Оглавление
Thomas Frey. Server-Infrastrukturen mit Microsoft Windows Server Technologien
Liebe Leserinnen, liebe Leser
Dieses Buch ist ein vollständiges Seminarhandbuch für das 20413 Seminar
Was ist der Vorteil gegenüber den Microsoft Seminarunterlagen?
Warum sollten Sie sich mit Server-Infrastrukturen beschäftigen?
Was haben Server-Infrastrukturen und IT-Servicemanagement miteinander zu tun?
Hier geht es um Planung und Implementation von
Server-Infrastrukturen mit Microsoft Windows Server Technologien
Tipps für das Ausprobieren von Funktionen
Welche Themen werden im Buch behandelt?
1. Die Server-Infrastruktur
2. Die Netzwerk-Infrastrukturdienste
3. Die logische Active Directory-Infrastruktur
4. Die physische Active Directory-Infrastruktur
5. Remote Access und Netzwerkzugriffsschutz
1. Die Server-Infrastruktur
1.1 Serverupgrades und Servermigration. 1.1.1 Upgrade und Migration
Folgende Windows Server 2012 Editionen sind erhältlich:
Für welche Edition sollten Sie sich entscheiden?
Die Entscheidung zwischen Datacenter und Standard:
Anforderungen an die Hardware
Direktes Upgrade von einer Vorversion vs. Servermigration
Upgrade:
Die alten Server Versionen, mit denen ein Upgrade mögliche ist:
Migration:
Verfügbare Tools für die Upgrade- oder Migrationsplanung
Das Microsoft Assessment and Planning Toolkit:
Die Konsolidierung von Servern
Das Entwickeln von Plänen zu Server-Upgrades und –Migrationen
Die Planungen umfassen:
Die Server Migration über Domänen. Wenn Sie Dienste über Domänen hinweg oder auch komplette Domänen migrieren wollen, sollten Sie wie folgt vorgehen:
1.1.2 Die Virtualisierung und der Einsatz in der Cloud
Die Auslagerung von Server in die Microsoft Azure Cloud
Tools für die Auslagerung und Verwaltung von Servern in der Cloud:
Was ist vor einer Virtualisierung zu bedenken:
Empfehlung für die Ausstattung von Hyper-V-Hosts:
Empfehlung für virtuelle Computer:
Empfehlung zum Virtualisieren von Anwendungen:
Best Practice für das Planen der Anwendungs-Virtualisierung:
So verwenden Sie das Microsoft Assessment and Planning Toolkit
Die Auswahl der Datenbank:
Überblick über die Bereiche des MAP-Toolkit:
So nutzen Sie das MAP-Toolkit
1.2 Die Server-Bereitstellungsinfrastruktur
1.2.1 Das Entwickeln eines Bereitstellungsplans
Die Erstellungsstrategie für ein Server- bzw. Betriebssystemabbild
Was ist das Windows Image Datei Format (WIM)
Die Vorteile des WIM-Format:
Die verschiedenen Installations-Strategien. Für voll-, halb-, teilautomatische oder manuelle Installationen sind folgende Vorgehensweisen üblich:
Auswählen einer Strategie zur automatischen Bereitstellung
Automatische Bereitstellungen verwenden Abbilder. Für diese gibt es mehrere Typen:
Der Ablauf einer Bereitstellung ist wie folgt:
Die Kriterien zur Bereitstellung und Implementierung von Virtualisierungen:
Der VMM:
Implementieren einer automatisierten Bereitstellungsstrategie
1.2.2 Die Tools zur abbildbasierten Installation von Windows
Windows Setup:
Windows ADK:
Windows DS:
Best Practices für WDS:
MDT:
System Center Configuration Manager:
Übliche Deployment-Szenarios für den Configuration Manager:
Die Bereitstellungsszenarien
So bereiten Sie mit DISM ein Windows Server 2012 Abbild vor
So stellen Sie ein Image mit dem Windows DS Dienst bereit
1.3 Bereitstellen von Servern mit dem Virtual Machine Manager. Übersicht über die Tools zum Bereitstellen von virtuellen Computern
Hier ein paar grundlegende Erläuterungen zum Thema virtuelle Maschinen:
Die Tools für das Bereitstellen von virtuellen Computern:
Der Virtual Machine Manager (VMM)
Der VMM enthält folgende Features:
So werden Hosts zum VMM hinzugefügt
Die zu bearbeitenden Gruppenrichtlinien:
Das Hinzufügen der Hosts zum VMM:
Im folgenden Assistenten werden die Optionen entsprechend der Anforderungen bzw. der Szenarien ausgewählt:
Das Verwalten von Hosts die nicht der Domäne angehören
Was ist dabei zu beachten?
Speicher und Netzwerk für virtuelle Maschinen
Sie sollten bei der Planung für den Speicher folgendes berücksichtigen:
Für Netzwerkanbindungen mit VMM berücksichtigen Sie:
1.3.1 Das VMM Fabric Management
Die Bereiche des Fabric Management:
Was ist für den Einsatz von VMM zu berücksichtigen?
So legen Sie logische Netzwerke in der Fabric an:
Die Bereitstellung von VMM Libraries und Profilen
Was sind die VMM Libraries?
Das Planen und Bereitstellen von VMM Library Servern:
Das Konfigurieren von Profilen:
So nutzen Sie Profile
Das Gastbetriebssystem-Profil:
Das Hardwareprofil:
Das Anwendungsprofil:
Das SQL Serverprofil:
Überlegungen und Best Practice für das Nutzen von Profilen
So stellen Sie virtuelle Maschinen mit Profilen bereit
1.3.2 VMM Services mit Service Vorlagen bereitstellen. Die Vorlagen für virtuelle Maschinen und Services:
Vorlagen für virtuelle Maschinen (VM-Vorlagen) bieten Ihnen:
Dienstvorlagen
So konfigurieren Sie virtuelle Maschinen und Dienstvorlagen
Das Erstellen von Dienstvorlagen mit dem Dienstvorlagen Designer:
Das Aktualisieren und Pflegen von Dienstvorlagen:
Das Bereitstellen von virtuellen Maschinen mit dem App Controller
Der App-Controller bietet die folgenden Selbstbedienungs-Funktionen:
Die App Controller Webseite:
2. Die Netzwerk-Infrastrukturdienste
2.1 Planen und Warten von IP-Konfigurationen und Adressverwaltung
2.1.1 Strategien für die Bereitstellung von DHCP
Das IPv4-Adressierungsschema:
Best Practice:
Strategien für die DHCP-Verfügbarkeit
Die bisher üblichen Möglichkeiten für DHCP-Redundanz:
Das DHCP-Failover
Es gibt zwei Betriebsmodi für das DHCP-Failover:
Konfigurationsmöglichkeiten für den Hot-Standby Betrieb:
Konfiguration der Firewall:
Die Windows Firewall mit DHCP-Failover-Regel:
So richten Sie DHCP-Failover ein
IPv6 und DHCP
Best Practice und Richtlinien für DHCP-Lösungen:
Migration der DHCP-Serverrolle
Migration von Windows Server 2008 auf 2012 R2:
Migration von Windows Server 2003 auf 2012 R2:
DHCP-Bereiche und deren Optionen
Diese Optionen sind:
Bereichsgruppierungen:
2.1.2 Strategien für eine Bereitstellung von IPAM
Was kann IPAM?
Im Detail ist mit IPAM folgendes möglich:
Die Struktur von IPAM:
Die IPAM Komponenten:
Richtlinien und Best Practices für die IPAM-Bereitstellung
Wichtig für die Kapazitätsplanung für IPAM:
So bereiten Sie IPAM vor
Was können Sie mit IPAM verwalten?
Anforderungen der Infrastruktur für IPAM-Bereitstellungen
Beziehen Sie daher folgende DHCP-Anforderungen in Ihre Strategie mit ein:
Beziehen Sie folgende DNS-Anforderungen in Ihre Strategie mit ein:
So integrieren Sie DHCP und DNS Server in IPAM
Zusammenfassung der Planungen für die Nutzung von IPAM
Planungen für das DHCP Server- und Bereichsmanagement:
Die rollenbasierte Zugriffssteuerung (RBAC):
Planungen für das DNS Server- und Zonenmanagement:
Planungen für das Adressbereichs-Management:
So verwalten Sie Adressbereiche und DHCP Server mit IPAM
Ein Kundenadressraum wird ähnlich konfiguriert wie ein Anbieteradressraum, erfordert aber einige zusätzliche Konfigurationen:
Die Integration von IPAM in den Virtual Machine Manager
Für die Integration von IPAM in den VMM sind drei Schritte notwendig:
2.2 Planen und Implementieren der Namensauflösung
Analysen und Planungen für die DNS-Server Bereitstellung
Sie benötigen also Informationen über folgende Bereiche:
Beziehen Sie in Ihre Kapazitätsplanung folgende Anforderungen ein:
Ihnen stehen folgende Rollen zur Verfügung:
Sie können die Sicherheit für Ihre DNS-Infrastruktur mit folgenden Maßnahmen erhöhen:
2.2.1 Auswahl des geeigneten Szenarios für den DNS-Namensraum
Es sind drei Szenarios möglich:
Ihre Möglichkeiten für das Hosting von Namensräumen:
DNS-Zonen entwerfen und Implementieren
Folgende Zonentypen stehen Ihnen zur Verfügung:
Die GlobalNames Zone
Wann benötigen Sie WINS und wann die GlobalNames Zone?
So erstellen Sie DNS-Zonen
So erstellen Sie eine Reverse-Lookupzone:
So erstellen Sie eine Forward-Lookupzone:
Warum empfiehlt es sich, sekundäre Zonen einzurichten?
2.2.2 Die Zonenreplikation und Zonendelegierung
Die Zonenreplikation im Vergleich mit der Zonenübertragung:
Das Einbeziehen von Zonenreplikation und –Delegierung
Die Vorteile einer Aufteilung des Namensraums:
Die Sicherheit von Zoneninformationen:
Wie integrieren Sie Namensräume?
Was sind Stammhinweise:
Was ist eine Weiterleitung:
Integration von Namensräumen mit Stubzonen:
So aktivieren Sie Zonenübertragungen
Optimieren Ihrer DNS-Infrastruktur
Deaktiviert wird die Rekursion in den erweiterten Eigenschaften des DNS-Servers:
Optimierungen für Active Directory integrierte Zonen:
2.2.3 Sicherheit und hohe Verfügbarkeit für DNS
Best Practice für die hohe Verfügbarkeit:
Der Netzwerklasten-Ausgleich als Maßnahme für Redundanz und hohe Verfügbarkeit
Der Netzwerklasten-Ausgleich hat auch Einschränkungen, die bedacht werden müssen:
Angriffs-Szenarien Ihre DNS-Infrastruktur bedrohen können:
Mögliche Bedrohungen für Ihre DNS-Infrastruktur
Lösungen für mögliche Bedrohungen Ihrer DNS-Infrastruktur:
Die Standardsicherheit:
Die ausgeglichene Sicherheit:
Die starke Sicherheit:
Zusätzliche Sicherheitseinstellungen:
DNSSEC in Windows Server 2012 R2
Die Bereitstellung von DNSSEC:
Die Zonensignatur im DNS-Manager:
So implementieren Sie die Namensauflösung nach Ihren Anforderungen
Implementieren Sie die Namensauflösung entsprechend Ihrer Strategie:
Konfigurieren Sie die DNS-Optionen entsprechend Ihrer Anforderungen:
Aktivieren Sie die Unterstützung der GlobalNames-Zone:
2.3 Speicher und Datendienste
Direkt verbundener Speicher:
Über das Netzwerk angebundener Speicher:
Der Netzwerk-Speicherbereich:
Die Komponenten eines SAN
2.3.1 Was ist iSCSI
Planungen für die Implementation von iSCSI-SANs
Die iSCSI-Komponenten:
Ein Vergleich zwischen Fibre-Channel und iSCSI SANs:
Was stellt der iSCSI-Zielserver Rollendienst bereit?
Was stellt der iSCSI-Initiator Service bereit?
Hohe Verfügbarkeit für iSCSI
Sicherheitsoptionen für iSCSI
So implementieren Sie iSCSI
Die folgenden Schritte erstellen das iSCSI-Ziel:
Das Verbinden von iSCSI-Datenträgern mit dem iSCSI-Ziel:
Best Practices und Überlegungen für das Bereitstellen von iSCSI-Speicher
2.3.2 Was sind Speicherplätze
Wann sind Speicherplätze von Vorteil:
Welche Einschränkungen haben Speicherplätze:
Geeignete Laufwerkstypen für einen virtuellen Datenträger mit hoher Verfügbarkeit:
Zu Beachten bei physikalischem Speicher für Speicherplätze:
Zu Beachten bei Speicherplätzen:
Was sind Speicherebenen:
Zu Beachten für die hohe Verfügbarkeit von Speicherplätzen:
Zu Beachten bei der Speicheroptimierung in Windows Server 2012 R2:
So konfigurieren Sie Speicherplätze
Schritt 1, der Speicherplatz:
Schritt 2, der virtuelle Datenträger:
Schritt 3, aus dem virtuellen Datenträger das logische Volume erstellen:
2.4 Die Dateidienste
Mögliche Szenarien für die Nutzung von DFS:
Verbesserungen an DFS in Windows Server 2012 und 2012 R2:
Wichtige Überlegungen für die Verwendung von DFS Namespace
Ordner als primäre Namespaceelemente:
Der domänenbasierte Namespace:
Der eigenständige Namespace:
Wichtige Überlegungen für die Verwendung von DFS Replikation
Best Practices:
2.4.1 So richten Sie DFS ein
So erstellen Sie einen Namespace
So erstellen Sie Ordner und Ordnerziel in Ihrem Namespace
Sie haben die Möglichkeit, das Ergebnis in der DFS-Verwaltung einzusehen
Weitere Möglichkeiten:
So erstellen Sie Replikationsgruppen
Wichtige Überlegungen für die Verwendung von BranchCache
Hinweise und Best Practices für BranchCache:
Wann empfiehlt sich DFS Replikation oder BranchCache? Ein Vergleich:
2.4.2 So konfigurieren Sie BranchCache
Server:
Client:
So konfigurieren Sie BranchCache auf einem Dateiserver. Schritt 1:
Schritt 2:
Schritt 3:
So konfigurieren Sie BranchCache auf einem Client
Schritt 1: Aktivieren von BranchCache mithilfe von Gruppenrichtlinien:
Alternativer Schritt 1, Aktivieren von BranchCache mithilfe der Powershell:
Weiterer alternativer Schritt 1, Aktivieren von BranchCache mithilfe der Kommandozeile:
Schritt 1, das Anpassen der Client-Firewall:
Speicheroptimierungsmöglichkeiten mit Windows Server 2012 R2
Diese Features sind im Einzelnen:
3. Die logische Active Directory-Infrastruktur. Gesamtstruktur-Infrastruktur und Domäneninfrastruktur
3.1 Die AD DS-Gesamtstruktur
Diese Modelle sind:
Die Auswahl des geeigneten Modells
Vorteile einer einzelnen Gesamtstruktur:
Nachteile einer einzelnen Gesamtstruktur:
Vorteile von mehreren Gesamtstrukturen:
Nachteile von mehreren Gesamtstrukturen:
Best Practices zur Auswahl des geeigneten Modells:
3.1.1 AD DS-Gesamtstruktur Vertrauensstellungen
Die Eigenschaften von Gesamtstruktur-Vertrauensstellungen
Charakteristisch für Gesamtstruktur-Vertrauensstellungen:
Mögliche Sicherheitsbedenken bei Gesamtstruktur-Vertrauensstellungen
Um das zu Vermeiden, haben Sie folgende Möglichkeiten:
Best Practices für das Erstellen von Gesamtstruktur-Vertrauensstellungen:
So erstellen Sie eine Gesamtstruktur-Vertrauensstellung
Schritt 1: DNS konfigurieren
So erstellen Sie eine Stubzone:
So erstellen Sie eine bedingte Weiterleitung:
Schritt 2: Gesamtstrukturvertrauensstellung herstellen:
In beiden Gesamtstrukturen sind die Vertrauensstellungen eingetragen
Das Ergebnis:
3.1.2 Active Directory Integration mit Windows Azure Active Directory
Der Überblick über das Windows Azure Active Directory:
Was stellt das Windows Azure AD zur Verfügung?
Möglichkeiten für die Integration von lokaler Authentifizierung in Azure. Für die Integration ihrer lokalen Active Directory Domänendienste in Azure AD benötigen Sie:
Wie synchronisieren Sie Directory Informationen in die Cloud? Wenn Sie die Verzeichnis-Synchronisation planen, bedenken Sie:
Die Optionen für das Verwalten der Windows Azure Active Directory Accounts:
3.2 Active Directory Domänendienst-Domänen
Sie müssen über die Auswahl zwischen folgenden Domänenstrukturen entscheiden:
Gründe für die Implementierung von mehreren Domänen
Wie viele Domänen sind sinnvoll?
Welche Gründe könnte es für die Implementierung von dedizierten Stammdomänen geben?
Richtlinien und Best Practices für die Planung von Domänen
So implementieren Sie eine AD Domäne in eine Gesamtstruktur
Ergebnis:
DNS-Namespaces in AD DS Umgebungen
Die Suche nach Domänencontrollern und bereitgestellten Diensten erfolgt mit:
Folgende Optionen zum Entwerfen einer Strategie für AD DS-Namespaces stehen Ihnen zur Verfügung:
Die DNS-Anwendungspartition
Der Replikationsbereich
Folgende Möglichkeiten stehen zur Verfügung:
Richtlinien und Best Practices für die Implementation von DNS-Servern in Active Directory Domänenstrukturumgebungen
3.3 Die Active Directory Domänenstruktur-Vertrauensstellung
Vertrauensstellungen können wie folgt unterschieden werden:
Das kennzeichnet Vertrauensstellungen:
Richtlinien und Best Practices für den Entwurf von Domänenvertrauensstellungen
3.4 Entwurf und Implementation von Organisationseinheiten
Sie benötigen daher:
3.4.1 Das Modell zum Delegieren von administrativen AD Verwaltungsaufgaben
Mögliche Anforderungen für eine Trennung von Verwaltungsrechten wären:
Mögliche zu delegierende Aufgaben:
Vereinfachen Ihres Modells
Mögliche Administratormodelle wären:
Besondere Überlegungen zur Rechtedelegierung für Filialen
Ihr Modell beinhaltet daher die Delegierung von Verwaltungsrechten an geeignete Personen oder Gruppen oder auch Dienstleister für folgende Aufgaben:
Benötigte Informationen für den Modellentwurf. Strukturen
Die notwendigen Informationen im Detail:
Ressourcen
Prozesse
Die zu berücksichtigen Verwaltungsprozesse beinhalten Informationen zu:
Die Best Practices:
3.4.2 Das Design von Organisationseinheiten
Die Strategien für das Design
Die gebräuchlichsten Strategien:
Welche Optionen stehen für das Delegieren von Verwaltungsaufgaben zur Verfügung
So funktionieren administrative Berechtigungen:
Bestandteile der Sicherheitsbeschreibung:
So erteilen Sie administrative Berechtigungen
Design von Organisationseinheiten zum Delegieren von Verwaltungsfunktionen
Unterschieden wird in zwei Designarten bzw. Methoden zur Steuerung der Delegierung:
Best Practices für die Verwaltungsfunktionsdelegierung:
Design von Organisationseinheiten zur Durchsetzung von Gruppenrichtlinien
Gruppenrichtlinienobjekte können in einer Active Directory Domänenstruktur wie folgt verknüpft werden:
Mögliche Beschränkungen von Gruppenrichtlinien-Verknüpfungen:
Best Practices für das OE-Design für das Anwenden von Gruppenrichtlinienobjekten:
Design von Organisationseinheiten-Hierarchien
Der Schutz von Organisationseinheiten vor versehentlichem Löschen
So schützen Sie AD Organisationseinheiten. Mit dem „Active Directory Verwaltungscenter“:
Mit der Konsole „Benutzer und Computer“ in den Eigenschaften des AD Objekts:
Mit der Powershell:
Bedenken und Best Practices für das Schützen vor versehentlichem Löschen:
So bearbeiten Sie Organisationseinheiten. Das Erstellen:
Das Löschen:
Die Standard-Sicherheitseinstellungen:
3.5 Die Active Directory Gruppenstrategie
Die Active Directory Gruppen
Gruppentypen:
Gruppenbereich:
Die Benennungsstrategie für Gruppen
Beispiele für Namenskonventionen:
Strategien für das Verwenden von Gruppen für den Ressourcenzugriff
Gruppenbereich und integrierbare Konten bzw. Gruppen:
Best Practices für das Verschachteln von Gruppen:
Wo bleiben die universellen Gruppen?
Die Planung für die Gruppenverwaltung
Richtlinien und Best Practices:
So aktivieren sie die Self-Service-Verwaltung für Benutzer. Über die Eigenschaften einer Gruppe in der Konsole „Active Directory- Benutzer und –Computer“:
Über das Verwaltungscenter:
Richtlinien und Best Practices für die Active Directory Gruppenstrategie
So erstellen und Verwalten Sie Gruppen mit dem Verwaltungscenter
So fügen Sie einer Gruppe Mitglieder hinzu
So testen Sie, ob der Benutzer „Thomas“ als Mitglied der „Vertriebsgruppe“ neue Mitglieder hinzufügen bzw. löschen kann:
4. Die physische Active Directory-Infrastruktur. 4.1 Die Strategie für Gruppenrichtlinienobjekte
Die notwendigen Informationen für eine Gruppenrichtlinienstrategie
Benötigte Informationen zur Organisation:
Benötigte Informationen zu Sicherheitsanforderungen:
Benötigte Informationen zur Desktopverwaltung:
Benötigte Informationen über Verwaltungsprozesse:
4.2 Das Entwerfen und Implementieren von Gruppenrichtlinienobjekten
Kategorien der Gruppenrichtlinieneinstellungen
Benutzer- und Computerkonfiguration im GPO-Editor:
Die Benutzerkonfiguration:
Die Computerkonfiguration:
Unterhalb der Benutzer- bzw. Computerkategorie:
Der GPO-Editor:
Informationen und Überlegungen zum Design der administrativen Vorlagen
Die Organisation des GPO-Speichers:
Richtlinien und Best Practices zum GPO-Speicher:
Informationen und Überlegungen zum Design von Gruppenrichtlinien-Voreinstellungen
Konfigurationsoptionen von Gruppenrichtlinien-Voreinstellungen:
Best Practices für das Design von Gruppenrichtlinienobjekten
Gruppenrichtlinienobjekte auf Basis von Funktionen:
Gruppenrichtlinien auf Basis von Ressourcen:
Weiterhin ist folgendes wichtig:
Die Verwaltung von Gruppenrichtlinienobjekten
Best Practices für die Verwaltung:
Alternativen für die Verwendung von Gruppenrichtlinienobjekten
4.2.1 So erstellen Sie eine Gruppenrichtlinie
So erstellen Sie ein Gruppenrichtlinienobjekt:
So erstellen Sie die Gruppenrichtlinie:
Blocken einer Anwendung anhand des Dateipfades
Das Gruppenrichtlinienobjekt verknüpfen:
Überprüfen der Regel:
Einige Anmerkungen zu diesem Beispiel:
Blocken einer Anwendung anhand des Dateihashes
4.2.2 Die Verarbeitung von Gruppenrichtlinienobjekten
Die Vererbung von Gruppenrichtlinien
Steuern können Sie die Vererbung wie folgt:
Best Practices für den Einsatz von Vererbungsdeaktivierung und Erzwingung von GPOs:
Die Filterung von Gruppenrichtlinien
Best Practices für den Einsatz der Gruppenrichtlinienfilterung:
Der Einfluss von langsamen Verbindungen
So konfigurieren Sie die Erkennung von langsamen Verbindungen:
Diese Einstellungen werden bei langsamen Verbindungen standardmäßig nicht ausgeführt:
Überlegungen und Best Practices für das Design der Gruppenrichtlinienverarbeitung
Die Verwaltung:
Die Leistung:
4.2.3 Das Planen der Gruppenrichtlinienverwaltung
Die Sicherung:
Das Wiederherstellen:
Einige Hilfreiche Powershell-Cmdlets zur Dokumentation von GPO-Einstellungen:
Das Planen der Migration von Gruppenrichtlinienobjekten
Zwei Arten der Migration sind von Bedeutung:
Für den Migrationsvorgang stehen Ihnen drei Möglichkeiten zur Verfügung:
Steuerung des Migrationsvorgangs:
Best Practices für das Design der Gruppenrichtlinienverwaltung
Folgende Faktoren sollten Sie in Ihre Überlegungen einbeziehen:
So schränken Sie die Wirkung einer Gruppenrichtlinie auf bestimmte Benutzer ein
So sichern Sie eine GPO
4.3 Die Standorttopologie für Active Directory Domänendienste
Das Design von Active Directory Standorten
Für die Standorte ist also ein durchdachter Entwurf notwendig:
Vorteile von AD DS Standorten
AD-Standorte unterstützen:
Die Replikation durch Standortverknüpfungen
Lokalisieren von Diensten mit Standorten
Ihre Möglichkeiten für das Design von AD Standorten
Notwendige Informationen für das Standortdesign
Die automatisch Standortabdeckung
Der Domänencontroller geht wie folgt vor:
Richtlinien und Best Practices beim Design von AD DS Standorten
So erzeugen Sie Standortobjekte
So erstellen Sie das Subnetz für einen Standort:
4.4 Die AD DS Replikation
Die AD DS Replikationskomponenten
Verbindungsobjekte:
Benachrichtigung:
Abruf:
Was sind KCC und ISTG
Die Konsistenzprüfung mit dem Knowledge Consistency Checker (KCC):
Der Generator für standortübergreifende Topologie (ISTG):
Zusammengefasst:
Optionen für das Design der standortübergreifenden Replikation
Richtlinien und Best Practices zur Auswahl eines Replikationsprotokolls
Das führt zu drei Ebenen für das Replizieren von AD Informationen:
Die Besonderheiten vom globalen Katalog und der RODC-Replikation
Die SYSVOL-Replikation
Das Design von Standortverknüpfungen
Die Attribute für die Standortverknüpfungen:
Konfiguration der Replikationszeitpläne in den Attributen der Standortverknüpfungen:
Die Bridgeheadserver
Der Ablauf ist wie folgt:
Richtlinien und Best Practices für die manuelle Wahl des Bridgeheadservers:
Die Überbrückung von Standortverknüpfungen
Die automatische Überbrückung von Standortverknüpfungen:
Die manuelle Überbrückung von Standortverknüpfungen:
Die aktivierte Standortverknüpfungsbrücke:
Richtlinien und Best Practices für manuelle Standortverknüpfungsbrücken:
So richten Sie die Active Directory Replikation ein:
So konfigurieren Sie Standortverknüpfungen:
So fügen Sie einen Domänencontroller zu einem Standort hinzu:
4.5 Platzierung der Domänencontroller
Die Hardwareanforderungen für Domänencontroller
Bereitstellen von Domänencontrollern auf dem Server Core
Richtlinien und Best Practices für die Platzierung von Domänencontrollern
Richtlinien und Best Practices für die Platzierung von globalen Katalogen
Wichtig:
Richtlinien und Best Practices für die Platzierung der Betriebsmaster
Wichtig:
Richtlinien und Best Practices für die Überwachung von Domänencontrollern
Dazu empfiehlt sich:
Tools zur Überwachung:
Beispiele für wichtige Leistungsindikatoren:
Der Best Practices Analyzer:
Der Best Practice Analyzer:
Das Platzieren von RODCs in Zweigstellen:
Gründe für den RODC:
Einschränkungen:
Die Nutzung von Microsoft Azure für Domänencontroller
Weitere Überlegungen:
4.5.1 Das Virtualisieren von Domänencontrollern
Überlegungen zur Virtualisierung
Vorteile:
Nachteile:
Das Sichern von virtuellen Domänencontrollern
Best Practices für die Sicherheit auf Hostebene:
Best Practices für die Sicherheit auf Gastebene:
Richtlinien und Best Practices für das Bereitstellen von virtuellen Domänencontrollern
Die VM-Generation-ID:
Klonen von virtuellen Domänencontrollern
Ab Windows Server 2012 wird das sicher Klonen von virtuellen Domänencontrollern unterstützt:
4.5.2 Das Design von hochverfügbaren Domänencontrollern
Wichtig sind folgende Dienste:
Wichtig sind folgende unterstützende Bereiche:
Richtlinien und Best Practices für das Planen der hohen Verfügbarkeit
Benötigte Komponenten für hohe Verfügbarkeit von AD DS
Richtlinien und Best Practices für das Design von hochverfügbaren Domänencontrollern
Richtlinien und Best Practices für das Design von hochverfügbaren globalen Katalogservern
Richtlinien und Best Practices für das Design einer hochverfügbaren DNS-Infrastruktur
Richtlinien und Best Practices für das Design einer hochverfügbaren Netzwerk-Infrastruktur
Hochverfügbare LANs:
Hochverfügbare WANs:
Richtlinien und Best Practices für Sicherung und Wiederherstellung in AD DS
Der Active Directory-Papierkorb
Die Eigenschaften des AD-Papierkorb:
So aktivieren Sie den Active Directory Papierkorb:
Die Active Directory-Wiederherstellung
5. Remote Access und Netzwerkzugriffschutz
5.1 Die Remote Access Dienste
Best Practices für die Bedarfsanalyse:
Weiterhin müssen Sie wissen, wie der Zugriff geschützt werden kann. Dazu zählen:
Die Implementation der RAS-Dienste läuft in etwa wie folgt ab:
Methoden für den Remotezugriff
5.1.1 DirectAccess
Weitere Vorteile:
Nachteil:
DirectAccess-Komponenten
Der Authentifizierungsablauf:
Der Planungsumfang der DirectAccess Implementierung
Die DirectAccess Infrastruktur
Ermittlung der betroffenen Bereiche:
Die Anforderungen an die Infrastruktur:
Die mögliche Konfiguration des DirectAccess Servers:
Anforderungen an den DirectAccess Server:
Weitere Vorteile von Windows Server 2012 R2:
Webserver und PKI
Der Network Location Server
Die Optionen für die Netzwerkkonfiguration
Richtlinien und Best Practices für die DirectAccess Implementation
Es ist erst einmal die Infrastruktur notwendig:
Nach der Infrastruktur sind die Clients an der Reihe:
So nutzen Sie für den DA-Server den Assistenten für erste Schritte. So bereiten Sie die Struktur vor:
So konfigurieren Sie DirectAccess:
Wie geht es weiter?
5.1.2 VPN
Die Planung einer Strategie für VPN-Dienste
Die Hardware:
Die Platzierung des VPN-Servers:
Die Benutzer und Clients:
Die Auswahl eines geeigneten Tunnel-Protokolls für VPN
Vor- und Nachteile der VPN Tunnel-Protokolle:
Die Auswahl der Authentifizierungs- und Verschlüsselungsmethode
Authentifizierungsmethoden:
Verschlüsselungsmethoden:
Best Practices für die Wahl von Authentifizierungs- und Verschlüsselungsmethoden:
Planen der Richtlinien für den Netzwerkzugriff
Der Steuerung des Zugriffs mit Netzwerkrichtlinien und NPS
Der Ablauf bei der Anwendung der Netzwerkrichtlinien:
Planungen für die Clientverbindungen mit VPN
So implementieren Sie VPN. So installieren Sie die notwendigen Serverrollen für den VPN Server
So aktivieren Sie VPN, wenn bereits DirectAccess konfiguriert wurde
So aktivieren Sie VPN, wenn noch keine RAS-Konfigurationen durchgeführt wurden
So erstellen Sie Netzwerkrichtlinien auf dem Netzwerkrichtlinienserver
Die nächsten Schritte, die in diesem Beispiel auf den Vorgaben belassen werden:
So konfigurieren Sie die VPN Clients
5.1.3 Web Application Proxy
Die Optionen für die Authentifizierung
Vorauthentifizierung über „Pass-through“:
Vorauthentifizierung über AD FS:
Vorteile der AD FS Authentifizierung:
Richtlinien und Best Practices für SSO
Das Veröffentlichen von Applikationen
Richtlinien und Best Practices für Workplace Join
5.1.4 Planen einer hochverfügbaren und komplexen Remote Access Infrastruktur
Richtlinien und Best Practices für den Lastenausgleich
Die Remote Access Kapazität
Der Low End Server:
Der High End Server:
Remote Access bei verschiedenen Standorten
Weiterhin wichtig:
Zusätzliche Authentifizierungsoptionen:
Remote Access über mehrere Gesamtstrukturen
5.1.5 Das Planen der RADIUS Implementierung
Die RADIUS Rollen von Windows Server 2012 R2
Der RADIUS Server:
Der RADIUS Proxy:
Der RADIUS-Client:
Verbindungsanforderungsrichtlinien
In einer Verbindungsanforderungsrichtlinie können Sie Bedingungen und Einstellungen konfigurieren:
Die Konfiguration der Verbindungsanforderungsverarbeitung
Richtlinien und Best Practices für die RADIUS-Implementierung
So implementieren Sie RADIUS
So legen Sie eine NPS-Vorlage an:
So richten Sie die Kontoverwaltung ein:
So konfigurieren Sie den RADIUS-Client
So erstellen Sie die Netzwerkrichtlinien auf dem Netzwerkrichtlinienserver
So konfigurieren Sie die VPN Clients
5.2 Der Schutz Ihres Netzwerks
Mögliche Bedrohungen
Welche Angriffsstufen gibt es:
Häufig verwendete Angriffsmethoden:
Die wichtigsten vier Prinzipien für die Netzwerksicherheit
1. Schaffen Sie mehrere Sicherheitsebenen und damit eine abgestufte und tiefe Verteidigung:
2. Halten Sie die Benutzerrechte klein:
3. Verkleinern Sie die mögliche Angriffsfläche in Ihrem Netzwerk:
4. Wecken Sie das Sicherheitsbewusstsein der Anwender:
Der Prozess für das Designen der Sicherheit
Prozeduren und Richtlinien für die Netzwerksicherheit
Die Richtlinien im Überblick:
Best Practices für Richtlinien und Prozeduren:
5.2.1 Windows Firewall Strategien
Szenarien für die Windows Firewall
Das Konfigurieren von eingehenden und ausgehenden Regeln auf der Windows Firewall
Im folgenden Bild sehen Sie ein Beispiel für eine vordefinierte Regel
Eingehende Regeln:
Ausgehende Regeln:
Die Verwendung von IPsec mit der Windows Firewall
IPsec bietet:
Einsatzmöglichkeiten von IPsec:
Einschränkungen von IPsec:
Die Verbindungssicherheitsregeln
Der Assistent für neue Verbindungssicherheitsregeln. Regeltyp:
Richtlinien und Best Practices für das Design der Netzwerksicherheitsregeln
So erstellen Sie Firewall- und Verbindungssicherheitsregeln
So erstellen Sie eine eingehende Regel auf der Windows Firewall:
So erstellen Sie eine Verbindungssicherheitsregel:
Das Erstellen der Verbindungssicherheitsregel auf dem zweiten Computer:
5.2.2 Die Netzwerkzugriffschutz-Infrastruktur
Die Systemintegritätsprüfung erfolgt mit zwei Komponenten:
Der SHV:
Die Integritätsrichtlinien
Die Netzwerkrichtlinien
Best Practices für Netzwerkrichtlinien:
Die NAP-Erzwingung
Die zu erzwingenden Verbindungsmethoden sind:
Anmerkungen zur IPsec Erzwingung:
Der Netzwerkbereich mit den Wartungsservern
Welche Serverdienste benötigen Sie für das Isolationsnetzwerk?
So implementieren Sie Netzwerkzugriffschutz
So erstellen Sie Integritätsrichtlinien:
So erstellen Sie Netzwerkrichtlinien:
So passen Sie DHCP für NAP an:
So konfigurieren Sie einen Client-Computer manuell:
5.2.3 Netzwerkzugriffschutz durch dynamische Zugriffssteuerung
DAC bietet:
Damit werden vier Szenarien abgedeckt:
DAC basiert auf:
Vorteile von DAC:
Ansprüche
Da wir zwei Entitäten haben, haben wir zwei grundlegende Typen von Ansprüchen:
Ansprüche über Gesamtstrukturen:
Identität
Dateiklassifizierung bzw. die Ressourceneigenschaften
Zwei Dateiklassifizierungen mit Typ und möglichen Werten:
Die zentrale Zugriffsrichtlinie
Zentrale Zugriffsrichtlinien der dynamischen Zugriffssteuerung:
Die Gründe für den Einsatz von DAC
Planung der zentralen Zugriffsrichtlinie
Beispiel einer zentralen Zugriffsregel:
Die Dateiklassifizierungen
Die manuelle Dateiklassifizierung:
Faktoren die bei der Nutzung der Dateiklassifizierung zu beachten sind:
Die Dateizugriffsüberwachung
Unterstützung nach „Zugriff verweigert“
Was wird für die Bereitstellung von DAC mindestens benötigt
Best Practices für die Implementation von DAC
5.2.4 So erstellen Sie zentrale Zugriffsregeln und –Richtlinien
So bereiten Sie alles für DAC vor
Installation des Ressourcen-Managers für Dateiserver:
Prüfen der Domänenfunktionsebene und Aktivieren von DAC in AD DS:
Erstellung und Verknüpfung einer GPO mit einer OU:
Erstellen einer Organisationseinheit zum Zusammenführen von DAC-Clients und des DAC-Dateiservers:
Erstellen einer Sicherheitsgruppe zum Gruppieren von DAC-Clients:
So konfigurieren Sie DAC
Schritt 1: Benutzer- und Geräteansprüche
Schritt 2: Ressourceneigenschaften und Ressourceneigenschaftenlisten
Schritt 3: Dateiklassifizierungen
So führen Sie eine manuelle Klassifizierung durch:
Zusammenfassung:
So implementieren Sie DAC
Schritt 1: Zentrale Zugriffsregeln der dynamischen Zugriffssteuerung
Schritt 2: Zentrale Zugriffsrichtlinien der dynamischen Zugriffssteuerung
Schritt 3: Anwenden der zentralen Zugriffsrichtlinien auf einem Dateiserver
So führen Sie die Überprüfung und Fehlerbehebung von DAC durch
Um zu prüfen ob die DAC korrekt implementiert wurde, können die möglichen Szenarien getestet werden:
Auswerten von Benutzerzugriffen:
So konfigurieren Sie die „Unterstützung nach Zugriff verweigert“
Anhang A: Verwendete Powershell Cmdlets und Kommandozeilen-Tools
1. Die Server-Infrastruktur. 1.2 Die Server-Bereitstellungsinfrastruktur. 1.2.2 Übersicht über die Tools zur abbildbasierten Installation von Windows. Kommandozeilentool „DISM.exe“
2 Planen und Warten von IP-Konfigurationen und der Adressverwaltung. 2.1. DHCP
Zum migrieren von DHCP Einstellungen von Windows Server 2008 zu Windows Server 2012 R2:
Zum migrieren von DHCP Einstellungen von Windows Server 2003 zu Windows Server 2012 R2:
2.1.2 IPAM
2.2 DNS
2.2.3 Sicherheit und hohe Verfügbarkeit von DNS
2.4 Planen und Implementieren von Dateidiensten. 2.4.2 BranchCache. Powershell Cmdlets:
Eingabeaufforderung:
3. Konzeption und Implementierung der logischen AD-Infrastruktur. 3.4 Das Entwerfen und Implementieren der Infrastruktur von Active Directory Organisationseinheiten: Erstellen einer Organistationseinheit:
Schützen von Organisationseinheiten vor versehentlichem Löschen:
Löschen von Organisationseinheiten (nach Entfernung des Löschschutzes):
4. Konzeption und Implementierung der physischen AD-Infrastruktur. 4.1 Die Strategie für Gruppenrichtlinienobjekte. Powershell-Cmdlet zur Dokumentation von Gruppenrichtlinien-Einstellungen:
5. Remote Access und Netzwerkzugriffschutz. 5.2 Der Schutz Ihres Netzwerks. 5.2.3 Die dynamische Zugriffskontrolle
Anhang B: Übersicht über Ports und Ihre Verwendung
Anhang C: Weitere Informationen
Wer hat die FSMO-Betriebsmasterrollen inne?
Das Übertragen der Betriebsmasterrollen mit „ntdsutil.exe“
Die weiteren Befehle:
Anhang D: So richten Sie wichtige Infrastrukturdienste ein
So implementieren Sie die Active Directory Zertifikatsdienste
So implementieren Sie einen Router auf Basis von Microsoft Windows Server 2012 R2
