Die drei Komponenten von Kerberos sind:

• Benutzerkonto mit Passwort
• Computerkonto mit Passwort
• Zeit (darf nicht mehr als 5 min von der DC Zeitabweichen)

Uhrzeit des ersten DC ändern nur auf der Kommandozeile mit w32tm und in Schritten kleiner 5 min

Toumbstonelifetime sind 180 Tage

sydi-server = Opensource Tool zum erstellen von Dokumentationen

MDT2010 SP1 (Tool zum ausrollen von Software)

disktovhd.exe (Tool um ein System von der HDD auf in eine Imagedatei zu ziehen)

adrestore.exe (Objekte wieder herstellen)

nbsa Microsoft Tool zum scannen von PC auf Updates usw.

• DHCP 67 u. 68
• DNS 53
• LDAP 389
• Global Katalog 3268

Von Windows 2008 unterstützte Dateisysteme:

• FAT 12 (Disketten)
• FAT 16 (8+3=12 Zeichen)
• FAT 32 (max Dateinamenslänge inkl. Pfad 256 Zeichen, max Dateigröße 4GB-1Byte)
• exFAT64 (für Flashdatenträger)
• NTFS

Ein FAT-Dateisystem zu NTFS konvertieren.

convert F:/FS:NTFS

Anmeldedienst in der Eingabeaufforderung neu starten, damit sich der PC beim DNS-Server einträgt.

net start netlogon

Ein System von allen Einstellungen befreien die es zu einem individuellen System machen, um es zu vervielfachen.

C:\Windows\system32\sysprep

Ein Windowssystem muss innerhalb von 10 Tagen aktiviert werden. mit

slmgr /rearm

kann man den Zeitpunkt maximal 5x erneut auf 10 Tage setzen.

Um eine Windows Installationsdatei zu verändern kann man die mit

dism

in ein Verzeichnis mounten.

Den DNS Cache auf einem Windowsrechner anzeigen.

ipconfig /displaydns

Den DNS Cache auf einem Windowsrechner leeren.

ipconfig /flushdns

Einem Windowsrechner manuel beim DNS-Server registrieren.

ipconfig /registerdns

Objekte importieren und exportieren

Tool zum Verwalten des DNS-Servers in der Konsole. Das Tool kennt weiter Sub-Befehle. z.B. AgeAllRecords (Alterung aktivierren)

Schweizer Taschenmesser um AD arbeiten in der Konsole zu erledeigen. z.B. das Wiederherstellungspasswort zu ändern.

C:\Users\Administrator> ntdsutil
ntdsutil: Activate Instance NTDS
Activate Instance wurde auf ntds festgelegt.
ntdsutil: Roles
fsmo maintenace: Connections
server onnections: connect to server server.idealtec.de
Eine Verbindung mit "server server.idealtec.de" unter Verwendung der Benutzerinformationen des lokal angemeldeten Benutzers wurde hergestellt.
server connections: quit
fsmo maintenace: Seize RID master
fsmo maintenace: quit
ntdsutil: quit
C:\Users\Administrator> exit

Ein Betriebsmaster dessen Funktion ein anderer feindlich übernommen hat darf nie wieder ans Netz.

Zum wiederherstellen aus einen Backup beim Start F8 drücken. Mit lokalem Konto und dem Wiederherstellungspasswort anmelden ! Autorisierte Wiederherstellung nur dann auswählen wenn das gesamte AD wiederhergestellt werden soll. Nur dann kann auch „Neu starten“ ausgewählt werden.

Bei Teilwiederherstellung niemals „Neu starten“ auswählen, da zunächst noch die UID hochgesetzt werden muss.

In einer cmd ntdsutil wählen

C:\Users\Administrator> ntdsutil
ntdsutil: Activate Instance NTDS
Activate Instance wurde auf ntds festgelegt.
authoritative restore: Authoritative restore
ntdsutil: Restore subdir ou=Benutzer,dc=france,dc=idealtec,dc=de

Fenster Sind sie sicher… bestätigen

authoritative restore: quit
ntdsutil: quit
C:\Users\Administrator.WIN2008> exit

Jetzt erst neu starten.

ntdsutil SetDSRM Passwort
DSRM-Administratorkennwort zurücksetzen: Reset Passwort on Server Null
Genen Sie das Kennwort für das DS-Wiederherstellungsmodus-Administrator-konto ein: P@ssw0rd
Neues Kennwort bestätigen: P@ssw0rd
Das Kennwort wurde erfolgreich festgelegt
quit
quit

z.B. Bereinigen von Objekte der ungültigen Server

ntdsutil Metadate cleanup
metadate cleanup: ?
quit

Zum bearbeiten des Schemas. Benutzer muss Schemaadmin sein, es wird auf dem Schema-Master gearbeitet.

Stößt Replikation an z.B. Zur nutzung muss man Mitglied in der Gruppe Organisations-Adminis sein.

repadmin /syncall

gpupdate /force

gpresult /R 

Zeit ein Zusammenfassung an.

dcgpofix

xcopy /o Datei Datei

Kopiert Informationen über den Besitzer und die ACL

DNS Abfragen können rekursiv oder iterativ gestellt werden.
Client PCs stellen ihre Abfragen an den Server immer rekursiv.
DNS-Server können ihre Abfragen rekursiv oder iterativ machen.

Es gibt 13 Root-Server. (Grund dafür ist, dass die Anfragen mit UDP gestellt werden und ein UDP-Paket genau 13 IP-Adressen enthalten kann.

Standarteinstellungen für eine Windows DNS-Server in der Karteikarte SOA sind: Standardmäßig behält ein Rechner (SRV u. WKS) das Ergebnis einer DNS Abfrage, wenn es positiv ist für 60 min und wenn es negativ ist für 5 min im Cache.

Zonenübertragungen finden im AXFK oder IXFK Modus statt. (Alles oder Inkrementell.)

Alterung: In den Eigenschaften der Zone kann auf der Karteikarte Allgemein die Alterung eingestellt werden. (Intervall für nicht Aktualisierung und Aktualisierungsintervall werden zusammengezählt.) Damit diese wirksam ist muss auch bei den Eigenschaften des Servers auf der Karteikarte Erweitert „Aufräumvorgang bei veralteten Einträgen automatisch aktivieren“ eingestellt werden.

WINS spart Netzlast, der Hauptsuchdienst muss nicht ausgehandelt werden. Zur Nutzung muss das Feature nur installiert werden und der WINS-Server an den Clients in den Netzwerkeinstellungen eingestellt werden. Das kann auch per DHCP gemacht werden. Auch auf den Zonen eines DNS-Servers kann der WINS-Server in der WINS-Karteikarte von Eigenschaften eingetragen werden.

Der ntdskcc läuft auf jedem DC und ist für den Aufbau der Replizieren zuständig. Repliziert wird uber maximal 3 Hops. Ein DC der Änderungen hat muss alle andere DCs binnen 15s benachrichtigen. Empfangende DCs benachrichtigten weiter in 3s.

Verantwortlich dafür dass Sicherheitsupdates sofort repliziert werden. (Passwörter) Er ist der Zeitserver in der Domäne und er verwaltet die Gruppenrichtlinien. (C:\Windows\SYSVOL\Sysvol)

Verantwortlich für die ID-Verwaltung. Er gibt immer Pakete von 500 IDs an die andern DCs aus. Diese fordern nach 50% verbrauch ein weiteres Paket an.

Ist verantwortlich für Domänen übergreifende Zugriffe

Er hält das Schema, die Datenbankstruktur (Vorlage) für das AD

Verantwortlich für Vertrauensstellungen und eindeutige Domänen IDs.

Der Global Katalog ist das Inhaltsverzeichnis das AD und hält die Universalen Gruppenmittgliedschaften. Er arbeitet auf Port 3268

Ein RODC ist ein read only Domänencontroler. Er hält nur festgelegte Nutzerkonten. Kennwörter hält er nur nur im Cache.

• dcpromo /adv (aktiviert erweiterte Benutzeroptionen, der Hacken „Installation im Erweiterten Modus“ ist dann bereits gesetzt.)
• dcpromo /unattend:C:\Ordner\datei.txt (Antwortdatei angeben)
• dcpromo /forceRemoval (erzwingt die Deinstallation des AD, das AD muss evtl. anschließend bereinigt werden)

DCPROMO logt in die Datei c:\Windows\debug\DCPROMO.LOG

DCPROMO kopiert lokale Konten in das AD. Anschließend wird das lokale Admin-Konto mit dem Wiederherstellungskennwort versehen. Lokale Konten sind auf einem DC nicht verfügbar, aber dennoch vorhanden. Wenn das AD nach Problemen wieder hergestellt werden soll muss der DC mit F8 gestartet werden. Dann fährt er das AD nicht hoch und man kann sich mit dem lokalen Administrator Konto und dem vergebenen Wiederherstellungspasswort anmelden. Ist das Wiederherstellungspasswort nicht bekannt kann es im laufenden Betrieb mit NTDSUTIL

ntdsutil SetDSRM Passwort

neu gesetzt werden. Es wir kein altes Passwort abgefragt.

Um eine Überwachung auf Ordner einzustellen muss zum einen die Überwachung in den Ordnereigenschaften eingestellt werden und zum anderen aber auch eine Richtlinie die die Überwachung einschaltet erstellt werden. Werden auf Windows NTFS Partitionen Dateien verschoben behalten sie ihre Rechte. Beim kopieren werden neue Objekte angelegt und erhalten somit die vererbten Übergeordneten Rechte. Das gilt natürlich auch beim verschieben auf ein andere Partition. Die kann man umgehen wenn man xcopy oder fremd Produkte wie den „Total Commander“ nutzt.

GPT = Template
GPC = Container
GPO = Objekt

Mit dcgpofix kann man auf dem Server die Standard Gruppenrichtlinien wiederherstellen. Auf dem Clint kann die Replikation mit gpupdate angestoßen und mit gpresult überprüft werden.

Die Remode Server Verwaltung ersetzt das alte Adminpack in 32 oder 64 Bit downloadbar.

Um z.B. das MS Office zu verteilen ruft man auf einem Server die Setup.exe mit dem Schalter /a (bis Office 2003 oder /admin ab Office 2007) auf. So wird das Office nicht auf dem Server installiert sondern nur für das Zuweisen vorbereitet und in ein Verzeichnis kopiert. Die Installation kann mit einer MST-Datei angepasst werden. Diese wird mit dem bei Office mitgelieferten Resorcekit erstellt.

MSI-Dateien können auch mit WININSTLE selber erstellt werden.

• Ereignisanzeige
• Taskmanager
• Recourcenmonitor
• Leistungsüberwachung

Sammlungssätze mit Leistungsüberwachung erstellen
Baseline festlegen

• werden bei WIN7 in der Systemsteuerung aktiviert
• bei WIN Server 2008 in den Laufwerkseigenschaften

• sconfig
• ocsetup
• oclist
• DISM /online