MS Windows Server 2012: Administration

Inhaltsverzeichnis

1 Allgemeines

1.1 Umbenennen von Domain-Controllern

netdom renamecomputer <Computername> /newname:<NEUERCOMPUTERNAME>
			

Server mit dem Dienst Zertifizierungsstelle (CA) können nicht mehr umbenannt werden

1.2 Loopback-Verarbeitungsmodus von Gruppenrichtlinien

1.2.1 Aufruf

Im Normalfall wirken sich Benutzerrichtlinien nur auf Benutzer aus, die in der verlinkten OU hinterlegt sind.

Wenn der Loopbackverarbeitungsmodus für ein Computerobjekt aktiviert ist, so gibt es die Benutzer-Richtlinien (die sich auf das Computer-Objekt vererben) an die angemeldeten User "weiter".

Ein User, der sich an einem öffentlichen Computer anmeldet, bekommt also nicht "seine" Richtlinien, sondern diejenigen, die auf das Computer-Objekt wirken.

loopbackmodus
*für Benutzerrichtlinien
aktiviert     Ersetzen (1)
              Zusammenführen (2)
zu 1:
Nur die über das öffentliche Computer-Objekt wirksamen Benutzerrichtlinien werden auf den User wirken
zu 2:
Beide (über User-Objekt und öffentlichen Comuter-Objekt) wirksamen Benutzerrichtlinien werden sich auswirken.
Im Konfliktfall gewinnt die Richtlinie des öffentlichen Computers.

1.3 Homedirectory und Benutzerplatzeinschränkungen

  1. Homedirs erzeugen: (Basisordner)
  2. Eigenschaften von Benutzer: Profil Basisordner
  3. Verbinden von: [Laufwerksbuchstabe] \\Computer\Freigabe\%USERNAME%
homes

1.4 Kontingente

Die Kontingentverwaltung oder Quota ist die Möglichkeit Limits für Userbesitz einzurichten.

Die Kontingentverwaltung ist über jedes Laufwerk per Rechtsklick unter Eigenschaften erreichbar. Sollte man nicht als Administrator angemeldet sein, so findet man den Punkt direkt im Kontextmenü.

Kontingent 1 Kontingent 2 Kontingent 3
Kontingent 4
  • Warnstufe
    • es erfolgt ein Protokolleintrag
  • Limit
    • Protokolleintrag und Anzeige in Kontingenteinträge
    • wird jedoch nur begrenzt, wenn die Speicherplatzüberschreitung verweigert wird(Globale Einstellung)

1.4.1 Kontingente für User, die bereits Besitz haben

Wenn man die Kontingent-Funktionalität für ein Laufwerk aktiviert, werden bereits bestehende Benutzer nicht eingeschränkt. Dies muss manuell erfolgen

  1. In Kontingenteinträge die gewünschte Zeilen markieren
  2. und in die Eigenschaften die Warn/Kontingent-Werte eintragen
Kontingent 5 Kontingent 6

1.4.2 Ausnahmen für User, die erst noch Besitz erwerben werden

1.5 Kontrolle im Ereignisprotokoll(Ereignisanzeige)

1.5.1 Startseite der Ereignisanzeige

Ereignisprotokoll

Standardprotokolle:

1.5.2 Filtern von Ereignissen

Ereignisprotokoll2 Ereignisprotokoll3

1.5.3 Kontingent im Ereignisprotokoll

1.6 Besitzer

Wer alle nötigen Berechtigungen hat, muss nicht Besitzer sein

Wer keine Berechtigungen hat, kann sie sich geben, falls er Besitzer ist

Beispiel: In Benutzerverzeichnissen befinden sich Dateien, die ein anderer Benutzer weiter verwenden soll.

Als Admin:

  1. Besitz übernehmen (vererben!)
  2. sich selbst Vollzugriff geben
  3. Dateien dem "neuen User" übergeben
  4. Besitz dem "neuen User" übertragen, damit die Dateien dem Kontingent des Users angerechnet werden

1.7 Vorherige Versionen

Benutzer können selbständig vorherige Versionen von Dateien und Ordnern wiederherstellen. Dazu wird kein Backup benötigt. Durch diese Funktionalität werden die Sicherungs-Operatoren entlastet

Ist dieser Dienst aktiv, werden bei Änderung an einer Datei die Änderungen gespeichert. Somit ergibt sich eine Datei mit höherer Version

Verschiedene Versionen ergeben sich nur, wenn vor der Änderung eine Schattenkopie erstellt wird durch den Serverdienst

Es findet automatisch eine Sicherung wöchentlich um 7 Uhr und um 12 Uhr statt. Dies kann noch weiter konfiguriert werden.

1.7.1 Schattenkopien konfigurieren

Schattenkopie 1 Schattenkopie 2 Schattenkopie 3

1.7.2 Vorherige Version wiederherstellen

Wiederherstellen 1 Wiederherstellen 2

Der Benutzer wählt über das Netzwerk die/das Datei/Verzeichnis aus Kontextmenü Vorgängerversion wiederherstellen.

1.8 Password Settings Object(PSO) ab Windows Server 2008 Domänenfunktionsebene

Domänenweit gelten die gleichen Kontorichtlinien (Kennwort- und Kontosperrungsrichtlinien) für alle Benutzer. Soll eine bestimmte Gruppe andere Kontorichtlinien erhalten, ginge das vor Windows Server 2008 nur mit einer weiteren Domäne. Seit Windows Server 2008 geht dies nun über ein PSO.

Ein PSO muss erst erstellt werden über ein weiteres Tool - dem ADSI-Editor

Erstellen in: System Password Settings Container

Auf zum Technet

1.8.1 PSO erstellen

psocreate1 psocreate2 psocreate3 psocreate4 psocreate5 psocreate6 psocreate7 psocreate8 psocreate9 psocreate10 psocreate11 psocreate12 psocreate13 psocreate14

1.8.2 PSO anwenden

(Granulare Kennwort- und Kontosperrungsrichtlinien)
Damit ergibt sich: Es wirkt sich auf Benutzer, die von einem PSO betroffen werden, nicht mehr die Einstellung der DDP aus.

mappso
* Das PSO muss hierzu mit dem Benutzerobjekt (Besser: Gruppe) verknüpft werden

2 Domain Name System (DNS)

2.1 Organisation und Aufbau

Die Organisation des DNS (Domain Name Service) ist hierarchisch aufgebaut. An der obersten Stelle steht ein Root-Server, der alle darunterliegenden TLDs (Top Level Domain) verwaltet. Die TLDs sind in drei Domainbereiche aufgeteilt.

Die Konfiguration erfolgt im DNS Manager:

dnsmanager
Forward-Lookup:
  • FQDN IP
    • fi12.intern
    • bosch.de
    • www.cdt-nue.de
resolver
Reverse-Lookup:
  • IP FQDN
Zweck:
  • Bei Traceroutes werden nicht nur IP-Adressen, sondern eben auch verständliche Hostnamen angezeigt. Die Fehlerdiagnose fällt wesentlich leichter
  • Viele Mailserver akzeptieren eingehende Mails nur dann, wenn die IP-Adresse des Senders über einen Reverse-DNS-Eintrag verfügt

2.2 Beispiel einer DNS Abfrage

dnsabfrage

2.2.1 DNS-Abfragetypen

2.2.2 Caching-Only

2.3 Die (13) Stammserver

Root-Nameserver, kurz Root-Server, sind Server zur Namensauflösung an der Wurzel (Root) des Domain Name Systems im Internet. Die Zone der Root-Server umfasst Namen und IP-Adressen aller Nameserver aller Top-Level-Domains (TLD).

stammserver

Weltweit existieren zurzeit nur 13 Rootserver (A - M), von denen alleine 10 in den USA stehen. Diese Konzentration ist je nach Standpunkt unterschiedlich dramatisch. Generell läßt sich davon ausgehen, dass ein kurzzeitiger oder teilweiser Ausfall einiger Rootserver nur unmerklich auffallen dürfte, da die meisten Namensauflösungen gar nicht erst an die Rootserver gestellt werden, sondern meistens noch bei den DNS-Servern der Internet-Provider gecached sind. Aber auch diese Cache-Einträge werden nach festgelegten Zeitlimits gelöscht. Wenn bis dahin nicht wenigstens einzelne Root-Name-Server wieder ansprechbar sind, ist eine Adressierung über Namen nicht mehr möglich.

rootserver
Name Organisation City, State/Province Country
A Network Solutions, Inc Herndon, VA USA
B Information Sciences Institute,
University of Southern California
Marina Del Rey, CA USA
C PSINet Herndon, VA USA
D University of Maryland College Park, MD USA
E National Aeronautics and Space Administration Mountain View, CA USA
F Internet Software Consortium Palo Alto, CA USA
G Defense Information Systems Agency Vienna, VA USA
H Army Research Laboratory Aberdeen, MD USA
I NORDUNet Stockholm Sweden
J (TBD) Herndon, VA USA
K RIPE-NCC London UK
L (TBD) Marina Del Rey, CA USA
M WIDE Tokyo Japan

Unter %systemroot%\system32\dns liegt die Datei Cache.dns. In dieser sind alle 13 Rootserver zu finden. Wer es lieber grafisch aufbereit mag findet dies auch im DNS-Manager unter Eigenschaften des DNS Servers unter Stammhinweise.

stammhinweise

2.3.1 Welche Möglichkeiten stehen einem DNS zur Verfügung?

  1. Bin ich für die Zone zuständig?
    Ja:
    Kann ich den Namen auflösen (in meiner Zonendatei) ?
    Ja: IP (positive Antwort)
    Nein: negative Antwort
    Nein:
    siehe Punkt 2 (sofern vorhanden), sonst Punkt 3
  2. (Delegierung sofern vorhanden)
  3. Cacheabfrage
    Ja (Name im Cache):
    IP (Positiv-Cache)
    oder
    negative Antwort (Negativ-Cache)
    Cache Einträge haben eine TTL, Ist diese abgelaufen, so wird dieser Eintrag aus dem Cache entfernt.
  4. (bedingte Weiterleitung sofern vorhanden)
  5. Weiterleitung (zu Forwarder) vorhanden?
    Ja:
    Anfrage an Forwarder übergeben und auf Antwort warten
    Nein:
    siehe Punkt 5
  6. Einen Stammserver befragen

Sollte der Client einen Web-Proxy verwenden, ist der Web-Proxy für die Namensauflösung zuständig

2.3.2 DNS Konfiguration

TTL wird von Authoritativen Server festgelegt.
Muss Namensauflösung konfiguriert werden, so muss man mit einer primären Zone beginnen. Der primäre Server ist authoritativ für die Zone (NS-Eintrag) und die Zone beginnt hier (SOA-Eintrag)

2.3.3 Bedingte Weiterleitung

Dies ist eine manuell angelegte Weiterleitung auf einen DNS Server der bestimmte Zonen verwaltet und auf DNS Anfragen antworten kann.

bedingteweiterleitung

Cache: "Alte" Cacheeinträge werden nach Ablauf der TTL (wird in den Eigenschaften der primären Zone definiert) entfernt. Soll auf einem DNS-Server der Cache (positiv/negativ) komplett gelöscht werden, dann in der MMC Cache löschen oder in der Kommandozeile:

dnscmd /clearcache

Liefert nslookup eine richtige IP, aber ein Programm wie der Browser oder ping verwenden eine falsche IP dann muss der Client-Cache gelöscht werden:

ipconfig /flushdns

2.3.4 Zonendatei und Eintragssystem Resource Record(RR)

Beispiel für eine Zonendatei:

;
;  Database file nsa.org.dns for nsa.org zone.
;      Zone version:  11
;

@                       7200	IN  SOA dns1.nsa.org. hostmaster.nsa.org. (
                        		11           ; serial number
                        		900          ; refresh
                        		600          ; retry
                        		86400        ; expire
                        		3600       ) ; default TTL

;
;  Zone NS records
;

@                       NS	dns1.nsa.org.

;
;  Zone records
;

dns1                    A	10.140.102.20
ftp                     A	2.2.2.3
imap                    A	2.2.2.5
smtp                    A	2.2.2.4
imap.spionage           A	20.30.40.50
www                     A	2.2.2.2
                
Rescource Record Rescource Record

RoundRobin
Lastenausgleich über DNS
Hat ein DNS auf 1 Anfrage mehrere Antwortmöglichkeiten, so gibt er reihum Antwort.

roundrobin

2.3.5 nslookup erweiterte Informationen abrufen

nslookup ⏎
>ls -t A <Zonenname>
>ls -t SOA <Zonenname>
>ls -t NS <Zonenname>
>ls -t MX <Zonenname>

>ls -d <Zonenname>     zeigt alle Einträge der Zonendatei
			

2.3.6 Sekundäre Zone

sekzone
Vorteile:
Redundanz
Lastenausgleich

Mit folgenden Befehl kann der Sekundäre DNS-Server seine DNS Datei über den primären Server aktualisieren.

dnscmd /zonerefresh <Zonenname>
IXFR: Anforderung einer Aktualisierung
Nur wenn die Seriennummer beim Master höher ist als in der Kopie beim Slave. (gemäß SOA: Refresh-Time)
Erfolgt bei Windows auf Schicht 4 mit dem UDP Protokoll
AXFR: vollständiger Zonentransfer
Erfolgt bei Windows auf Schicht 4 mit dem TCP Protokoll

2.3.7 Delegierung

Die Delegierung ist der Vorgang untergeordnete Domänen(Zone) der übergeordneten Domäne(Zone) im gleichen Namensraum miteinander bekannt zu machen. Dabei steht im Vordergrund, dass damit der Namensraum aufgeteilt wird. Zudem wird die Verwaltung der Domäne vereinfacht, da man die Verwaltungslast auf mehrere Administrator verteilt.

Beispiel

Domäne:        example.com.
Subdomäne:     find.search.example.com.

2.3.8 2.3.8 Reverse Lookup

Hier bei handelt es sich um die Suche nach dem DNS Namen über die IP Adresse. Die Frage lautet: Wie lautet der DNS Name für die IP?

Hierfür wurde eine Domäne definiert (und auch reserviert) um die Inverssuche möglich zu machen. Die Domäne für den IP4 Adressbereich lautet: in-addr.arpa Für den IP6 Bereich wurde die Domäne ip6.arpa definiert.

Damit die Inverse Suche funktioniert wird der vollständige Name wie folgt an der Beispiel IP 10.11.12.13 gezeigt:

13.12.11.10.in-addr.arpa.

Wie zu sehen ist, wird die IP Adresse rückwärts an die Domain in-addr.arpa gehangen.

2.3.9 Domain Name System Security Extensions(DNSSEC)

DNSSEC sind Erweiterungen von DNS mit Sicherheitsmechanismen um die Integrität und Authentizität der Nachrichten sicher zu stellen. Dies soll dem Cache Poisoning vorbeugen. Es sichert die Übertragung der Rescource Records durch eine digitale Signatur ab.

DNSSEC

Wie zu sehen ist, wird ein Private Key nochmals mit einem weiteren Private Key signiert. Mit dem Key Signing Key(KSK) wird der Zone Signing Key(ZSK) signiert. Der endgültige Schlüssel wird dann dazu verwendet, die einzelnen Einträge der Zonendatei zu signieren. Möchte nun ein Cache-Server die Signatur eines übermittelten Eintrags prüfen, benötigt er hierzu die beiden Public Keys des signierenden Servers.
Hinweis: die Client Resolver können solche Informationen nicht auswerten. Somit muss sich dieser auf den genutzten DNS verlassen.

2.3.10 DNS im Active Directory

Die Zonedatei des DNS Servers wird in der Active Directory Datenbank gespeichert (Nicht mehr im DNS-Verzeichnis).

Im Active Directory gibt es keine sekundäre DNS Server. Auf jedem Domänencontroller bei dem DNS eingerichtet ist, ist der DNS Server immer ein primärer Server. Damit Redundanz und Lastenausgleich wie bei sekundären Servern gewährleistet ist, haben mehrere Domänencontroller einen DNS Server installiert. Über die Replikation werden die Domänencontroller synchronisiert und somit die beteiligten DNS Server.

Vorteile:
verschlüsselte Replikation
Redundanz/Lastenausgleich
keine Zonendatei im AD gespeichert
dynamische Updates (DynDNS) mit AD-Kontrolle
SRV(Service)-RR zur Dienste-Identifizierung (wer ist GC, DC .... und welcher Port)

2.3.11 Windows Internet Naming Service(WINS)

Der Windows Internet Naming Service oder Windows Internet Name Service, kurz WINS, ist eine Umsetzung des Netzwerkprotokolls NetBIOS over TCP/IP durch Microsoft.

Wie DNS dient WINS der zentralen Namensauflösung. Wenn ein Gerät ans Netz geht, registriert es seinen Namen und seine IP-Adresse automatisch beim WINS-Server

3 Dynamic Host Configuration Protocol(DHCP)

Das DHCP wird benötigt für Clients die nicht manuell mit einer IP-Konfiguration versorgt werden.

Für jedes Netz in dem der DHCP Server eine Netzwerkkarte hat leere Bereichskonfiguration

Für jedes Netz, dass er versorgen soll gibt es eine (jeweils) Bereichskonfiguration

DHCP
  • IP4
    • Bereich
      • z.B. 10.140.102.0
      • Lease-Time
      • Adressen-Pool
      • Subnet-Mask
    • Bereichsoptionen
      • Standardgateway(Router)
      • Zeitserver
      • Broadcastadresse
      • NTP-Server
      • WINS/NBNS-Server
      • DNS-Server
  • Serveroptionen
    • Standardgateway(Router)
    • Zeitserver
    • Broadcastadresse
    • NTP-Server
    • WINS/NBNS-Server
    • DNS-Server

Jedes logische Netz benötigt einen Bereich(IP-Pool). Jedoch nur ein Bereich pro logisches Netz.

Nach der Konfiguration des DHCP muss dieser noch im AD autorisiert werden. Die Autorisierung ist die Genehmigung für die Aufnahme der Tätigkeit.

3.1 DHCP Kommunikation

Die Kommunikation zwischen Server und Client findet in vier Phasen nach dem DORA-Prinzip statt.

  1. Disvover
    • Client (0.0.0.0) schickt eine Anfrage über einen Broadcast (255.255.255.255)
  2. Offer
    • Der DHCP Server übermittelt über Broadcast (255.255.255.255) eine IP-Konfiguration:
      • IP
      • Subnetmask
      • Lease
      • Optionen
      • Standardgateway
  3. Request
    • Client (0.0.0.0) fordert das Angebot über Broadcast (255.255.255.255) beim DHCP-Server ein
  4. (Negative Acknowledge (NAK))
    • Wenn die IP im Pool nicht mehr verfügbar ist, verweigert der DHCP Server die Anforderung
  5. Ack
    • Der DHCP-Server bestätigt die Übernahme des Angebots an den Client
  6. (Im Falle des Adresskonflikts folgt ein Decline)
    • Client "bemerkt" einen Adresskonflikt und sendet ein Decline-Broadcast=Zurückweisung der Lease

3.1.1 Lease erneuern

Wenn die Lease-Zeit nach 50% am ablaufen ist, fordert der Client per Unicast (direkt an die IP des DHCP Servers) eine Erneuerung der Lease-Zeit an

  1. Request
    • Client(IP des Client) fordert beim Server(IP des Servers) die Erneuerung der Lease-Time an
  2. Ack
    • Server bestätigt die Anfrage mit dem Senden einer vollständigen Konfiguration inkl. Lease-Time
      • evtl. geändertes Standardgateway
      • evtl. geänderte DNS Server
      • neue Lease-Time

3.1.2 Reservierung

Die Reservierung ist die Funktionalität des DHCP Servers auf Basis der Client-Mac-Adresse eine IP-Adresse fest zuzuordnen. Somit erhält der Client immer diesselbe IP-Adresse.

4 Internet Information Services(IIS) - Webserver

4.1 Installation und Konfiguration

4.1.1 Installation

  1. Server-Manager starten
  2. Gehe zu: Verwalten Rollen und Features hinzufügen
  3. Auf "Weiter" und dann "Rollenbasierte oder featurebasierte Installation" wählen
  4. Auf "Weiter" und dann den gewünschten Server aus der Liste wählen und "Weiter"
  5. Aus der Liste "Rollen" den "Webserver (IIS)" anklicken
    • Im erscheinenden Fenster auf "Features hinzufügen klicken"
  6. Mit 3x "Weiter" zu der Liste der "Rollendienste" und folgendes zusätzlich auswählen:
    • HTTP-Umleitung
    • Sicherheit Digestauthentisierung und Windows-Authentifizierung
  7. Auf "Weiter" und dann auf "Installieren"
  8. Die Installation abwarten und weiter zur Konfiguration

4.1.2 Konfiguration

Beispiele:
  • IIS
    • Websites
      • Default-Site
        • *:80 C:\inetpub\wwwroot
        • Standard-Dokument
      • Site1
        • *:2500 W:\site1
        • Standard-Dokument
      • Site2
        • *:33000 W:\site2
        • Kein Standard-Dokument
          aber: Verzeichnis durchsuchen (Listing)
      • Site3
        • 10.140.102.11:80 W:\site3
        • Standard-Dokument
      • Site4
        • 10.140.102.12:80 W:\site4
        • Verzeichnis durchsuchen
      • Site5
        • w5.fisiorg.de *:80

Virtuelle Verzeichnisse können dazu genutzt werden an vielen Orten im Webserver Dateien anzubieten deren Quelle immer diesselbe ist. Die Quelle kann sich somit überall befinden und es wird nicht mehr Speicherplatz als nötig benötigt. Die Verwaltung der angebotenen Dateien findet somit zentral statt.

5 Zertifikatserver

5.1 Installation und Konfiguration

5.1.1 Installation

  1. Server-Manager starten
  2. Gehe zu: Verwalten Rollen und Features hinzufügen
  3. Auf "Weiter" und dann "Rollenbasierte oder featurebasierte Installation" wählen
  4. Auf "Weiter" und dann den gewünschten Server aus der Liste wählen und "Weiter"
  5. Active Directory-Zertifikatsdienste
    • Im erscheinenden Fenster auf "Features hinzufügen klicken"
  6. 4x auf "Weiter" und danach auf "Installieren" klicken und die Installation abwarten

5.1.2 Konfiguration

  1. Im Benachrichtigungsfenster des Servermanagers den Link "Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren"
  2. Anmeldeinformationen prüfen und evtl. einen passenden User eintragen und "Weiter"
  3. "Zertifizierungsstelle" anklicken und "Weiter"
  4. "Unternehmenszertifizierungsstelle" anklicken und auf "Weiter"
  5. "Stammzertifizierungsstelle" wählen und "Weiter"
  6. "Neuen privaten Schlüssel erstellen" wählen und "Weiter"
  7. Die Kryptografieoptionen nach Wunsch wählen und "Weiter"
  8. Namen der Zertifizierungsstelle vergeben (oberes Feld) und "Weiter"
  9. Die Gültigkeitsdauer des Zertifikats wählen und 2x "Weiter"
  10. "Konfigurieren" klicken