Windows Server R2
Windows Server 2008 R2 Netzwerkadministration
Dozent: Norbert Hartmann
10.04.-20.04.2012
Die drei Komponenten von Kerberos sind:
Uhrzeit des ersten DC ändern nur auf der Kommandozeile mit w32tm und in Schritten kleiner 5 min
Toumbstonelifetime sind 180 Tage
sydi-server = Opensource Tool zum erstellen von Dokumentationen
MDT2010 SP1 (Tool zum ausrollen von Software)
disktovhd.exe (Tool um ein System von der HDD auf in eine Imagedatei zu ziehen)
adrestore.exe (Objekte wieder herstellen)
nbsa Microsoft Tool zum scannen von PC auf Updates usw.
Von Windows 2008 unterstützte Dateisysteme:
Ein FAT-Dateisystem zu NTFS konvertieren.
convert F:/FS:NTFS
Anmeldedienst in der Eingabeaufforderung neu starten, damit sich der PC beim DNS-Server einträgt.
net start netlogon
Ein System von allen Einstellungen befreien die es zu einem individuellen System machen, um es zu vervielfachen.
C:\Windows\system32\sysprep
Ein Windowssystem muss innerhalb von 10 Tagen aktiviert werden. mit
slmgr /rearm
kann man den Zeitpunkt maximal 5x erneut auf 10 Tage setzen.
Um eine Windows Installationsdatei zu verändern kann man die mit
dism
in ein Verzeichnis mounten.
Den DNS Cache auf einem Windowsrechner anzeigen.
ipconfig /displaydns
Den DNS Cache auf einem Windowsrechner leeren.
ipconfig /flushdns
Einem Windowsrechner manuel beim DNS-Server registrieren.
ipconfig /registerdns
Objekte importieren und exportieren
Tool zum Verwalten des DNS-Servers in der Konsole. Das Tool kennt weiter Sub-Befehle. z.B. AgeAllRecords (Alterung aktivierren)
Schweizer Taschenmesser um AD arbeiten in der Konsole zu erledeigen. z.B. das Wiederherstellungspasswort zu ändern.
C:\Users\Administrator> ntdsutil ntdsutil: Activate Instance NTDS Activate Instance wurde auf ntds festgelegt. ntdsutil: Roles fsmo maintenace: Connections server onnections: connect to server server.idealtec.de Eine Verbindung mit "server server.idealtec.de" unter Verwendung der Benutzerinformationen des lokal angemeldeten Benutzers wurde hergestellt. server connections: quit fsmo maintenace: Seize RID master fsmo maintenace: quit ntdsutil: quit C:\Users\Administrator> exit
Ein Betriebsmaster dessen Funktion ein anderer feindlich übernommen hat darf nie wieder ans Netz.
Zum wiederherstellen aus einen Backup beim Start F8 drücken. Mit lokalem Konto und dem Wiederherstellungspasswort anmelden ! Autorisierte Wiederherstellung nur dann auswählen wenn das gesamte AD wiederhergestellt werden soll. Nur dann kann auch „Neu starten“ ausgewählt werden.
Bei Teilwiederherstellung niemals „Neu starten“ auswählen, da zunächst noch die UID hochgesetzt werden muss.
In einer cmd ntdsutil wählen
C:\Users\Administrator> ntdsutil ntdsutil: Activate Instance NTDS Activate Instance wurde auf ntds festgelegt. authoritative restore: Authoritative restore ntdsutil: Restore subdir ou=Benutzer,dc=france,dc=idealtec,dc=de
Fenster Sind sie sicher… bestätigen
authoritative restore: quit ntdsutil: quit C:\Users\Administrator.WIN2008> exit
Jetzt erst neu starten.
ntdsutil SetDSRM Passwort DSRM-Administratorkennwort zurücksetzen: Reset Passwort on Server Null Genen Sie das Kennwort für das DS-Wiederherstellungsmodus-Administrator-konto ein: P@ssw0rd Neues Kennwort bestätigen: P@ssw0rd Das Kennwort wurde erfolgreich festgelegt quit quit
z.B. Bereinigen von Objekte der ungültigen Server
ntdsutil Metadate cleanup metadate cleanup: ? quit
Zum bearbeiten des Schemas. Benutzer muss Schemaadmin sein, es wird auf dem Schema-Master gearbeitet.
Stößt Replikation an z.B. Zur nutzung muss man Mitglied in der Gruppe Organisations-Adminis sein.
repadmin /syncall
gpupdate /force
gpresult /R
Zeit ein Zusammenfassung an.
dcgpofix
xcopy /o Datei Datei
Kopiert Informationen über den Besitzer und die ACL
DNS Abfragen können rekursiv oder iterativ gestellt werden.
Client PCs stellen ihre Abfragen an den Server immer rekursiv.
DNS-Server können ihre Abfragen rekursiv oder iterativ machen.
Es gibt 13 Root-Server. (Grund dafür ist, dass die Anfragen mit UDP gestellt werden und ein UDP-Paket genau 13 IP-Adressen enthalten kann.
Standarteinstellungen für eine Windows DNS-Server in der Karteikarte SOA sind: Standardmäßig behält ein Rechner (SRV u. WKS) das Ergebnis einer DNS Abfrage, wenn es positiv ist für 60 min und wenn es negativ ist für 5 min im Cache.
Zonenübertragungen finden im AXFK oder IXFK Modus statt. (Alles oder Inkrementell.)
Alterung: In den Eigenschaften der Zone kann auf der Karteikarte Allgemein die Alterung eingestellt werden. (Intervall für nicht Aktualisierung und Aktualisierungsintervall werden zusammengezählt.) Damit diese wirksam ist muss auch bei den Eigenschaften des Servers auf der Karteikarte Erweitert „Aufräumvorgang bei veralteten Einträgen automatisch aktivieren“ eingestellt werden.
WINS spart Netzlast, der Hauptsuchdienst muss nicht ausgehandelt werden. Zur Nutzung muss das Feature nur installiert werden und der WINS-Server an den Clients in den Netzwerkeinstellungen eingestellt werden. Das kann auch per DHCP gemacht werden. Auch auf den Zonen eines DNS-Servers kann der WINS-Server in der WINS-Karteikarte von Eigenschaften eingetragen werden.
Der ntdskcc läuft auf jedem DC und ist für den Aufbau der Replizieren zuständig. Repliziert wird uber maximal 3 Hops. Ein DC der Änderungen hat muss alle andere DCs binnen 15s benachrichtigen. Empfangende DCs benachrichtigten weiter in 3s.
Verantwortlich dafür dass Sicherheitsupdates sofort repliziert werden. (Passwörter) Er ist der Zeitserver in der Domäne und er verwaltet die Gruppenrichtlinien. (C:\Windows\SYSVOL\Sysvol)
Verantwortlich für die ID-Verwaltung. Er gibt immer Pakete von 500 IDs an die andern DCs aus. Diese fordern nach 50% verbrauch ein weiteres Paket an.
Ist verantwortlich für Domänen übergreifende Zugriffe
Er hält das Schema, die Datenbankstruktur (Vorlage) für das AD
Verantwortlich für Vertrauensstellungen und eindeutige Domänen IDs.
Der Global Katalog ist das Inhaltsverzeichnis das AD und hält die Universalen Gruppenmittgliedschaften. Er arbeitet auf Port 3268
Ein RODC ist ein read only Domänencontroler. Er hält nur festgelegte Nutzerkonten. Kennwörter hält er nur nur im Cache.
DCPROMO logt in die Datei c:\Windows\debug\DCPROMO.LOG
DCPROMO kopiert lokale Konten in das AD. Anschließend wird das lokale Admin-Konto mit dem Wiederherstellungskennwort versehen. Lokale Konten sind auf einem DC nicht verfügbar, aber dennoch vorhanden. Wenn das AD nach Problemen wieder hergestellt werden soll muss der DC mit F8 gestartet werden. Dann fährt er das AD nicht hoch und man kann sich mit dem lokalen Administrator Konto und dem vergebenen Wiederherstellungspasswort anmelden. Ist das Wiederherstellungspasswort nicht bekannt kann es im laufenden Betrieb mit NTDSUTIL
ntdsutil SetDSRM Passwort
neu gesetzt werden. Es wir kein altes Passwort abgefragt.
Um eine Überwachung auf Ordner einzustellen muss zum einen die Überwachung in den Ordnereigenschaften eingestellt werden und zum anderen aber auch eine Richtlinie die die Überwachung einschaltet erstellt werden. Werden auf Windows NTFS Partitionen Dateien verschoben behalten sie ihre Rechte. Beim kopieren werden neue Objekte angelegt und erhalten somit die vererbten Übergeordneten Rechte. Das gilt natürlich auch beim verschieben auf ein andere Partition. Die kann man umgehen wenn man xcopy oder fremd Produkte wie den „Total Commander“ nutzt.
GPT = Template
GPC = Container
GPO = Objekt
Mit dcgpofix kann man auf dem Server die Standard Gruppenrichtlinien wiederherstellen. Auf dem Clint kann die Replikation mit gpupdate angestoßen und mit gpresult überprüft werden.
Die Remode Server Verwaltung ersetzt das alte Adminpack in 32 oder 64 Bit downloadbar.
Um z.B. das MS Office zu verteilen ruft man auf einem Server die Setup.exe mit dem Schalter /a (bis Office 2003 oder /admin ab Office 2007) auf. So wird das Office nicht auf dem Server installiert sondern nur für das Zuweisen vorbereitet und in ein Verzeichnis kopiert. Die Installation kann mit einer MST-Datei angepasst werden. Diese wird mit dem bei Office mitgelieferten Resorcekit erstellt.
MSI-Dateien können auch mit WININSTLE selber erstellt werden.
Sammlungssätze mit Leistungsüberwachung erstellen
Baseline festlegen