desc „Augsburger Puppenkiste“

 

2.5.3.   CSVDE

Tool zum Importieren / Exportieren von Objekten aus einer Textdatei, deren Informationen durch ein „,“ getrennt sind.

csvde –i –f <Dateiname> -k

Parameter –i            wird der Importmodus festgelegt

Parameter –f           kennzeichnet den Namen der Datei

Parameter –k          lässt Warnmeldungen außer Acht wenn Objekt vorhanden ist

 

2.5.4.   LDIFDE

Tool zum Importieren / Exportieren von Objekten aus einer Textdatei, wobei die Objekte durch eine Leerzeile von einander getrennt sind

ldifde –i –f <Dateiname>.ldf

 

2.6.          Powershell

PSO                                                   =                     Password Setting Objects

csv                                                      =                     Comma Separated Values

csvde                                                 =                     Massenimport/-export

csvde –f name.csv

ldifde                                                 =                    

ldifde –f name.txt    

set-exe(TAB drücken)                    =                     set-executionpolicy unrestricted

*.ps1                                                  =                     Erweiterung der Scripte

cd env:

get-child (TAB drücken)

 

Benutzer einrichten mit der Powershell

import-module Activedirectory      =                     Laden des AD-Befehlssatz

help new-aduser                            =                     Hilfe verwende

                                   -example

                                   - full

                                    - detailed

new-aduser helmut

–samaccountname”helmut”

–userprincipalname helmut@bremen.lokal

 -path “ou=demo,dc=bremen,dc=lokal”

 

Erstellen einer Variablen

$a=get-childitem

Anzeige: $a

$a>myfile.txt             =>       der Inhalt der Variablen a soll in myfile.txt gespeichert          werden

cat myfile.txt              =         Anzeige der Datei

$a | get-member       =         Zeigt Inhalt der Variablen

$a=1

$a | get-member       =         Anzeige der System.int32

$a.gettype ()              =

$x=105848873         =        

$x=“Hallo NM14-3“

$y=$x.ToLower()      =         Methode “ToLower” in Variable y

$x.Length                  =         zeigt mir die Anzahl der Zeichenkette an

$x=“a:b:c:d:e“            =         Zeichenkette

$x.split(„:“)                 =         Listet die Zeichenkette auf

$y=$x.split(„:“)           =        

$y.gettype()               =         Anzeigen des Array

                                               ! Jede Zeichenkette ist ein Array !

$y[2]                           =         Anzeige des 2.Element des Array

                                               1.Element 0

$y.length                   =         Anzahl der Elemente

help about                =         Zeigt Hilfe der „about_....

$a[2].isreadonly

 

Benutzer einfügen mit Powershell

1)    csv-Datei erstellen mit Notepad (kann auch als txt gespeichert werden)

2)    import-csv .\datei.csv | new-aduser  (darauf achten das man im richtigen Pfad ist !!!)

3)    Kontrolle

Datei in eine Variable einfügen

$x=import-csv .\datei.csv               Anschließend $x

$x >datei.csv

get-process                                                  =          zeigt alle laufenden Prozesse

get-process| export-csv name.csv           =          exportiert die Prozessdaten in eine

                                                                                  Datei

get-aduser –filter „*“                                               =          Anzeigen aller AD-User

get-aduser –filter „*“            | ft                              =          Anzeigen aller AD-User in Listenform

get-aduser –filter „*“            | export-csv name   =          exportieren in eine Datei

help about_comparison

get-aduser –filter ´enabled –eq “true”´    =          nur active AD-User anzeigen

 

 

 

 

 

 

 

3.0.      GPO (Group Policy Objects)

 

Standort-GPU

 

 

 

 

 

 

 

 

 

 


Lokale GPO

Standort  GPO

Domain GPO

OU GPO

Den Urzustand der Orginal Default Domain Policy herstellen mit folgenden Befehl:

dcgpofix /?                            =          Optionen anzeigen

dcgpofix  ./target both         =          Beide werden hergestellt

 

j                                   x

 
Lokales GPO           

                                   j

 
Standort GPO         

            j                       x

 
Domain GPO          

j               j                              x

 
 OU GPO

RSOP

Resultant Set of

Policies                     => Es gelten immer die letzten Einstellungen !       

 

3.1.        GPO – Übungen

 

1)    GPO1:  „Ausführen soll im Startmenü vorhanden sein

2)    GPO2: „Ausführen“ soll nicht im Startmenü sein

3)    GPO3: Zugriff auf die Kommandozeile soll unterbunden werden

4)    GPO4: calc.exe und notepad.exe dürfen nicht ausgeführt werden

 

GPO1 soll mit OU „Personal“ verknüpft werden

GPO2 soll mit OU „Bremen“ (Unter OU von Personal) verknüpft werden

GPO3+4 soll mit OU „Verkauf“ verknüpft werden

 

3.2.        Kapitel3 – Benutzerkonten

 

Hinzufügen und Verwalten von Benutzern in einer ActiveDirectory Domäne.

Erstellen von Benutzerkontenvorlagen. Diese können mittels kopieren mehrfach verwendet werden.

 

löschen von Benutzern mit entsprechenden Tools.

 

3.3.        Kapitel4 – Gruppen

Gruppen werden mit dem SNAP-IN „AD Benutzer und –Computer erstellt.

Unbenannt.JPG

Es wird unterschieden zwischen lokalen und globalen Gruppen. In einer Domäne

gilt immer folgende Vorgehensweise:

Accounts

Global Group

Domain Lokal Group

Permissions

Globale Gruppen können sich nur aus Benutzern, Computern und weiteren globalen Gruppen der gleichen Domäne  zusammensetzen.

 

3.4.        Kapitel 5 – Computer

In diesem Kapitel erfährt man etwas über das Entwerfen einer OU-Struktur für Computer. Diese kann z.B. nach Standorten oder nach Geräten (Laptops und Computer) erstellt werden. Den entsprechenden Geräten kann dann explizit Benutzer zugewiesen werden.

Die Nutzungszeit der Computer kann in einem der Attribute ebenfalls vorgegeben werden.

 

3.5.        Kapitel 6 – Gruppenrichtlinienstruktur

Unbenannt.JPG

Gruppenrichtlinien werden in der Gruppenrichtlinienverwaltung erstellt und bearbeitet. Beim bearbeiten unterscheidet man grundsätzlich zwischen Benutzer- und Computerkonfiguration.

Unbenannt.JPG

Die erstellten GPO werden dann mit den entsprechenden OU´s verknüpft.

Steht ein GPO im Konflikt z. B. wenn 2GPO auf eine OU verknüpft sind in dem 1x Notepad zur Verfügung steht und einmal verweigert wird, gilt die Reihenfolge. Ausnahme:

Die Wirkung der entsprechenden GPO wird erzwungen.

Zusätzlich kann noch eine Vererbung der GPO deaktiviert werden. Dies geschieht jeweils an der jeweiligen OU und gilt für die darunter liegenden OU´s.

 

Schlüsselbegriffe:

Gruppenrichtlinienobjekt (Group Policy Object) Eine Sammlung an Richtlinieneinstellung die auf entsprechende OU´s angewandt wird.

Richtlinieneinstellung oder Richtlinie Eine Konfiguration bzw. Änderung innerhalb einer GPO.

Richtlinienergebnissatz (Resultant Set of Policies =RSOP) Die tatsächlichen Auswirkungen einer GPO (Filterung, Vererbung, etc. wird berücksichtigt).

Bereich  ist der Part auf denen das GPO angewendet wird. Also Computer oder Benutzer.

 

 

 

3.6.        Kapitel7 – Gruppenrichtlinieneinstellung

 

Delegieren des Supports über GPO „Eingeschränkte Gruppen“

 

Eingeschränkte Gruppen.jpg

 

Es gibt zwei Arten der Delegierung:

1)    Ist Miglied von Administratoren:

Ergebnis: Die Gruppe wird der lokalen Gruppe der Administratoren hinzugefügt.

Bsp: Globale Gruppe „Helpdesk“

Ist Mitglied von.jpg

2)    Mitglieder dieser Gruppe: <Domäne>\Helpdesk

Ergebnis: Die globale Gruppe überschreibt die lokale Administratorengruppe

Mitglieder dieser Gruppe.jpg