• Windows 95
• Windows 98
• Windows 2000
• Windows XP
• Windows Vista
• Windows 7
• Windows Server 2003
  • Installation
  • Startphase
  • Treiber
  • Dateimanagement
  • Tools
  • Netzwerk
  • Systemtuning
  • Active Directory
  • Gruppenrichtlinien
  • Terminaldienste
  • Rounting
  • DNS
  • DHCP
  • Konsolenbefehle
  • Backup
  • Fehlermeldungen
  • Sicherheit
  • Sonstiges
  • Speichermanagement
• Windows Server 2008
• Registry
• Bios
• Allgemein

Windows Server 2003

Windows Server 2003 ist zwar ein nicht mehr ganz neues, aber dennoch immer noch viel genutztes Server Betriebssystem. Im Gegensatz zu den Client Systemen von Microsoft, ist es in keinster Weise für den Desktop Einsatz gedacht. Da es ein Server Betriebssystem ist bringt es von Haus aus sehr viele Server Dienste mit. Besonders zu nennen wären hier die Internet Information Services als Webserver, DNS und DHCP Dienste sowie Routing Dienste. Ein Windows Server 2003 System lässt sich vor allem auch als Domain Controller nutzen. Somit ist hiermit eine zentrale Nutzer- und Rechteverwaltung möglich, die ohne Domain Controller keinesfalls denkbar wäre.

• Installation
  • Fileserver installieren
    Um einen Fileserver unter Windows 2003 zu installieren und konfigurieren sind nur wenige Schritte notwendig. Obwohl es nicht zwingend erforderlich ist sollte ein entsprechender Memberserver eines Active Directory ausgewählt werden. Von der Installation auf einem Domänencontroller wird dringend abgeraten. Als Vorraussetzung wird ein Server mit einem Raid System (idealerweise Raid 5 oder höher) der täglich gesichert wird Verwendung finden. Der Server muß über genügend Speicherplatz verfügen und mit NTFS formatiert sein. Unformatierter Speicherplatz kann nachträglich mit DiskPart.exe bzw. über die Datenträgerverwaltung formatiert werden. (ausgenommen Systempartition). Durch starten des Serverkonfigurationsassistenten kann man ohne besondere Kenntnisse festlegen ob ein Indexdienst installiert werden soll. Auf einem reinem Fileserver ist das aktivieren des Indexdienstes unbedingt zu empfehlen, da diverse Suchanfragen wesentlich performanter abgehandelt werden. Durch das erstellen von Datenträgerkontigenten teilt man den Speicherplatz und die Warnmeldungen zu, die den Benutzer vor erreichen des Limits benachrichtigen. Vor der effektiven Nutzung müssen natürlich noch die Freigaben und NTFS Rechte gesetzt werden. Mit wenigen Mouseclicks ist der Fileserver einsatzbereit. Eine Zusammenfassung zeigt am Ende noch die Konfiguration an. Nach dem klick auf weiter startet automatisch der Ordnerfreigabeassistent in dem man die Berechtigungen, Pfad, Name, Beschreibung usw. vergibt. Nach dem Abschluß dieser arbeiten ist der Dateiserver fertig konfiguriert, was auch in einer Meldung mitgeteilt wird. Unter systemroot\Debug\Configure Your Server.log sind die Informationen über die installierte Dateiserverfunktion gespeichert. Um die Funktion wieder zu entfernen geht man wieder über den Serverkonfigurationsassistenten. Verwaltet wird der Dateiserver über die Funktion Dateiserververwaltung.
  • Windows Server 2003 R2 Installation
    Das Installationspaket des R2 umfaßt insgesamt 4 CD´s. Die eigentliche Installation unterscheidet sich nur unwesentlich von der Vorgängerversion. Allerdings ist nach der abgeschlossenen Installation mit der CD 1 nur der Windows Server 2003 mit SP1 installiert. Um die Funktionalität von R2 zu nutzen muß die CD2 eingelegt werden und die setup2.exe gestartet werden. Auf der CD3 und CD4 sind noch Zusatztools und Systenuttilities enthalten. Achtung: Um einen Windows Server 2003 auf R2 zu aktuallisieren muß zwingend Servicepack 1 installiert sein. Ist R2 einmal installiert, ist eine Deinstallation von SP1 nicht mehr möglich.
  • Fileserver Von NT/2000 auf 2003 migrieren
    Um einen NT oder Windows 2000 Fileserver auf 2003 hochzuziehen ist der Einsatz des kostenlosen Dateiserver Migrationstoolkit (File Server Migration Tool) empfehlenswert.Den Download gibt direkt bei Microsoft: https://profile.microsoft.com/RegSysProfileCenter/wizard.aspx?wizid=f6970368-0dfe-4058-9763-c58217b08c5d&lcid=1033 Auch wenn FSMT recht zuverlässig arbeitet sollte der eigentliche Fileserver noch im Netz verbleiben, um sicherzustellen daß auch alle Files und Einstellungen kopiert wurden.
  • Migration auf Windows Server 2003 R2 schlägt fehl
    Um erstmalig auf einen R2 zu migrieren, ist eine Schemaerweiterung nötig, dies macht man mit dem Tool adprep.exe. Am einfachsten geht der Aufruf über eine Komandozeile mit dem Befehl: D:\CMPNENTS\R2\adprep\adprep.exe /forestprep . Der Laufwerksbuchstabe ist natürlich optional.
  • Windows Deployment Services
    WDS ist der Nachfolger von RIS und dient der Verteilung von Software Images auf Fabrikneue Computer. WDS wurde für Windows Vista und Server 2008 entwickelt ist aber auch für die Vorgängerversionen tauglich. Ziel ist es in größeren Umgebungen eine automatische Installation von Computern zu gewährleisten. WDS ist nicht mehr auf einer DOS Startumgebung aufgebaut sondern bassiert auf dem Vista Kernel mit Windows PE als Bootplattform. Um dieses kostenlose Tool nutzen zu können kann man es entweder bei Microsoft downloaden, oder einfach einen Server 2003 mit SP2 upzudaten, danach steht WDS zur Verfügung. Ein bereits laufender RIS wird problemlos migriert. Die Grundvorraussetzungen sind: DNS DHCP PXE-Bootfähige Netzwerkkarte WDS-Server als Mitglied der Domäne WDS ist außer im SP2 für Server 2003 auch im Windows Automated Installation Kit (kostenloser Download bei Microsoft)enthalten und kommt mit diesen Features: Windows PE als OS Windows Imaging (WIM) Dateiformat Mehr Performance des PXE-Servers Neues Client-Menü zur Verwaltung WDS arbeitet auch mit Windows Systems Management Server und anderen PXE-Servern zusammen Die fehlenden Eingaben während der Installation erledigt eine Antwortdatei, die mit den Werkzeugen des Windows Automated Installation Kit individuell angepaßt werden kann. Ein erstelltes Abbild kann per PXE-Boot (F12 Taste) übertragen werden, eine zentrale Rolle spielt dabei Der DHCP-Server,dieser erteilt dem Client eine IP-Lease mit den Optionen für DNS (006), Domäne (015) und PXE-Server (060). NDanach startet das Bootimage mit Windows PE, dass in den RAM geladen wird. Ein WDS Server läßt sich in 3 verschiedenen Betriebsmodi betreiben. 1. Legacy RIS Modus Hier wird der Service als reiner RIS Server betrieben, alle neuen Features werden nicht unterstützt. 2. Gemischter Modus Dieser Modus ist momentan empfehlenswert, es werden sowohl RIS Abbilder als auch die neuen Formate unterstützt (riprep,risetup, wim). 3. Nur Windows Deployment Service Nur die neue Technologie wird unterstützt, alte Abbilder können nicht verwendet werden. Wenn beim upgrade von RIS auf WDS, bzw. beim einspielen von SP2 Abbilder von Windows XP gefunden werden, wird automatisch der Mixed Mode installiert, werden keine Abbilder vor Windows Vista gefunden wird der pure WDS Modus aktiviert. Nach der Installation von WDS scheitert das Imaging erstmal mit einem TFTP – Fehler, die Dateien pxeboot.com und bootmgr.exe werden nicht gefunden. Um diesen Fehler zu beheben muß man erstmal ein Vista Image erstellen, welches man unter sources\boot.wim auf der Installations-DVD findet. In der deutschsprachigen Hilfedatei ist recht ausführlich beschrieben wie mit WDS verfahren wird und wie man Abbilder erstellt usw. So erstellen Sie ein Installationsabbild (Quelle: Microsoft) Erstellen Sie einen Referenzcomputer. Wechseln Sie ber die Eingabeaufforderung auf dem Referenzcomputer zu \Windows\system32\Sysprep oder einem Verzeichnis, in dem Sysprep.exe und Setupcl.exe gespeichert sind. Geben Sie sysprep /OOBE /Generalize /Reboot ein. Drcken Sie beim Neustart des Referenzcomputers F12. Wählen Sie im Windows-Start-Manager aus, dass das entsprechende Aufzeichnungsabbild gestartet werden soll. Klicken Sie auf der Willkommenseite des Assistenten zum Aufzeichnen von Abbildern auf Weiter. Wählen Sie auf der Seite Abbildaufzeichnungsquelle im Dropdown-Steuerelement Aufzuzeichnendes Volume das entsprechende Volume aus. Geben Sie dann einen Namen und eine Beschreibung fr das Abbild ein. Klicken Sie auf Weiter, um den Vorgang fortzusetzen. Klicken Sie auf der Seite Abbildaufzeichnungsziel auf Durchsuchen, und wechseln Sie zu der Position, an der das aufgezeichnete Abbild gespeichert werden soll. Geben Sie im Textfeld Dateiname einen Namen mit der Erweiterung .wim fr das Abbild ein, und klicken Sie auf Speichern. Klicken Sie auf Abbild auf WDS-Server hochladen. Geben Sie den Namen des WDS-Servers ein, und klicken Sie auf Verbinden. Geben Sie bei der Frage nach Anmeldeinformationen einen Benutzernamen und ein Kennwort für ein Konto mit ausreichenden Rechten zum Herstellen einer Verbindung mit dem WDS-Server ein. Wählen Sie im Dropdown-Steuerelement Abbildgruppe die Gruppe aus, in der das Abbild gespeichert werden soll. Klicken Sie auf Fertig stellen. Diese Befehle und die Syntax funktioniert nur mit Windows Vista und Server 2008, möchten Sie ein Abbild von einem Windows XP Computer erstellen kann dies auch mit den RIS Dateien realisiert werden, dazu muß die aktuelle Deploy.cab von der Microsoft Website heruntergeladen werden.Diese Datei entpacken Sie, und mit Hilfe des Programms riprep kann man danach XP Images erstellen. Alternativ findet man die Datei auch unter Support/Tools/Deploy.cab auf der Installations-CD. Ein XP Image kann nachträglich in das neue WIM Format konvertiert werden. Startabbilder Bei diesen Typ handelt es sich lediglich um ein Abbild das schon als angezeigten Menüpunkt erscheint wenn WDS gestartet wird. Diese Option ist sinnvoll wenn es sich um ein häufig verwendetes Abbild handelt. Konfiguration des WDS Nach der Installation sieht das Menü so aus, aufrufen kann man diese Konsole in dem man den Server in der Active Directory Struktur sucht und den Registerreiter Windows Bereitstellungsdienste über die rechte Mousetaste anwählt. In dem Menüpunkt Legacyabbilder sind die Images aufgeführt die mit einem RIS erstellt wurden. Unter Allgemein findet man die momentanen Konfigurationseinstellungen des WDS-Servers. In dieser Konfiguration ist jeder Computer autorisiert ein Abbild zu erhalten, will man das nicht so freizügig handhaben kann man z.B. auch mit der Option Ausstehende Geräte die Clients erst nach einer Genehmigung freigeben. Hier kann man das Computerkonto vordefinieren. Hier wird das Verhalten der DHCP und DC festgelegt. Startprogramme und Startabbilder können konfiguriert werden. Falls Sie WDS auf einem DHCP Server installieren bzw. keinen Microsoft DHCP Server verwenden, müssen hier Einstellungen vorgenommen werden. Ein RIS Image kann nachträglich in das WIM Format konvertiert werden. WDSUTIL Das Komandozeilentool wdsutil erlaubt vielfältige Änderungen in WDS, mit dem Befehl wdsutil /allhelp. Es kommt relativ oft vor das ein Server aus Versehen im einheitlichen Modus installiert wird, obwohl noch XP Images verwendet werden sollen, mit dem Befehl wdsutil /uninitialize-server läßt sich das nachträglich korrigieren.wdsutil /uninitialize-server wieder rückgängig gemacht werden. Hier auch gleich ein kleiner Tipp: Der Befehl wdsutil offenbart erst mit dem Parameter /AllHelp alle möglichen Befehle. Unattend Installation In der Regel will man einen vollautomatischen Installationsvorgang erreichen, um sich die mühselige Eingabe von Seriennummer, Netzwerkeinstellungen, Unternehmensinformationen usw. zu ersparen. Was im RIS der Setupmanager erledigte, ist in den Wndows Bereitstellungsdiensten ein Tool Namens SIM. Um eine Antwortdatei für Windows Vista zu erstellen kann man den Windows-Systemabbild-Manager (SIM) verwenden. Dieser ist Bestandteil des Windows Automated Installation Kit (WAIK. SIM besteht aus 3 Komponenten: Distributionsfreigabe Antwortdatei Windows-Abbild Die Distributionsfreigabe ist eine Ordnerstruktur zum anpassen von Windows. In diesem Verzeichniss werden z.B. Gerätetreiber hinterlegt, die in der Antwortdatei angegeben werden können. Unter Windows-Abbild liegen die Images (wim) Unter Antwortdatei liegt eine XML-basierte Datei, die Einstellungen für das Abbild enthält. Um eine Antwortdatei zu erzeugen lädt man ein Abbild in den Systemabbild Manager und konfiguriert die Systemspezifischen Einstellungen. Alternativ kann man für die Legacy Abbilder die bekannten RIS Werkzeuge verwenden, um die SIF-Datei zu bearbeiten.
  • Remote Install Server
    Der korrekte Ausdruck ist Remote Installation Services. Grundvorraussetzung sind Workstations die PXE Boot unterstützen. Als Plattform diente ein Windows Server 2003 R2. 1. RIS auf dem Server installieren Um Ris zu aktivieren genügt es in der Systemsteuerung unter Software/Windows Komponenten einen Haken zu setzen. Zusätzlich kann in den Details ADAM, ADFS und die Identitätsverwaltung für Linux aktiviert werden. 2. RIS konfigurieren Die Konfiguration erfolgt direkt in der AD über die Eigenschaften des Servers unter Remoteinstallation . Mit diesen Haken antwortet der RIS Server auf Anfragen, wer verhindern will das unbekannte Clients Installationsberechtig sind setzt ein weiteres Häckchen. Es lassen sich individuelle Konfigurationen vornehmen, wie der Speicherort des Computers in der AD. Der korrekte Ausdruck ist Remote Installation Services. Grundvorraussetzung sind Workstations die PXE Boot unterstützen. Als Plattform diente ein Windows Server 2003 R2. 1. RIS auf dem Server installieren Um Ris zu aktivieren genügt es in der Systemsteuerung unter Software/Windows Komponenten einen Haken zu setzen. Zusätzlich kann in den Details ADAM, ADFS und die Identitätsverwaltung für Linux aktiviert werden. 2. RIS konfigurieren Die Konfiguration erfolgt direkt in der AD über die Eigenschaften des Servers unter Remoteinstallation . Mit diesen Haken antwortet der RIS Server auf Anfragen, wer verhindern will das unbekannte Clients Installationsberechtig In diesem Dialog werden die Abbilder aufgelistet, die wir später noch generieren werden. Client Installation Am besten man erstellt ein Abbild einer Musterinstallation mit dem Befehl riprep. Um sn das Tool zu kommen browst man über die Freigabe Reminst Hier wählt man den RIS Server aus auf dem das Abbild gespeichert werden soll Einen aussagekräftigen Namen sollte man wählen, da sich im Laufe der Zeit einige Installationen anhäufen können Diese Warnung kann man ignorieren, das heißt nur das die vorhandenen lokalen Profile nicht übernommen werden. Diese Dienste sollte die Routine zwar automatisch beenden, in der Praxis hat sich aber die manuelle Vorgehensweise über den Taskmanager bewährt. Mit einem klick auf weiter wir das erstellen des Abbilds eingeleitet Die Broadcom - HP Falle Die allergrößten Probleme macht ein Broadcom Treibr der Netzwerkkarte der für RIS ungeeignet ist, und den Installatonsvorgang auf dem Client scheitern läßt. Abhilfe bringt das einbinden eines geeigneten Treibers auf dem Client der als Vorlage für das Abbild dient. Der Treiber kann von der Homepage des jeweiligen Hersteller downgeloadet werden (z.B. HP). Dieser Treiber ist extra für RIS gekennzeichnet mit der Bezeichnung Drivers for Multiple Operating Systems. Am besten Treiber erst entpacken und dann installieren. Nachdem das Abbild auf dem Server generiert wurde, könnte man bereits eine RIS Installation durchführen. Dazu reicht es einen Client über PXE zu booten, mit der F12 Taste gelangt man in den Assistentengesteuerten Installationsmodus.Die benötigen Informationen müssen während der Installation manuell eingeben werden. Silent Installation Wer die Installation neuer Clients vollautomatisch durchführen will, der muß die Datei riprep.sif (Reminst/Setup/German/Images/erstelltes Abbild/i386/templates) manuell bearbeiten. Am besten erstellt man eine Kopie der Original Datei und bearbeitet die Kopie anschließend mit dem Tool setupmgr.exe, diese findet man auf der Windows XP CD unter Support/Tools/Deploy.cab. Dieses Progi muß mit einem Unzipper wie z.B. Winrar extrahiert werden. Am besten ist es die Kopie mit setupmgr zu bearbeiten und die generierten Einträge in die Originaldatei zu kopieren. Vom direkten bearbeiten der Original Datei wird abgeraten, da dies in der Praxis zu Fehlfunktionen führt. Nun macht man alle nötigen Einträge was sehr einfach ist , da alles Assistengesteuert abläuft. Nachdem man alle Einstellungen vorgenommen wie z.B. Seriennummer, Benutzer und Firma, Auflösung ,Domäne, Rechnername, Administratorpaßwort usw. Die mit setupmgr generierten Einträge kopiert man anschließend in die Original riprep.sif. RIS Silent Installation durchführen Client über PXE booten, mit 2x F12 ist die Installation gestartet Einloggen als User der Gruppe Dömänenadministratoen Custom Installation wählen Gewünschtes Abbild auswählen Der Rest ist vollautomatisch
• Startphase
  • Letzte funktionierende Konfiguration booten
    Diese Option kann hilfreich sein wenn z.B. auf einen Treiber aktuallisiert wurde der das System veranlaßt fehlerhaft zu starten. Durch das auswählen dieser Option wird der Registryschlüssel HKLM/System/CurrentControlSet mit den alten Treiberinformationen wieder hergestellt, was zu dem zurücksetzen auf die ursprüngliche Systemkonfiguration führt. Hat man sich allerdings einmal am System angemeldet dann ist diese Chance vertan.
  • Wiederherstellungskonsole im Bootmenü integrieren
    Die Wiederherstellungskonsole von Windows 2003 befindet sich normalerweise auf der CD. Man kann diese mit dem Befehl winnt32 /cmdcons aus dem i386-Verzeichnis der CD aber auch ins Bootmenü von Windows 2003 mit aufnehmen.
  • Geöffnete Dateien aufspüren und freigeben
    Außer über die Serververwaltung funktioniert es auch über die Komandozeile. Mit openfiles /query kann man geöffnete Dateien anzeigen. Netzwerkbenutzern die diese im Zugriff haben kann man mit openfiles /disconnect die Verbindung trennen.Mit openfiles /? werden weitere Optionen angezeigt. Tip: Mit dem Tool unlocker läßt sich das ganze noch besser und komfortabler als Explorer Plugin umsetzen, die kostenlose Software gibt es im PQTUNING Download-Center.
  • Lokales Benutzerprofil als Domänenbenutzerprofil portieren
    Wer ein lokales Profil auf einen Server legen will, der braucht nicht umständlich kopieren, Windows hat eine Funktion mit der es sehr einfach zu realisieren ist. Man geht auf Systemsteuerung/System/Erweitert/Benutzerprofile/Einstellungen und wählt Kopieren nach, danach wählt man Server und Verzeichniss aus. Mit der Option Typ ändern wählt man noch aus ob bei der Anmeldung das lokale oder das servergespeicherte Profil verwendet werden soll.
• Treiber
  • Driverquery Installierte Treiber ermitteln
    Mit diesem Komandozeilentool kann man die installierten Treiber anzeigen lassen. Durch setzen von Parametern sind vielfältige Analysen wie z.B. Nur signierte Treiber anzeigen Ausgabe als csv Datei Detaillierte Informationen usw. Mit dem Befehl driverquery /? Stehen alle Infos zur Verfügung Fehlerhafte Treiber zurücksetzen Wie unter der XP Workstation steht auch im Server 2003 diese Funktion per Gerätemanager zur Verfügung. Sollte ein Treiber Probleme machen und das System noch startet geht man in den Gerätemanager unter Gerät/Eigenschaften/Treiber/Vorheriger Treiber und macht ein automatisches Rollback zum alten Treiber zurück.
  • Treiber Rollback
    Unter Server 2003 kann ein nicht funktionierender Treiber im laufenden Betrieb innerhalb von Sekunden gegen die Vorgängerversion ausgetauscht werden obwohl das Gerät noch angeschlossen ist.
  • Fehlercodes für Treiber bei Verwendung der Treiberüberprüfung
    Die Treiberüberprüfung führt umfangreiche Testabläufe durch , um die Treiber zu checken. Wenn der Treiber Speicher für einen falschen IRQL verwendet, Spinlocks und Speicherzuweisungen nicht richtig aufruft bzw. freigibt oder Speicherpoolressourcen freigibt, ohne zunächst alle Timer zu entfernen, so zeigt die Treiberüberprüfung die entsprechenden Bug Checks an: Bug Check 0x0A IRQL_NOT_LESS_OR_EQUAL, definiert als 0x0A, weist darauf hin, dass der Treiber auf ausgelagerten Speicher bei DISPATCH_LEVEL oder höher zugegriffen hat. Bug Check 0xBE ATTEMPTED_WRITE_TO_READONLY_MEMORY, definiert als 0xBE, wird ausgegeben, wenn ein Treiber versucht, in einen schreibgeschützten Speicherbereich zu schreiben. Bug Check 0xC1 SPECIAL_POOL_DETECTED_MEMORY_CORRUPTION , definiert als 0xC1, weist darauf hin, dass der Treiber in einen ungültigen Bereich des speziellen Speicherpools geschrieben hat. In der Regel legt der Backtrace des aktuellen Threads die Fehlerquelle offen. Bug Check 0xC4 DRIVER_VERIFIER_DETECTED_VIOLATION, definiert als 0xC4, ist der allgemeine Bug Check-Code für schwerwiegende Fehler, die bei der Treiberüberprüfung gefunden werden. Die folgenden Parameter werden an KeBugCheckEx übergeben und auf einem blauen Bildschirm angezeigt. Bug Check 0xC5 DRIVER_CORRUPTED_EXPOOL, definiert als 0xC5, weist darauf hin, dass das System auf ungültigen Speicher bei einer zu hohen Prozess-IRQL zugreifen wollte. Bug Check 0xC6 DRIVER_CAUGHT_MODIFYING_FREED_POOL, definiert als 0xC6, gibt an, dass der Treiber in einen freigegebenen Speicherpool schreiben wollte. Bug Check 0xC7 TIMER_OR_DPC_INVALID, definiert als 0xC7, wird ausgegeben, wenn sich ein Kerneltimer bzw. DPC an einer unzulässigen Stelle im Speicher befindet. Dieses Problem wird in der Regel von einem Treiber verursacht, der den Timer bzw. DPC (Delayed Procedure Call) nicht vor Freigabe des Speichers entfernt, in dem sich Timer bzw. DPC befinden. Bug Check 0xC9 DRIVER_VERIFIER_IOMANAGER_VIOLATION, definiert als 0xC9, ist der Bug Check-Code für alle Arten von E/A-Treiberüberprüfungsverstößen. Bug Check 0x50 PAGE_FAULT_IN_NONPAGED_AREA, definiert als 0x50, wird ausgegeben, wenn auf ungültigen Systemspeicher verwiesen wird.
• Dateimanagement
  • Tücken bei NTFS-Berechtigungen
    Wird ein Ordner innerhalb einer Partition verschoben so bleiben die NTFS-Berechtigungen erhalten. Wird der Ordner kopiert so werden die Berechtigungen des Zielordners übernommen. Wird ein Ordner auf eine andere Partition verschoben so ist dieser Vorgang sinngemäß ein kopieren bzw. neu schreiben, es werden ebenfalls die Berechtigungen des Zielordners übernommen.
  • Hosts und Lmhosts enträtselt
    Diese Dateien sind auswertbare Textdateien die keine Dateiextensionen besitzen. Hosts Die Hosts Datei kann zum auflösen von DNS Namen verwendet werden. Es wird empfohlen die Datei im Original mit der Endung .sam zu speichern um auf eine Original Sicherung zurückgreifen zu können. Danach kann man die Hosts bearbeiten und erstmal alle Komentare löschen. Zu finden ist die Datei unter system32/drivers/etc. Diese Datei ist die letzte Instanz der DNS Auflösung und hat heute kaum mehr eine Bedeutung. Die Einträge brauchen nur im Schema der angegebenen Beispiele gemacht werden. Lmhosts (Lan-Manager) Diese Datei verfügt über eine gute Dokumentation die sich direkt in der Datei befindet. In der lmhosts werden IP Adressen den Netbios Namen zugeordnet. Außerdem ist auch eine Verknüpfung mit Domänen möglich. Vor dem speichern sollte man wieder das Original sichern und in der aktuellen lmhosts alle Kommentare löschen um die Verarbeitungsgeschwindigkeit zu steigern. Hat man die Datei einmal gefunden, ergeben sich die Einträge aus den Beispielen. Diese Datei ist ebenfalls ein Relikt aus vergangenen Tagen und kommt heute nur noch in Ausnahmefällen zu tragen, wie zum Beispiel heterogene Netzwerke mit NT Clients. Beim speichern dieser Dateien sollte man den Editor mit dem Kreuz schliesen und speichern , weil sonst vom System die Erweiterung .txt angehängt wird.
  • Alle geöffnetten Dateien trennen
    Diese Funktion ist etwas versteckt unter Serververwaltung/Dateiserververwaltung/Geöffnete Dateien zu finden. Diese Funktion und das trennen der laufenden Sitzungen benötigt man um einen Dateiserver sauber in den Offlinebetrieb zu setzen.
  • Einschränkungen von Freigabeberechtigungen
    1. Freigaben gelten nur für den Netzzugriff von Clients über das Netzwerk. Freigaben haben keine Gültigkeit wenn lokal, über Remotedienste, FTP, HTTP, Telnet usw. zugegriffen wird 2. Freigaben werden nicht über den Dateireplikationsdienst repliziert. 3. Freigaben werden beim sichern nicht berücksichtigt.
  • Berechtigungen richtig verstehen
    1. Dateiberechtigungen setzen Ordnerberechtigungen außer Kraft 2. Berechtigungen sind kumulativ. Das heißt wenn ein User mehreren Gruppen angehört dann addieren sich die Berechtigungen. 3. Verweigern ist stärker als erlauben. 4. Explizite Berechtigungen setzen vererbte Berechtigungen außer Kraft. Da die Rechtevergabe mit unter recht Komplex werden kann, ist es empfehlenswert mit dem Registerreiter Effektive Berechtigungen zu prüfen welches Recht der User wirklich hat. Dazu geht man über die Schaltfläche Auswählen und gibt den Benutzer/Gruppe an die analysiert werden soll.
  • Dateisystemzugriffe überwachen
    Eine Überwachung der Zugriffe auf eine Datei oder einen Ordner kann aus verschiedenen Gründen sehr viel Sinn machen. Zum einen hat man einen Überblick wie intensiv eine Ressource genutzt wird, zum zweiten erhält man sicherheitstechnische Informationen die mit Hilfe des Sicherheitsprotokols der Ereignissanzeige ausgewertet werden können. Um eine Überwachung zu konfigurieren muß man die Erweiterten Sicherheitseinstellungen editieren und unter der Registerkarte Überwachung erstmal eintragen wer überwacht werden soll. Hier kann man entweder Computer, Benutzer oder Gruppen der AD auswählen.Nachdem man die zu überwachenden Objekte definiert hat kann man auswählenwas überwacht werden soll (z.B. Dateien löschen) und ob erfolgreich oder fehlgeschlagen bzw. beides überwacht werden soll. Man sollte aber immer bedenken daß eine umfangreiche Überwachung auch Performance kostet, darum sollte man es mit diesem Feature nicht übertreiben. Um die Überwachung scharf zu schalten muß allerdings das ganze noch per Gruppenrichtlinie aktiviert werden. Dazu nutzt man auf einem eigenständigen Server die lokalen Richtlinien und auf einem Domänencontroller die Sicherheitsrichtlinie für Domänencontroller. Hier wählt man Überwachungsrichtlinie/Objektzugriffe überwachen und definiert die Richtlinie. Will man das ganze mit den AD GPO´s machen geht man unter Computerconfiguration/Windows Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinien. Ich empfehle eine OU mit dem Namen Überwachte Server zu erstellen und das GPO zu verknüpfen. Nach diesen Maßnahmen wird vom System jeder definierte Zugriff protokolliert und kann im Sicherheitsprotokoll abgefragt werden. Ich empfehle das Sicherheitsprotokoll nach Kategorien zu sortieren und dann nach dem Ereigniss Objektzugriff suchen zu lassen um einen optimalen Überblick zu gewährleisten. Außerdem kann man noch mit Filtern arbeiten oder das Protokoll extra speichern.
  • Langsames kopieren vom Client auf den DC
    Beim Kopieren von Dateien von einem Windows XP-Clientc auf einen Windows 2000 Domänencontroller kann es unter Verwendung des SMB-Protokolls zu größeren Verzögerungen kommen. Die Ursache sind SMB Sicherheitssignaturen die SMB synchron vom Redirector verarbeiten müssen. Der Redirector muss warten, bis der aktuelle SMB-Befehl vollständig bearbeitet ist, bevor er mit dem nächsten Befehl weitermachen kann. Der Redirector wartet, bis er die TCP/IP-Bestätigung vom Server erhält. Abhilfe bringt ein Registry Eingriff. Unter HKEY_LOCAL_MACHINE\System\Current ControlSet\Services\LanmanServer\Parameters muß der Wert RequireSecuritySignature, auf den Wert 0 gesetzt werden. Zusätzlich muß der Wert EnableSecuritySignature auf 0 gesetzt werden. Standardmäßig ist der Wert EnableSecuritySignature auf einem Domänencontroller auf 1 eingestellt und auf einem Server der kein Domänencontroller ist auf 0 gesetzt. Darum ist die SMB-Leistung beim kopieren nur dann langsam, wenn man auf einen Domänencontroller kopiert.
• Tools
  • Mit sonar und ultrasound AD Replikation cheken
    Neben replmon und repadmin stehen dem Admin mit diesen beiden Tools 2 weitere leistungsstarke Programme zur Verfügung um Replikationsprobleme aufzuspüren. Beide Programme sind im Microsoft Download Center kostenlos zu haben. Ich persönlich würde sonar.exe bevorzugen, da es in Bedienung und Installation wesentlich einfacher zu handhaben ist. Sonar ist auch bereits in den Support Tools oder im Resource Kit enthalten. Mit diesen Tools kann man jede Menge vordefinieren, die Dropdownmenüs sind selbsterklärend. Mit diesen Werkzeugen lassen sich vielfältige FRS (File Replication Service) Analysen durchführen, was eine große Hilfe beim Troubleshooting sein kann. Über das Komando sonar läßt sich die grafische Oberfläche starten, die intuitiv zu bedienen ist.
  • Active Directory-Supporttools nutzen
    Zum Konfigurieren, Verwalten und Debuggen von Active Directory stehen zusätzliche Tools in Form von Komandozeilentools auf der CD zur Verfügung. Diese Programme sind unter Supporttools zusammengefasst und befinden sich auf der CD im Ordner \Support\Tools. Durch ausführen von suptools.msi. werden sie nachinstalliert
  • Mit dem Systemmonitor arbeiten
    Mit diesem mächtigen Tool lassen sich Leistungsdaten wie Hardware, Anwendungs- oder Dienstaktivitäten in Echtzeit ermitteln. Um das Tool sinnvoll einsetzen zu können müssen Datentyp, Datenquelle und Abfrageintervalle konfiguriert werden. Das Tool bietet ein breites Spektrum von Überwachungsoptionen, ist aber denoch intuitiv und gut bedienbar. Um das Tool zu nutzen muß man entweder das Snap in Leistung öffnen oder den Befehl perfmon.msc an der Konsole eingeben. Um Leistungsindikatoren aufzuzeichnen und zu protokollieren bietet das Untermenü Leistungsprotokolle und Warnungen weitere Möglichkeiten
  • R2: Identity Integration Feature Pack
    Dieses Adon kann ab der Enterprise Edition zusätzlich installiert werden. Grundvorraussetzung ist allerdings mindestens ein SQL -Server mit SP3 in der Enterprise Edition.Die Installation ist wenn die Vorraussetzungen stimmen selbsterklärend. Nach der Installation startet man den Identy Manager, und konfiguriert diesen mit Hilfe des Assistenten. Um dieses Tool sinnvoll einsetzen zu können sind Kenntnisse über Attribute und Objektklassen erforderlich. Im Endeffekt lassen sich mit diesem Tool Meta Directories detailliert auslesen und verändern. Unterstützt werden die Verzeichnisse AD, Adam und Exchange 2000 oder höher. Fazit: Dieses Adon wird die meisten Administratoren überfordern, und nur die wenigstens werden es wirklich brauchen. Vor der Verwendung sollte man sich klar sein, daß bei unsachgemäßer Verwendung große Probleme entstehen können
  • Printer Migrator 3.1
    Dieses Tool eignet sich hervorragend um Print Server auf denen viele Drucker installiert sind umzuziehen. Das Prinzip ist ganz einfach, nach dem man den Printer Migrator heruntergeladen hat startet man das Programm und legt ein Backup des alten Printservers an. Es werden alle Drucker inclusive Einstellungen, Ports, Treiber usw. gesichert, am besten lassen Sie die cab Datei gleich auf dem Zielserver ablegen. Bei einer größeren Druckumgebung wird es einige Zeit dauern, danach kann man das Protokoll einsehen ob alles geklappt hat. Um die Drucker auf den neuen Server zu übertragen startet man das Programm erneut und ließt die gesicherte Datei mit dem Menüpunkt Action/Restore. Printer Migrator 3.1 kann direkt von der Microsoft Website heruntergeladen werden
  • User Profile Hive Cleanup Service
    Dieses kostenlose Microsoft Tool befreit das System von lästigen Bindungen wie z.B. freigegebene Dateien, die immer noch unter Zugriff angemeckert werden obwohl niemand darauf zugreift. Bei diesem Phänomen handelt es sich um eine altbekannte Windows Krankheit die auch noch bei den neuersten Releases auftreten. Desweiteren erleichtert es das entladen von Problemen und beschleunigt das herunterfahren. Dieses sehr nützliche Tool ist schnell installiert, und verrichtet seine Arbeit zuverlässig als Systemdienst. Ich empfehle es besonders bei File, Terminal und Applikationserver zu installieren. Im Microsoft Download Center ist das kostenlose Tool immer in der neuesten Version verfügbar.
  • Ipseccmd.exe
    Das Tool Ipseccmd.exe verwendet man um IPSec-Richtlinien auf einem XP -Computer zu verwalten und zu überwachen. Es ist Bestandteil des Supporttools-Pakets von Windows XP SP2 und kann seperat bei Microsoft heruntergeladen werden.
  • HTTP-Konfigurationsprogram (HTTPCfg.exe)
    Das HTTP-Konfigurationsprogramm (Httpcfg.exe) ist Bestandteil der Microsoft Windows Server 2003-Supporttools.Man verwendet dieses Programm, um für den HTTP-Treiber (HTTP.SYS) Konfigurationsinformationen wie Informationen zur Namespace-Reservierung, zum SSL-Serverzertifikat und zur IP-Abhörliste zu setzen, zu löschen oder abzufragen.
  • Netdom.exe
    Netdom.exe verwendet man um über die Konsole einen Computer zu einer Domäne hinzuzufügen oder ein Computerkonto zu verwalten. • Die Option /JOINDOMAIN fügt einen Computer zu einer Domäne hinzu. • Die Option /JOINWORKGROUP fügt einen Computer zu einer Arbeitsgruppe hinzu. • Die Option /RENAME bennent einen Computer in der Domäne um.
  • Bitsadmin.exe
    Bitsadmin.exe ist ein Befehlszeilenprogramm, das den Intelligenten Hintergrundübertragungsdienst (Background Intelligent Transfer Service, BITS) in Windows steuert. Dieses Programm bringt folgende Parameter mit: • Die Option /TRANSFER überträgt mithilfe eines einzelnen Befehls eine einzelne Datei. • Die Option /ADDFILESET fügt mithilfe eines einzelnen Befehls mehrere Dateien zu einem Job hinzu. • Die Option /ADDFILEWITHRANGES fügt eine Datei hinzu, wo nur bestimmte Abschnitte dieser Datei heruntergeladen werden müssen. • Die Option /REPLACEREMOTEPREFIX ändert den Downloadpfad einer Gruppe von Dateien. • Die Optionen /SETACLFALGS und /GETACLFLAGS ermöglichen das Kopieren von Dateieinträgen der Zugriffssteuerungsliste (Access Control List, ACL). • Die Optionen /UTIL /SETIEPROXY und /UTIL /GETIEPROXY setzen die Internet Explorer-Proxyeinstellungen für den aktuellen Benutzer und rufen diese ab. • Die Option /UTIL /VERSION ruft die Versionsinformationen für die derzeit installierte BITS-Version ab. • Die Option /UTIL /REPAIRSERVICE repariert eine beschädigte BITS-Installation.
• Netzwerk
  • Netzwerkumgebung zeigt Freigabenamen
    Die Netzwerkumgebung zeigt im Gegensatz zum lokalen Explorer den Freigabenamen des Ordners an. Dies kann leicht zu Verwechslungen führen, wenn der Freigabename vom Ordnernamen abweicht. Wenn man das Netzlaufwerk mappt erscheint ebenfalls der Freigabename. Standardmäßig empfiehlt Microsoft die Verwendung des Ordnernamens als Freigabenamen.
  • Die wichtigsten Ports
    20 und 21 FTP 23 telnet 25 smtp 53 DNS Zonenübertragung 67/68 dhcp 69 tftp 80 Web http 110 pop3 119 nntp 123 ntp 139 netbios 143 imap 443 http mit ssl
• Systemtuning
  • Schaltfläche reparieren enträtselt
    Dieses Komando ist im Endeffekt das abarbeiten dieser 6 Komandos: ipconfig -renew arb -d 192.168.123.123 (Leeren des arb caches, funktioniert in der Regel aber nicht) nbtstat -R (Leeren des Netbios caches) ipconfig -flushdns nbtstat -RR (registrieren von Netbios in WINS ipconfid -registerdns (dns neu registrieren)
  • Protokollierung beim herunterfahren abschalten
    Standardmäßig will der 2003 Server einen Grund für jeden Neustart eingegeben haben, was auch sinnvoll ist. Auf einem Testsystem daß öfter mal neu gestartet werden muß kann diese Prozedur allerdings schnell nervig werden. Um dieses Feature zu deaktivieren muß man eine Gruppenrichtlinie konfigurieren.Unter Computerkonfiguration/Administrative Vorlagen/System und deaktivieren Sie Ereignisprotokollierung für Herunterfahren anzeigen.
  • Neu inm R2: MMC 3.0
    Mit der Einführung des R2 führte Microsoft auch eine neue Version der MMC ein. Große Unterschiede zur Vorgängerversion (2.0) sucht man allerdings vergebens. Hauptsächlich wurden die Möglichkeiten für Entwickler und die Fehlerausgabe verbessert. Nach Abschluss der Installation sieht man allerdings noch die grafische Oberfläche der alten Version. Um die neue Oberfläche angezeigt zu kommen muß man einen Registry Schlüssel erstellen. (HKEY_LOCAL_MACHINE\Software\Microsoft\MMC\UseNewUI). Bereits nach dem erstellen steht die neue UI zur Verfügung, ein Wert braucht nicht vergeben werden.
  • Speicherort von Protokolldateien umbiegen
    Der Pfad für die Speicherung der Protokolldateien ist fest vorgegeben, wer diesen Trotzdem öffnen will muß einen Eingriff in der Registry vornehmen. Unter HKEY_LOCAL_MACHINE\System\CurrentControllSet\Services\EventLog finden sich die sechs Schlüssel der unterschiedlichen Protokolldateien, hier muß nur der Wert File nach den eigenen Wünschen angepaßt werden.
  • Mit Taskpads arbeiten
    Eine Möglichkeit seine mmc etwas aufzupeppen und vor allem nützliche Werkzeuge griffbereit zu haben sind Taskpads. Dazu startet man eine mmc und geht auf Aktion und auf Neue Taskpadansicht. Danach konfiguriert man die Ansicht die im Detailfenster angezeigt wird. Um Tasks hinzuzufügen geht man auf Neu..., ein Assistent startet und man kann einen Menübefehl, Shellbefehl oder Navigationsbefehl hinzufügen. So kann man sich gezielt ein individuelles Toolset zusammenbauen, das sich natürlich auch nachträglich noch feiner konfigurieren lässt.
  • Dienst automatisch wieder starten
    Oft liegt ein fehlverhalten nur an einen Dienst der sich aus verschiedenen Gründen beendet. Unter den Registerreiter Wiederherstellen kann man das neue starten eines Dienstes automatisieren.
  • Druckdienste für Unix/Macintosh installieren
    Damit auch Clients die keine Windows Druckunterstützung verwenden können, auf eine Druckfunktion zurückgreifen können, bringt Windows Weitere Datei und Druckdienste mit. Nach dem installieren ist es möglich Drucker für Unix freizugeben oder über Apple Talk zu drucken. Macintosh Systeme unterstützen aber genauso TCP/IP. Um diese Funktion zu installieren geht man über Systemsteuerung/Software/Windows Komponenten hinzufügen/entfernen und setzt die Häckchen wie auf dem Screenshot.
• Active Directory
  • Nachteil beim automatischen hinzufügen zur Domäne
    Wird ein Computer über Systemeigenschaften/Computername in der Domäne bekannt gemacht, ohne das vorher in der AD Verwaltung ein Computerkonto angelegt wird, so erscheint dieses Objekt im Container (OU) Computers. In dieser OU können keine Gruppenrichtlinien angewendet werden. Um Abhilfe zu schaffen kann man entweder vor dem hinzufügen manuell im AD ein Computerkonto mit dem beabsichtigten Namen anlegen, oder man verschiebt das Konto nachträglich in eine andere OU.
  • Universelle Gruppen verwenden
    Dieses Feature ist neu, und daher muß die Domänenfunktionsebene Windows 2000 pur oder Windows Server 2003 verwendet werden um diese Funktion zu nutzen. Universelle Gruppen können Mitglieder in einer beliebigen Domäne sein und wirken dennoch auf die Gesamtstruktur. Sie erlauben den Zugriff auf alle Domänen die eine Vertrauensstellung haben. Verwaltet werden diese Gruppen ausschließlich von Sicherheitsprinzipalen. Ein Vorteil ist der domänenübergreifende Einsatz um Unternehmensweite Funktionen umzusetzen. Ein großer Nachteil ist das die universellen Gruppen durch das ständige replizieren aller Gruppenmitglieder auf die anderen Domänen eine erhebliche Netzlast bzw. Leitungstraffic verursachen.
  • AD auf eine eigene Festplatte legen
    Eine installierte AD hat die Angewohnheit den Festplattencache zu deaktivieren, was sich negativ auf die Systemperformance auswirkt falls dies die Systemplatte betrifft. Es wird daher empfohlen die AD auf eine andere Platte als die Festplatte auf der das System installiert ist zu legen.
  • Freigaben über AD bearbeiten
    Unter Computerverwaltung/Freigegebene Ordner/Freigaben kann man diverse Feineinstellungen vornehmen die nicht im Explorer durchgeführt werden können. Eine mögliche Option ist die Freigabe im Active Directory zu veröffentlichen. Danach kann nur mit dem Freigabenamen oder einem Schlüsselwort die gesamte AD durchsucht werden. Außerdem können diverse Einstellungen zu Offline Dateien in der AD gesetzt werden.
  • Active Directory-Supporttools nutzen
    Zum Konfigurieren, Verwalten und Debuggen von Active Directory stehen zusätzliche Tools in Form von Komandozeilentools auf der CD zur Verfügung. Diese Programme sind unter Supporttools zusammengefasst und befinden sich auf der CD im Ordner \Support\Tools. Durch ausführen von suptools.msi. werden sie nachinstalliert.
  • Computer über Konsole der Domäne hinzufügen/entfernen
    Mit dem Befehl net computer \\meincomputer /add auf dem DC wird der Client meincomputer der Domäne hinzugefügt. Mit net computer \\meincomputer /del wird der Computer wieder entfernt.
  • Active Directory History
    Unter Win NT gab es lediglich eine auf 40 MB begrentzte Datei die als Teil der Registry gespeichert wurde. Dieser Security Account Managerder besser unter dem Namen Sam bekannt sein dürfte konnte in der Verwendung als Single Domain bis zu 12.000 User verwalten. Als Master oder Account-Domain waren es maximal 20.000 User, dieser Wert wurde erreicht durch das auslagern der Computer und Lokalen Gruppen in eine Extra Ressourcen Domäne, die mit einer Vertrauensstellung versehen wurde.Die Vertrauensstellungen unter NT sind explizit, einseitig, und intransitiv. Im Gegensatz dazu ist eine AD unvorstellbar ausbaufähig, bis jetzt wurde noch keine Größe getestet bei der die Datenbank nicht mehr funktionierte, mehrere GB sind durchaus möglich. Bestandteil ist der x.500 Standard der das Schema (Attribute und Klassen) beinhaltet. Dieser Standard ist erweiterbar. Eine Gesamtstruktur (Forest) besteht aus einem durchgängigen Schema. Die Abfragen erfolgen über LDAP. Der Aufbau besteht aus einer Gesamtstruktur (Forest) mit einem Schema, darunter einer oder beliebig vielen Verzeichnisstrukturen (Tree) die den Namespace darstellen, darunter befindet sich eine oder mehrere Domains die sich durch identische Kontorichtlinien auszeichnen. Das Sicherheitsmanagement wird durch Kerberos erreicht, für die Verschlüsselung und Datenübertragung innerhalb der Domäne. Kerberos kommt aus der UNIX Welt und gilt als sehr sicher. Im Gegensatz zu NT sind die Vertrauensstellungen beidseitig, inplizit und transitiv, was bedeutet das sich die Vertrauensstellungen automatisch einrichten.
  • Active Directory installieren
    Es gibt 3 Wege: 1. Serververwaltung 2. Ausführen mit dcpromo 3. Serverkonfigurationsassistent unter Verwaltung (nicht empfehlenswert) Der Server muß dazu zum DC hochgestuft werden, sollte diese Option nicht zur Verfügung stehen, dann könnte es daran liegen daß auf dem Computer Zertifikatsstellen installiert sind, diese müssen vorher entfernt werden. Außerdem braucht AD unbedingt DNS. Der Domänenname unterliegt den Netbios Beschränkungen (15 Zeichen) . Bei Überschreitungen der Grenze wird der Name mit Tilde+Nr gekürtzt(z.B.netbiosgrenze~1)
  • AD Standorte
    Ein Standort ist ein Verbund von Rechnern die über eine schnelle Leitung miteinander komunizieren. Man unterscheidet Intrasite (eigener Standort) und Intersite Replication (Standortübergreifend). Intersite kann über die Protokolle IP und smtp gemacht werden, wobei IP das gängige ist. Standortverknüpfungsbrücke: Zusammenfassung von Standortverknüpfungen über die geroutet wird.
  • UGMC Universal Group Membership Caching
    Zugehörigkeit der universalen Gruppen wird lokal gespeichert , was im Gegensatz zur Replikation des Global Catalogs weit weniger traffic macht. Aufgrund der verfügbaren Netzwerkbandbreite und Beschränkungen durch die Serverhardware ist möglicherweise von einem globalen Katalog in kleineren Zweigstellen abzuraten. Für diese Sites können Sie Domänencontroller unter Windows Server 2003 bereitstellen, die Mitgliedschaften in der universellen Gruppe lokal speichern können. Die Informationen werden lokal gespeichert, wenn diese Option aktiviert ist und ein Benutzer sich zum ersten Mal anmeldet. Der Domänencontroller erhält die universelle Gruppenmitgliedschaft für diesen Benutzer von einem globalen Katalog. Nachdem die Informationen zur universellen Gruppenmitgliedschaft abgerufen wurden, werden sie auf dem Domänencontroller für diesen Standort unbegrenzt gespeichert und in bestimmten Abständen aktualisiert. Wenn ein Benutzer sich das nächste Mal anmeldet, erhält der authentifizierte Domänencontroller unter Windows Server 2003 die Informationen der Mitgliedschaften zu universellen Gruppen von seinem lokalem Cache, ohne den globalen Katalog zu kontaktieren. Standardmäßig werden die Informationen zur universellen Gruppenmitgliedschaft, die im Cache jedes Domänencontrollers gespeichert sind, alle 8 Stunden aktualisiert. Um den Cache zu aktualisieren, sendet der Domänencontroller unter Windows Server 2003 die Bestätigungsaufforderung von Mitgliedschaften einer universellen Gruppe zu einem designierten globalen Katalog. Maximal 500 universelle Gruppenmitgliedschaften können gleichzeitig aktualisiert werden. Das zwischenspeichern der universellen Gruppenmitgliedschaft kann in Active Directory-Standorte und -Dienste aktiviert werden. Das Zwischenspeichern der universellen Gruppenmitgliedschaft ist standortspezifisch. Alle Domänencontroller unter Windows Server 2003, die daran teilnehmen sollen, müssen sich am betreffenden Standort befinden. Zu finden ist das ganze wie abgebildet.
  • Vertrauensstellung reparieren
    Öffne das Snap in Active Directory Domänen und Vertrauenstellungen. Dann Server xy/Eigenschaften/Vertrauensstellungen und hier den betroffenen DC auswählen, dann auf den eigehenden und ausgehenden Vertrauensstellungen die Überprüfung durchführen. Die selbe Aktion ist auf den anderen DC ´s auszuführen. Mit dieser Überprüfung wird auch eine Reparatur durchgeführt.
  • Zusätzlichen DC/AD aus Bakup erstellen
    Diese Mehode eine zusätzliche AD zu installieren spart Zeit, funktioniert aber nur ab dem 2. Domäncontroller. Alles was man dazu braucht ist eine Sicherung (ncl. Systemstate) die innerhalb der Tombstone Time(Standard=60 Tage) liegt. Die Sicherung kann auf einem Band, DVD, CD oder auf einer Netzfreigabe gespeichert sein. Mit dem Befehl dcpromo /adv wird der Assistent aufgerufen. Danach wählt man die Optionen Betriebssystemkompatibilität, Zusätzlicher Domänencontroller für eine bestehende Domäne, Pfad angeben, Benutzername, Kennwort...usw, der Assistent gibt alles vor. Es muß eine aktivierte Netzwerkverbindung zu mindestens einem anderen Rechner oder einem aktiven Switch bestehen.
  • Die wichtigsten AD-Protokolle
    Im Rahmen der Fehlersuche sind 3 wichtige Protokolle von Bedeutung. Unter C:\Windows\Debug sind diese zu finden: Dpromoui.log (Userinterface Protokoll) Dcpromos.log (nur bei Migration von NT vorhanden) Dcpromo.log (protokolliert die Konfiguration wie z.B Registry, Herauf und Herabstufen, Sysvol, und AD Installation)
  • Herabstufung eines AD-DC´s erzwingen
    Mit dem Befehl dcpromo /forceremoval wird der Assistent gestartet der Rest ist selbsterklärend.
  • Lost and Found enträtselt
    Dieser Menüpunkt befindet sich in der Konsole Active Directory Benutzer und Computer, ist aber nur sichtbar wenn die erweiterte Ansicht aktiviert ist. Hier werden AD Objekte aufbewahrt die nicht zugeordnet werden können. Dies passiert z.B. wenn Objekte in eine OU verschoben werden, die kurz vorher gelöscht wurde, das Ergebnis aber noch nicht repliziert wurde. In diesem Fall kann man die Objekte dann wieder in eine andere OU verschieben. In der Praxis wird dieser Mechanissmus kaum gebraucht.
  • DC kann nicht gefunden werden
    Obwohl der Computer über einen SRV Eintrag verfügt kann der DC nicht gefunden werden. Mögliche Ursache ist ein Netzwerkproblem des DC´s , ein einfacher Ping kann dies belegen. Es kann auch an einem fehlerhaften bzw. fehlenden A-Ressourceneintrag liegen, der den Namen des Dc zu der IP zuordnet. Mit nslookup läßt sich das testen.
  • AD Schema Snap in verfügbar machen
    Standardmäßig ist diese Verwaltungskonsole nicht verfügbar, sie muß explizit istalliert werden. Das erweitern des Ad Schemas ist ein schwerwiegender, nicht ungefährlicher Eingriff und sollte nur von erfahrenen Admins durchgeführt werden.Um die Konsole verfügbar zu machen muß daß Admin Pak installiert werden und in der Eingabeaufforderung der Befehl regsvr32 schmmgmt.dll. Danach öffnet man eine mmc und fügt ein eigenständiges Snap in hinzu. Dann speichern unter "Verwaltung" wählen, und das AD Schema abspeichern. Nun steht das Verwaltungstool zur Verfügung. Detaillierte Informationen über Schema Modifikationen findet man im Windows Server 2003 Rssource Kit.
  • Domäne umbenennnen
    Mit Windows Server 2003 steht dieses neue Feature zur Verfügung. Das man diese Operation nur mit äußerster Vorsicht und bei Notwendigkeit ausführt sollte selbstverständlich sein. Vorraussetzung ist daß die Domänenfunktionsebene Windows Server 2003 ist und Funktionsebene der Gesamtstruktur Windows Server 2003.
  • Gelöschtes Objekt der AD wieder herstellen
    In diesem Beispiel gehe ich davon aus das eine versehentlich gelöschte OU autorisierend bzw. autoritativ wieder hergestellt wird. Dazu benötigt man erstmal eine Systemstatussicherung da diese auch die AD(NTDS.dit) enthält. Danach muss der Server über F8 im Verzeichnisswiederherstellungsdienst neu gestartet werden. Nach der Anmeldung mit dem Administratorkennwort des Wiederherstellungsadministrators muss man den Systemstate zurücksichern. Danach startet man ntdsutil in der Eingabeaufforderung. Mit dem Befehl authoritative restore startet man die Wiederherstellung der OU durch Eingabe von restore subtree ou=beispiel,dc=firma,dc=de wenn die OU ein Leerzeichen enthält dann muß das ganze so aussehen restore subtree ou=beispiel 1,dc=firma,dc=de Soll nur ein einzelner User wieder hergestellt werden verwendet man anstatt subtree einfach object, für die gesamte AD verwendet man database. Danach muß neu gestartet werden.
  • Konvertieren in universelle Gruppen
    Wird die Domänenfuntionsebene Windows 2000 pur oder höher verwendet, ist es möglich Lokale Domänengruppen und Globale Gruppen in Universelle Gruppen zu konvertieren. Die zu konvertierende Gruppe darf allerdings nicht Mitglied einer anderen Bereichsgruppe sein. Wenn z.B. eine Globale Gruppe Mitglied einer weiteren Globalen Gruppe ist, dann ist ein konvertieren nicht möglich.
  • Container für Computer enträtselt
    Wird ein Computer der Domäne hinzugefügt ohne das vorher ein Konto erstellt wurde dann landet dieser im Container Computers. Ebenso werden nach einer Migration von NT4 alle Computer in diesem Container plaziert. Dieses Standardverfahren bringt aber den Nachteil mit sich daß Gruppenrichtlinien (für den Computer) nicht angewandt werden. Darum ist es empfehlenswert entweder das Konto vor dem Beitritt zu erstellen, oder das Computerkonto in eine eigene OU zu verschieben. Das verschieben kann per drag & drop oder über die Konsole (dsmove) erfolgen.
  • Sofortige AD Replikation erzwingen
    Um Änderungen im Active Directory gleich zu sehen und anzuwenden stehen verschiedene Werkzeuge zur Verfügung. Die schnellste Möglichkeit, eine sofortige Synchronisation aller AD-Standorte zu erzwingen ist, das Konsolenprogramm repadmin aus den Support-Tools. repadmin /syncall /force startet die sofortige Synchronisation. Alternativ kann auch das GUI-Werkzeug ReplMon.exe (Support-Tools) oder das MMC-SnapIn Active Directory-Standorte und -Dienste verwendet werden.
  • Infrastrukturmaster übertragen
    Um den Infrastrukturmaster auf einen anderen DC zu übertragen muß man die entsprechenden Rechte besitzen: Dömänenadministrator oder Organisationsadministrator. Im Snap in Active Directory-Benutzer und -Computer muß man mit dem Menü der rechten Mousetaste die Option Verbindung mit Domänencontroller herstellen wählen und den Namen des Domänencontrollers angeben der die Funktion des Infrastrukrurmasters übernehmen soll. In der Konsolenstruktur wählt man danach Alle Tasks, und klickt auf Betriebsmaster,im Registerreiter Infrastruktur kann man dann über die Option ändern den Vorgang aktivieren. Es wird dringend abgeraten auf diesem DC einen Globalen Katalog zu betreiben. Diese Aktion kann auch über die Funktion Ausführen als durchgeführt werden. Alternativ kann auch das Komandozeilentool ntdsutil verwendet werden, die Microsoft Hilfe gibt nähere Auskunft.
  • Schemamasterfunktion übertragen
    Zuerst öffnet man das Snap in Active Directory-Schema. Mit der rechten Mousetaste geht man in der Konsolenstruktur auf den Knoten Active Directory-Schema und wählt die Option Domänencontroller ändern. Danach gibt man den DC ein der die Funktion Schemamaster erhalten soll. Dann wieder mit der rechten Mousetaste auf Active Directory-Schema gehen und unter Betriebsmaster die Option ändern wählen, und den neuen Schemamaster eintragen. Diese Aktion kann auch über die Funktion Ausführen als durchgeführt werden. Alternativ kann auch das Komandozeilentool ntdsutil verwendet werden, die Microsoft Hilfe gibt nähere Auskunft. Man muß mindestens in der Gruppe der Schema-Admins sein um diese Änderungen durchführen zu können. Das Active Directory-Schema-Snap-In muß mit dem Schemamaster verbunden sein, was nach dem Start standardmäßig der Fall sein sollte.
  • Domänennamen-Masterfunktion übertragen
    Diese Aktion wird über das Snap in Active Directory-Domänen und -Vertrauensstellungen durchgeführt. In der Konsolenstruktur öffnet man mit der rechten Maustaste das Menü des Knotens Active Directory-Domänen und -Vertrauensstellungen, und auf Verbindung mit Domänencontroller herstellen. Jetzt verbindet man mit dem DC der die Domänennamen Masterfunktion erhalten soll. Im Gegensatz zu einem Domänennamenmaster in einer Gesamtstruktur mit der Funktionsebene Windows 2000 muss ein Domänennamenmaster in einer Gesamtstruktur mit der Funktionsebene Windows Server 2003 nicht als globaler Katalog konfiguriert werden. Bei Fehlfunktionen liegt es meistens an einer DNS Fehlkonfiguration oder einer fehlenden Bindung des Zielcomputers. Man muß mindestens Domänenadmin in der Hauptdomäne oder Organisationsadministrator in der Gesamtstruktur sein, um diese Änderungen durchführen zu können.
  • RID-Masterfunktion übertragen
    Um diese Funktion zu übertragen muß das Snap in Active Directory-Benutzer und -Computer verwendet werden. Mit einem rechtsklick auf den Knoten Active Directory-Benutzer und -Computer, und dann auf Verbindung mit Domänencontroller herstellen, wählt man den DC aus der die RID Master Funktion erhalten soll. In der Konsolenstruktur wählt man im Menü der rechten Maustaste Alle Tasks, und geht auf Betriebsmaster. Unter der Registerkarte RID findet man die Option Ändern, mit der man die Übertragung komplett macht. Man muß mindestens Domänenadmin oder Organisationsadministrator sein, um diese Änderungen durchführen zu können.
  • PDC-Emulatorfunktion übertragen
    Um die PDC-Emulationsfunktion zu übertragen öffnet man das Snap in Active Directory-Benutzer und -Computer. Iin der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Benutzer und -Computer, klicken und die Option Verbindung mit Domänencontroller herstellen wählen .Unter der Option Geben Sie den Namen eines weiteren Domänencontrollers ein wird der Zielcomputer angegeben der die Funktion erhalten soll. In der Konsolenstruktur kann man nun mit der Option Alle Tasks unter Betriebsmaster auf dem Registerreiter PDC den DC mit der PDC Emulation ändern. Man muß mindestens Domänenadmin oder Organisationsadministrator sein, um diese Änderungen durchführen zu können. Alternativ kann man das ganze auch über die Komandozeile mit dem Tool ntdsutil realisieren: 1. Komandozeile öffnen 2. ntdsutil 3. roles 4.connection 5.connect to server server2003 (hier kommt der Name des DC der die Funktion erhalten soll) 6. quit 7. transfer pdc Ein Dialogfeld erscheint wo man noch einmal die Änderungen bestätigen muß.
  • Mit Multi Edit arbeiten
    Im Gegensatz zu Windows Server 2000 unterstützt Server 2003 das gleichzeitige ändern von beliebig vielen AD Objekten. Wenn sich z.B. die Firmenanschrift ändert, markiert man einfach mit der Mouse die entsprechenden Objekte und ändert einmal die Anschrift, alle markierten Objekte haben danach die geänderten Daten übernommen. Ein weiteres nützliches Beispiel aus der Praxis ist das austauschen von Homeverzeichnissen, Fileservern oder Login Scripten wenn sich der Server ändert. Einfach einmal den neuen Pfad eintragen und alle Objekte haben die Informationen.
  • LDAP Abfragen erstellen
    Mit Hilfe eines Assistenten ist es ganz einfach möglich ohne Datenbankkentnisse ganz spezielle ldap querry Abfragen zu erstellen. Man geht auf das Snap in Active Directory Benutzer und Computer auf die Option Gespeicherte Abfragen, im Kontextmenü der rechten Mousetaste findet sich der Befehl für eine neue Abfrage. Als Beispiel habe ich eine querry Abfrage erstellt die mir die deaktivierten User Accounts anzeigt. Die Abfrage Syntax wird vom Assistenten automatisch generiert. Dieses Beispiel ist sehr einfach gehalten, in der Praxis kann man ganz gezielte Abfragen generieren in dem man Attribute kombiniert. Der Clou dabei ist das man nicht nur vordefinierte Abfragen speichern kann, sondern auch importieren und exportieren kann.
  • Replikation über IP oder SMTP
    Prinzipell ist beides möglich, in der default Einstellung ist IP gesetzt. Bei SMTP kann zwar eine bestehende Messaging Architektur genutzt werden, da es auf E-Mail aufsetzt, es unterliegt aber einigen Einschränkungen: - Nur Sysvol, Schema und Global Katalog können repliziert werden - Erstreckt sich die Domäne über mehr als einen Standort ist zwingend IP erforderlich Die Konfiguration findet man unter Active Directory Standorte und Dienste wie auf dem Bild. Bei der Einrichtung wird bereits IP vorkonfiguriert.
• Gruppenrichtlinien
  • Herunterfahren vereinfachen
    Wer nicht bei jedem herunterfahren einen Grund angeben will, der muß die Gruppenrichtlinie Ereignissprotokollierung beim Herunterfahren anzeigen deaktivieren. Die unter Active Directory/ Benutzer und Computer/Domain Controllers/Administrative Vorlagen/System zu finden ist. Die gleiche Prozedur muß unter Active Directory/ Benutzer und Computer/Name der Domäne /Administrative Vorlagen/System durchgeführt werden.
  • Nur bestimmte Programme zulassen
    Diese Richtlinie findet man unter Administrative Vorlagen/System. Man kann hiermit erstmal festlegen das diese Richtlinie aktiviert ist, und welche Standard Windows Programme benutzt werden dürfen. Es reicht die Angabe des Dateinamens und die Erweiterung, der Windows Anwendungen die unter system32 abgelegt sind.
  • Unnötige Systemdienste per Richtlinien deaktivieren
    Wenn Sie aus Sicherheits- oder Performancegründen auf das Starten von Systemdiensten verzichten wollen, dann kann dies recht simpel mit Grouppolicies umgesetzt werden. Dazu erstellen Sie auf der OU für die Computer eine Richtlinie und deaktivieren unter Computer/Windows-Einstellungen/Sicherheitseinstellungen/Systemdienste die gewünschten Dienste.
  • Objekte in OU´s managen
    Um sinnvoll und sauber zu arbeiten sollte man mit Containern arbeiten, in denen sich Objekte befinden, auf die Richtlinien angewendet werden. Gruppen haben mit Richtlinien nichts zu tun, der Begriff verweist auf Gruppen von Richtlinien. Ein Objekt kann sich immer nur an einer Stellen in der AD befinden. Es bringt nichts Gruppen in OU´s zu packen, da sich Richtlinien nicht auf Gruppen auswirken.
  • Drucker den OU´s zuordnen
    Damit beim zuordnen von Netzwerkdruckern die User nur die Drucker zur Verfügung haben die auch tatsächlich für Sie zugewiesen sind ist es empfehlenswert die Drucker in den jeweiligen Abteilungs OU´s zu plazieren. Dann nur den Usern der Abteilung das recht Lesen geben. Achtung : Aus dem Druckerobjekt müssen auch die Authentifizierten Benutzer usw. entfernt werden, nur die Abteilung darf eingetragen sein.
  • Mit Richtlinienspeichern zu arbeiten
    Um einen Überblick zu haben welche Richtlinien verwendet werden ist es empfehlenswert alle Richtlinien in einer eigenen OU (z.B. Richtlinien) zu erstellen. Die Richtlinien sollten aussagekräftige Namen haben. Danach werden diese Richtlinien nur mehr mit den OU´s verknüpft bei denen Sie greifen soll.
  • Mit Ordnerumleitungen arbeiten
    Mit dieser Richtlinie kann man Anwendungsdaten, Desktop, Eigene Dateien, Startmenü bei servergespeicherten Profilen aus dem Profil herausnehmen und auf einen alternativen Speicherort ausgelagert. Der Benutzer kriegt davon nichts mit, nur das ein laden des Profils unter umständen viel schneller wird. Um dies umzusetzen erstellt man in seiner OU Richtlinien die vorher extra angelegt wurde, darin eine neue Gruppenrichtlinie und definiert den Speicherort von z.B. Eigene Dateien. Nun verknüpft man diese Richtlinie mit einer OU oder der ganzen Domäne.
  • Mit Sicherheitsvorlagen arbeiten
    Standardmäßig stehen schon einige Sicherheitsvorlagen zur Verfügung. Die Verwendung dieser inf Dateien geht aus den Namen hervor z.B. hisecdc.inf = Hohe Sicherheit auf Domaincontrollern hisecws.inf = Workstation und Memberserver rootsec.inf = Systemstammsicherheit compactws.inf =Abwärtskompaktibel zu älteren BS, was weniger Sicherheit bedeutet Öffne eine mmc und füge Sicherheitsvorlagen und Sicherheitskonfiguration und Analyse hinzu. Dann mit Datenbank öffnen eine Datei aufmachen.Danach rechtsklick auf Sicherheitskonfiguration und Analyse und die Option Computer jetzt analysieren wählen und den Pfad für die Logdatei auswählen.. Alle Richtlinien mit rotem Kreuz weichen von der Vorlage ab. Jetzt kann man das ganze konfigurieren und mit jetzt konfigurieren..., die Änderungen anwenden.
  • Securedc und hisecdc verhindern den Systemstart des DC
    Diese erhöhten Sicherheitseinstellungen der Richtlinien können zum versagen eines Neustarts führen, da diese Konsole nicht ausgereift ist und die Einstellungen so sicher sind das Sie kaum mehr verarbeitet werden können. Sollte der Rechner beim verarbeiten hängenbleiben verwendet man die Startart Verzeichnisswiederherstellung, weil hier die AD nicht geladen wird. Danach sollte ein Blick in die Ereignissanzeige geworfen werden um die Fehlerquellen genau zu bestimmen. In der Regel wird es an den Richtlinien liegen, die man durch einspielen der Vorlagen gesetzt hat. Man kann jetzt diese setup security.inf und Dc security.inf Einstellungen wieder rückgängig machen oder nach bearbeiten.. Das macht man am besten mit einer mmc.
  • GPMC Gruppenrichtlinienverwaltung
    Mit diesem wirklich neuen und guten Tool lassen sich Gruppenrichtlinien in großen Umgebungen sehr viel besser verwalten. http://www.microsoft.com/downloads/details.aspx?FamilyID=f39e9d60-7e41-4947-82f5-3330f37adfeb&displaylang=de Dem Original Microsoft Text ist an dieser Stelle nichts mehr hinzuzufügen, detailierte Informationen findet man in der Hilfe der Gruppenrichtlinienverwaltung. Mit GPMC wird die Verwaltung von Gruppenrichtlinien vereinfacht. Das Analysieren, Bereitstellen, Verwalten und das Behandeln von Problemen für Implementationen mit Gruppenrichtlinien werden erleichtert. GPMC ermöglicht auch das Automatisieren von Gruppenrichtlinienvorgängen mittels Skripterstellung. Mit GPMC können Gruppenrichtlinienimplementationen verwaltet werden, die auf Windows Server 2003 oder Windows 2000 basieren. Kunden, die über mindestens eine gültige Lizenz für Windows Server 2003 verfügen, können unbegrenzt viele Kopien von GPMC beziehen und verwenden. Weitere Informationen zu Lizenzierungsbedingungen finden Sie im Endbenutzer-Lizenzvertrag (EULA), der mit der GPMC-Software bereitgestellt wird. GPMC bietet Ihnen unter anderem die folgenden wichtigen Verbesserungen: Vereinheitlichte grafische Benutzeroberfläche (GUI) zur deutlich einfacheren Verwendung von Gruppenrichtlinien. Sichern und Wiederherstellen von Gruppenrichtlinienobjekten (Group Policy Objects, GPOs). Importieren und Exportieren sowie Kopieren und Einfügen von GPOs und WMI-Filtern (Windows Management Instrumentation). Vereinfachte Verwaltung der Sicherheit im Zusammenhang mit Gruppenrichtlinien. HTML-Berichterstellung für GPO-Einstellungen und Daten aus dem Richtlinienergebnissatz (Resultant Set of Policy, RSOP). Skripterstellung für Gruppenrichtlinientasks, die in diesem Tool offen gelegt werden (nicht für Einstellungen in einem GPO). Vor der Veröffentlichung von GPMC benötigten Administratoren mehrere Tools von Microsoft zum Verwalten von Gruppenrichtlinien. In GPMC wird die vorhandene Gruppenrichtlinienfunktionalität, die mit diesen Tools offen gelegt wird, in eine einzige, einheitliche Konsole integriert. Hinzu kommen die oben aufgelisteten neuen Funktionen. Systemanforderungen Unterstützte Betriebssysteme: Windows Server 2003, Windows XP Die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) kann auf Computern unter Windows XP Professional SP1 oder Windows Server 2003 ausgeführt werden und dient zur Verwaltung von Gruppenrichtlinien in Windows 2000- oder Windows Server 2003-Domänen. Benutzer von Windows XP Professional müssen vor dem Installieren von GPMC folgende Software installieren: Windows XP Service Pack 1 NET Framework Auf den Domänencontrollern muss Windows 2000 mit Service Pack 2 oder höher ausgeführt werden. Windows 2000 Service Pack 3 wird empfohlen. Auf Domänencontrollern in einer externen Gesamtstruktur muss Windows 2000 Service Pack 3 oder höher installiert sein, falls Sie von einem Computer mit GPMC auf diese Domänencontroller zugreifen möchten. Der Grund ist, dass für GPMC die gesamte LDAP-Kommunikation signiert und verschlüsselt werden muss. Wenn auf Windows 2000-Domänencontrollern in einer externen Gesamtstruktur nicht Service Pack 3 oder höher installiert ist, können Sie die Anforderungen zur Signatur und Verschlüsselung bei LDAP vorübergehend außer Kraft setzen. Ändern Sie dazu die Registrierung des Computers mit GPMC, wie im Knowledge Base-Artikel 325465 beschrieben. Beim Installieren von GPMC unter Windows XP Professional werden Sie zum Installieren von Windows XP QFE Q326469 aufgefordert, falls dieser QFE-Patch noch nicht vorhanden ist. Mit dem Patch wird die Datei gpedit.dll auf Version 5.1.2600.1186 aktualisiert. Diese Version ist für GPMC erforderlich. Dieser QFE-Patch wird in Windows XP Service Pack 2 zur Verfügung stehen. Wenn die Sprachversion von GPMC nicht mit der Sprache des Betriebssystems übereinstimmt, wird der QFE-Patch nicht mit GPMC installiert. Sie müssen in diesem Fall den Patch separat beziehen und installieren. Anmerkung: GPMC kann nicht unter 64-Bit-Versionen von Microsoft Windows ausgeführt werden.
  • Richtlinien austesten
    Erstelle in der AD eine OU mit dem Namen Richtlinienspeicher oder ähnlich, in dem sämtliche Richtlinien abgespeichert sind. Als Unter OU erstellt man einmal OU Testuser und OU Testrechner. An diesen beiden OU´s deaktiviert man die Vererbung. Bevor nun diese Richtlinien in die Produktivumgebung übernommen werden, kann man diese an einem Testrechner und Testuser ausprobieren. Da sich alle Richtlinien in der OU Richtlinienspeicher befinden muß man nicht lange suchen.
  • NTLM V2 ist Kerberos V5
    Wer die Richtlinie für Kerberos Netzwerksicherheit definieren will, muß wissen daß Kerberos als NTLM V2 bezeichnet wird. Die Richtlinie befindet sich unter Default Domain Policy/Windows Einstellungen/Lokale Richtlinien/Sicherheitsoptionen/Netzwerksicherheit Lan Manager- Authentifizierungsebene.
  • Richtlinienvererbung deaktivieren
    Heißt das nichts geerbt wird.von höheren Strukturen, nicht wie man meinen könnte die Weitergabe an untergeordnete Strukturen.
  • gpupdate - Gruppenrichlinien sofort anwenden
    Daß unter Windows XP mit gpupdate /force die Richtlinien aktuallisiert werden ist relativ bekannt. Ist man nicht auf der Maschine kann man dies auch elegant von einem anderen AD Computer aus mitgeben. Zum zweiten kann man mitgeben ob nur die Benutzer bzw. Computerrichtlinien erneuert werden sollen. Außerdem kann die Wartezeit bis zur Aktuallisierung festgelegt werden. gpupdate /target:user /force /wait:0 gpupdate /target:computer /force /wait:0
  • Computerkonfiguration schlägt Benutzerkonfiguration
    Einige Einstellungen sind sowohl in der Benutzerkonfiguration als auch in der Computerkonfiguration verfügbar. Werden diese entgegengesetzt konfiguriert so hat in diesem Fall immer die Computereinstellung die höhere Priorität. Es werden die Einstellungen der Computerkonfiguration angewendet.
  • Gruppenrichtlinien sparsam verwenden
    Die Anwendung von Gruppenrichtlinien kostet in der Verarbeitung Rechenzeit, was man bei der Anmeldung auch deutlich spürt. Es macht keinen Sinn durch setzen aller Einstellungen die Default Werte sicher festzumachen. Man sollte nur das verändern was man auch gegenüber der default Einstellung abändern will, ansonsten sollte man es bei der Option nicht konfiguriert belassen.
  • Zusätzliche ADM Templates importieren
    Obgleich die Standard Konfiguration des schon eine beachtliche Anzahl an Einstellungen ermöglicht gibt es eine Möglichkeit die Konfigurationsmöglichkeiten zu erweitern. Man importiert sich einfach zusätzliche adm templates, die im Internet durchaus zu finden sind. Eine gute Adresse ist hierzu neben Microsoft auch www.gruppenrichtlinien.de . Diese Vorlagen findet man standardmäßig unter C:\WINDOWS\SYSVOL\domain\Policies\{9AC1786C-...................}\Adm. Heruntergeladene oder selbst erstellte templates legt man erstmal in diesem Ordner ab, bevor man sie importiert. Den Inhalt dieser Dateien kann man mit dem Editor einsehen. In diesem Fall handelt es sich um das bereits vorhandene template des Windows Media Players. Im nächsten Schritt öffnet man eine mmc und fügt den Gruppenrichtlinieneditor dazu, danach geht man auf die gewünschte Gruppenrichtlinie/Administrative Vorlagen und öffnet mit dem Kontextmenü der rechten Maustaste den Dialog Vorlagen hinzufügen/entfernen... und wählt die entsprechende Datei aus. (z.B. wmplayer.adm) Um die Optionen des templates auch angezeigt zu bekommen muß man unter Ansicht/Filter noch beide Häckchen entfernen.
  • Reihenfolge der GP Verarbeitung
    Als Eselsbrücke merkt man sich am besten LSDOU. Die Policies werden demnach in dieser Reihenfolge verarbeitet: Local - Site - Domain - OU, alle Einstellungen addieren sich, bei wiedersprechenden Einstellungen greift die jeweils höhere Ebene. Bei Konflikten zwischen Benutzer und Computereinstellungen gewinnt immer die Computerkonfiguration.
  • Mit GPO´s Software bereitstellen
    Mit Gruppenrichtlinien kann man auf Remotecomputern Software bereitstellen oder aktuallisieren. Diese GPO kann unter Windows 2000/XP/2003 angewendet werden. 1. Gruppenrichtlinieneditor starten (gpedit.msc) bzw. in der Regel wird es sich um die Richtlinienverwaltung der Domänenstruktur handeln die man auf dem DC mit Tools wie z.B. gpmc editiert. In der Computerkonfiguration weist man Software den Computern zu, in der Benutzerkonfiguration wird die Software dem Domänenbenutzer zugewiesen. 2. Öffnen Sie Softwareeinstellungen und wählen Softwareinstallation aus, mit dem Kontextmenü wählt man Neu und Paket, danach das msi - Paket suchen und und im Screen Software bereitstellen auf zugewiesen. Auch ein Updaten ist möglich, dazu muß in der Registerkarte Aktuallisierung die Liste definiert werden die das Paket aktuallisieren soll. Hier kann auch konfiguriert werden ob das alte Paket deinstalliert werden soll.
  • Gruppenrichtlinien für Desktopeinstellung funktionieren nicht
    Im Gegensatz zu Windows 2000 wird unter XP der Explorer vor dem Netzwerk geladen. Desktopeinstellungen können daher nicht übernommen werden. Abhilfe bringt das aktivieren der Einstellung Beim Neustart des Computers immer auf das Netzwerk warten. Zu finden ist diese Option unter Computerkonfiguration/Administrative Vorlagen/System/Anmeldung.
• Terminaldienste
  • Windows Terminalserver 2003 einsetzen
    Einleitung: Ein Terminalserver ist nichts anderes als ein Computer (Server) auf dem Terminaldienste installiert sind. Terminaldienste stellen den Remotezugriff auf einen Windows-Desktop mithilfe von "Thin Client"-Software sicher, über die der Client als Terminalemulator fungieren kann. Mit dieser Technik wird lediglich die Benutzeroberfläche des Programms an den Client gesendet. Der Client gibt die vom Server zu verarbeitenden Tastatureingaben und Mausklicks zurück. Für den Benutzer zeigt sich nach der Anmeldung lediglich die eigene Sitzung, die vom Betriebssystem des Servers verwaltet und unabhängig von anderen Clientsitzungen ausgeführt wird. Für den User scheint es im Prinzip genau so als würde er auf einem lokalen PC arbeiten. Die Benutzer können Programme ausführen, Dateien speichern und Netzwerkressourcen genauso verwenden, als befänden sie sich direkt am betreffenden Computer. Die Clientsoftware kann auf verschiedener Hardware ausgeführt werden, wie zb. PCs und Terminals, dabei spielt es keine Rolle ob mit welchen Betriebssystem (DOS, Unix, Macintosh...) der Client bootet, Hauptsache er kann sich mit dem TS verbinden.Terminaldienste sind im Windows Server 2003 bereits enthalten Vorteile: Mit einem Terminalserver läßt sich Software schnell und effektiv im Netzwerk verteilen, da diese nur einmal installiert werden muß, insbesondere bei häufigen updates ist dies eine Überlegung wert. Besonders bei teurer Software kann die einmalige Installation auf einem TS unter dem Strich wesentlich kostengünstiger kommen kann. Die Installationsprozedur die bei einem PC notwendig ist, entfällt, daher ist ein Arbeitsplatz mit einem Terminalserver-Client schneller einsatzfähig. Durch die implementierte Funktion Remotedesktop für Verwaltung kann der Server vom Administrator komfortabel und effektiv von jedem Computer aus im Netzwerk administriert werden. Die vorhandene Hardware kann länger genutzt werden, da der Client die Rechenpower des TS nutzt. Anmeldung am Terminalserver Die Anmeldung umfasst unter anderem des Funktionen, mit denen Kennwörter geändert und Sperren bei Desktops und Bildschirmschonern aufgehoben werden können. Der verschlüsselte Anmeldevorgang gewährleistet die sichere Übertragung von Kenwörtern. Administratoren können Anmeldeversuche und die Verbindungsdauer beschränken. Anmelden mit Smartcards Smartcards bieten eine sehr sichere Möglichkeit, sich an einem Client anzumelden.Um sich mit einer Smartcard an einem Netzwerk anzumelden muß man sowohl im Besitz der Smartcard sein als auch über eine persönliche PIN verfügen. Durch die Smartcard wird dem Terminalserver die Identität bestätigt und auch der Zugriff auf Programme ermöglicht. Das ganze wird über einen Dienst abgewickelt der aktiviert sein muß. Verbindungen konfigurieren Verbindungseinstellungen können geändert und Verbindungsinformation gespeichert werden. Das alte Programm Terminaldiensteclient-Verbindungs-Manager wird nicht mehr benötigt, es können aber abgespeicherte Verbindungen weiter verwendet werden. Die Dateien können im Ordner Eigene Dateien abgespeichert werden. Zum vereinfachen der Herstellung einer Verbindung zu Terminaldienste sind vorkonfigurierte Verbindungsdateien für Benutzer ein probates Mittel. vorkonfigurierte Verbindungsdateien werden mithilfe von Remotedesktopverbindung erstellt. Für jeden Netzwerkadapter kann nur eine RDP-Verbindung konfiguriert werden. Für zusätzliche RDP-Verbindungen müssen weitere Netzwerkadapter installiert werden. Im Registereiter Allgemein können die Verbindungs und Anmeldeeinstellungen konfiguriert werden. Vorsicht ist bei der Option Kennwort speichern geboten, da diese zum Sicherheitsrisiko werden kann. Unter Anzeige wird die Darstellung des Remotedesktops geregelt. Dieser Registerreiter macht die Terminalverbindung fast zur lokalen Maschine. Die Clients verwenen jeder eine seperate Sitzung auf dem Server, die über TCP/IP und dem Port 3389 geht. Es muss auch noch die Sicherheitseinstellung des RDP Protokols angepasst werden.(Verwaltung/Terminaldienstekonfiguration/Verbindungen) Der Client ist unter systemroot\System32\Clients\Tsclient\win32 zu finden oder auf der Installations CD, und kann für Windows 2000/NT ebenso verwendet werden. Automatisierte lokale Druckerunterstützung Mithilfe von Terminaldienste können Drucker den Terminaldiensteclients hinzugefügt und automatisch erneut mit diesen verbunden werden. Laufwerk- und Dateisystemumleitung Die Benutzer können ihre lokalen Laufwerke nutzen , während sie am Terminalserver angemeldet sind. Im Explorer werden die lokalen Laufwerke der Benutzer im Sitzungsordnerverzeichnis mit der Syntax Laufwerkbuchstabe auf Client xy verwaltet. Den Zugriff auf lokale Laufwerke kann man auch in der Befehlszeile/Ausführungszeile einer Remotesitzung anwenden, die Syntax ist: \\tsclient\ Laufwerkbuchstabe. Dabei wird der Laufwerkbuchstabe ohne Doppelpunkt angegeben. Die automatische Laufwerkzuordnung ist bei Verbindungen mit einem Terminalserver unter Windows 2000 oder einer früheren Version nicht verfügbar. Audio-Umleitung Die Benutzer eines Terminalservers können die Audio Ausgabe des TS auf den Client legen. Umleitung über die Zwischenablage Es ist möglich, Daten zwischen den Programmen auf dem lokalen Computer und dem Terminalserver über Cut & Paste (Copy) auszutauschen. Gerade beim zwischenspeichern hat sich die Performance zu den Vorgängern erheblich verbessert. In den erweiterten Optionen werden noch diverse Einstellungen wie z.B. die Verbindungsgeschwindigkeit angeboten. Terminalserver - Konfiguration Konfiguration des Terminal Server: Damit sich eine Gruppe (z.B. TerminalServer User) anmelden kann muß dieser das Recht der lokalen Anmeldung (bei W2K), bzw. das Recht "Anmelden über Terminaldienste" (bei W2K3) eingeräumt werden. Unterstützung für servergespeicherte Trennvorgänge Dieses Feature erlaubt Benutzern die Verbindung zu einer Sitzung zu trennen, ohne sich abzumelden. Eine Sitzung kann trotz getrennter Verbindung aktiv bleiben. Der Vorteil dabei ist daß die Verbindung zur aktiven Sitzung auch von einem anderen Computer aus oder zu einem späteren Zeitpunkt wiederherstellt werden kann . Für das Wiederaufnehmen der Verbindung ist eine Anmeldung erforderlich. Unterstützung mehrfacher Anmeldungen Benutzer können sich mehrfach anmelden, das bezieht sich sowohl auf mehrere Sitzungen, wie auch an mehreren Clients gleichzeitig. Limits festlegen Es kann sinnvoll sein die Dauer/Leerlauf von Clientverbindungen einzuschränken bzw. festzulegen wie lange eine getrennte Verbindung auf dem Server aktiv bleiben soll. Auch hier ist die Erfahrung des Administrators gefragt, da es keine allgemein gültigen Empfehlungen geben kann. Die Sitzungslimits können außer mit der Erweiterung Terminaldienste für Lokale Benutzer und Gruppen auch über Active Directory-Benutzer und -Computer für einzelne Benutzer konfiguriert werden. Terminaldienste als Erweiterung in Active Directory einbauen Dazu öffnet man eine mmc mit dem Snap in Active Directory-Benutzer und -Computer. Dann fügt man ein eigenständiges Snap-in hinzu und wählt als Erweiterung die Terminaldienste-Erweiterung. Sicherheitsmodi festlegen Terminalserver kann wahlweise in zwei Sicherheitsmodi ausgeführt werden: Vollständige Sicherheit Diese Option wählt man um die neuen Sicherheitsfunktionen unter Betriebssystemen der Windows Server 2003-Produktfamilie nutzen zu können und um die größtmögliche Sicherheitsumgebung für den Terminalserver zu gewährleisten. Niedrige Sicherheit Diese Option lässt den Zugriff auf die Systemregistrierung zu. So können die meisten älteren Anwendungen genauso wie unter Windows 2000 Terminal Server Edition ausgeführt werden. Verschlüsselung für Terminalserver Terminaldienste verfügt über vier verschiedene Stufen der Verschlüsselung Hoch Standardmäßig sind Terminaldiensteverbindungen mit der Verschlüsselung Hoch (128-Bit) verschlüsselt. FIPS Konform Die Stufe FIPS-konform verschlüsselt und entschlüsselt Daten in beide Richtungen. Die Verschlüsselung erfolgt mit den Verschlüsselungsalgorithmen des FIPS (Federal Information Processing Standard) unter Verwendung der Microsoft-Kryptografiemodule. Wenn die FIPS Verschlüsselung bereits über die Gruppenrichtline Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden aktiviert wurde, kann dies nicht in der Terminaldienstekonfiguration geändert werden. Clientkompatibel Für ältere Clients, die nur niedrige Verschlüsselungsstufen unterstützen, können Administratoren die Verschlüsselungsstufe Clientkompatibel festlegen. Niedrig Auf der Stufe Niedrig werden Daten, die vom Client an den Server gesendet werden, unter Verwendung der 56-Bit-Verschlüsselung verschlüsselt. Daten, die vom Server an den Client gesendet werden, werden nicht verschlüsselt. Berechtigungen für Verbindungen festlegen Mit Berechtigungen wird eingestellt wie Benutzer/Gruppen auf einen Terminalserver zugreifen können. Terminaldiensteberechtigungen lassen sich leicht für einzelne Computer verwalten. Dazu werden die Benutzergruppe Remotedesktopbenutzer und das Recht RemoteInteractiveLogon verwendet. Normalerweise benötigt man dieses Feature nicht, es kann in Einzelfällen aber notwendig sein Berechtigungen auf Verbindungsbasis zu verwalten. Gruppenrichtlinien für Terminaldienste Eine bevorzugte Verwaltungs und Konfigurationsmöglichkeit ist das arbeiten mit Policies. Da ein Terminalserver eine Sonderstellung hat ist der Einsatz des Loopback Modus ratsam, was dem TS den Vorrang vor den Richtlinien des Users einräumt. Im Normallfall reicht die Einstellung Zusammenführen, die erst die Benutzerrichtlinien und dann die Richtlinien des TS lädt. Wer ausschließlich die Computerrichtlinien anwenden will der wählt den Modus Ersetzen. Um den Administrator vor der Auswirkung zu schützen muß in den Sicherheitseinstellungen die Gruppe Authentifizierte Benutzer entfernt werden und dafür eine alternative Gruppe (z.B. Terminalserver User) in der keine Administratoren enthalten sind hinzufügen. Bei dieser Gruppe reichen als Rechte Gruppenrichtlinien anwenden und lesen aus. In der OU-Terminalserver wird eine Policy angewandt die im Loopbackmodus arbeitet. Die Benutzereinstellungen werden sehr restriktiv eingestellt, dabei ist es unerheblich ob sich in der OU Terminalserver ein Userkonto befindet. Melden sich User an einem Server der OU-Terminalserver an, wirken wegen des Loopbackmodus die Einstellungen, die in der OU-Terminalserver definiert sind, die anderen Policies sind nachrangig. Beim Einsatz von Servergespeicherten Profilen sollte man die Gruppe der Administratoren auf das Profil des Benutzers den Zugriff ermöglichen, was über diese Richtlinie ermöglicht wird: Computer Konfiguration\Administrative Vorlagen\System\Benutzerprofile Sicherheitsgruppe Administratoren zu servergespeicherten Benutzerprofilen hinzufügen Auswirkung des Loopbackverarbeitungsmodus auf den Administrator verhindern Das Problem ist, daß sich Policies auf alle Benutzer auswirken , die sich am TS anmelden. Um diesen Mechanismus zu umgehen muß man mit Sicherheitsberechtigungen arbeiten. Man packt zuerst die Terminal-Server User in die OU, in den den Sicherheitseinstellungen der Richtlinie entfernt man die Authentifizierten Benutzer und filtert die Richtlinien nur auf die Terminal Server User, das Recht Lesen und Gruppenrichtlinien übernehmen reicht dabei aus.Administratoren und System wird die Übernahme der Gruppenrichtlinie verweigert. Alternativ kann man auch das Computerkonto des Terminalservers über eine OU konfigurieren. Tip: Gruppenrichtlinien für Terminalserver werden erst ab Windows Server 2003 unterstützt Welche Richtlinien man verwendet muß immer individuell entschieden werden, hier ein Vorschlag von Gruppenrichtlinien.de: [Computerkonfiguration\WindowsEinstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen] - Geräte: Zugriff auf CD-ROM Laufwerke auf lokale angemeldete Benutzer beschränken - Geräte: Zugriff auf Diskettenlaufwerke auf lokale angemeldete Benutzer beschränken - Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen [Computerkonfiguration\Administrative Vorlagen\Windowskomponenten\Windows Installer] - Deaktiviere Windows Installer [Benutzerkonfiguration\Windowseinstellungen\Ordnerumleitung] - Anwendungsdaten - Desktop - Eigene Dateien - Startmenü [Benutzerkonfiguration\Administrative Vorlagen\Windowskomponenten\Windows Explorer] - Blendet den Menü-Eintrag "Verwalten" im Windows Explorer-Kontextmenü aus - Diese angegebenen Datenträger im Fenster "Arbeitsplatz" ausblenden - Optionen "Netzwerklaufwerk verbinden" und "Netzwerklaufwerk trennen" entfernen - Registerkarte "Hardware" ausbelnden - Schaltfläche "Suchen" aus Windows Explorer entfernen - Standardkontextmenü des Windows Explorers entfernen - Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen [Benutzerkonfiguration\Administrative Vorlagen\Windowskomponenten\Taskplaner] - Ausführen und Beenden von einem Tasks verhindern - Erstellen von neuen Tasks nicht zulassen [Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste] - "Netzwerkverbindungen" aus dem Startmenü entfernen - Ändern der Einstellungen für die Taskleiste und das Startmenü verhindern - Befehl "Herunterfahren" entfernen und Zugriff darauf verweigern - Menü "Suchen" aus dem Startmenü entfernen - Menüeintrag "Hilfe" aus dem Startmenü entfernen - Menüeintrag "Ausführen" aus dem Startmenü entfernen - Option "Abmelden" dem Startmenü hinzufügen - Programme im Menü "Einstellungen" entfernen - Standardprogrammgruppen aus dem Startmenü entfernen - Verknüpfung und Zugriff auf Windows-Update entfernen [Benutzerkonfiguration\Administrative Vorlagen\Desktop] - Desktopsymbol "Netzwerkumgebung" ausblenden - Pfadänderung für den Ordner "Meine Dateien" nicht zulassen [Benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung] - Zugriff auf Systemsteuerung nicht zulassen [Benutzerkonfiguration\Administrative Vorlagen\System] - Zugriff auf Eingabeaufforderung verhindern (Für Scriptverarbeitung: Nein einstellen) - Zugriff auf Programme zum Bearbeiten der Registrierung verhindern [Benutzerkonfiguration\Administrative Vorlagen\System\Strg+Alt+Entf-Optionen] - Sperren des Computers entfernen - Task-Manager entfernen Terminalserver - Features Terminaldienstekonfiguration Terminaldienstekonfiguration ermöglicht das Erstellen, Ändern, Konfigurieren und Löschen von RDP-Verbindungen . Integration in Lokale Benutzer, Gruppen und AD Benutzerkonten für Terminaldienste werden genau wie Benutzerkonten für Windows Server 2003 erstellt Für die Angabe spezifischer Terminaldiensteinformationen stehen noch zusätzliche Optionen zur Verfügung. Systemmonitor für Terminalserver Durch die Integration mit dem Systemmonitor können Systemleistung, Prozessorauslastung, Speicherbelegung und Verwendung des ausgelagerten Speichers überwacht werden. Nachrichtenübermittlung Meldungen an Benutzer/Clients werden ebenso unterstützt Remotedesktop für Verwaltung Jeder Administrator hat Zugriff auf die Verwaltungsdienstprogramme für Terminaldienste.Diese Funktionalität wird standardmäßig installiert. Für die Remoteverwaltung des Servers ist keine Installation von Terminalserver erforderlich. Um Remotedesktop für Verwaltung verwenden zu können, muß man die Remoteverbindungen aktivieren. Zeitlimits für Sitzungen Es können fein abgestimmte Zeitlimits für Sitzungen konfiguriet werden. z.B. Dauer einer aktiven Sitzung, Leerlaufzeit usw.) Erweiterungen für Active Directory Für AD Benutzer, Computer und Lokale Benutzer und Gruppen können diverse Einstellungen und Rechte angewandt werden. (z.B. Festlegen des Pfades für das Terminaldienste-Benutzerprofil, Aktivieren oder Deaktivieren von Anmeldungen, Festlegen von Zeitlimits für Sitzungen, Festlegen, wann eine unterbrochene Verbindung getrennt oder wiederhergestellt wird, Aktivieren oder Deaktivieren der Remotesteuerung, Angeben eines Programms, das bei der Anmeldung ausgeführt wird, Verbinden von Clientlaufwerken und -druckern bei der Anmeldung). Drucken auf lokalen Druckern über die Remotesitzung Die Druckerumleitung leitet Druckaufträge vom Terminalserver oder Remotedesktopcomputer zu einem Drucker, der mit dem lokalen Computer verbunden ist. Es gibt eine automatische und manuelle Druckerumleitung. Man sollte die manuelle Umleitung verwenden , wenn der lokale Drucker einen Treiber benötigt, der auf dem Remotecomputer nicht verfügbar ist. Die manuelle Umleitung funktioniert nur bei COM oder LPT Anschlüssen, USB wird nicht unterstützt. Die automatische Druckerumleitung verwendet man, wenn der lokale Drucker einen auf dem Server installierten Treiber verwendet. Wenn man sich an einem 2003er Terminalserver anmeldet, der Windows XP Pro verwendet , werden alle auf dem Clientcomputer installierten Drucker und Netzwerkdrucker automatisch erkannt. Auf dem Server wird eine lokale Warteschlange erstellt. Die Druckereinstellungen des Clientcomputers für den Standarddrucker werden vom Server verwendet. Beim trennen oder beenden von Sitzungen , wird die Druckerwarteschlange gelöscht. Um den Drucker zur nutzen zu können , muß der Treiber manuell auf dem Server installiert werden. Um Clientdrucker bei der Anmeldung zu verbinden geht man über Active Directory-Benutzer und -Computer und aktiviert im Benutzerkonto auf der Registerkarte Umgebung unter Clientgeräte das Kontrollkästchen Beim Anmelden Verbindung zu Clientdruckern herstellen. Benutzerverwaltung für Terminalserver-Benutzer Man sollte aus Gründen der besseren Administration immer mit Benutzergruppen arbeiten, niemals mit Benutzern. Windows Server 2003 enthält standardmäßig bereits die Benutzergruppe Remotedesktopbenutzer, die speziell für die Verwaltung von Benutzern von Terminalserver gedacht ist. Es ist sehr empfehlenswert eigene Profile für Terminaldienste zu verwenden. Die notwendigen Informationen zum konfigurieren eines speziellen Profils für Terminaldienste findet man unter ändern des Pfades eines Benutzerprofils für Terminaldienste. Der Einsatz von unveränderlichen Profilen kann durchaus eine sinnvolle Angelegenheit sein, muß aber entsprechend der Umgebung und den Anforderungen vom jeweiligen Adninistrator individuell entschieden werden. Benutzerkonten können über Lokale Benutzer und Gruppen oder bei Domänen über Active Directory-Benutzer und Computer angelegt werden. Benutzer, die sich bei einer Terminaldienstesitzu im Netzwerk, in dem sich der Server befindet, über ein Benutzerkonto verfügen. Benutzeranmeldungen sperren Wenn man die Terminaldiensteverbindungen vorübergehend deaktivieren möchte, um z.B. Wartungsarbeiten durchzuführen, deaktiviert man einfach auf der Registerkarte Remote das Kontrollkästchen Benutzern erlauben, eine Remotedesktopverbindung herzustellen. Wenn man Remoteverbindungen deaktivieret, bleiben trotzdem die Terminaldienste aktiv, es werden aber keine neuen Remoteverbindungen angenommen. Programme installieren Man geht bei einem TS immer über Systemsteuerung/Software/Neue Programme hinzufügen. Soll ein User nur Zugriff auf eine bestimmte Anwendung auf dem Terminalserverbekommen , verwendet man die Option Programm starten, um den Zugriff auf diese Anwendung zu beschränken. Während der Installation müssen Benutzer abgemeldet sein und Neuanmeldungen deaktiviert sein. Verbindungsverwaltung für Terminaldienste Die Verbindungsverwaltung arbeitet Hand in Hand mit dem Lastenausgleichsmanager zusammen, und sorgt dafür daß die User wieder mit demServer verbunden werden, der ihre getrennten Terminalserversitzungen hostet. Die Teminaldienste-Verbindungsverwaltung besteht aus folgenden Komponenten: Netzwerklastenausgleich mit Domain Name System, Round-Robin oder eine Third Party Lösung) Mehre Terminalserver, die in einem Servercluster gruppiert sind Einen Sitzungsverzeichnisserver. Dies kann ein beliebiger Windows Server 2003 Memberserver sein allerdings ist mindestens die Enterprise Edition erforderlich. Funktionsprinzip: Meldet sich ein Benutzer am Terminalservercluster anmeldet, sendet der Terminalserver, der die erste Clientanmeldeanforderung erhält, eine Abfrage an den Sitzungsverzeichnisserver. Der Sitzungsverzeichnisserver überprüft den Benutzernamen in der Datenbank und gibt das Ergenis an den anfragenden Server. Werden keine getrennten Sitzungen gefunden, startet der Anmeldeprozess auf dem Server , der die ursprüngliche Verbindung hostet. Wird eine getrennte Sitzung auf einem anderen Server gefunden wird die Clientsitzung an diesen Server übertragen. Der Sitzungsverzeichnisdienst für Terminaldienste ist eine Datenbank, die Sitzungen auf Terminalservercluster speichert und die notwendigen Informationen bereitstellt, um Benutzer mit vorhandenen Sitzungen zu verbinden. Beim Start wird eine lokale Gruppe der Computer als Sitzungsverzeichnis erstellt. Diese Gruppe ist standardmäßig leer. Es müssen die einzelnen Computer oder Gruppen, die am Sitzungsverzeichnisdienst teilnehmen sollen, manuell hinzugefügt werden. WMI-Anbieter für Terminaldienste Der Windows Management Instrumentation für Terminaldienste ermöglicht die Verwendung von Skripts zum Remoteverwalten, -konfigurieren und -bearbeiten von Problemen auf Terminalservern, unter Umgehung der Terminaldiensteprogramme, Befehlszeilenoptionen usw. Remoteüberwachung von Sitzungen Administratoren können Terminaldienstesitzungen anzeigen und aktiv eingreifen. Im täglichen Support können Benutzer von einem Remotestandort aus instruiiert werden und Probleme z.B. in Zweigstellen behoben werden, ohne das ein Mitarbeiter vor Ort sein muß. Damit sich eine Gruppe (z.B. TerminalServer User) anmelden kann muß dieser das Recht der lokalen Anmeldung (bei W2K), bzw. das Recht "Anmelden über Terminaldienste" (bei W2K3) eingeräumt werden.Man kann einen angemeldeten Clientüberwachen, indem man die Sitzung des Benutzers von einer anderen Sitzung aus remote überwacht. Beim überwachen der Sitzung man über Tastatureingaben und Mausaktionen in die Sitzung eingreifen. An den Client kann eine Meldung gesendet werden.Die Remoteüberwachung kann außerdem mit Gruppenrichtlinien oder über Active Directory-Benutzer und Computer konfiguriert werden. Eine Konsolensitzung kann andere Sitzungen nicht remote steuern, und eine Clientsitzung kann die Konsolensitzung nicht remote steuern.Außerdem muß die in der remote überwachten Clientsitzung verwendete Videoauflösung unterstützt werden. Lastenausgleich TSCM (Terminal Services Connection Management, Terminaldienste-Verbindungsverwaltung), ermöglicht mit Hilfe der Lastenausgleichstechnologie,den Terminaldiensteclients, eine Verbindung mit dem am wenigsten ausgelasteten Terminalserver herzustellen. Sitzungsverzeichnisdienste stellen sicher, dass getrennte Sitzungen erneut mit dem gleichen Server verbunden werden, über den die ursprüngliche Verbindung hergestellt wurde. Der Lastenausgleich verwendet als Protocoll TCP/IP mit einem Sitzungsverzeichnis das ab der Enterprise Version zur Verfügung steht. Remotedesktop-Webverbindung Remotedesktop-Webverbindung ist ein ActiveX-Steuerelement, das die gleichen Funktionen wie der eine Remotedesktop-Verbindung bietet. Der Unterschied ist das diese Funktionen über das Web bereitgestellt wird. Wenn Remotedesktop-Webverbindung in eine Webseite eingebettet ist, kann eine Terminaldienste-Clientsitzung gehostet werden, auch wenn auf einem Benutzercomputer nicht der komplette Client installiert ist. Getrennte Sitzungen wieder aufnehmen Standardmäßig ist es möglich eine getrennte Sitzung voneinem beliebigen Client aus wieder aufzunehmen. Dabei kann man den Kreis der Computer und Benutzer nach Wunsch einschränken. Dieses Feature wird nur für Clients unterstützt, die beim Herstellen einer Verbindung eine Seriennummer vergeben (z. B. Citrix ICA-Clients). MSI-Paket für Clients bereitstellen Remotedesktopverbindung kann mithilfe von Windows Installer installiert werden. Windows Installer bietet eine schnelle und effiziente Möglicheit für das Bereitstellen von Clientsoftware auf Zielcomputern. Dafür wird entweder eine netzwerkbasierte Freigabestelle oder Microsoft IntelliMirror verwendet. Informationen zum MSI-Setuppaket für Terminaldiensteclient Windows-Terminals Windows-Terminals sind von verschiedenen Herstellern erhältlich, dabei wird auf das RDP (Remote Desktop Protocol) Protokoll zurückgegriffen. Konsolensitzung In der Terminaldiensteverwaltung wird die Konsolensitzungals Sitzung 0 geführt. Eine Konsolensitzung ist Sitzung eine physikalischen Systemkonsole des Remotecomputers am Terminalserver, es entspricht effektiv einer lokalen Anmeldung. Abhörsitzungen Abhörsitzungen sind für das Abhören und Annehmen neuer RDP-Clientverbindungen verantwortlich, mit denen neue Sitzungen für die Clientanforderungen erstellt werden. Wenn mehr als eine Verbindung in Terminaldienstekonfiguration konfiguriert wird, stehen mehrere Abhörsitzungen zur Verfügung. Die Verwendung der Option Abhörsitzung zurücksetzen führt beim Client zu Datenverlusten. Leerlaufsitzungen Leerlaufsitzungen werden angezeigt und können entweder manuell oder automatisch zurückgesetzt werden. In der Standardeinstellung werden zwei Leerlaufsitzungen erstellt. Auch Benutzersitzungen können sich im Leerlauf befinden. Terminalserverlizenzierung Mit der Terminalserverlizenzierung verwaltet man Lizenzen und schaltet diese frei. Aktivieren eines Terminalserver-Lizenzservers Um einen TS dauerhaft nutzen zu können muß ein Lizenzserver aktiviert werden um die benötigte Anzahl von Clientzugriffslizenzen (CALs) in den Status der Bereitstellung zu bringen.Ein Lizenzserver der installiert ist, aber nicht aktiviertwurde kann nur temporäre Lizenzen erteilen, die nach 90 Tagen ungültig werden. Das aktivieren des Lizenzserver läuft über Microsoft Clearinghous unter Verwendung der Terminalserverlizenzierung. Beim aktivieren wird ein digitales X.509-Zertifikat ausgestellt , das den Serverbesitz und die Identität bestätigt. Mit diesem Zertifikat kann der Lizenzserver Transaktionen mit dem Clearinghouse ausführen und die Clientlizenzen realisieren. Dabei ist zu beachten das die Lizenzsierungssite (https://activate.microsoft.com) zu den vertrauenswürdigen Sites hinzugefügt wird, sonst scheitert die Verbindung. In der Praxis stehen 3 verschiedene Varianten der Lizensierung zur Verfügung: 1. Automatisch über den Webbrowser Das ist die komfortabelste und schnellste Methode. Der Server auf dem die Terminalserverlizenzierung läuft muß mit dem Internet verbunden sein, der Vorgang kann aber von einem beliebigen Client aus erfolgen. 2. Telefonische Aktivierung Wer über keine Internetverbindung verfügt , kann Microsoft Clearinghouse telefonisch kontaktieren und dadurch eine Kennungsnummer zur Aktivierung des Lizenzservers erhalten. 3. Erneutes installieren von CALs -Terminalserverlizenzierung öffnen -In der Konsolenstruktur mit der rechten Maustaste auf den Terminalserver-Lizenzserver klicken, unter Erweitert, findet man Letzte Installation wiederholen, danach startet der Assistent. Im Dialog Erforderliche Information sollte man die Informationen nochmals überprüfen, danach mit weiter senden. Terminaldiensteverwaltung Mit der Terminaldiensteverwaltung lassen sich Informationen über Terminalserver in vertrauenswürdigen Domänen anzeigen, und Benutzer,Sitzungen und Anwendungen überwachen und administrieren. Wenn z.B. ein Benutzer eine Sitzung eröffnet , wird diese in der Liste Sitzungen angezeigt. Außerdem wird der Name des Benutzers, der sich angemeldet hat, in der Liste der Benutzer angezeigt. Jede Anwendung, die während der Sitzung vom Benutzer ausgeführt wird, kann in der Liste Prozesse überwacht werden. Mit der Terminaldiensteverwaltung können über ein Menü Aktionen durchgeführt werden. Remotedesktop für Verwaltung: Dieses Feature ermöglicht die Remoteverwaltung für Betriebssysteme der Windows Server 2003-Produktfamilie. Systemadministratoren erhalten so eine Methode für die Remoteverwaltung ihres Servers von einem beliebigen Client aus über eine LAN-, WAN- oder DFÜ-Verbindung. Bis zu zwei Remotesitzungen plus die Konsolensitzungen kann gleichzeitig genutzt werden. Terminalserverlizenzierung ist für die Verwendung dieser Funktion nicht erforderlich. Remotedesktop für Verwaltung wird bei der Installation von Server 2003 automatisch mitinstalliert, muß aber noch aktiviert werden. Um dieses Feature zu nutzen geht man über Systemsteuerung/System und aktiviert auf Registerkarte Remote das Kontrollkästchen Remotedesktop auf diesem Computer aktivieren. Unterstützung von DFS (Distributed File System) Durch Unterstützung von DFS können Benutzer eine Verbindung zu einer DFS-Freigabe herstellen, und Administratoren können als Hosts eine DFS-Freigabe von einem Terminalserver aus verwalten.
  • Die Hirachie der Terminaldienstekonfiguration
    Die Konfiguration der Terminaldienste haben eine höhere Priorität und überschreiben gegebenenfalls dadurch die Einstellungen der Benutzerkonten auf den einzelnen Clients. Die höchste Priorität besitzen jedoch die Gruppenrichtlinien, diese können im Bedarfsfall alles überschreiben.
  • Remotesteuerung konfigurieren
    Diese Funktion die man auch als spiegeln bezeichnet, dürfte wohl eine der wichtigsten Funktionen im Umgang mit Terminalservern sein. Administratoren sollten wissen daß ein überwachen einer Benutzersitzung nur mit der Einwilligung des Users erlaubt ist. Die Remotesteuerung erlaubt verschiedene Optionen vorab zu konfigurieren: Remotesteuerung mit Standardbenutzereinstellungen verwenden Hier werden die Einstellungen des AD bzw. lokalen Benutzerkontos übernommen. Remotesteuerung nicht zulassen Kein spiegeln möglich Remotesteuerung mit folgenden Einstellungen verwenden Die sinnvollste Variante. Hier definiert man das die Remoteüberwachung ohne Zustimmung geschaltet wird, daß der Administrator volle Kontrolle über Mouse und Tastatur hat usw. Rechtliche sichert man sich dadurch ab, daß man den User einfach fragt ob man sich aufschalten darf.
  • Terminalserver über MMC verwalten
    Wie zu erwarten kann man einen TS auch über ein snap in mit dem Namen Remotedesktops steuern. Dazu muß man erstmalig eine Verbindung wie auf dem unteren Bild definieren. Danach kann man viele (aber nicht alle) Konfigurationen auch über das snap in vornehmen. Diese Möglichkeit sei nur erwähnt, für mich macht sie keinen großen Sinn, da man viel mehr Einstellungen über die Terminaldienstekonfiguration und die Remotedesktopverbindung vornehmen kann.
  • Installieren von Programmen
    Um ein Programm auf einem Terminalserver zu installieren muß sich das System im Installationsmodus befinden. Diesen Zustand erreicht man zum einen über die Systemsteuerung/Software in dem man Neue Programme hinzufügt. Eine weitere Möglichkeit ist die Befehlseingabe in der Konsole. change user /install versetzt den TS in den Installationsmodus change user /query überprüft in welchen Modus sich der TS befindet change user /execute versetzt den TS zurück in den Ausführungsmodus Während einer laufenden Installation sollten keine User Zugriff auf den TS hab
  • Auslagerungsdatei für Terminalserver konfigurieren
    Man kann entweder durch aufwendige Tests den benötigten Bedarf der swap datei ermitteln oder einfach diese Formel benutzen. Größe = doppelte Menge des Arbeitsspeicher Anfangsgröße und maximale Größe auf den ermittelten Wert statisch festlegen.
  • Gruppenmitgliedschaft nicht vergessen
    Nur Mitglieder der Gruppe Remotedesktopbenutzer können auf einen Terminalserver über Terminaldiensteclient zugreifen.
  • Office 2000 installieren
    Während neuere Office Versionen ganz komfortabel über die Systemsteuerung installiert werden können, benötigt Office 2000 noch eine transform Datei. Diese datei ist im Office Resource Kit enthalten. Es wird empfohlen den resource Kit auf einen Client zu installieren, und die benötigten Files auf den TS zu kopieren. Notwendig ist die transform Datei um zu verhindern daß Benutzer Änderungen an der Office Installation vornehmen.Mit Hilfe des Custom Installation Wizzard kann die Datei termsrv.mst noch angepaßt werden. Das Setup Komando muß um den Parameter transforms=c:\TermSrv.mst erweitert werden. Natürlich muß sich der TS im Installationsmodus befinden.
  • Registryzugriffe des Terminalservers analysieren
    Es kann unter Umständen sehr wichtig sein wann der TS welche Einträge erstellt. Sehr gut kann man daß mit dem Tool Registry Monitor erreichen. Diese kostenlose Software findet man auf der Website von sysinternals.
  • Grundsätzliche Servereinstellungen
    Die Konfiguration jedes Servers hängt immer von den individuellen Anforderungen ab, deshalb können diese Vorschläge nur allgemeine Empfehlungen darstellen. Temporäre Ordner löschen: Empfehlung "Ja" Diese Option minimiert das verschwenden von Speicherplatz und verhindert einige Probleme mit (roaming) Profilen. Temporäre Ordner pro Sitzung verwenden: Empfehlung "Ja" Jeder Benutzer erhält ein eigenes temporäres Sitzungsverzeichniss Lizensierung: In der Regel wird es immer mehr Benutzer geben als Clients darum ist "pro Gerät" der Standard, sollten die Clients überwiegen ist "pro Benutzer" günstiger. Active Desktop: Empfohlen "deaktiviert" Frißt Resourcen und ist meistens unnötig. Berechtigungkompaktibilität: Empfohlen "Vollständige Sicherheit" Unterstützt aber nur Betriebssysteme ab Windows 2000. Bei "niedriger Sicherheit" werden auch ältere Windows bzw. Office Systeme die älter sind unterstützt, es werden allerdings dem User Zugriff auf die Registry und Systemverzeichnisse gewährt. Nur eine Sitzung pro Benutzer zulassen: Empfehlung "Ja" Mit dieser Einstellung werden Ressourcen gespart und das wiederverbinden erleichtert
  • Mit dem Custom Installation Wizard arbeiten
    Dieses Tool aus dem Office 2000 Ressource Kit ermöglicht es die termsrvr.mst (Transform-Datei) individuell anzupassen. Mit diesem Werkzeug lassen sich z.B. Pfade ändern, Exchange-Einstellungen, Standardwerte vergeben usw.
  • Dateisystem absichern
    Als Dateisystem sollte NTFS verwendet werden. Auf einem TS ist es auch wichtig sich vor beabsichtigten und unbeabsichten Zugriffen von Usern zu schützen. Es wird dringend empfohlen die Einstellung Vollständige Sicherheit zu verwenden, da dies den Zugriff auf Systemverzeichnisse und Registrierdatenbank einschränkt. Zu finden ist diese Einstellung in der Terminaldienstekonfiguration unter Servereinstellungen. Eine Verschlüsselung mit EFS macht auf einem Terminalserver keinen Sinn, da dieser sowieso nicht als Fileserver verwendet werden sollte, und daher keine relevanten Daten speichert
  • Mit dem Filemonitor arbeiten
    Dieses sehr nützliche Tool von der renomierten Website sysinternals ermöglicht es die Dateiaktivitäten eines TS zu überwachen. Mit Hilfe von Filterfunktionen können aussagekräftige Analysen gefahren werden. Es stehen nahezu alle Zugriffsinformationen zur Verfügung. Außerdem eignet sich das Tool hervorragend wenn Applikationen fehlerhaft starten, da Zugriffsprobleme z.B. auf DLL´s offen gelegt werden.
  • Server Neustart über Konsole
    Mit dem Komando TsShutdn wird der Server in 60 Sekunden heruntergefahren und die User benachrichtigt. Mit TsShutdn 180 /reboot wird der Server in 3 Minuten neu gebootet. Dieser befehl funktioniert auch bei Memberservern.
  • Dr. Watson abschalten
    Auf einem TS bringt Dr. Watson außer Verwirrung gar nichts, darum sollte man diese Plage entweder per Gruppenrichtlinie oder über die Registry unschädlich machen. Wenn man über die Registrierung arbeitet löscht man am besten gleich den ganzen Schlüssel "Dr. Watson". Zu finden ist dieser Key unter HKLM/Software/Microsoft
  • R2 Lastenverteilung bei Terminalserver einrichten
    Prinzip: Mit Einführung des Windows Server 2003 und insbesondere R2 hat Microsoft in Bezug auf Server Based Computing weiteren Boden auf Citrix gut gemacht. Mit diesem System werden mehrere Server zu einem logischen Namen mit einer virtuellen IP zusammengefaßt. Mit dem System der Lastenverteilung mit integriertem Sitzungsverzeichnis realisiert man nicht nur ein automatisches Load balancing, man hat auch durch die Serverfarm Struktur eine Failover Strategie. Alle Terminalserver werden über eine IP angesprochen, Windows verteilt die Sitzungen je nach momentaner Belastung selbstständig auf alle Server die an der Lastenverteilung teilnehmen. Die Lastverteilung ist nur bei der Anmeldung ausschlaggebend, bestehende Sitzungen werden nicht portiert. Sitzungen werden auf dem Sitzungsverzeichnisserver gespeichert und zur Verfügung gestellt. Es können jederzeit Server hinzugefügt bzw. entfernt werden. Grundlagen: Was man braucht sind Windows Server 2003 Terminalserver, die mindestens über eine Enterprise Lizenz verfügen, und einen Windows 2003 Standard Memberserver der als Sitzungsverzeichnisserver fungiert. Die Server sollten identisch konfiguriert sein, da sonst der User erhebliche Probleme bekommt, wenn er mit seiner Sitzung auf einem anderen Server landet. Der Sitzungsverzeichnisserver sollte kein Domänencontroller und kein Terminalserver sein. Bei überschaubaren Serverfarmen kann der Netzwerkverkehr für die Clients und den Sitzungsverzeichnisserver über eine Netzwerkkarte gehen, dabei muß nur beachtet werden daß die Option Multicast aktiviert ist. Bei größeren Umgebungen ist es empfehlenswert eine eigene Netzwerkkarte für die Clients und eine eigene für den Sitzungsverzeichnisserver zu verwenden, die dann im Modus Unicast betrieben wird. Eine Gigabitanbindung der Netzwerkkarten ist empfehlenswert. 1. Terminalserver Lan Verbindung konfigurieren Zuerst wird im Registerreiter TCP/IP eine feste IP und eine alternative IP vergeben die eine Verbindung zum NLB Server herstellt. Die zweite IP ist die Adresse des Clusters. Im ersten Step wird der Netzwerklastenausgleich editiert und die erforderlichen Einstellungen gesetzt. Bei Servern mit einer Netzwerkkarte muß diese Konfiguration auf jedem Server seperat erfolgen. Mit 2 Netzwerkadaptern kann diese Funktion auch zentral mit dem Netzwerklastenausgleich-Manager genutzt werden. Im Feld IP wird die IP-Adresse des Clusters angegeben und bei Internetname der Voll qualifizierende Internetname (FQDN) eingetragen werden. Wichtig: bei verwendung einer Netzwerkkarte muß die Option Multicast aktiviert sein. Im Registerreiter Hostparameter trägt man bei der IP die Adresse des Servers ein. Die Server sollen natürlich feste IP Adressen haben. 2. Konfiguration des Verzeichnisservers Über die Systemsteuerung/Verwaltung gelangt man zu dem Netzwerklastenausgleich-Manager, oder einfach durch Eingabe des Befehls nlbmgr. Um die Terminalserver des Clusters zu laden, muß eine Verbindung mit dem Cluster hergestellt werden, dazu genügt ein klick auf verbinden mit der Eingabe des Hostnamens. FAQ 1. Es wird nicht zwischen einzelnen TS unerschieden? Wird der Cluster im Unicast Modus betrieben so kann nicht zwischen den einzelnen Terminalservern unterschieden werden, was heißt die Anmelung erfolgt willkürlich. 2. Wie erreicht man ein effektives Fehlermanagement? Aktivieren Sie die Protokollierung. Zu finden unter Optionen/Protokollierung 3. Soll man die Remotesteuerung aktivieren? Nein, es birgt viel zu große Sicherheitsrisiken. 4. Müssen die Clusterclients im selben Subnet sein? Ja. 5. Können die Terminalserver in unterschiedlichen Modi betrieben werden? Nein, es müssen entweder alle im Unicast oder im Multicast Modus laufen. 6. Soll man eine oder mehrere Netzwerkkarten verwenden? Wenn die Multicastunterstützung nicht aktiviert wird, sollten Sie einen dedizierten Netzwerkadapter installieren. Auf diese Weise erzielen Sie die optimale Leistung und können sämtliche Funktionen im Netzwerk voll ausschöpfen. Es ist zwar problemlos möglich, einen Cluster mit nur einem einzelnen Netzwerkadapter und ohne Aktivieren der Multicastuntersttzung zu implementieren. Bei diesem Verfahren gelten jedoch zwei Einschränkungen: Eine normale Netzwerkkommunikation zwischen den Clusterhosts ist nicht mglich. Durch den Netzwerkverkehr für einen einzelnen Computer im Cluster entsteht ein zusätzlicher Netzwerkaufwand für alle Clustercomputer. In einer überschaubaren Umgebung funktioniert der Unicast Modus auch laut Microsoft problemlos, bevor man den Aufwand einer zusätzlichen Netzwerkkarte eingeht, sollte man diesen Modi testen. 7.Wie viele Server können in einem Cluster betrieben werden? Bis zu 32 Hosts 8.Welche Funktionen haben die Portregeln? Mithilfe von Portverwaltungsregeln können Sie das Lastenausgleichsverhalten eines einzelnen IP-Ports oder einer Gruppe von Ports festlegen. 9. Welche Funktion haben Einzelhostregeln Mithilfe optionaler Einzelhostregeln können Sie alle Clientanforderungen an einen einzelnen Host weiterleiten. Der Netzwerklastenausgleich dient hierbei praktisch als Werkzeug zum Weiterleiten von Clientanforderungen zu einem bestimmten Host mit speziellen Anwendungen. 10. Kann ich einen einzelnen Host offline schalten um Wartungsarbeiten vorzunehmen? Sie können Computer offline schalten, ohne dass die Clustervorgänge auf den anderen Hosts unterbrochen werden. Dies geht über das Kontextmenü des jeweiligen Servers über Host steuern. 11. Wie kann man den Lastenausgleich noch nutzen? Webserver mit Round Robin-DNS. VPN-Server (virtuelles privates Netzwerk). Streaming Media-Server. Druckdienste. Microsoft Internet Security and Acceleration Server 2000 (ISA). 12. Wie vermeide ich eine Switchportüberflutung? Aktivieren Sie auf der Registerkarte Clustereigenschaften das Kontrollkstchen IGMP-Multicast, um die IGMP-Untersttzung (Internet Group Management-Protokoll) auf allen Hosts im Cluster zu aktivieren. 13. Kann ein Server mit einer Netzwerkarte auch im Multicast Modus (Protokoll) betrieben werden ? Ja, nur bei hohm Datenaufkommen muß man mit weniger Performance rechnen. (einfach ausprobieren) Fazit: Mit diesem Konzept hat Microsoft einen großen Schritt nach vorne getan. Es wird zwar Citrix nicht vom Markt verdrängen, aber in vielen Umgebungen kann man auf kostspielige Installationen des Drittanbieters verzichten. Die Installation und die Administration ist insgesamt gesehen nicht schwierig, einige Besonderheiten muß man wie bei jedem System herausarbeiten. Die Funktion im Livebetrieb war verblüffend gut, in einer Umgebung mit 3 Terminalservern und knapp 100 Clients leistete sich das Cluster keine Schwäche. Unter dem Strich eine Runde Sache, die uns fast schon begeisterte. Und das beste dabei, es werden als Investition nur die Enterprise Lizenzen benötigt, für die Installation.
• Rounting
  • RAS Authentifizierung
    Unter den Eigenschaften des Servers findet man unter Sicherheit die Konfiguration für die Authentifizierung. Es stehen 2 Varianten zur Verfügung: 1. Die Windows Authentifizierung - verwendet AD 2. Lokal an RAS-Server - Lokale Richtlinien Unter dem Button Authentfizierung befindet sich die Konfiguration der Authentifizierungsmethoden. Hier ist die Aufteilung von oben (EAP) hohe Sicherheit bis zur untersten Option keine Sicherheit Diese Konfiguration hat sowohl unter der Windows Authentifizierung wie auch unter der Radius Authentifizierung Gültigkeit.
  • Radius Sicherheit
    Um diesen Typ zu verwenden wählt man unter Authentfizierungsanbieter Radius Authentfizierung und geht auf den Button Konfigurieren in diesem Screen muß man nur den Server mit fqdn angeben und sich einen Schlüssel ausdenken. Die Nachrichtenauthentifizierung sollte verwendet werden weil Sie eine erhöhte Sicherheit bietet da in jedem Datenpaket der Schlüssel enthalten ist. Wichtig: Am Radius Server muß ebenfalls die Message Authentifizierung (Nachrichtenauthentifizierung) aktiviert werden.
  • Router mit Filtern versehen
    Öffne die Ras und Routing Mangement Konsole, gehe unter IP Routing/Allgemein und wähle die Eigenschaften der gewünschten Schnittstelle. Definiere die Filter.
• DNS
  • Zonenalterung sorgt für Verwirrung
    Auch die Hilfe bringt hier wenig, da es so unverständlich formuliert ist das es kaum verständlich ist. Die Alterung bezieht sich auf das setzen eines dynamischen Resourceneintrags und seiner Weiterverfolgung bis zum löschen, was als aufräumen bezeichnet wird. Der obere Wert legt die Zeit fest in der das lease nicht angefaßt wird, es ist gewißermasen gesperrt bevor es mit einem Zeitstempel versehen wird. Diese Funktion unterbindet das unnötige erneuern von Resourcen. Der Aktuallisierungsintervall bezieht sich auf die Zeitdauer nach der Nichtaktuallisierung. Nach dem Ablauf der Zeitdauer von Nichtaktuallisierung + der Zeitdauer des Aktuallisierungsintervalls wird das aufräumen gestartet. In diesem Beispiel sind es 14 Tage, was ein Standardwert ist.
  • Sekundäre DNS Zone einrichten
    Eine sekundäre Zone setzt man vorwiegend in Subnetzen ein die sich in anderen Standorten befinden. Ein entscheidender Vorteil ist das verringern von Netzwerktraffic bzw. von Leitungstraffic wenn die primäre Zone des Masters über eine Wan Verbindung erreicht werden muß. Ein weiterer Vorteil ist das die Namensauflösung in der Nebenstelle auch noch funktioniert wenn der Masterserver der Hauptstelle offline ist. Die Erstellung von sekundären erfolgt entweder über denAssistenten zum erstellen neuer Zonen oder über die Befehlszeile. Als Vorraussetzung braucht man eine primäre Zone, die aktivierte Zonenübertragung sowie eine Eintragung des sekundären Servers in der Registerkarte Nameserver. Diesen Screen bekommt man über Eigenschaften des Kontextmenüs der primären Zone. Hier wird der Nameserver noch eingetragen Nun muß auf dem Zielserver der die Sekundäre Zone enthalten soll nur noch mit dem Zonenassistenten eine sekundäre Zone hinzugefügt werden.
  • Wichtige DNS-Konsolenbefehle
    Ipconfig -flushdns Leert den DNS Cache ipconfig -displaydns zeigt den Inhalt des DNS Caches ipconfig -registerdns der client wird neu im DNS registriert
  • Zonendelegierung einrichten
    Das delegieren von Zonen ist ein zuweisen von Autorität über Abschnitte eines DNS Namespace. In der Praxis findet man Delegationen für Abteilungen, Unterorganisationen und Niederlassungen. Die übergeordnete Zone muß einen A-Ressourceneintrag(Verbindungsdatensatz) und einen NS-Ressourceneintrag haben, diese werden aber sowieso automatisch erstellt wenn eine Delegation generiert wird. Delegierungen besitzen Vorrang gegenüber Weiterleitungen. Um die DNS Verwaltung einer primären Zone zu delegieren sind nur wenige Mausklicks notwendig. Hierzu muß in einer (nicht AD) integrierten primären Zone im Kontextmenü der Neue Deligierung ausgewählt werden. Der Assistent verlangt zuerst Zonennamen der zu erstellenden Domäne, auf die die Delegierung angewendet werden soll, und danach mindestens einen Nameserver auf den die Zone verwaltet werden soll. Danach muß auf dem DNS-Server der die Delegierung erhalten hat, eine Neue Zone durch rechtsklick auf Forward Lookupzonen erstellt werden. Im Assistentenmodus muß als Zonentyp Primäre Zone gewählt werden.Danach muß nur noch der fqdn eingegeben werden und die Updates definiert werden. Überprüfen kann man das ganze mit nslookup host beispiel.delegierung.local. Der zuständige DNS Server muß natürlich im Netzwerkadapter eingetragen sein.
  • WINS Server konfigurieren
    Wins ist standardmäßig nicht installiert, und ist in einer reinen Windows 2000 oder höher Umgebung nicht zwingend notwendig. Um aber die Netzwerkumgebung zu browsen, Suchmechanismen des Netzwerks zu nutzen und eine Netbios Namensauflösung zu nutzen ist es notwendig netbios nicht zu deaktivieren. Ob man diese Mechanissmen braucht ist Anschauungssache. Die Installation kann man über die Serververwaltung im Assistentenmodus durchführen. Unter Verwaltung steht danach eine WINS Management Konsole zur Verfügung.
  • Push + Pull Replikation
    Hier definiert man welche Informationen zwischen mehreren Servern geschickt (push) und abgeholt werden (pull). Standardmäßig sollten immer beide Mechanissmen verwendet werden. Sollten Bandbreitenprobleme bestehen kann man auf eine nur push/pull Replikation verwenden und diese zu einem Zeitpunkt definieren an der weniger Aktivitäten auf dem Replikationsweg liegen. Über das Kontextmenü kann eine push/pull Replikation auch sofort gestartet werden. Replikationspartner auswählen Hier genügt ein rechtsklick und die Eingabe der IP des anderen WINS Servers, unter Erweitert hat man die Möglichkeit die Art und den Zeitpunkt der Replikation zu konfigurieren.
  • WINS-Forward Lookup
    Sinnvoll ist es unter dem DNS Server den WINS Server als zusätzliche Namensauflösung zu verwenden durch aktivieren im DNS Server.
  • Wins Datenbank aufräümen
    Obwohl man die Datenbank mit der Option Datenbank aufräumen von veralteten Einträgen befreien kann, wird diese nicht wirklich kleiner, dazu muß man das Tool Jetpack einsetzen, das von Microsoft nicht dokumentiert ist. Dazu muß der WINS Dienst angehalten werden, und die WINS Datenbank in mdb.tmp umbenannt werden. Am besten erstellt man eine bat Datei um das ganze zu vereinfachen Diese bat. Datei enthält alle Befehle, um das ganze mit einem Mouseclick zu erledigen. CD %SYSTEMROOT%\SYSTEM32\WINS NET STOP WINS JETPACK WINS.MDB TMP.MDB NET START WINS Tip zum löschen von Einträgen: Um einen Eintrag zu löschen von dem man nicht der Besitzer ist, muß man immer die untere Einstellung verwenden. Ist man Besitzer reicht es die obere Option auszuwählen.
  • Die Anzahl der rekursiven DNS-Abfragen ermitteln
    Wer einen Überblick über die DNS Abfragen von den Root Servern abwärts festzustellen der muß nicht wie man vermuten könnte den Netzwerkmonitor sondern den Systemmonitor verwenden. Zu finden ist das ganze unter DNS/Rekursive DNS Abfragen.
  • Dynamic DNS funktioniert nicht
    Obwohl der DNS Serverfehlerfrei arbeitet, kann es denoch vorkommen daß keine dynamischen DNS Einträge erstellt werden. Dieser Fall tritt dann auf wenn bei einem einfachen Domännamen Clients mit Windows XP eingebunden werden. Der Grund ist daß diese Funktion ab Windows 2000 SP4 nur noch für Domännamen mit einer .dot Namensgebung verwendet wird. Darum ist es wichtig über eine funktionierende Netbios Namensauflösung zu verfügen. Microsoft empfiehlt dringend die empfohlene Namensgebung einzuhalten, idealerweise sollte der Name z.B. so aussehen: pqtuning.local.de. Damit ein Domänenmitglied DNS dazu verwenden kann, Domänencontroller in Domänen mit DNS-Namen mit einfacher Bezeichnung in anderen Gesamtstrukturen zu suchen, muß man den Registrierungswert AllowSingleLabelDnsDomain (REG_DWORD) unter folgendem Registrierungsschlüssel auf jedem Domänenmitglied auf 0x1: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters DNS-Clientkonfiguration Computer mit Windows XP und Windows 2000 SP4 versuchen niemals, eine Stammzone dynamisch zu aktualisieren. Für dieses Problem findet sich in der Knowledge Base eine Lösung: Um dynamische Updates von DNS-Zonen mit einfacher Bezeichnung durchzuführen, setzen Sie den Registrierungswert UpdateTopLevelDomainZones (REG_DWORD) auf den betroffenen Clients auf 0x1, oder fügen Sie den Wert hinzu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters Hinweis: In Windows Server 2003 wurde der Wert UpdateTopLevelDomainZones unter folgenden Registrierungsschlüssel verschoben: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient Diese Konfigurationsänderungen sollten auf alle Domänencontroller und Mitglieder einer Active Directory-Domäne mit DNS-Namen mit einfacher Bezeichnung angewendet werden. Wenn es sich bei einer Domäne mit einem einfachen Domänennamen um den Stamm einer Gesamtstruktur handelt, sollten diese Konfigurationsänderungen auf alle Domänencontroller in der Gesamtstruktur angewendet werden, es sei denn, die separaten Zonen _msdcs.Gesamtstrukturname, _sites.Gesamtstrukturname, _tcp.Gesamtstrukturname und _udp.Gesamtstrukturname werden von der Zone Gesamtstrukturname delegiert. Sie müssen den Computer neu starten, damit die Änderung des Registrierungswerts UpdateTopLevelDomainZones wirksam wird. Der Registrierungswert UpdateTopLevelDomainZones befand sich ursprünglich unter folgendem Registrierungsschlüssel, wurde jedoch vor der Freigabe von Windows XP verschoben: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters Ein Windows 2000 SP4-Domänencontroller meldet im Systemereignisprotokoll folgenden Namensregistrierungsfehler, wenn UpdateTopLevelDomainZones nicht aktiviert ist: Typ: Warnung Quelle: NETLOGON Kategorie: Keine Ereignis-ID: 5781 Benutzer: NV Beschreibung: Die dynamische Registrierung oder die Aufhebung der Registrierung eines oder mehrerer DNS-Einträge ist fehlgeschlagen, da keine DNS-Server verfügbar sind. Daten: 0000: 0000232a Sie müssen Ihren Computer neu starten, nachdem Sie auf Domänencontrollern mit Windows 2000 SP4 die Registrierungseinstellung UpdateTopLevelDomainZones geändert haben. Quelle: Microsoft
  • Reverse Lookup
    Im Rahmen der DNS Konventionen wurde zur Namensauflösung eine fiktive Domäne mit der Bezeichnung in-arpa.addr eingeführt. Innerhalb dieses Systems wird eine IP in umgekehrter Reihenfolge aufgelistet, z.B. wird 192.168.100.10 in der Reverse Lookup Zone in 100.168.192.x gelistet. Während DNS mit Hilfe des Hostnamens die IP auflöst funktioniert eine inverse Auflösung umgekehrt. (Anhand der IP wird der Hostname aufgelöst).
  • Braucht man WINS heutzutage noch
    Rein technisch gesehen ist bei einem funktionierenden DNS kein Windows Internet Naming Service mehr erforderlich. Die eindeutige Empfehlung ist es aber trotzdem einen Wins Server zu betreiben. Der Hintergrund ist das falls kein Wins eingesetzt wird, die Netbios Namensauflösung über Broadcasts abgehandelt wird, was das Netzwerk belastet. Des weiteren ist das anzeigen anderer Subnetze über die Netzwerkumgebung sonst nicht möglich, da der Masterbrowser über Wins gefunden wird. Darum ist es sinnvoll weiterhin Wins zu betreiben, zumal man dadurch auch keine Nachteile befürchten muß. Auch Microsoft probagiert die implementierung eines Wins Servers in Windows 2003 AD Strukturen.
• DHCP
  • DHCP- IP Adressen für wichtige Geräte reservieren
    Obwohl für Server eine IP reserviert werden könnte empfiehlt Microsoft statische IP's zu verwenden. Für wichtige Geräte (spez. Computer, Drucker..) hingegen ist die IP Reservierung ein gutes Werkzeug. Die Konfiguration erfolgt über die DHCP Management Konsole unter dem Punkt Reservierungen.Die Konfiguration ist selbsterklärend. Um an diesen Screen zu kommen geht man auf Bereich/Reservierungen. Die Reservierung wird an der Macadresse festgemacht.
  • DHCP-Eigenschaften enträtselt
    Die Beschreibung dieser Optionen ist wohl kaum verständlich, daher unten die Auflösung:
  • DHCP Bereich festlegen
    Hierbei handelt es sich um eine Zuweisung eines IP Adressenpools in einem physikalischen Netz. Der Server muß selbst eine statische IP des selben Netzes aufweisen. Ein einfacher rechtsklick auf das Kontextmenü reicht aus, um einen neuen Bereich zu definieren. Der Assistent leitet durch die Installation des IP Bereichs, was eine weitere Erklärung überflüssig macht,da die Optionen klar sein sollten. Bevor ein Bereich aktiv werden kann muß er aktiviert werden. Um dies zu überprüfen bzw. auszuführen reicht ein rechtsklick auf den Bereich.
  • DHCP Server in AD integrieren
    Um eine Implementierung in eine AD-Domäne einzubauen muß der Server autorisiert werden.Nur DC und Memberserver können überhaupt autorisiert werden. Einen DHCP Server auf einem DC zu installieren ist nicht empfehlenswert. Wenn man einen fertig installierten DHCP Server (siehe auch Installieren von DHCP) in der AD Domäne autorisieren will, muß man unter DHCP/Autorisierte Server verwalten../Autorisieren einen Assistenten durchlaufen, der selbsterklärend ist. Um einen DHCP Server zu autorisieren muß man Organisationsadmin sein.
  • DHCP Protokolldateien auswerten
    Dies ist keine große Kunst da die Dateien wie üblich im txt. Format vorliegen, und zudem noch Erläuterungen in der Logdatei enthalten. Zu finden sind diese unter Windows/system32Tdhcp. Die Dateinamen sind an den Wochentag gekoppelt, die Logdatei für Montag heißt zB. DhcpSrvLogMon
  • DHCP Relay Agent verwenden
    Wenn der DHCP Server nicht im eigenen Netz liegt muß über ein Relay gegangen werden. Aktuelle Hardwarerouter haben diese Funktion auch integriert. Falls ein RAS Server zum Routing verwendet wird muß der Relay Agent eingerichtet werden. Dazu muß man auf der Management Konsole für Routing und Ras unter IP-Routing/DHCP-Relay Agent/Eigenschaften die IP Adresse des DHCP Servers hinzufügen. Dann unter DHCP Relay Agent/Neue Schnittstelle/ eine Verbindung wählen (z.B. Lan-Verbindung) auf der die Adressen verteilt werden sollen.
  • DHCP Datenbank komprimieren und bereinigen
    Mit diesem Aufruf der übrigends direkt so in eine bat. Datei übernommen werden kann läßt sich die Datenbank komprimieren: CD %SYSTEMROOT%\SYSTEM32\DHCP NET STOP DHCPSERVER JETPACK DHCP.MDB TMP.MDB NET START DHCPSERVER
  • Mit DHCP Optionen Clients konfigurieren
    Mit DHCP Optionen können den Clients zahlreiche Konfigurationen zugewiesen werden, was sonst manuell oder über Scripting gemacht werden müßte. Ab Windows 2000 funktioniert diese Methode auch sauber.Um die Optionen zu konfigurieren geht man in der DHCP Management Konsole auf Serveroptionen/Optionen konfigurieren, durch einfaches aktivieren eines Kästchens werden dann diese Optionen beim Rechnerstart übergeben. Üblich sind DNS Server, Wins Server,Router, Lease, Domänname.
  • DHCP Informationen dokumentieren
    Eine einfache Möglichkeit ist das exportieren einer Liste die entweder als .txt oder .csv abgespeichert werden kann. Dazu geht man auf den gewünschten Bereich oder auf den Server und wählt unter dem Registerreiter Aktion die Option Liste exportieren und speichert das ganze auf einem Datenträger ab.
  • Konfigurieren von Clients für eine abweichende Leasedauer
    Sinnvoll ist dieses Szenario zB. Bei Notebooks. Dazu führt man auf dem Notebook den Befehl ipconfig /SetclassID Lan-Verbindung und eine Nummer mit mindestens acht Hexadezimalstellen angeben: (z.B.00-11-22-33-44-55-66-77). Um diese Kennung wieder zu löschen gibt man einfach set classid Lan-Verbindung ohne alles ein. Danach wird am DHCP Server über das Kontextmenü die Benutzerklasse hinzugefügt, und zwar für alle Notebooks die gleiche. Zwei Klassen sind bereits vordefiniert, mit hinzufügen wird die neue Klasse definiert.
  • DHCP Konsolenbefehle
    Die Bedeutung dieser Befehle geht bereits aus dem Aufruf hervor. net start dhcpserver net stop dhcpserver net pause dhcpserver net continue dhcpserver Um Netshell Befehle anzuwenden kann man auch erstmal netsh ausführen, dann dhcp und dann hat man die netsh Eingabe zur Verfügung oder am Stück: netsh dhcp server show all Zusammenfassung des DHCP Servers anzeigen Mit netsh dhcp scope wechselt man in einen anderen DHCP Bereich.
  • Installieren von DHCP
    Die Installation ist wie bei allen Servern Assistenten gesteuert über die Serververwaltung möglich. Vorab muß eine statische IP vergeben werden.Über die Systemsteuerung Software müssen vorab das dhcp Protokoll und DNS installiert werden. Nach der Installation steht unter Verwaltung die DHCP Management Konsole zur Verfügung. Natürlich gibt es noch viele Einstellungen die dazu dienen den Server an die Umgebung anzupassen und zu optimieren, was aber an dieser Stelle zu weit führen würde. Weitere Informationen zuz diesem Thema finden Sie bei den anderen DHCP Tips.
  • DHCP vergibt doppelte Adressen
    Dies kann entstehen wenn eine veraltete Sicherung der dhcp Datenbank eingespielt wird, oder mit Rogue Servern gearbeitet wird. Der Fehler entsteht durch unterschiedliche Einträge in der Datenbank und in der Registrierung. Um den Fehler zu beheben wählt man im snapin dhcp die Option Bereich/Abstimmen. Um Fehler in der Datenbank kann man das Tool Jetpack verwenden was aber in diesem Fall nicht notwendig ist.
  • Dynamic DNS funktioniert wegen DHCP nicht
    Bevor ein DHCP Server eine automatische DNS Registrierung durchführen kann, muß in den Eigenschaften des DNS Servers der Registerreiter Erweitert mit den Anmeldeinformationen konfiguriert werden. Es muß ein DNC Administrator hinterlegt werden.
  • DHCP Server Datenbank kopieren
    Wenn man einen DHCPServer erneuern will bzw. ein Ausfallkonzept haben will, ist es hilfreich die Konfiguration und die IP Bereiche komplett zu kopieren. Dies ist eine relativ einfache Aktion: 1. Datenbank kopieren Mit dem Befehl netsh dhcp server export C:\dhcp.txt all in der Eingabeaufforderung kopiert man die aktuelle Datenbank weg. 2. DHCP Server installieren Eine normale Installation durchführen, wobei zu beachten ist das die Kopieraktion auf einem Memberserver zuerst durchgeführt wird, bevor er zu einem DC hochgestufft wird. Einfacher ist es den DHCP Server auf einem Memberserver zu installieren, da man nichts beachten muß. 3. Die DHCP Datenbank auf die harddisk des neuen Servers kopieren 4.Mit dem befehl netsh dhcp server import c:\dhcp.txt all wird die Datenbank importiert Will man den Server in Betrieb nehmen muß man nur noch authorisieren.
• Konsolenbefehle
  • Computer über Konsole der Domäne hinzufügen/entfernen
    Mit dem Befehl net computer \\meincomputer /add auf dem DC wird der Client meincomputer der Domäne hinzugefügt. Mit net computer \\meincomputer /del wird der Computer wieder entfernt.
  • Driverquery Installierte Treiber ermitteln
    Mit diesem Komandozeilentool kann man die installierten Treiber anzeigen lassen. Durch setzen von Parametern sind vielfältige Analysen wie z.B. Nur signierte Treiber anzeigen Ausgabe als csv Datei Detaillierte Informationen usw. Mit dem Befehl driverquery /? Stehen alle Infos zur Verfügung Fehlerhafte Treiber zurücksetzen Wie unter der XP Workstation steht auch im Server 2003 diese Funktion per Gerätemanager zur Verfügung. Sollte ein Treiber Probleme machen und das System noch startet geht man in den Gerätemanager unter Gerät/Eigenschaften/Treiber/Vorheriger Treiber und macht ein automatisches Rollback zum alten Treiber zurück.
  • Wichtige DNS Konsolenbefehle
    Ipconfig -flushdns Leert den DNS Cache ipconfig -displaydns zeigt den Inhalt des DNS Caches ipconfig -registerdns der client wird neu im DNS registriert
  • Remotegesteuerter Shutdown - schutdown -i
    Durch diesen Aufruf wird ein graphisches Tool gestartet das ein Remotegesteuertes herunterfahren einzelner Computer erlaubt.
  • Netsh für IPSec verwenden
    Netsh ist ein Befehlszeilen Scriptingtool das ausschließlich auf Server 2003 funktioniert. Die Verarbeitung kann über die Komandozeile oder über eine Batchdatei erfolgen. Netsh ist eine mächtige Befehlsfamilie die wenig Praxisrelevanz hat, und wird daher nur angeschnitten. Die umfangreiche Befehlszeilenreferenz findet man in der Windows Hilfe. Netsh kann ein sehr nützliches Tool aber sollte mit großer Vorsicht angewendet werden. Netsh kann im dynamic (IPSec Dienste) oder im static (IPSec Richtlinien) Modus angewendet werden, bei dynamic werden Änderungen für die laufende Konfiguration sofort angewendet, was in einer Produktivumgebung nicht empfehlenswert ist. Außerdem kann man dynamische Änderungen nirgends einsehen. Beispiele: Netsh ipsec static show all : zeigt die angewendeten IPSec Richtlinien show all resolvedns=wert Löst DNS/Netbios auf, damit checkt man ob sich die Richtlinie auf dem Rechner auswirkt. In der Praxis wird man kaum mit diesen Befehlen zu tun haben, es sei denn man arbeitet sehr spezialisiert.
  • dnscmd enumzones
    Mit diesem Befehl dnscmd 123.123.123.123 /enumzones werden die DNS Zonen aufgelistet die installiert sind.
  • dnscmd enumzones
    Mit diesem Befehl lassen sich zahlreiche Abfragen und Aktionen bezüglich Wins und Netbios durchführen Parameter -a Remotename Zeigt die NetBIOS-Namentabelle eines Remotecomputers an, wobei Remotename dem NetBIOS-Computernamen des Remotecomputers entspricht. Die NetBIOS-Namentabelle ist die Liste der NetBIOS-Namen, die auf diesem Computer ausgeführten NetBIOS-Anwendungen entsprechen. -A IP-Adresse Zeigt die NetBIOS-Namentabelle eines Remotecomputers an, der durch die IP-Adresse des Remotecomputers (in punktierter Dezimalschreibweise) angegeben wird. -c Zeigt den Inhalt des NetBIOS-Namenzwischenspeichers, die Tabelle der NetBIOS-Namen und deren aufgelöste IP-Adressen an. -n Zeigt die NetBIOS-Namentabelle des lokalen Computers an. Der Status Registriert zeigt an, dass der Name entweder durch Broadcast oder auf einem WINS-Server registriert ist. -r Zeigt NetBIOS-Namensauflösungsstatistiken an. Auf einem Computer unter Windows XP oder einem Betriebssystem der Windows Server 2003-Produktfamilie, der zur Verwendung von WINS konfiguriert wurde, gibt dieser Parameter die Anzahl der Namen zurück, die über Broadcast und WINS aufgelöst und registriert wurden. -R Löscht den Inhalt des NetBIOS-Namenzwischenspeichers und lädt dann erneut die durch #PRE gekennzeichneten Einträge aus der Datei Lmhosts. -RR Gibt NetBIOS-Namen für den lokalen Computer frei, der auf WINS-Servern registriert ist, und aktualisiert sie dann. -s Zeigt NetBIOS-Client- und -Serversitzungen an und versucht dabei, die Ziel-IP-Adresse in einen Namen zu konvertieren. -S Zeigt NetBIOS-Client- und -Serversitzungen an, wobei für Remotecomputer nur die IP-Adresse aufgelistet wird. Intervall Zeigt die gewählte Statistik nach der mit Intervall angegebenen Anzahl Sekunden erneut an. Drücken Sie STRG+C zum Beenden der Intervallanzeige. Ohne Angabe dieses Parameters erstellt ntbstat tuellen Konfigurationsinformationen nur einmal. /? Zeigt die Hilfe an der Eingabeaufforderung an.
  • runas "Ausführen als" auf der Konsole
    Komandozeile öffnen und diesen Befehl eingeben:
  • Domänencontroller mit Netdom umbenennen
    Zuerst muß ein alternativer name hinzugefügt werden: Dann dieser zum primären Namen gemacht werden: Danach muß neu gebootet werden. Mit diesem Befehl überprüft man die erfolgreiche Umbenennung Später kann der alte Name gelöscht werden:
  • Mit Netdiag und Dcdiag umfangreiche Diagnosen durchführen
    Diese beiden Tools gehören zu den Support Tools und müssen erst von der CD installiert werden. Mit diesem Netdiag kann man eine Unmenge an nützlichen Diagnosen und Reparaturen schnell durchfüren. Mit dem Befehl netdiag /help in der Eingabeaufforderung wird die ganze Palette angezeigt. Eine nützliche Sache um kleinere ist Probleme zu beheben ist z.B. netdiag /fix. Mann sollte mit dem Parameter /q arbeiten weil hier nur die Fehler angezeigt werden, ansonsten wird man von Informationen erschlagen. Dcdiag ist ähnlich aufgebaut und erlaubt umfangreiche Tests auf Domänencontrollern. Auch hier kann man mit dcdiag /help sich die verfügbaren Optionen anzeigen lassen. Die Auswertung der angezeigten Informationen erfordert sehr viel Erfahrung
  • arp - Adress Resolution Protocol
    Zeigt Einträge des ARP-Cache (Address Resolution Protocol) an oder ändert solche Einträge. Dieser Cache enthält Tabellen, in denen IP-Adressen und deren zugehörige Mac Adresse. Hier die wichtigsten Parameter: arp -a zeigt die aktuellen ARP-Cachetabellen für alle Schnittstellen an arp -s fügt einen statischen Eintrag hinzu arp -d löscht einen Eintrag arp -N definiert einen bestimmte Schnittstelle arp /? zeigt Hilfe an Beispiel 1: arp -s 192.168.0.8 00-AA-00-4F-2A-9C (fügt einen statischen Eintrag hinzu) Beispiel 2: arp -a -N 192.168.0.9 (zeigt den arp Eintrag für die angegebene IP)
  • adprep - Gesamtstruktur/Domäne updaten
    Um so ein Update vornehmen zu können muß man die Gesamttruktur bzw. Domäne darauf vorbereiten adprep /forestprep - Bereitet eine Windows 2000-Gesamtstruktur für ein Update auf eine Windows Server 2003-Gesamtstruktur vor. adprep /domainprep - Bereitet eine Windows 2000-Domäne für ein Update auf eine Windows Server 2003-Domäne vor. adprep /domainprep /gpprep Fügt Gruppenrichtlinienobjekten im freigegebenen Ordner SYSVOL vererbbare Zugriffssteuerungseinträge hinzu und synchronisiert den freigegebenen Ordner SYSVOL unter den Domänencontrollern in der Domäne. cmdkey - Anmeldeinformationen managen Dieses Tool dürften nur die wenigsten kennen, es ist auch nicht so wichtig kann aber manchmal recht nützlich sein. Es ermöglicht das anzeigen, ändern, erstellen und löschen von Anmeldeinformationen. Mit /? kriegt man alle Parameter. Beispiel: cmdkey /list pq zeigt die gespeicherten Anmeldeinformationen von dem user pq an dcgpofix - Gruppenrichtlinien zurücksetzen Setzt Standardgruppenrichtlinien in den Zustand nach der Installation zurück Beispiel: dcgpofix /target: domain Compact - Komprimierung im Griff compact - ohne Parameter zeigt die Komprimierung des aktuellen Verzeichnisses an compact /u - dekomprimiert das angegebene Verzeichnis compact /c - komprimiert das angegebene Verzeichnis
  • Terminalserver Anmeldebefehle
    change logon /enable aktiviert Anmeldungen change logon /disable deaktiviert Anmeldungen change logon /query - zeigt den Anmeldestatus
  • Dsmod - AD Objekte modifizieren
    Dieses mächtige Tool kann nur angeschnitten werden, wer sich entschließt dies in einer Produktivumgebung einzusetzen sollte die Dokumentation sorgfältig lesen. Ändert ein bestehendes AD Objekt eines bestimmten Typs im Verzeichnis. Dieses sehr mächtige Tool kann man aufvcomputer, server, ou, user, puota, partition, contact,group anwenden. Da die Verwendung dieser Befehlsreferenz komplex ist, macht es natürlich nur Sinn in Form von scripten, ansonstenvsind die grafischen Hilfsmittel viel komfortabler im Handling. Beispiel: dsmod computer CN=server1,CN=computer,DC=pqtuning,DC=de CN=server2,CN=computer,DC=pqtuning,DC=de -reset In diesem Beispiel werden mehrere Computer zurückgesetzt.
  • dsquery - AD durchsuchen
    Mit diesem Befehlszeilentool hat man ein umfassendes Werkzeug um AD in der Komandozeile zu durchsuchen. Beispiele: Um nach allen Computer in der aktuellen Domäne zu suchen, deren Name mit serv und deren Beschreibung mit win beginnt ist dieser string richtig: dsquery computer domainroot -name serv* -desc win* Anstatt nach computern kann man auch nach , server, ou, user, puota, partition, contact, group, site. suchen. Außerdem stehen noch zahlreiche Parameter zur Verfügung um die Suche zu verfeinern.
  • Expand - Komprimierte Dateien im Griff
    Mithilfe dieses Befehls kann man komprimierte Dateien von Originaldatenträgern abrufen. expand Quelle Ziel /d = Liste anzeigen Beispiel: expand /d d:\i386\driver.cab In der Regel verwendet man dieses Komando in der Wiederherstellungskonsole um beschädigte Dateien wieder herzustellen. Die Hilfe zeigt noch viele Variationen auf.
  • Route - Routen managen
    Mit diesem Befehl lassen sich routen anzeigen, setzen, löschen, ändern... route print - routen anzeigen route change - ändern route add - hinzufügen route delete - löschen Beispiel: route add 10.42.0.0 mask 255.255.0.0 10.27.0.4 -p Der Parameter -p setzt die route dauerhaft
  • Xcopy - Kopieren auf der Konsole
    Der Befehlssyntax ist: xcopy Quelle Ziel /w - wartet auf eine Eingabe, bevor mit dem Kopieren der Dateien begonnen wird. /p - Fordert für jede Zieldatei auf, zu bestätigen, ob sie erstellt werden soll. /c - Unterdrückt Fehlermeldungen. /v - Bewirkt, dass jede Zieldatei nach dem Schreiben überprüft wird, um sicherzustellen, dass Zieldateien mit den Quelldateien übereinstimmen. /q - Unterdrückt die xcopy-Meldungen. /f - Zeigt die Namen der Quell- und Zieldateien während des Kopiervorgangs an. /l - Zeigt eine Liste der zu kopierenden Dateien an. /g - Erstellt entschlüsselte Zieldateien. /d [:MM-TT-JJJJ] Kopiert nur Quelldateien, die an oder nach dem angegebenen Datum geändert wurden. /u - Kopiert nur die Dateien aus Quelle, die bereits in Ziel existieren. /i - Wenn Quelle ein Verzeichnis ist oder Platzhalter enthält und Ziel nicht vorhanden ist, geht xcopy davon aus, dass Ziel einen Verzeichnisnamen angibt und erstellt ein neues Verzeichnis. Dann kopiert xcopy alle angegebenen Dateien in das neue Verzeichnis. Standardmäßig fragt xcopy ab, ob es sich bei Ziel um eine Datei oder ein Verzeichnis handelt. /s - Kopiert Verzeichnisse und Unterverzeichnisse, wenn diese nicht leer sind. Wenn Sie /s auslassen, arbeitet xcopy nur innerhalb eines Verzeichnisses. /e - Kopiert alle Unterverzeichnisse, auch wenn diese leer sind. Verwende /e mit den Befehlszeilenoptionen /s und /t. /t - Kopiert nur die Unterverzeichnisstruktur , keine Dateien. Um auch leere Verzeichnisse zu kopieren, muß /e angeben werden. /k - Kopiert Dateien und behält das Attribut Schreibgeschützt bei den Zieldateien bei. Standardmäßig entfernt xcopy das Attribut Schreibgeschützt. /r - Kopiert schreibgeschützte Dateien. /h - Kopiert Dateien mit den Attributen Versteckt und System. Standardmäßig kopiert xcopy weder versteckte Dateien noch Systemdateien. /a - Kopiert Quelldateien nur, wenn das Attribut Archiv gesetzt ist. /a ändert das Attribut Archiv der Quelldatei nicht. Weitere Informationen zum Festlegen des Dateiattributs Archiv mithilfe von attrib finden Sie unter "Verwandte Themen". /m - Kopiert Quelldateien, wenn das Attribut Archiv gesetzt ist. Im Gegensatz zur Option /a entfernt die Option /m das Dateiattribut Archiv . /n - Erstellt Kopien mithilfe von NTFS-Kurzdateinamen oder -Verzeichnisnamen. /n ist erforderlich, wenn Dateien oder Verzeichnisse von einem NTFS-Volume auf ein FAT-Volume kopieret wird oder die Namenskonventionen des FAT-Dateisystems (8.3) auf dem Ziellaufwerk erforderlich sind. Das Zieldateisystem kann FAT oder NTFS sein. /o - Kopiert Informationen zu den Besitzrechten an einer Datei und zur freigegebenen Zugriffsliste (Discretionary Access Control List, DACL). /x - Kopiert Informationen zu Dateiüberwachungseinstellungen und zur Systemzugriffssteuerungsliste (System Access Control List, SACL) (impliziert /o). /exclude:Dateiname1[+[ Dateiname2]][+[Dateiname3]] Gibt eine Liste mit Dateien an, die Zeichenfolgen enthalten. /y - Unterdrückt die Ausgabe einer Aufforderung zur Bestätigung des Überschreibens einer vorhandenen Zieldatei. /-y - Fordert auf, das Überschreiben einer vorhandenen Zieldatei zu bestätigen. /z Kopiert im ausführbaren Modus über ein Netzwerk. /? Hilfe
  • dsmove und movetree - Objekte verschieben
    dsmove - Mit diesem Befehl kann man ein Objekt an einen anderen Speicherort verschieben. Dieses Tool ist mächtig und sollte mit Bedacht angewendet werden, der Parameter /? bringt alle Informationen mit. Beispiel: dsmove "CN=Hans Wurst,OU=Metzger,DC=server2003,DC=de" -newname "Hans Mustermann" Sollte ein Wert Leerzeichen enthalten muß der string in Anführungszeichen gesetzt werden. movetree - arbeitet nach dem selben Prinzip, nur Domänenübergreifend. Um movetree zu nutzen müssen die Support Tools installiert sein.
  • nslookup - DNS Server testen
    Mit diesem Befehl hat man eine korrekte Aussage: nslookup 192.168.1.20 (DHCP Server) 127.0.0.1 Wenn der Server richtig auflößt muß als Antwort localhost ausgegeben werden. Mit der Option -Server kann man einen expliziten Server der DNS Struktur angeben.
  • Konsolenbefehle für die Datenträgerverwaltung
    chkdsk : Datenträger auf Fehler überprüfen convert: Konvertieren FAT/FAT32/NTFS fsutil: Verwaltung von Volumes mountvol: bereitgestellte Volumes verwalten diskpart: Das wichtigste Verwaltungsinstrument für Datenträger diskpart ist ein mächtiges Tool, das voll scriptfähig ist. Mit dem /? kann man die zahlreichen Parameter der Konsolentools abfragen.
  • Konsolenmeldung senden wurde aufgepeppt
    Wie auch schon in den Vorgängerversionen gibt es wieder die Möglichkeit Usern oder Computern eine Bildschirmmeldung zu schicken. Um die Meldung empfangen zu können muß der Nachrichtendienst auf dem Client laufen. Besonders genialvist die Möglichkeit an eine geöffnete Freigabe eine Meldung zu senden. Dazu geht man über die Serververwaltung/Diesen Dateiserverver verwalten auf Freigaben und auf Konsolenmeldung senden. Das gleiche geht natürlich auch mit den lokalen Sitzungen.
  • Objekte mit DSADD erstellen
    DSADD ist ein neues Komandozeilentool daß es ermöglicht Computer, User, Gruppen, OU´s, Kontakte, und quotas über ein Script oder über die Konsole hinzuzufügen. Um einen Computer hinzuzufügen ist folgender Befehlsstring als Beispiel zu verstehen: dsadd computer CN=pc10 OU=edv DC=pq DC=de Es wurde das Konto für den PC10, in der Ou edv, in der Domäne pq.de erstellt. DSADD ist hauptsächlich gedacht um mehrere Operationen automatisch ablaufen zu lassen
  • Tasklist und Taskkill
    Bei diesen nützlichen Befehlen handelt es sich um fie Konsolenvariante des Taskmanagers. Mit dem Befehl tasklist listet man die laufrnden Tasks auf incl. vieler Zusatzinformationen. Die zahlreichen Parameter erfährt man mit tasklist/?. Mit taskkill kann der Administrator Prozesse auf lokalen und entfernten Rechnern beenden. Filter ermöglichen es, Prozesse von bestimmten Benutzern oder mit bestimmtem Namen abzuschießen. Auch hier ist es sinnvoll mit Parametern zu arbeiten, die man der Hilfe entnehmen kann.
  • Getmac - Mac Adressen ermitteln
    Mit diesem Befehl kann man auf einfache Weise die MAC-Adressen aller Netzwerkkarten eines Rechners anzeigen. Windows XP Professional bringt diesen Befehl mit, bei Windows 2000 ist dieses Tool im Resource Kit enthalten.
  • Ping mit Parametern
    In bestimmten Fällen macht es Sinn das Komando Ping mit folgenden Parametern zu verwenden -a = lößt IP Adresse in Hostname auf -t = Dauerping -n = eine bestimmte Anzahl der Echo Pakete zu verwenden (Standard ist 4 Pakete) -l ist die Paketgröße (Standard 32 Bytes) hier kann ein Wert von bis zu 65527 angegeben werden Beispiel: ping -t -n 10 -l 500 192.168.0.3 Es gibt noch mehrere Parameter mit geringer Relevanz, die Hilfe der DOS-Eingabeaufforderung zeigt diese an.
  • Umfangreiche Netzwerkdiagnose mit netsh
    Das Komandozeilentool netsh ist in der Lage umfangreiche Netzwerkdiagnosen durchzuführen, und kann eine große Hilfe beim Troubleshooting sein. Hier nur einige der vielen Optionen: Mit netsh diag show modems werden alle angeschlossenen Modems auf Funktion geprüft und deren Einstellungen angezeigt. Mit netsh diag show mail wird der Mailserver analysiert, und netsh diag show test werden umfangreiche Analysen abgearbeitet wie z.B. Loopback, Gateway, Netzwerkschnittstellen, DNS usw.
• Backup
  • Volumenschattenkopie Dienst
    Dieses Feature ermöglicht frühere Dateiversionen oder Ordner einfach wieder herzustellen. Dieser Dienst macht in bestimmten Abständen Schnappschüsse und speichert diese in Verzeichnisse. Um den User die Möglichkeit zu geben vorherige Versionen von Dokumenten wieder herzustellen müssen der VSS auf dem freigegebenen Laufwerk des Servers und ein Client eingerichtet werden. Dazu müssen auf dem Laufwerk (Volume) unter Eigenschaften/Schattenkopie der Pfad und die Speichergröße konfiguriert werden. Standardmäßig werden von Mo-FR jeweils um 7:00 und um 12:00 die Dateien weggesichert, diese Werte können aber verändert werden. Auf allen Systemen die Versionen vor Windows Server 2003 haben muß der Client twcli32.msi von system32 installiert werden. Um eine ältere Version zurück zu spielen, muß man die Eigenschaften des Files öffnen und unter Vorherige Version das rückkopieren umzusetzen. Das herstellen einer vorherigen Version geht nur über eine Netzwerkfreigabe oder ein gemapptes Laufwerk. Es stehen 3 Optionen zur Verfügung entweder nur Anzeigen oder kopieren (Es werden die Berechtigungen zurückgesetzt.) oder Wiederherstellen (es wird die aktuelle Version überschrieben). Für jede Datei werden max. 63 Versionen gespeichert sofern genügend Plattenspeicher zugeteilt ist, die ältesten Dateien werden gelöscht wenn das Speicherlimit erreicht ist.
  • Systemstatus sichern und wieder herstellen
    Ist ein (Member) Server einmal völlig zerschossen, dann ist eine Wiederherstellungsschemata gefragt das den Server in möglichst kurzer Zeit das System wieder im Originalzustand mit der letzten funktionierenden Konfiguration herstellt. Eine komfortable und sichere Art ist das verwenden von Images des Systemvolumes, mit Hilfe von Tools wie z.B. Norton Ghost. Wer kein extra Geld investieren will der kann dies auch mit Bordmitteln realisieren, in dem man das Systemvolume und den Systemstatus mit NTBackup sichert und im Ernstfall wieder herstellt. Dazu muß Windows neu installiert werden und danach NTBackup ausgeführt werden mit der Rücksicherung des Systemstatus. Bei einem massiven Hardwarefehler wird es schwierig, da der neue Server bzw. die neuen Komponenten mit dem Systemstatus des alten Systems wenn überhaupt nur instabil laufen. Systemstatus sichern und wiederherstellen auf DC Bei einem Domänencontroller sieht das ganze etwas anders aus als auf einem Memberserver da die Wiederherstellung der Active Directory besondere Maßnahmen erfordert. Es ist notwendig den Verzeichnisdienst und den Ordner Sysvol wieder herzustellen. Der Systemstatus wird genau so mit NTBackup gesichert. Bei der Wiederherstellung muß das System mit der Startoption Verzeichnisdienst-Wiederherstellungsmodus gebootet werden. Man muß sich als lokaler Administrator anmelden mit dem speziellen Kennwort für die Verzeichniswiederherstellung die bei der Installation des DC angegeben wurde. Nun wählt man die nicht autorisierende Wiederherstellung (normal) oder die autorisierende Wiederherstellung. Bei der autorisierenden Wiederherstellung werden die alten Daten eingespielt und auf die anderen repliziert, die neuen Einträge der AD werden nicht eingepflegt. Dazu darf man den geforderten Neustart nicht durchführen sondern ntdsutil starten und die Teile der AD die man autorisierend herstellen will markieren und übernehmen, danach neu starten. Diesen Vorgang nimmt man wenn die AD zerschossen ist. Bei der nicht autorisierenden werden die neuen Daten von der Active Directory auf den wiederhergestellten DC repliziert. Bei dieser Methode ist die AD wieder absolut aktuell. Technisch funktioniert dies über interne Versionsnummern die in der AD vergeben werden. Man verwendet dies in der Regel nach Ausfall des DC.
  • Inhalt der Systemstatus Sicherung
    In der Systemstatusdaten sind sind alle wichtigen Elemente der Systemkonfiguration gespeichert: Registry Com Klassen boot.ini, ntdetect.com, ntldr, bootsect.dos und ntbootdd.sys Systemdateien die dem Windows Dateischutz unterliegen Zertifikatsdateien AD und Sysvol (DC) Clusterserverdateien IIS Metabasis
• Fehlermeldungen
  • Es kann keine Verbindung mit der Domäne hergestellt werden…
    da der Domänencontroller nicht verfügbar ist bzw. das Computerkonto nicht gefunden wurde blablabla Falls der DC kein Problem hat, ist das Konto beschädigt, Bei dieser Anmeldemeldung eines Clients geht man folgendermaßen vor: 1. Ist das Konto in der AD vorhanden muß es zurückgesetzt werden, hier wird die SID gelöscht, die Berechtigungen und alles andere bleibt aber erhalten. 2. Existiert das Konto nicht muß man es erstellen und neu der Domäne hinzufügen 3. Hilft alles nichts, einfach mal den Computer aus der Domäne entfernen und einer beliebigen Arbeitsgruppe hinzufügen, danach wieder der Domäne hinzufügen. Ist der PC defekt kann ein neues Gerät mit dem Namen des Kontos hinzugefügt werden , aber vorher unbedingt das Konto zurücksetzen um die SID zu löschen.
  • DC kann nicht gefunden werden
    Obwohl der Computer über einen SRV Eintrag verfügt kann der DC nicht gefunden werden. Mögliche Ursache ist ein Netzwerkproblem des DC´s , ein einfacher Ping kann dies belegen. Es kann auch an einem fehlerhaften bzw. fehlenden A-Ressourceneintrag liegen, der den Namen des Dc zu der IP zuordnet. Mit nslookup läßt sich das testen.
  • Dynamische Registrierung der DC Locatoreinträge scheitert
    Die genaue Fehlermeldung lautet: Der Server kann keine dynamische Registrierung der Domänencontroller Locatoreinträge vornehmen, da die DNS-Server für die Namensauflösung keine primäre autorisierende Zone für diese Ressourceneinträge finden. Dieser Fehler kann auftreten wenn der zuständige DNS Server über fehlerhafte Stammhinweise verfügt. Ein aktuallisieren der Stammhinweise behebt den Fehler. Zum zweiten kann es an fehlerhaften DNS Deligierungen liegen, mit nslookup kann man dieses überprüfen.
  • Der RPC Server ist nicht verfügbar
    Dieser Fehler deutet auf ein Problem mit der Namensauflösung hin. Es kann sowohl ein DNS wie auch ein Netbios Fehler sein. Die Namensauflösung kann ebenso scheitern wenn ein Netzwerkproblem besteht, und der auflösende Server nicht erreicht werden kann. Mit dem Befehl netdiag /debug lassen sich FEHLER AUFSPÜREN. Mit netdiag /fix lassen sich einfachere Fehler schnell beheben. Danach kann man auch noch mit dem Tool dcdiag die Fehlersuche fortsetzen.
  • Securedc und hisecdc verhindern den Systemstart des DC
    Diese erhöhten Sicherheitseinstellungen der Richtlinien können zum versagen eines Neustarts führen, da diese Konsole nicht ausgereift ist und die Einstellungen so sicher sind das Sie kaum mehr verarbeitet werden können. Sollte der Rechner beim verarbeiten hängenbleiben verwendet man die Startart Verzeichnisswiederherstellung, weil hier die AD nicht geladen wird. Danach sollte ein Blick in die Ereignissanzeige geworfen werden um die Fehlerquellen genau zu bestimmen. In der Regel wird es an den Richtlinien liegen, die man durch einspielen der Vorlagen setup security.inf und Dc security.inf. Das macht man am besten mit einer mmc.
  • Es kann keine Domäne hinzugefügt werden
    Wenn man keine Domäne hinzufügen bzw. entfernen kann, liegt das in den meisten Fällen daran daß der Domänennamenmaster nicht verfügbar ist. Dies kann ganz triviale Ursachen haben wie keine Netzwerkverbindung oder einfach fehlende Rechte. Andererseits kann aber auch eine fehlerhafte Installation oder eine beschädigte Funktion die Ursache sein. Dieser wichtige Dienst befindet sich in der Regel auf dem Betriebsmaster der Domäne/Gesamtstruktur ( fsmo: Floating Single Master Operations). Auf dem Betriebsmaster laufen außerdem noch diese Dienste exclusiv: Domain Naming Master Infrastruktur Master PDC Emulator RID Master Schema Master Lösung: Mit dem Befehl netdom query fsmo kann man herausfinden auf welchen Server die Funktion Domännamenmaster läuft und kann diese Funktion auch reparieren. Sollte dies nicht zum Erfolg führen so kann man diese die Funktion auch auf einen anderen Server übertragen, hierzu kann man das Tool Ntdsutil verwenden.
  • Änderungen der Gruppenmitgliedschaften werden nicht übernommen
    Dieser Fehler kann auftreten wenn der Infrastrukturmaster nicht richtig funktioniert bzw. gar nicht verfügbar ist. Mit netdom query fsmo kann man herausfinden welcher Server diese Funktion hat. Dann erstmal die Netzanbindung und die Serverlast überprüfen. Als nächsten Schritt kann man die Funktion reparieren, oder auf einen anderen Server übertragen.
  • Keine Verbindung mit Windows 2000 DC
    Um einen Windows 2000 DC mit Server 2003 verwalten zu können muß SP3 oder höher installiert werden.
  • DHCP Datenbankfehler beheben
    Ist die Datenbank des DHCP Servers zerschossen gibt es die Möglichkeit diese neu abzustimmen. Dazu öffnet man die DHCP Konsole und wählt den zuständigen DHCP Server aus. Danach auf Alle Bereiche abstimmen/überprüfen. Die nun gefundenen Inkonsistenzen der Adressen neu abstimmen.
  • Dienste anzeigen auf Remotecomputer versagt
    Wenn man versucht, mit dem Dienste-Snap-In (Services.msc) Dienste auf einem Remotecomputer anzuzeigen oder zu konfigurieren , auf dem Windows XP ausgeführt wird, und es erscheint diese Fehlermeldung: Die Datenbank des Dienststeuerungs-Managers auf \\Client konnte nicht geöffnet werden. Fehler 1722: Der RPC-Server ist nicht verfügbar. Die mögliche Ursache kann sein daß die Datei und Druckerfreigabe nicht aktiviert ist, daß aktivieren ermöglicht den Zugriff auf den Remotecomputer.
  • SMB Zugriff auf DC scheitert
    Der SMB Zugriff von einem Linux System auf einen Windows 2000 Server über smbmount stellt in der regel kein Problem dar, wogegen die gleiche Strategie bei einem Windows Server 2003 nicht möglich ist. Das liegt daran das in der Standardeinstellung nicht signierte SMB Pakete geblockt werden. In den lokalen Gruppenrichtlinien muß unter Windows Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/ Sicherheitsoptionen die Einstellung: Microsoft Netzwerk (Server): Kommunikation digital signieren (immer) auf deaktiviert gesetzt werden. Um einen reboot zu vermeiden ist es nötig in der Komandozeile folgende Befehle auszuführen 1. gpupdate /force 2. net stop srv 3. net start srv.
  • Domäne oder RPC-Server nicht verfügbar
    Wie so oft ist auch hier ein DNS Problem fast sicher. Am besten überprüft man mit dem Befehl Netdiag /debug auf dem betreffenden Server die Funktion. Mit diesem Komando werden die Registrierung von NetBIOS, DNS und Dienste überprüft.
  • Änderungen an Gruppenmitgliedschaften treten nicht in Kraft
    In diesem Fall muß man von einem Infrastrukturmaster ausgehen der nicht verfügbar oder beschädigt ist ausgehen. Dieses Problem kann auch an einer instabilen oder fehlenden Netzwerkverbindung bzw. Überlast des Servers liegen.Mit dem Befehl netdom query fsmo ermittelt man den Server , der die Infrastrukturmasterfunktion verwaltet. Bei gravierenden Fehlern muß die Funktion übertragen werden. Falls ein übertragen nicht mehr möglich ist, muß die Funktion übernommen werden. Die ganze Problematik kann auch grafisch über eine mmc gelöst werden. Bitte beachten Sie hierzu diesen Artikel:http://www.pqtuning.de/server2003/specials/fsmo/fsmo.html
  • Strukturierte Vorgehensweise bei der Fehlersuche
    1. Welcher Server ist es, welches Ausmaß hat der Fehler grob betrachtet. 2. Ist der Server nur langsam, checkt man mit Taskmanager erstmal CPU-Last, Speicherauslastung, Plattenbelegung (freier Speicherplatz) oft genügt es ausufernde Prozesse zu beenden. 3.Um die Fehlerursache genauer einzugrenzen, ist ein Blick in die Ereignissanzeige immer sinnvoll, auf der Website www.eventid.net oder in der Knowledgebase findet man mit der Suche über die Eventid weitere Informationen. 4. Kontrollieren Sie die Hardware, Gerätemanager Systemanalysetools. 5. Funktionieren alle wichtigen Dienste (DNS) und stimmt die Netzwerkkonfiguration. 6.Oftmalls wirkt ein Reboot wahre Wunder ! 7. Ein Windows System ohne Servicepack ist nur halb so gut, bringen Sie den Server auf einen aktuellen Stand 8.Überprüfen Sie Hardware und Software ob es überhaupt für Server 2003 geeignet ist. 9. Überprüfen Sie Freigaben und Dateiberechtigungen, eine Fehlkonfiguration kann Ursache für Fehler sein 10. Ständiger Virencheck, restriktive Sicherheitseinstellungen und effiziente Absicherung (Firewall) sind Grundvorraussetzung. 11. Bei AD Fehlern kann die Ereignissanzeige des KCC hilfreich sein 12. Versuchen Sie durch Tests den Fehler immer weiter einzukreisen Es gibt unendlich viele Umstände warum ein Server plötzlich nicht mehr funktioniert, an dieser Stelle können nur allgemeine Tips gegeben werden. Im Endeffekt ist es eine Mischung aus Erfahrung, Wissen und ausprobieren, um einen Fehler zu finden und zu beseitigen. Das Internet bietet dabei eine umfangreiche Informationsquelle.
• Sicherheit
  • Objektzugriffe überwachen
    Ressourcen (Ordner, Dateien) die man überwachen möchte sollte man sorgfältig auswählen, da der Aufwand für das System enorm hoch ist.Diese Überwachung dient dem Überblick über Ressourcennutzung und hilft Sicherheitslücken aufzuspüren. Um eine Überwachung zu aktivieren geht man unter OrdnerXY/Eigenschaften/Sicherheit/Erweitert/Überwachung und fügt den Benutzer bzw. Gruppe hinzu und definiert die Überwachungsoptionen. Es kann auch eine einzelne Datei sein für die eine Überwachung aktiviert wird. Für den Domain Controller (wenn das Objekt auf dem DC liegt) und die Domän Policy muß man in der Active Directory (Benutzer und Computer) die Gruppenrichtlinien unter Sicherheitseinstellungen definieren. Für alleinstehende Server/Rechner die nicht einer Domäne angehören geht das ganze natürlich nur über lokale Richtlinien. Memberserver oder Workstations die einer Domäne angehören werden über die Domänenrichtlinie oder falls sie einer OU angehören über deren Richtlinie konfiguriert. Man wird feststellen das standardmäßig keine Objektzugriffe überwacht werden. Alternativ kann man natürlich auch die Richtlinien für eine einzelne OU erstellen. Diese Richtlinie muß man aktivieren und auswählen ob man erfolgreiche und fehlgeschlagene Zugriffe protokollieren will. Im Sicherheitsprotokoll der Ereignisanzeige kann man die Informationen einsehen, da dieses Protokoll sehr groß ist muß man mit Filtern arbeiten. Man kann sich als Administrator auch mit beliebigen Computern im Netzwerk verbinden(Aktion/Verbindung zu anderen Computern herstelle).
  • Neue IPSec Funktionen
    Im 2003 Server steht eine verbesserte Version von IPSEC zur Verfügung. Sogar für Windows 98 und NT4 gibt es Legacyclients die bei Microsoft heruntergeladen werden müssen. Neu ist das Snap in IP Sicherheitsmonitor, das eine Weiterentwicklung von Ipsecmon.exe darstellt. Als Verschlüsselung wird Diffie hellmannmit 2048 Bit verwendet, was man als sehr hoch einstufen muß. Über die Komandozeile bietet der Befehl netsh sehr umfangreiche Konfiguration Über permanente Richtlinien wird der gesamte Netzverkehr geschützt Das Zertifikatsmanagement wurde verbessert IPSEC über NAT NLB wurde verbesserte Richtlinienergebnisssatz wird unterstützt Die gesamte IPSEC Verwalung erfolgt über Richtlinien mit dem Snap in IP Sicherheitsrichtlinien, oder über die Komandozeile mit dem netsh Befehlssatz. IPSEC: Netsh ipsec static show all Mit diesem Befehl (Netsh ipsec static show all) erhält man eine ausführliche Anzeige der IPSEC Informationen
  • Netzwerkkonfigurations-Operatoren enträtselt
    Die neu integrierte Gruppe Netzwerkkonfigurations-Operatoren verfügt über Rechte zum Verwalten von Netzwerkfunktionen. -Ändern der TCP/IP-Eigenschaften für eine lokale Netzwerkverbindung,zu denen die IP-Adresse, die Subnetzmaske, das Standardgateway und die Namenserver gehören. - Umbenennen der für alle Benutzer verfügbaren LAN- oder RAS-Verbindungen. - Aktivieren oder Deaktivieren einer LAN-Verbindung. - Ändern der Eigenschaften aller RAS-Verbindungen des Benutzers. - Löschen aller RAS-Verbindungen des Benutzers. - Umbenennen aller RAS-Verbindungen des Benutzers. - Ausgeben der Befehle ipconfig, release oder renew.
  • Kerberos erlaubt nur 5 Minuten Zeitdifferenz
    Nicht selten kommt es zu Authentifizierungsproblemen durch eine zu große Zeitdifferenz zwischen den Donänencontrollern. Mehr als 5 Minuten sind unter Windows Server 2003 nicht erlaubt.
• Sonstiges
  • Drucken über Webbrowser
    Windows Server 2003 unterstützt das drucken über Browser (http). Man kann so z.B. einen Drucker über eine Website verwalten und bereitstellen. Das hat den Vorteil das man so eine Firewall umgehen kann in dem man den freigegebenen Port 80 nutzt. Vorraussetzung ist ein installierter IIS und die Komponente Internetdrucken. Zu finden ist das ganze unter Systemsteuerung/Software/Windows Komponenten hinzufügen/Anwendungsserver. Danach muß im Internetinformationsdienstemanager Internetdrucken zugelassen werden, was Standard sein sollte. Unter der Standard-Website ist nun die Website Printers verfügbar. Hier werden alle Drucker verwaltet die über das Internetdrucken zur Verfügung stehen, aber nicht angezeigt. Mit dem IE kann nun der veröffentlichte und freigegebene Drucker verwaltet werden. Dazu muß im Browser http://192.168.1.100/printers . Zur Authentifizierung muß Domäne\Benutzername und das Passwort eingegeben werden. Über den Hyperlink Verbindung herstellen wird der Internetdrucker lokal auf den Client installiert.
  • Server 2003 SP1 - Unter die Haube geschaut
    Das Windows Server 2003 Service Pack 1 enthält neben vielen kleinen Hotfixes auch die neuen Netzwerkfeatures aus Windows XP Service Pack 2 . Außerdem wurden eine Menge an zusätzlichen Features und Erweiterungen eingebaut bzw. scharf geschaltet. Den eindeutigen Schwerpunkt hat Microsoft suf die Sicherheit gelegt. Im Netzwerkbereich wurden die Neuerungen aus Windows XP/SP2 übernommen: • Windows Firewall • Windows Peer-to-Peer Networking • Clientseitige Unterstützung von WPS (Wireless Provisioning Services) • IPv6-Aktualisierung (Internet Protocol version 6) • Neue Netstat Funktionen • Erweiterungen im Bezug auf WLAN-Netzwerke Ganz neu wurden folgenden Features inplementiert: Standardmäßig ist die Firewall im Server 2003/SP1 deaktiviert, da ein Server in der Regel auch Netzverkehr zulassen sollte, und der Administrator dies sowieso im Griff haben sollte. Unterschiedliche Verhaltensweisen der Windows Firewall Die Windows Firewall von Windows Server 2003 SP1 arbeitet auf die gleiche Weise wie die Windows Firewall von Windows XP SP2. Da es der Zweck eines Servercomputers ist, auch unverlangt eingehenden Netzwerkverkehr zu verarbeiten, ist die Windows Firewall jedoch unter Windows Server 2003 SP1 standardmäßig deaktiviert. Die Firewall läßt sich über die Systemsteuerung oder über Gruppenrichtlinien konfigurieren. Empfohlen wird jedoch die Administration über den neu eingeführten Sicherheitskonfigurationsassistenten. Nach einer interaktiven Aktivierung der Firewall ist ein Neustart erforderlich was einem auch fast ununterbrochen gemeldet wird. Die Features der Firewall: - Statische Ausnahmen für Ports - Ausnahmen für Anwendungen - Konfiguration von grundlegenden ICMP-Optionen - Protokollierung von verworfenen Paketen und erfolgreichen Verbindungen - Globale Konfiguration - Überwachungsprotokollierung - Portbeschränkungen - Kommandozeilenunterstützung - Betriebsmodus "Keine Ausnahmen zulassen - Ausnahmenliste der Windows Firewall - Mehrere Profile - RPC-Unterstützung für Systemdienste - Wiederherstellen von Standardeinstellungen - Unbeaufsichtigte Installation - Erweiterte Multicast- und Broadcastunterstützung - Integration von Internetverbindungsfirewall und IPv6-Windows Firewall - Aktualisierte Benutzerschnittstelle - Neue Gruppenrichtlinien für die Firewall Serverseitige Unterstützung von WPS WPS erweitert die WLAN-Clientsoftware und den IAS-Dienst (Internet Authentication Service) von Windows Server 2003 SP1, um den bei öffentlichen WLAN-Hotspots den Internetzugriff zu managen. Außerdem wurden Möglichkeiten für einen Gastzugriff auf das Internet bei WLAN Netzen gesorgt. Einige weitere Neuerungen sind Verbindungskonfigurationstools für das einwählen bei WISP´s. Die clientseitige WPS-Unterstützung wird mit Windows XP SP2 und Windows Server 2003 SP1 zur Verfügung gestellt - sie umfasst die für die automatische Registrierung, Konfiguration und Verbindung zu WLANs mit WPS-Unterstützung erforderlichen Dienste und Komponenten. Mit Server 2003 SP1 steht nun auch eine serverseitige WPS-Unterstützung zur Verfügung. Außerdem wurde IAS um entsprechende Prozesse erweitert. Rqs.exe und Rqc.exe für die Netzwerkquarantäne Die Funktion Netzwerkquarantäne verzögert den Netzwerkzugriff auf ein privates Netzwerk so lange, bis die Konfiguration des Remotecomputers überprüft und bewertet wurde. Wenn ein Remotecomputer eine Verbindung mit einem RAS-Server aufbaut, wird der Benutzer authentifiziert, und der Computer erhält eine IP-Adresse. Die Verbindung wird allerdings in einem Quarantänemodus geparkt bis der Zugriff geprüft ist. Um das Verbindungsmanager-Verwaltungskit unter Windows Server 2003 mit SP1 zu nutzen , muß dies über Software/Komponenten auf Verwaltungs- und Überwachungstools nachinstalliert werden. Der netsh Befehl wurde um 2 Optionen erweitert: netsh winsock reset catalog - reset auf Standardeinstellungen netsh winsock show catalog - zeigt eine Liste mit allen Winsock-LSPs an TCP/IP-Erweiterungen Schutz vor SYN-Angriffen ist standardmäßig aktiviert Ein TCP-SYN-Angriff (Synchronize) ist ein DoS-Angriff (Denial-of-Service) der halboffene TCP Verbindungen mißbraucht. Intelligente TCP-Bereitstellung Das Verbindungsmanagement wurde um einige Details verbessert. Grundlegende Updates für: WebDAV-Redirector Durch dieses Update können Kunden auf WebDAV-Server (Web-based Distributed Authoring Versioning) wie zum Beispiel Windows SharePoint Services und MSN-Communities zugreifen. Internet Explorer Unerwünschte Downloads von schädlichem Code und automatische Größenänderung von Browser-Fenstern wurde gefixt. Die Add on Verwaltung wurde auch im Server aktiviert ActiveX Sicherheitsmodell Outlook Express Emails als nur Text statt HTML darstellen Attachment Manager API-Integration Hot Patching-Features Updates und Patches einspielen ohne Neustart Boot-Time-Sicherheit IPv4- und IPv6-Treiber verhindern das eindringen über Ports bevor die Firewall vollständig geladen ist. Sicherheit Restriktivere Standardeinstellungen und geringere Rechte für Dienste wie z.B. RPC und DCOM sollen für eine größere Sicherheit vor Hackerangriffen schützen. No Execute Hardware / (Data Execution Prevention - DEP) Ermöglicht Server 2003 Hardware/Software Funktionen zu nutzen die das ausführen von bösartigen Code verhindern. Diese Funktionen sollen Virencode erkennen und die Ausführung verhindern. VPN-Quarantäne Mehr Sicherheit für VPN Verbindungen IIS 6.0-Metabase-Überwachung Bessere Überwachung und Kontrolle des XML basierten Speichers Post-Setup Security Updates (PSSU) Schützt den Server während der Installation bzw. Updateinstallation Sicherheitskonfigurations-Assistent (Security Configuration Wizard - SCW) Management Tool das die Sicherheit konfiguriert auf der Basis von Serverrollen. Sicherheitsfunktionen des Assistenten: Der Sicherheitskonfigurations-Assistent ermöglicht dem Benutzer die folgenden Aktionen: - Deaktivierung nicht benötigter Dienste - Deaktivierung nicht benötigter IIS-Weberweiterungen - Blockierung von ungenutzten Ports - inklusive einer Unterstützung von Mehrfach-Szenarien. - Absicherung von offenen Ports über IPSec. - Reduzierung der Gefährdung durch die Protokolle LDAP (Lightweight Directory Access Protocol), LAN-Manager und SMB (Server Message Block) - Konfiguration von Überwachungseinstellungen mit einem hohen Signal-To-Noise-Wert - Import von Windows-Sicherheitsvorlagen für Einstellungen, die nicht von Assistenten abgedeckt werden. - Betriebsfeatures des Assistenten Zusätzlich zur rollenbasierten Erstellung von Sicherheitsrichtlinien bietet der Assistent die folgenden Funktionen: - Rollback - Ermöglicht das Rücksetzen des Servers in den Zustand, bevor die Richtlinie aktiv wurde - Analyse - Um zu überprüfen, ob der Server die gewünschten Einstellungen verwendet. - Remotezugriff - Stellt einen Remotezugriff zur Konfiguration und Analyse zu Verfügung. - Kommandozeilenunterstützung - Ermöglicht die Remotekonfiguration und -analyse von ganzen Servergruppen. - Active Directory-Integration - Unterstützt die Bereitstellung der Sicherheitsrichtlinien über Gruppenrichtlinien. - Bearbeitung - Änderung von Sicherheitsrichtlinien des Assistenten - zum Beispiel für die Neudefinition von Serverrollen. - XSL-Ansichten - Richtlinien und Analysen gespeicherte Daten anzeigen. Es würde keinen Sinn machen jede kleinere Neuerung hier aufzuführen, dazu gibt es entsprechende Whitepapers. Ein schöner Nebeneffekt ist das einige Dialogfelder jetzt klarere und besser strukturierte Informationen zur Verfügung stellen. Es sind einige wenige Gruppenrichtlinien hinzugekommen, die sich hauptsächlich auf die Verbesserung der Sicherheit beziehen. Probleme sind bisher noch keine aufgetreten, aber in der US Knowledge Base kann man auch hierzu fündig werden. Eines der unbestrittenen Highlights in SP1 ist der Sicherheitskonfigurations-Assistent.
  • FSMO Rollen durchschaut
    FSMO ist die Abkürzung für Flexible Single Master Operations. Während man beliebig viele DC´s verwenden kann, die auch weitgehend unabhängig voneinander redundant arbeiten können, so gibt es in jeder Gesamtstruktur 5 Betriebsmasterrollen, die zwar auf einzelne DC´s verteilt werden können, aber als Rolle nur ein einziges mal existent sind. Diese Betriebsmasterollen wirken Gesamtstruktursweit: - Schemamaster - Domänennamensmaster Diese Betriebsmasterrollen wirken Domänenweit: - RID - Master - PDC - Emulator - Infrastrukturmaster Diese Übersicht soll einen kurzen Überblick über die 5 FSMO Rollen (Windows Server 2003) und deren Aufgaben geben: Schemamaster Diese Funktion überwacht und konfiguriert das Schema des Active Directory. Diese Änderung kann notwendig werden wenn eine Software (z.B. Exchange Server) einige Attribute braucht die das Schema nicht bietet. Ein klassisches Beispiel ist das einfügen eines Windows 2003 Domänencontrollers in eine Windows 2000 Struktur. Um diese Änderungen durchführen zu können muß man in der Gruppe Schemaadmins oder Organisationsadmins sein. Alle Änderungen des Schemas können nicht mehr rückgängig gemacht werden. Um herauszufinden welcher DC die Rolle des Schemamasters hat oder diese Betriebsmasterrolle zu übertragen startet man eine mmc und fügt das Snap in Active Directory Schema dazu. Unter Betriebsmaster findet man die Funktion. Das Snap in muß vorher allerdings installiert werden, das geht am einfachsten wenn man die Support Tools von der CD installiert. Domänennamensmaster Diese Betriebsmasterfunktion überwacht und regelt das hinzufügen von Domänen in die Gesamtstruktur. Im Gegensatz zu Windows 2000 ist ein globaler Katalog auf dem DC der als Domänennamensmaster fungiert nicht mehr notwendig. Um den Domännamensmaster zu ermitteln oder zu verschieben geht man über das Snap in Active Directory-Domänen und -Vertrauensstellungen und wählt im Kontextmenü die Option Betriebsmaster. RID Master Der RID-Master ordnet den AD Objekten eindeutige ID´s bzw. SID´s zu. Diese Sicherheitskennung setzt sich aus einer Domänen SID und einer relativen Objektbezogenen ID zusammen. Die RID´s werden den Domäncontrollern in Blöcken von gut 500 Stück zur Verfügung gestellt, sind weniger als 100 noch verfügbar, wird ein neuer Block von 500 RID´s geliefert.. Darum können auch bei einem Ausfall der RID-Master Funktion noch Objekte in AD erstellt werden, bis alle ID´s verbraucht sind. Tipp: Will man Objekte über Domänen hinaus verschieben, macht man dies vom DC aus der die RID-Master Funktion hat, mit dem Tool movetree.exe. Um den RID-Master zu identifizieren oder die Funktion zu verschieben geht man über das Snap in Active Directory Benutzer und -Computer. Im Kontextmenü der rechten Mouse Taste findet sich die Option Betriebsmaster. PDC-Emulator Wie der Name bereits verrät emuliert diese Betriebsmasterrolle einen NT-PDC bzw. einenBDC um die Downlevelfähigkeit zu garantieren.Außerdem verarbeitet der DC mit dieser Funktion Kennwortänderungen. Sollte sich ein User aufgrund einer Kennwortänderung mit dem auf 5 Minuten beschränkten Kerberos Ticket mangels Replikation nicht anmelden können wird der PDC Emulator zur Authentifizierung herangezogen. Eine weitere Funktion ist die sofortige Replikation von Attributen die schneller als der normale Replikationszyklus bereitgestellt werden müssen. Der PDC Emulator ist auch für die Zeitsynchronisation der DC´s untereinander verantwortlich, mit dem Befehl net time \\ servername /setsntp: Zeitquelle kann eine Synchronisation mit einem anderen Server angestartet werden. Als Authentifizierungsmethoden kann der PDC-Emulator Kerberos V5 und NTLM verwenden. Über das Snap in Active Directory Benutzer und -Computer (Betriebsmaster) kann diese Rolle identifiziert und verschoben werden. Infrastrukturmaster Der Infrastrukturmaster verwaltet die Objektreferenzen seiner Domäne und gleicht diese mit anderen Domänen ab. Er aktualisiert die Global Catalogs der anderen DC . Wenn auf dem DC der als Infrastruktur Betriebsmaster ausgelegt ist ein Globaler Katalog installiert ist, dann funktioniert diese Betriebsmasterrolle nicht. Der Infrastrukturmaster verwaltet und überwacht die Zuordnung von Benutzern zu Gruppen, und verteilt Änderungen mittels Multimasterreplikation auf die anderen DC´s. Das identifizieren und verschieben dieser Betriebsmasterrolle geht über das Snap in Active Directory Benutzer und -Computer (Betriebsmaster). Global Catalog Dieses Feature steht in unmittelbaren Zusammenhang mit den FSMO Rollen, ein GC kann im Prinzip auf jedem DC vorhanden sein (ausgenommen Infrastrukturmaster). Im Gegensatz zu Windows 2000 sind die Anmeldeinformationen auch ohne aktiviertem Global catalog auf den DC´s verfügbar (caching) , was die Notwendigkeit zur Benutzeranmeldung überflüssig macht .Microsoft empfiehlt pro Forrest den Einsatz von 2 Global Catalog Servern, und begründet dies mit einer erhöhten Ausfallsicherheit. Der GC speichert ab Server 2003 auch die universellen Gruppenmitgliedschaften. Im GC ist eine Kopie aller AD Objekte der eigenen und Teile der AD Informationen der anderen Domänen gespeichert. (siehe Abbildung) Mit Hilfe des Active Directory-Schema-Snap-In können manuell die Attribute die der GC enthalten soll konfiguriert werden. Über den Menüpunkt Attribute wird die Funktion aufgerufen. Das aktivieren eines Global Catalogs geht über das Snap in Active Directory Standorte und Dienste über die NTDS Settings. Falls als Funktionsebene nicht Windows Server 2003 festgelegt ist, wird beim Hinzufügen eines neuen Attributs eine vollständige Synchronisierung des globalen Katalogs angestoßen, was erheblichen Traffic verursachen kann.. Globale Gruppen oder universelle Gruppen sollten Vorrang vor lokalen Domänengruppen haben. Der Vorteil eines Global Catalogs ist durch das cachen der Anmeldeinformationen nach meiner Meinung kaum mehr gegeben, lediglich eine geringe Bandbreite der WAN Toppologie mehrerer Standorte ist ein Argument. Der Nachteil liegt bei einer erhöhten zum größten Teil unnötigen Netzwerktraffic. Das zwischenspeichern von universellen Gruppenmitgliedschaften ist ein neues Feature ab Server 2003, und stellt eine echte Alternative dar. Tips: RID Master und PDC Emulator sollten auf einem DC zusammen sein. Global Catalog und Infrastrukturmaster sollten getrennt sein. Auf der Gesamtstrukturebene sollten die Schemamaster- und Domänennamen-Master auf dem gleichen Domänencontroller betrieben werden. Außerdem sollte der Domänennamenmaster-FSMO auch ein globaler Katalogserver sein. Bestimmte Vorgänge, die den Domänennamensmaster verwenden, z. B. die Erstellung von untergeordneten Domänen, schlagen fehl, wenn das nicht der Fall ist. Achtung: Während das übertragen von Betriebsmasterfunktionen im laufenden Betrieb von einem auf den anderen DC ein kalkulierbares Risiko darstellt ist das übernehmen ein drastischer Schritt, der nur in Erwägung gezogen werden sollte wenn der Betriebsmaster ausfällt. In so einem Fall darf der alte Betriebsmaster nie wieder online gehen. Eine Übertragung ist einer Übernahme falls möglich immer vorzuziehen. Mehr Informationen zum übertragen von FSMO Rollen finden Sie hier: http://www.pqtuning.de/server2003/ad/ad3.htm#1
  • Verteiltes Dateisystem (Distributed File System)
    Durch das verteilte Dateisystem (Distributed File System, DFS) wird es möglich Benutzern den Zugriff auf Dateien zu erleichtern, die in einem Netzwerk physikalisch verteilt sind. Mit DFS kann man auf mehrere Server verteilte Dateien für Benutzer so bereitstellen , als ob diese sich an einem Ort befinden würden. Dieser Artikel geht von einem AD integrierten DFS aus. Unter Windows Server 2003 Enterprise Edition und Datacenter können sogar mehrere DFS Stämme gehosted werden. Man unterscheidet generell eigenständeiges DFS Stammsystem AD integriertes Stammsystem Vorteile: Benutzer müssen nicht länger den tatsächlichenSpeicherort von Dateien kennen um auf diese zuzugreifen zu können. Besssere Lastverteilung der Server untereinander. Hohe Verfügbarkeit durch Replikation der DFS Stämme. Das hinzufügen von Speicherorten ist jederzeit möglich Wann verwendet man DFS ? Wenn gelegentlich neue Dateiserver hinzugefügt werden. Der Speicherort nicht immer gleich ist. Benutzer auf mehrere Standorte verteilt sind Der Zugriff für Benutzer soll erleichtert werden. Als Dateisystem muß NTFS verwendet werden Domänen-DFS unterstützt verteilte Standorte, ein Client versucht immer zu erst Ziele am eigenen Standort zu finden, sollte diese Suche nicht zum Erfolg führen werden weitere Standorte durchsucht. Es kann allerdings auch explizit festgelegt werden das nur am DFS am eigenen Standort verwendet werden darf. Der Zugriff auf Namen, die im DFS-Namespace reserviert sind, führt immer zu einem Zugriff auf den Namespace. Dies gilt ebenfalls , wenn eine Freigabe auf dem Computer existiert, die nicht Teil des DFS-Namespaces ist. Alle Clients der Domäne, in der ein DFS-Namespace liegt , haben Zugriff auf den Namespace. Clients von vertrauenden Domänen haben ebenfalls Zugriff. Anstatt des Domänennamens kann auch der Servername eingesetzt werden um Zugriff zu erlangen. Installation von DFS Das Snap in für DFS findet man z.B. über die Systemsteuerung/Verwaltung über den Punkt Verteiltes Dateisystem. Zuerst wird über das Kontextmenü ein neuer Stamm erstellt. In der Regel sollte man in einer AD auch den Domänenstamm auswählen. Die Domäne für die das Verteilte Dateisystem zuständig sein soll wird ausgewählt Danach wird der Server festgelegt der den Speicherplatz zur Verfügung stellt. Der Name des Stammes wird festgelegt Die Freigabe wird definiert Danach ist es sinnvoll den Status zu überprüfen und die Aktivierung. Auch eine Veröffentlichung im AD ist möglich und auch sinnvoll. Nach der Installation wird der DFS Stamm ganz normal gemapped z.B. über net use Laufwerksbuchstabe: Stammname Beispiel: net use k: \\pq.local\dfs DFS Replikation Um Daten redundant vorzuhalten kann auf einen Replikationsmechanissmus zurückgegriffen werden. Replizieren von Daten Die DFS Replikation wird über den File Replication Service(FRS) gemanaged. Eine Replikation sollte nicht auf einen DFS Stamm sondern auf eine DFS Verknüpfung gelegt werden, da nur Verknüfungen offline geschaltet werden können, was bei einer Fehlersituation hilfreich ist. Bei einer Neuinstallation oder Austausch des Servers der den DFS Stamm vorhält sollte DFS vorher entfernt werden. Bei einem update des Betriebssystems braucht auf DFS keine Rücksicht genommen werden. DFS verwendet für alle im DFS-Namespace Netzwerkfreigaben standardmäßig NetBIOS-Namen. Sollte in einer Netzwerkumgebung kein WINS Server installiert sein, müssen alle Hosts die DFS verwenden voll qualifizierte Namen unterstützen. Bei Problemen mit den FQDN hilft dieser Registry Eintrag: Der folgende Registrierungsschlüssel muss zu jedem in den DFS-Namespace einbezogenen Server hinzugefügt werden, damit alle Computer voll qualifizierte Namen verstehen. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services DFS DFSDnsConfig = REG_DWORD 1Dieser Registrierungsschlüssel sollte zu den Servern hinzugefügt werden, bevor der DFS-Namespace erstellt wird. Dies ermöglicht es allen Clients, voll qualifizierte Namen zu erkennen, wenn sie im Rahmen des DFS-Referenzprozesses auf andere Server verwiesen werden. Quelle: Microsoft Ab Windows Server 2003 RC2 steht der neue Replikationsdienst DFS-R zur Verfügung, welcher wesentlich effizienter arbeitet. Über den Menüpunkt Aktion kann die Replikation sehr detailliert konfiguriert und verwaltet werden. Verwalten des Verteilten Dateisystems Die Verwaltungskonsole ist übersichtlich aufgebaut und gut dokumentiert, so das die Administration nicht übermäßig komplex ist. Über die Registerreiter stehen noch weitere Features zur Verfügung wie z.B. - Ein und Ausblenden von Stämmen - Aktivieren und Deaktivieren der Replikation - Stämme, Ziele und Verknüpfungen hinzufügen bzw. entfernen - Exportieren von Listen in verschiedenen Formaten - Filtern von Anzeigen Das Verwalten über die Komandozeile wird über den Aufruf dfscmd gestartet, die Optionen und werden beim Start des Tools angezeigt. Um die ordnungsgemäße Funktion sicherzustellen ist die regelmäßige Überprüfung des Zielstatus eine wichtige Aufgabe. Folgende Symole sind dabei zu beachten: Blaues Häckchen: Ziel wird erreicht Gelbes Ausrufezeichen: Ziel wird nicht vollständig erreicht Rotes Kreuz: Ziel wird nicht erreicht Die Definition für Ziel bezieht sich in diesem Fall auf einen Stamm, Verknüpfung oder auf einen anderen DFS Verweis. In den Details wird angezeigt ob das Ziel online oder offline geschaltet ist.
  • Windows Server 2003 im Überblick
    Windows Server 2003 R2 ist ein Versionsupdate das auf Windows Server 2003 mit Servicepack 1 aufsetzt. Im wesentlichen bringt dieser Release Candidate Verbesserungen in folgenden Bereichen. - Identitäts- und Zugriffsverwaltung - Verwaltung von Niederlassungsservern - Speichereinrichtung und -verwaltung - Anwendungsentwicklung innerhalb und ausserhalb der traditioneller Grenzen eines Unternehmens Systemvorraussetzungen: In der Tabelle sind die offiziellen Microsoft Vorraussetzungen aufgeführt. Um Produktiv arbeiten zu können sollte man nicht einmal daran denken einen Server mit den Mindestanforderungen zu betreiben. Die empfohlenen Werte sollte man nicht weit unterschreiten.Alle R2-Editionen stehen auch als 64-Bit Version zur Verfügung. Es können sowohl 32-Bit, wie auch 64-Bit-Anwendungen ausgeführt werden. Die Integration von Microsoft .NET und XML Webdienste wurde konsequent weiterverfolgt. Auch UNIX Systeme können jetzt verwaltet werden. Trotzdem ist es nicht mehr als ein Zwischenschritt bis zum erscheinen des Longhorn Servers im Jahre 2007. Quelle: Microsoft Die wichtigsten Features im Überblick ADFS (Active Directory Federation Services) Die Active Directory-Verbunddienste ermöglichen eine webbasierte Extranetauthentifizierung in Verbindung mit dem einmaligen Anmelden (Single Sign-on, SSO) und stellt Identitätsdienste im Verbund für Serverumgebungen zur Verfügung. Profitieren sollen hauptsächlich unternehmensinterne Verbände (auch mit mehreren Gesamtstrukturen) sowie B2B Plattformen. Diese Authentifizierungsmechanissmen dienen der vereinfachung von Anmeldeprozeduren bei verteilten Sitzungen auf Umkreisnetzwerke mit Verbindung zum Internet. Der Identitätsverbund ermöglicht es zwei Unternehmen, die in Active Directory gespeicherten Identitätsinformationen eines Benutzers auf sichere Weise über Verbundvertrauensstellungen gemeinsam zu nutzen, wodurch die Zusammenarbeit erheblich vereinfacht werden soll. ADAM (Active Directory Application Mode) Der sogenannte Active Directory-Anwendungsmodus ist ein unabhängiger Modus von Active Directory ohne Infrastrukturfeatures. Im Klartext werden Verzeichnisdienste für Anwendungen bereitgestellt . ADAM fungiert als eigenständiger Datenspeicher oder arbeitet mit Active Directory zusammen und versetzt mit seiner Flexibilität Administratoren in die Lage, die Infrastruktur des Verzeichnisdienstes unterschiedlich zu nutzen. Mit ADAM stehen ein Datenspeicher und Dienste für den Zugriff auf diesen Datenspeicher bereit und hiermit können Standard-APIs (Application Programming Interfaces, Anwendungsprogrammierschnittstellen) für den Zugriff auf Anwendungsdaten genutzt werden. ADAM ist eine Light Datenbank und arbeitet mit ADFS zusammen, um einen Benutzerdatenspeicher für die anwendungsbezogene Authentifizierung im Extranet bereitzustellen. Im Gegensatz zum LDAP des AD können mit ADAM beliebig viele Instanzen existieren und jeweils ein eigenes Schema besitzen. Jede einzelne Instanz läuft als ein Windows-Dienst, der getrennt steuerbar ist. Windows SharePoint Services Im R2 sind die SharePoint Services im Verbund bereis im Lieferumfang dabei. Die wichtigsten Features sind: Benutzerzugriff von Partnern auf bereitgestellte SharePoint-Websites ohne spezielles Kennwort. Die Verwaltung von Anmeldeinformationen kann auf die Partner deligiert werden. Der Zugriff auf die SharePoint-Websites der Partner kann über das Active Directory-Konto eines Benutzer deaktiviert werden. Identitätsverwaltung für UNIX Windows Server 2003 R2 bietet die Möglichkeit der Integration von Windows und UNIX, mit durchgehenden Benutzerzugriff und Verwaltung von Netzwerkressourcen. Ein Active Directory-Domänencontroller fungiert dabei als Master-NIS-Server für eine oder mehrere NIS-Domänen . Zur Identitätsverwaltung für UNIX gehört Assistent, mit dem der Domänenadministrator NIS-Domänenzuordnungen als Active Directory-Einträge exportieren kann. Eine Kennwortsynchronisierung hilft bei der Verknüpfung von Windows- und UNIX-Servern, indem die Verwaltung von Kennwörtern vereinfacht wird. Für Windows- und UNIX-Konten gibt es nur ein Kennwort das automatisch synchronisiert wird. Storage-Management Die neuen Funktionen zielen darauf ab alle Speicherarchitekturen zu vereinfachen. Mit einem Ressourcen-Manager für Dateiserver und dem Speicher-Manager für SANs (Storage Area Networks) sind in Windows Server 2003 R2 zwei neue Funktionen implementiert. In der Praxis werden folgende Funktionen bereitgestellt: Speicherplatzkontingente für Anwender Storage-Infrastruktur Dokumentation anhand von Berichten Dateiprüfungsverwaltung zur Maximierung des Speicherplatzes Verwaltung für externe Speicher-Arrays Windows Server 2003 R2 verwaltet DAS (Direct Attached Storage), NAS (Network Attached Storage) oder SAN. Unterstützt werden Storage-Architekturen auf Fibre-Channel oder iSCSI (Internet SCSI) Technologie. Die Verwendung von Virtual Disk Service (VDS) durch Storage-Hersteller ermöglicht das verwenden von Speicher-Arrays von unterschiedlichen Anbietern. Mit dem Speicher-Manager für SANs werden folgende Funktionen bereitgestellt: Erkennung von Storage-Geräten Speicherplatzbereitstellung, einschließlich der Erstellung, Erweiterung und Entfernung von LUNs Allozierung von SAN-Speicherplatzressourcen für Server Microsoft Multipath I/O (MPIO)-Verwaltung Mit dem Ressourcen-Manager für Dateiserver hat man ein Tool das eine Speicherplatzverwaltung, Überwachung und Pflege ermöglicht die sehr detailliert konfiguriert werden kann. Mit der Dateiprüfungsverwaltung können Administratoren, die Verwendung und Verteilung von nicht-geschäftlichen Dateien in der Organisation zu begrenzen. Dateiprüfungsregeln gelten für alle Benutzer innerhalb einer Ordnerstruktur oder eines Datenträgers. Es können Ausnahmen konfiguriert werden. Speicherplatzberichte erlauben es Übersichtsdaten (Dateigröße, Eigentümer, Duplikate, länger nicht verwendet...) Die Berichte sind in verschiedenen Formaten erstellbar. Administrative und Verwaltunstools Tools Auch in dem Bereich der Verwaltung von Servern und der Netzwerkinfrastruktur ist es zu Neuerungen bzw. zu Verbesserungen gekommen. DFS Das Replikationsmodul für das Distributed File System (verteiltes Dateisystem) wurde verbessert. Mit der DFS-Replikation (DFS-R) ist ein Multimaster-Dateireplikationsdienst inplementiert der die Synchronisierung von Dateiservern effizienter und schneller erledigt als der bisher eingesetzte FRS (File Replication Services). Mit DFS-R können Replikationsschemas auch über WAN-Verbindungen zuverlässig abgearbeitet werden. Durch den Einsatz von RDC werden Dateien zuverlässig komprimiert, was eine zuverlässige WAN-Replikation sicherstellt. PMC Die Print Management Console sorgt für eine bessere Verwaltung und Überwachung des Druckmanagements im Unternehmen. Dieses Tool bietet ähnliche Funktionalitäten wie verschiedene Software von Druckerherstellern. MMC Die Microsoft Management Console wurde ebenfalls erweitert und an einigen Stellen modifiziert. Fazit: Im ersten Eindruck sind einige nützliche Features und Verbesserungen dazu gekommen, die sicherlich ihre Berechtigung haben. Ob alles so phantastisch funktioniert wie es das Hochglanzprospekt verspricht muß der Langzeittest erst beweisen. Schade ist das der R2 in der Standardversion nicht als Powerserver geeignet ist da bereits bei 4 GB Arbeitsspeicher die Grenze erreicht ist.
  • Windows Server Update Service
    Für das patchen von Clients und Servern in einer Unternehmensumgebung ist der Administrator nicht nur zuständig, er kann auch haftbar gemacht werden wenn wichtige Updates nicht eingespielt werden. Wenn mehr als eine handvoll Systeme regelmäßig aktuallisiert werden müssen ist eine automatisierte Software Lösung früher oder später unumgänglich. Neben einigen Third Party Anbietern stellt auch Microsoft eine ansprechende Lösung zur Verfügung die nebenbei auch noch kostenlos ist. Der WSUS ist eine Neuentwicklung die den SUS Server ablöst der am 06.06.2006 endgültig abgeschaltet wurde. Eine Migration von SUS auf WSUS ist möglich, dazu gibt es entsprechende Artikel in der Knowledge Base.(http://www.microsoft.com/downloads/details.aspx?FamilyId=150E795E-AE32-4D47-A6B8-E01F918AAE93&displaylang=en ) Hardware Die Mindestvorraussetzung ist bereits mit einem Rechner mit 1 GHz und 1000 MB Ram erfüllt, die Empfehlung ist ein zuverlässiger Server mit 3 GHz (optimal Dualcore) und 1000 MB Ram. Um alle Updates unterzubringen sind 20-50 GB Plattenspeicher erforderlich. Software Windows Server 2000 Standard oder höher mit SP4 Windows Server 2003 Standard (nur 32 Bit) oder höher Small Buisiness Server Die Installation ist auch auf einem Domänencontroller möglich, einen Memberserver würde ich allerdings dringend empfehlen. Der SBS ist davon ausgenommen, bei diesem Server ist es vorgesehen das alle Funktionen auf einem System laufen. Lizenzen Der WSUS selbst ist Lizenzfrei, es werden lediglich Windows Server Zugriffs-Cals benötigt Plattform Das System setzt auf dem Microsoft Update Service auf und unterstützt folgende Software Produkte Windows Server 2000 ab SP3 Windows Server 2003 (32 Bit) Windows Server 2003 mit SP1 (64 Bit) Windows 2000 ab SP3 Windows XP Office Exchange SQL Die Updates stehen in 25 Client Sprachen und 17 Server Sprachen zur Verfügung. Installation Nach der Grundinstallation z.B. eines Windows Server 2003 wird dieser als Anwendungsserver konfiguriert, danach müssen folgende Komponenten nachinstalliert werden: Internetinformationsdienste (IIS) 6.0 oder höher Microsoft .NET Framework 1.1 Service Pack 1 für Windows Server 2003 oder höher Intelligenter Hintergrundübertragungsdienst (BITS) 2.0 BITS 2.0 für Windows Server 2003 Windows SQL Server™ 2000 Desktop Engine (WMSDE) (ist im WSUS Setup dabei) ASP.NET Die Datei wsus.setup ist nicht auf dem Datenträger enthalten, und muß explizit heruntergeladen werden. ( http://go.microsoft.com/fwlink/?LinkId=24384 ) Die Installation auf einem Domänencontroller ist möglich, wird aber nicht empfohlen. Wird ein DC zu einem Memberserver heruntergestuft muß der WSUS vorher deinstalliert werden. Wird ein Memberserver zum DC heraufgestuft muß der WSUS ebenfalls vorher deinstalliert werden. Die Installation selbst ist unkompliziert und verläuft im Assistentenmodus, das einzige was es zu bachten gilt ist die Einrichtung als primären WSUS oder als untergeordneten Update Server (siehe auch Konfigurationsmöglichketen). Bei der Einrichtung als untergeordneter WSUS ist es wichtig das der primäre Server im Installationsdialog nur mit dem blanken Namen angegeben wird ohne jeglichen Zusatz. Um auf die Administrationskonsole zugreifen zu können muß man in der Gruppe der Administratoren oder der WSUS Administratoren sein bzw. höhere Gruppenzugehörigkeiten besitzen. Der Zugriff erfolgt durch Eingabe von http://WSUS-Servername/WSUSAdmin (ggf. mit der Portangabe) Konfiguration Das Prinzip Der WSUS Server holt sich die Updates regelmäßig vom Microsoft Update Service ab, verwaltet und speichert diese lokal und gibt sie an die Clients weiter. Es gibt allerdings sehr viele Varianten wie man die Toppologie gestalten kann. 1. Replikationsmodus Besonders in sehr großen Umgebungen erreicht man damit eine schnellere Verteilung und eine gewiße Redundanz. Ein weiterer bzw. mehrere untergeordnete WSUS Server erhalten von einem Masterserver Replikate und übernehmen auch die Konfiguration. Diese Server dienen im Prinzip nur als zusätzliche Verteilstationen. Diese Konfiguration wird bei der Installation festgelegt und kann nachträglich nicht geändert werden. 2 Disconnect Modus Hier dient ein Server der keine direkte Verbindung zum Internet hat als Verteilstation, dieser Server erhält seine Updates von einer externen Quelle per Datenträger. Diese Variante ist nicht sonderlich praktikabel und erinnert eher an EDV zu Fuß. Für eine Filiale mit einer sehr schwachen Webanbindung kann so eine Aktualisierung durchgeführt werden z.B. mit einer CD mit Hilfe der Import/Export Funktion. 3. Verwaltungsmodus Ein Server holt die Updates bei Microsoft und die weiteren WSUS Server synchronisieren sich mit diesem Server, können aber über eine eigenständige Konfiguration verfügen. Firewall Damit der WSUS funktionieren kann müssen die Ports 80 (http) und 443 (https) freigeschaltet sein. Sollte die Unternehmensfirewall nur expliziete Webadressen unterstützen dann kann man mit diesen Ausnahmen arbeiten: http://windowsupdate.microsoft.com http://*.windowsupdate.microsoft.com https://*.windowsupdate.microsoft.com http://*.update.microsoft.com https://*.update.microsoft.com http://*.windowsupdate.com http://download.windowsupdate.com http://download.microsoft.com http://*.download.windowsupdate.com http://wustat.windows.com http://ntservicepack.microsoft.com Gruppenrichtlinien konfigurieren Damit die Gruppenrichtlinien zur Verfügung stehen muß bei Bedarf erstmal ein template importiert werden. Ich empfehle aus Gründen der besseren Administration eine eigene Gruppenrichtlinie für WSUS zu entwerfen. Danach weist man dem Client die Updatequelle und alle spezifischen Einstellungen des Update Service zu, und packt alle Computer die über den WSUS ihre Updates bekommen sollen in eine Organisationseinheit und verknüpft diese mit der GPO. Zu finden sind die relevanten Gruppenrichtlinien in den administrativen Einstellungen der Computerkonfiguration. Mit der WSUS Konsole arbeiten Mit dem Browser wird das Webinterface des Admins gestartet, ein sicherer Aufruf ist http://-IP-/-Port-/wsusadmin. Über den Menüpunkt Updates lassen sich komfortabel die Genehmigungen verwalten, hier wird festgelegt ob ein Update installiert, entfernt, abgelehnt oder nur ermittelt wird. Außerdem offenbart die Übersicht in der Detailansicht eine genaue Beschreibung der Updates, was im Einzelfall sehr nützlich sein kann. Für Updates die automatisch genehmigt werden sollen, kann man spezielle Regeln erstellen und diese auch über die Gruppen individuell zuweisen. Mit Hilfe von Klassifizierungen lassen sich einfach Srukturen und erstellen und automatisch wichtige Updates freigeben. Welche Updates angezeigt werden kann man in einer benutzerdefinierten Ansicht einstellen. Jedes Update kann explizit freigegeben werden, und für jede Gruppe speziell konfiguriert werden. Unter Berichte kann man sich die zahlreichen Infos anschauen die man auch sehr detailliert konfigurieren kann. Durch dieses Feature eignet sich der WSUS auch hervorragend für Auswertungen und Reporting. Unter dem Aufruf der Einstellungszusammenfassung kannman die gesamte Konfiguration des Update Servers einsehen und diese auch bei Bedarf ausdrucken. Unter dem Menüpunkt Computer kann man sich für jeden Client einen Status und die Details anschauen. Außerdem lassen sich in diesem Screen auch die Computergruppen generieren, und einzelne Computer in die gewünschten Gruppen verschieben. Die Anzeige Status zeigt an welche Updates bereits installiert sind, noch ausstehen oder nicht erforderlich sind. So detailliert kann man für jeden einzelnen Computer seinen speziellen Update Status einsehen. Die Updates und der Status lassen sich noch einmal erweitern, um alle Details einsehen zu können. Man kann über diesen Dialog einstellen ob man seine Computer über den WSUS oder über Gruppenrichtlinien strukturiert, bei größeren Umgebungen mit mehreren tausend Rechnern ist die Verwaltung über Gruppenrichtlinien weitaus praktikabler. Das erstellen von Gruppen ist mit wenigen Mouseklicks gemacht. Individuelle Erweiterbarkeit Für Programmierfreaks denen die Weboberfläche nicht zusagt stehen API´s zum Download bereit die vielfälltige Möglichkeiten bieten. Der Sourcecode wird mitgeliefert. http://www.microsoft.com/windowsserversystem/updateservices/downloads/default.mspx Troubleshooting Client manuell aktuallisieren Um einem Client sofort nach Updates zu suchen lassen gibt man auf der Konsole den Befehl wuaucllt.exe /detectnow ein. WSUS funktioniert nicht Bei Problemen empfehle ich die Verwendung von 2 Diagnostic Tools um den Fehler leichter zu finden. 1. Server Diagnostic Tool 2. Client Diagnostic Tools Mit diesen Tools lassen sich die einzelnen Funktionen komfortabel abprüfen, was eine große Hilfe ist. Infos und Downloads findet man unter: http://www.microsoft.com/windowsserversystem/updateservices/downloads/default.mspx WSUS Verzeichniss nachträglich ändern Es kann notwendig sein das man aus verschiedenen Gründen das WSUS Verzeichniss ändern muß, um eine Neuinstallation zu umgehen kann man das integrierte Komandozeilentool wsusutil verwenden, mit dem Befehl wsusutil help movecontent kann man die Patche können nicht entfernt werden Bei älteren Patchen ist das entfernen unter Umständen nicht möglich, da nur Patche die bereits den Windows Installer 3.1 unterstützen dieses Feature mitbringen. Manche Clients rebooten unaufhörlich nach der Patchverteilung Microsoft macht dabei fehlerhafte Biosversionen verantwortlich, ein flashen des Bios kann Abhilfe schaffen. Die Option Installation beim herunterfahren ist in den GPO´s aktiviert funktioniert aber bei manchen Clients nicht Dieses Feature erfordert mindestens Windows XP SP2 bzw, Windows Server 2003 SP1. Automatic Update Client manuell reinstallieren Wenn ein Client partout nichts vom WSUS annehmen will, kann es helfen eine manuelle reinstallation durchzuführen. Am besten macht man dies mit der Eingabeaufforderung Bei Windows XP mit SP2 lautet der Befehl: rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %systemroot%\inf\au.inf Bei Windows 2000 oder Windows XP lautet der Befehl: rundll32.exe setupapi,InstallHinfSection AutoUpdate 132 %systemroot%\inf\au.inf SUS auf WSUS migrieren Der WSUS ist mit seinem Vorgänger nicht kompaktibel, wer seine Struktur übernehmen will muß mit dem integrierten Programm WSUSUtil.exe arbeiten, das derzeit nur für 32 Bit Systeme verfügbar ist. Zu finden ist das Tool unter Update Services\Tools im WSUS Verzeichnis. Es stehen folgende Parameter zur Auswahl: WSUSUtil.exe export Exportiert Updatemetadaten (keine Inhaltsdateien, Genehmigungen oder Servereinstellungen) in eine Exportdatei. Diese Datei kann in einen anderen WSUS Server importiert werden WSUSUtil.exe export Paket Protokolldatei Paket = Pfad und Dateiname der zu erstellenden Paketkabinettdatei. Protokolldatei = Pfad und Dateiname der zu erstellenden Protokolldatei WSUSUtil.exe import Importiert die Metadaten von einem anderen WSUS Server. import Paket Protokolldatei WSUSUtil.exe migratesus migriert Genehmigungen von SUS auf WSUS Der Parameter /help zeigt alle Varianten. WSUSUtil.exe movecontent Ändert den Pfad auf dem die WSUS Inhalte gespeichert werden WSUSUtil.exe movecontent Inhaltpfad (neuer Pfad) Protokolldatei (Pfad und Dateiname der zukünftigen Protokolldatei) [-skipcopy] (Serverkonfiguration wird geändert, aber die Inhaltdateien bleiben wie gehabt) WSUSUtil.exe reset Fehlender oder fehlerhafter Inhalt wird geprüft und bei Bedarf wiederhergestellt. WSUSUtil.exe deleteunneededrevisions löscht überflüssige Einträge in der Datenbank WSUSUtil.exe listinactiveapprovals zeigt inaktive Updates an WSUSUtil.exe removeinactiveapprovals Entfernt Genehmigungen bei permanent inaktiven Updates
• Speichermanagement
  • Servergespeicherte Benutzerprofile schnell laden
    Ein unbestrittener Nachteil serverbasierter Profile ist die relativ lange Ladezeit bei der Anmeldung am Netzwerk. Mit einem Server 2003 Profil und Windows 2000 aufwärts als Client wird das Profil vom Server zum Client lediglich synchronisiert, anstatt wie in früheren Windows Versionen komplett herunter geladen. Damit wird die An und Abmeldung am System gravierend beschleunigt.
  • Volumes bereitstellen
    Mit diesem Feature kann man eine Festplatte ohne ihr einen Laufwerksbuchstaben zuweisen zu müssen als Ordner in ein bestehendes Volume einfügen, wodurch man eine enorme Steigerung der Festplattenkapazität erreichen kann. Noch dazu entgeht man den NTFS Begrenzungen von Laufwerksbuchstaben. Als Beispiel könnte man eine 200 GB Platte als Ordner xy in das Volume C: einfügen. Uns so geht es: Unter Computerverwaltung/Datenträgerverwaltung/Laufwerksbuchstaben und Pfade ändern.Danach erscheint das auf dem Bild dargestellte Menü. Laufwerkpfade stehen nur bei leeren Ordnern auf NTFS-Basisvolumes oder dynamischen NTFS-Volumes zur Verfügung. Über die Konsole wird das ganze mit diskpart gemacht.
  • Windows Raid verwenden
    Generell ist diese Lösung wenig professionell und nicht empfehlenswert weil nur wenig Möglichkeiten bei schlechter Performance möglich sind. Insbesondere ein Raid 5 verlangsamt das System merklich. In einer Produktivumgebung ist eine Hardwarelösung auf SCSI Basis die Regel. Für einfachere Server mit moderaten Anforderungen ist das server 2003 Raid eine einfache und kostenlose Alternative. Mit dem 2003er Server sind nur Raid 0,1 oder 5 möglich. Dazu werden mindestens 2 Festplatten benötigt. Bei dem Ausfall von 2 oder mehreren Datenträgern ist keine Fortsetzung des Betriebes möglich. Es wird bei den verwendeten harddrives empfohlen identische Laufwerke am selben Bus anzuschliesen. Fast jedes Volume kann gespiegelt werden, so auch die System- und Startvolumes. Man kann jedes vorhandene einfache Volume auf einen anderen dynamischen Datenträger spiegeln. Die Option steht aber nur zur Verfügung wenn auch ein dynamisches Volume vorhanden ist. Ein rechtsklick genügt. Um die Spiegelung zu erstellen kann man das Konsolentool diskpart verwenden oder rechtsklick auf den zu spiegelnden Datenträger und die Option Spiegelung hinzufügen wählen.
  • Neuen Datenträger hinzufügen
    Um einen neuen Datenträger wie eine Festplatte in ein System hinzuzufügen müssen 2 Arbeitsschritte durchgeführt werden. 1. Installieren Das heißt physischen Datenträger anschließen und neu starten bzw. hot plug einschieben. in der Regel wird das neue Laufwerk automatisch erkannt, sollte das nicht der Fall sein dann in der Datenträgerverwaltung Datenträger neu einlesen. 2. Initialisieren Nach der Installation wählt man in der Datenträgerverwaltung die Option Datenträger initialisieren. Durch diese Aktion werden MBR und Partitionstabelle für den Datenträger geschrieben. Ein neuer Datenträger wird standardmäßig als Basisdatenträger erstellt und kann danach in die Speicherstruktur konfiguriert werden.
  • Übergreifende Volumes
    Ist die Zusammenfassung von mehreren physischen Datenträgern zu einem Volume. Es können bis zu 32 Datenträger zu einem übergreifenden Volume zusammengefaßt werden. Mit dieser Technik die Platten fortlaufend beschreibt kann man die Speicherkapazität enorm speichern. Dieses System hat allerdings gravierende Schwächen, so können z.B. auf diesen Volumes keine Windows Raid Systeme betrieben werden. Außerdem erhöht sich das Ausfallrisiko mit jedem Datenträger der hinzugefügt wird, fällt ein Datenträger aus, ist das ganze Volume zerstört. Auf einem übergreifenden Volume kann Windows nicht starten und auch kein Systemvolume erstellt werden. In der Praxis ist dieses System höchstens als Behelfslösung zum erweitern eines Volumes das an die Kapazitätsgrenzen gekommen ist tauglich.
  • Austauschen von Datenträgern zwischen Servern
    Verschiedene Gründe können es erfordern, daß ein Datenträger in einen anderen Server eingebaut und betrieben werden muß. Vor dem Ausbau sollte mit Hilfe der Datenträgerverwaltung überprüft werden ob der Status fehlerfrei ist. Über den Gerätemanager muß nun der Datenträger deinstalliert werden. Danach kann man in der Datenträgerverwaltung bei dynamischen Datenträgern die Option entfernen wählen. Bei Basisdatenträgern entfällt dieser Schritt. Danach kann der Datenträger umgebaut werden und im Zielserver neu eingelesen werden. Ist die Platte neu eingelesen muß der Menüpunkt Fremde Datenträger importieren ausgeführt werden.Ein Basisvolume das importiert wurde erhält den nächsten freien Laufwerksbuchstaben, während ein dynamischer Datenträger den Buchstaben behält den er vorher hatte.
  • Dsmod - AD Objekte modifizieren
    Dieses mächtige Tool kann nur angeschnitten werden, wer sich entschließt dies in einer Produktivumgebung einzusetzen sollte die Dokumentation sorgfältig lesen. Ändert ein bestehendes AD Objekt eines bestimmten Typs im Verzeichnis. Dieses sehr mächtige Tool kann man auf computer, server, ou, user, puota, partition, contact,group anwenden. Da die Verwendung dieser Befehlsreferenz komplex ist, macht es natürlich nur Sinn in Form von scripten, ansonsten sind die grafischen Hilfsmittel viel komfortabler im Handling. Beispiel: dsmod computer CN=server1,CN=computer,DC=pqtuning,DC=de CN=server2,CN=computer,DC=pqtuning,DC=de -reset In diesem Beispiel werden mehrere Computer zurückgesetzt.
  • dsquery - AD durchsuchen
    Mit diesem Befehlszeilentool hat man ein umfassendes Werkzeug um AD in der Komandozeile zu durchsuchen. Beispiele: Um nach allen Computer in der aktuellen Domäne zu suchen, deren Name mit serv und deren Beschreibung mit win beginnt ist dieser string richtig: dsquery computer domainroot -name serv* -desc win* Anstatt nach computern kann man auch nach , server, ou, user, puota, partition, contact, group, site.. suchen. Außerdem stehen noch zahlreiche Parameter zur Verfügung um die Suche zu verfeinern.
  • Expand - Komprimierte Dateien im Griff
    Mithilfe dieses Befehls kann man komprimierte Dateien von Originaldatenträgern abrufen. expand Quelle Ziel /d = Liste anzeigen Beispiel: expand /d d:\i386\driver.cab In der Regel verwendet man dieses Komando in der Wiederherstellungskonsole um beschädigte Dateien wieder herzustellen. Die Hilfe zeigt noch viele Variationen auf.
  • Route - Routen managen
    Mit diesem Befehl lassen sich routen anzeigen, setzen, löschen, ändern... route print - routen anzeigen route change - ändern route add - hinzufügen route delete - löschen Beispiel: route add 10.42.0.0 mask 255.255.0.0 10.27.0.4 -p Der Parameter -p setzt die route dauerhaft
  • Xcopy - Kopieren auf der Konsole
    Der Befehlssyntax ist: xcopy Quelle Ziel /w - wartet auf eine Eingabe, bevor mit dem Kopieren der Dateien begonnen wird. /p - Fordert für jede Zieldatei auf, zu bestätigen, ob sie erstellt werden soll. /c - Unterdrückt Fehlermeldungen. /v - Bewirkt, dass jede Zieldatei nach dem Schreiben überprüft wird, um sicherzustellen, dass Zieldateien mit den Quelldateien übereinstimmen. /q - Unterdrückt die xcopy-Meldungen. /f - Zeigt die Namen der Quell- und Zieldateien während des Kopiervorgangs an. /l - Zeigt eine Liste der zu kopierenden Dateien an. /g - Erstellt entschlüsselte Zieldateien. /d [:MM-TT-JJJJ] Kopiert nur Quelldateien, die an oder nach dem angegebenen Datum geändert wurden. /u - Kopiert nur die Dateien aus Quelle, die bereits in Ziel existieren. /i - Wenn Quelle ein Verzeichnis ist oder Platzhalter enthält und Ziel nicht vorhanden ist, geht xcopy davon aus, dass Ziel einen Verzeichnisnamen angibt und erstellt ein neues Verzeichnis. Dann kopiert xcopy alle angegebenen Dateien in das neue Verzeichnis. Standardmäßig fragt xcopy ab, ob es sich bei Ziel um eine Datei oder ein Verzeichnis handelt. /s - Kopiert Verzeichnisse und Unterverzeichnisse, wenn diese nicht leer sind. Wenn Sie /s auslassen, arbeitet xcopy nur innerhalb eines Verzeichnisses. /e - Kopiert alle Unterverzeichnisse, auch wenn diese leer sind. Verwende /e mit den Befehlszeilenoptionen /s und /t. /t - Kopiert nur die Unterverzeichnisstruktur , keine Dateien. Um auch leere Verzeichnisse zu kopieren, muß /e angeben werden. /k - Kopiert Dateien und behält das Attribut Schreibgeschützt bei den Zieldateien bei. Standardmäßig entfernt xcopy das Attribut Schreibgeschützt. /r - Kopiert schreibgeschützte Dateien. /h - Kopiert Dateien mit den Attributen Versteckt und System. Standardmäßig kopiert xcopy weder versteckte Dateien noch Systemdateien. /a - Kopiert Quelldateien nur, wenn das Attribut Archiv gesetzt ist. /a ändert das Attribut Archiv der Quelldatei nicht. Weitere Informationen zum Festlegen des Dateiattributs Archiv mithilfe von attrib finden Sie unter "Verwandte Themen". /m - Kopiert Quelldateien, wenn das Attribut Archiv gesetzt ist. Im Gegensatz zur Option /a entfernt die Option /m das Dateiattribut Archiv . /n - Erstellt Kopien mithilfe von NTFS-Kurzdateinamen oder -Verzeichnisnamen. /n ist erforderlich, wenn Dateien oder Verzeichnisse von einem NTFS-Volume auf ein FAT-Volume kopieret wird oder die Namenskonventionen des FAT-Dateisystems (8.3) auf dem Ziellaufwerk erforderlich sind. Das Zieldateisystem kann FAT oder NTFS sein. /o - Kopiert Informationen zu den Besitzrechten an einer Datei und zur freigegebenen Zugriffsliste (Discretionary Access Control List, DACL). /x - Kopiert Informationen zu Dateiüberwachungseinstellungen und zur Systemzugriffssteuerungsliste (System Access Control List, SACL) (impliziert /o). /exclude:Dateiname1[+[ Dateiname2]][+[Dateiname3]] Gibt eine Liste mit Dateien an, die Zeichenfolgen enthalten. /y - Unterdrückt die Ausgabe einer Aufforderung zur Bestätigung des Überschreibens einer vorhandenen Zieldatei. /-y - Fordert auf, das Überschreiben einer vorhandenen Zieldatei zu bestätigen. /z Kopiert im ausführbaren Modus über ein Netzwerk. /? Hilfe
  • dsmove und movetree - Objekte verschieben
    dsmove - Mit diesem Befehl kann man ein Objekt an einen anderen Speicherort verschieben. Dieses Tool ist mächtig und sollte mit Bedacht angewendet werden, der Parameter /? bringt alle Informationen mit. Beispiel: dsmove "CN=Hans Wurst,OU=Metzger,DC=server2003,DC=de" -newname "Hans Mustermann" Sollte ein Wert Leerzeichen enthalten muß der string in Anführungszeichen gesetzt werden. movetree - arbeitet nach dem selben Prinzip, nur Domänenübergreifend. Um movetree zu nutzen müssen die Support Tools installiert sein.
  • nslookup - DNS Server testen
    Mit diesem Befehl hat man eine korrekte Aussage: nslookup 192.168.1.20 (DHCP Server) 127.0.0.1 Wenn der Server richtig auflößt muß als Antwort localhost ausgegeben werden. Mit der Option -Server kann man einen expliziten Server der DNS Struktur angeben.
  • Konsolenbefehle für die Datenträgerverwaltung
    chkdsk : Datenträger auf Fehler überprüfen convert: Konvertieren FAT/FAT32/NTFS fsutil: Verwaltung von Volumes mountvol: bereitgestellte Volumes verwalten diskpart: Das wichtigste Verwaltungsinstrument für Datenträger diskpart ist ein mächtiges Tool, das voll scriptfähig ist. Mit dem /? kann man die zahlreichen Parameter der Konsolentools abfragen.
  • Konsolenmeldung senden wurde aufgepeppt
    Wie auch schon in den Vorgängerversionen gibt es wieder die Möglichkeit Usern oder Computern eine Bildschirmmeldung zu schicken. Um die Meldung empfangen zu können muß der Nachrichtendienst auf dem Client laufen. Besonders genial ist die Möglichkeit an eine geöffnete Freigabe eine Meldung zu senden. Dazu geht man über die Serververwaltung/Diesen Dateiserverver verwalten auf Freigaben und auf Konsolenmeldung senden. Das gleiche geht natürlich auch mit den lokalen Sitzungen.

• Fileserver installieren
  Um einen Fileserver unter Windows 2003 zu installieren und konfigurieren sind nur w...
• Windows Server 2003 R2 Installation
  Das Installationspaket des R2 umfaßt insgesamt 4 CD´s. Die eigentliche Installation...
• Fileserver Von NT/2000 auf 2003 migrieren
  Um einen NT oder Windows 2000 Fileserver auf 2003 hochzuziehen ist der Einsatz des ...
• Migration auf Windows Server 2003 R2 schlägt fehl
  Um erstmalig auf einen R2 zu migrieren, ist eine Schemaerweiterung nötig, dies mach...
• Windows Deployment Services
  WDS ist der Nachfolger von RIS und dient der Verteilung von Software Images auf Fab...
• Remote Install Server
  Der korrekte Ausdruck ist Remote Installation Services. Grundvorraussetzung sind...
• Letzte funktionierende Konfiguration booten
  Diese Option kann hilfreich sein wenn z.B. auf einen Treiber aktuallisiert wurde de...
• Wiederherstellungskonsole im Bootmenü integrieren
  Die Wiederherstellungskonsole von Windows 2003 befindet sich normalerweise auf der ...
• Geöffnete Dateien aufspüren und freigeben
  Außer über die Serververwaltung funktioniert es auch über die Komandozeile. Mit ope...
• Lokales Benutzerprofil als Domänenbenutzerprofil portieren
  Wer ein lokales Profil auf einen Server legen will, der braucht nicht umständlich k...
• Driverquery Installierte Treiber ermitteln
  Mit diesem Komandozeilentool kann man die installierten Treiber anzeigen lassen. Du...
• Treiber Rollback
  Unter Server 2003 kann ein nicht funktionierender Treiber im laufenden Betrieb inne...
• Fehlercodes für Treiber bei Verwendung der Treiberüberprüfung
  Die Treiberüberprüfung führt umfangreiche Testabläufe durch , um die Treiber zu che...
• Tücken bei NTFS-Berechtigungen
  Wird ein Ordner innerhalb einer Partition verschoben so bleiben die NTFS-Berechtigu...
• Hosts und Lmhosts enträtselt
  Diese Dateien sind auswertbare Textdateien die keine Dateiextensionen besitzen. ...
• Alle geöffnetten Dateien trennen
  Diese Funktion ist etwas versteckt unter Serververwaltung/Dateiserververwaltung/Geö...
• Einschränkungen von Freigabeberechtigungen
  1. Freigaben gelten nur für den Netzzugriff von Clients über das Netzwerk. Freigabe...
• Berechtigungen richtig verstehen
  1. Dateiberechtigungen setzen Ordnerberechtigungen außer Kraft 2. Berechtigungen s...
• Dateisystemzugriffe überwachen
  Eine Überwachung der Zugriffe auf eine Datei oder einen Ordner kann aus verschieden...
• Langsames kopieren vom Client auf den DC
  Beim Kopieren von Dateien von einem Windows XP-Clientc auf einen Windows 2000 Domän...
• Mit sonar und ultrasound AD Replikation cheken
  Neben replmon und repadmin stehen dem Admin mit diesen beiden Tools 2 weitere leist...
• Active Directory-Supporttools nutzen
  Zum Konfigurieren, Verwalten und Debuggen von Active Directory stehen zusätzliche T...
• Mit dem Systemmonitor arbeiten
  Mit diesem mächtigen Tool lassen sich Leistungsdaten wie Hardware, Anwendungs- oder...
• R2: Identity Integration Feature Pack
  Dieses Adon kann ab der Enterprise Edition zusätzlich installiert werden. Grundvorr...
• Printer Migrator 3.1
  Dieses Tool eignet sich hervorragend um Print Server auf denen viele Drucker instal...
• User Profile Hive Cleanup Service
  Dieses kostenlose Microsoft Tool befreit das System von lästigen Bindungen wie z.B....
• Ipseccmd.exe
  Das Tool Ipseccmd.exe verwendet man um IPSec-Richtlinien auf einem XP -Computer zu ...
• HTTP-Konfigurationsprogram (HTTPCfg.exe)
  Das HTTP-Konfigurationsprogramm (Httpcfg.exe) ist Bestandteil der Microsoft Windows...
• Netdom.exe
  Netdom.exe verwendet man um über die Konsole einen Computer zu einer Domäne hinzuzu...
• Bitsadmin.exe
  Bitsadmin.exe ist ein Befehlszeilenprogramm, das den Intelligenten Hintergrundübert...
• Netzwerkumgebung zeigt Freigabenamen
  Die Netzwerkumgebung zeigt im Gegensatz zum lokalen Explorer den Freigabenamen des ...
• Die wichtigsten Ports
  20 und 21 FTP 23 telnet 25 smtp 53 DNS Zonenübertragung 67/68 dhcp 69 tftp 80...
• Schaltfläche reparieren enträtselt
  Dieses Komando ist im Endeffekt das abarbeiten dieser 6 Komandos: ipconfig -rene...
• Protokollierung beim herunterfahren abschalten
  Standardmäßig will der 2003 Server einen Grund für jeden Neustart eingegeben haben,...
• Neu inm R2: MMC 3.0
  Mit der Einführung des R2 führte Microsoft auch eine neue Version der MMC ein. Groß...
• Speicherort von Protokolldateien umbiegen
  Der Pfad für die Speicherung der Protokolldateien ist fest vorgegeben, wer diesen T...
• Mit Taskpads arbeiten
  Eine Möglichkeit seine mmc etwas aufzupeppen und vor allem nützliche Werkzeuge grif...
• Dienst automatisch wieder starten
  Oft liegt ein fehlverhalten nur an einen Dienst der sich aus verschiedenen Gründen ...
• Druckdienste für Unix/Macintosh installieren
  Damit auch Clients die keine Windows Druckunterstützung verwenden können, auf eine ...
• Nachteil beim automatischen hinzufügen zur Domäne
  Wird ein Computer über Systemeigenschaften/Computername in der Domäne bekannt gemac...
• Universelle Gruppen verwenden
  Dieses Feature ist neu, und daher muß die Domänenfunktionsebene Windows 2000 pur od...
• AD auf eine eigene Festplatte legen
  Eine installierte AD hat die Angewohnheit den Festplattencache zu deaktivieren, was...
• Freigaben über AD bearbeiten
  Unter Computerverwaltung/Freigegebene Ordner/Freigaben kann man diverse Feineinstel...
• Active Directory-Supporttools nutzen
  Zum Konfigurieren, Verwalten und Debuggen von Active Directory stehen zusätzliche T...
• Computer über Konsole der Domäne hinzufügen/entfernen
  Mit dem Befehl net computer \\meincomputer /add auf dem DC wird der Client meincomp...
• Active Directory History
  Unter Win NT gab es lediglich eine auf 40 MB begrentzte Datei die als Teil der Regi...
• Active Directory installieren
  Es gibt 3 Wege: 1. Serververwaltung 2. Ausführen mit dcpromo 3. Serverkonfigur...
• AD Standorte
  Ein Standort ist ein Verbund von Rechnern die über eine schnelle Leitung miteinande...
• UGMC Universal Group Membership Caching
  Zugehörigkeit der universalen Gruppen wird lokal gespeichert , was im Gegensatz zur...
• Vertrauensstellung reparieren
  Öffne das Snap in Active Directory Domänen und Vertrauenstellungen. Dann Server xy/...
• Zusätzlichen DC/AD aus Bakup erstellen
  Diese Mehode eine zusätzliche AD zu installieren spart Zeit, funktioniert aber nur ...
• Die wichtigsten AD-Protokolle
  Im Rahmen der Fehlersuche sind 3 wichtige Protokolle von Bedeutung. Unter C:\Window...
• Herabstufung eines AD-DC´s erzwingen
  Mit dem Befehl dcpromo /forceremoval wird der Assistent gestartet der Rest ist selb...
• Lost and Found enträtselt
  Dieser Menüpunkt befindet sich in der Konsole Active Directory Benutzer und Compute...
• DC kann nicht gefunden werden
  Obwohl der Computer über einen SRV Eintrag verfügt kann der DC nicht gefunden werde...
• AD Schema Snap in verfügbar machen
  Standardmäßig ist diese Verwaltungskonsole nicht verfügbar, sie muß explizit istall...
• Domäne umbenennnen
  Mit Windows Server 2003 steht dieses neue Feature zur Verfügung. Das man diese Oper...
• Gelöschtes Objekt der AD wieder herstellen
  In diesem Beispiel gehe ich davon aus das eine versehentlich gelöschte OU autorisie...
• Konvertieren in universelle Gruppen
  Wird die Domänenfuntionsebene Windows 2000 pur oder höher verwendet, ist es möglich...
• Container für Computer enträtselt
  Wird ein Computer der Domäne hinzugefügt ohne das vorher ein Konto erstellt wurde d...
• Sofortige AD Replikation erzwingen
  Um Änderungen im Active Directory gleich zu sehen und anzuwenden stehen verschieden...
• Infrastrukturmaster übertragen
  Um den Infrastrukturmaster auf einen anderen DC zu übertragen muß man die entsprech...
• Schemamasterfunktion übertragen
  Zuerst öffnet man das Snap in Active Directory-Schema. Mit der rechten Mousetaste ...
• Domänennamen-Masterfunktion übertragen
  Diese Aktion wird über das Snap in Active Directory-Domänen und -Vertrauensstellung...
• RID-Masterfunktion übertragen
  Um diese Funktion zu übertragen muß das Snap in Active Directory-Benutzer und -Comp...
• PDC-Emulatorfunktion übertragen
  Um die PDC-Emulationsfunktion zu übertragen öffnet man das Snap in Active Directory...
• Mit Multi Edit arbeiten
  Im Gegensatz zu Windows Server 2000 unterstützt Server 2003 das gleichzeitige änder...
• LDAP Abfragen erstellen
  Mit Hilfe eines Assistenten ist es ganz einfach möglich ohne Datenbankkentnisse gan...
• Replikation über IP oder SMTP
  Prinzipell ist beides möglich, in der default Einstellung ist IP gesetzt. Bei SMTP ...
• Herunterfahren vereinfachen
  Wer nicht bei jedem herunterfahren einen Grund angeben will, der muß die Gruppenric...
• Nur bestimmte Programme zulassen
  Diese Richtlinie findet man unter Administrative Vorlagen/System. Man kann hiermit...
• Unnötige Systemdienste per Richtlinien deaktivieren
  Wenn Sie aus Sicherheits- oder Performancegründen auf das Starten von Systemdienste...
• Objekte in OU´s managen
  Um sinnvoll und sauber zu arbeiten sollte man mit Containern arbeiten, in denen sic...
• Drucker den OU´s zuordnen
  Damit beim zuordnen von Netzwerkdruckern die User nur die Drucker zur Verfügung hab...
• Mit Richtlinienspeichern zu arbeiten
  Um einen Überblick zu haben welche Richtlinien verwendet werden ist es empfehlenswe...
• Mit Ordnerumleitungen arbeiten
  Mit dieser Richtlinie kann man Anwendungsdaten, Desktop, Eigene Dateien, Startmenü ...
• Mit Sicherheitsvorlagen arbeiten
  Standardmäßig stehen schon einige Sicherheitsvorlagen zur Verfügung. Die Verwendung...
• Securedc und hisecdc verhindern den Systemstart des DC
  Diese erhöhten Sicherheitseinstellungen der Richtlinien können zum versagen eines N...
• GPMC Gruppenrichtlinienverwaltung
  Mit diesem wirklich neuen und guten Tool lassen sich Gruppenrichtlinien in großen U...
• Richtlinien austesten
  Erstelle in der AD eine OU mit dem Namen Richtlinienspeicher oder ähnlich, in dem s...
• NTLM V2 ist Kerberos V5
  Wer die Richtlinie für Kerberos Netzwerksicherheit definieren will, muß wissen daß ...
• Richtlinienvererbung deaktivieren
  Heißt das nichts geerbt wird.von höheren Strukturen, nicht wie man meinen könnte di...
• gpupdate - Gruppenrichlinien sofort anwenden
  Daß unter Windows XP mit gpupdate /force die Richtlinien aktuallisiert werden ist r...
• Computerkonfiguration schlägt Benutzerkonfiguration
  Einige Einstellungen sind sowohl in der Benutzerkonfiguration als auch in der Compu...
• Gruppenrichtlinien sparsam verwenden
  Die Anwendung von Gruppenrichtlinien kostet in der Verarbeitung Rechenzeit, was man...
• Zusätzliche ADM Templates importieren
  Obgleich die Standard Konfiguration des schon eine beachtliche Anzahl an Einstellun...
• Reihenfolge der GP Verarbeitung
  Als Eselsbrücke merkt man sich am besten LSDOU. Die Policies werden demnach in dies...
• Mit GPO´s Software bereitstellen
  Mit Gruppenrichtlinien kann man auf Remotecomputern Software bereitstellen oder akt...
• Gruppenrichtlinien für Desktopeinstellung funktionieren nicht
  Im Gegensatz zu Windows 2000 wird unter XP der Explorer vor dem Netzwerk geladen. D...
• Windows Terminalserver 2003 einsetzen
  Einleitung: Ein Terminalserver ist nichts anderes als ein Computer (Server) auf ...
• Die Hirachie der Terminaldienstekonfiguration
  Die Konfiguration der Terminaldienste haben eine höhere Priorität und überschreiben...
• Remotesteuerung konfigurieren
  Diese Funktion die man auch als spiegeln bezeichnet, dürfte wohl eine der wichtigst...
• Terminalserver über MMC verwalten
  Wie zu erwarten kann man einen TS auch über ein snap in mit dem Namen Remotedesktop...
• Installieren von Programmen
  Um ein Programm auf einem Terminalserver zu installieren muß sich das System im Ins...
• Auslagerungsdatei für Terminalserver konfigurieren
  Man kann entweder durch aufwendige Tests den benötigten Bedarf der swap datei ermit...
• Gruppenmitgliedschaft nicht vergessen
  Nur Mitglieder der Gruppe Remotedesktopbenutzer können auf einen Terminalserver übe...
• Office 2000 installieren
  Während neuere Office Versionen ganz komfortabel über die Systemsteuerung installie...
• Registryzugriffe des Terminalservers analysieren
  Es kann unter Umständen sehr wichtig sein wann der TS welche Einträge erstellt. Seh...
• Grundsätzliche Servereinstellungen
  Die Konfiguration jedes Servers hängt immer von den individuellen Anforderung...
• Mit dem Custom Installation Wizard arbeiten
  Dieses Tool aus dem Office 2000 Ressource Kit ermöglicht es die termsrvr.mst (Trans...
• Dateisystem absichern
  Als Dateisystem sollte NTFS verwendet werden. Auf einem TS ist es auch wichtig sic...
• Mit dem Filemonitor arbeiten
  Dieses sehr nützliche Tool von der renomierten Website sysinternals ermöglicht es d...
• Server Neustart über Konsole
  Mit dem Komando TsShutdn wird der Server in 60 Sekunden heruntergefahren und die Us...
• Dr. Watson abschalten
  Auf einem TS bringt Dr. Watson außer Verwirrung gar nichts, darum sollte man diese ...
• R2 Lastenverteilung bei Terminalserver einrichten
  Prinzip: Mit Einführung des Windows Server 2003 und insbesondere R2 hat Mi...
• RAS Authentifizierung
  Unter den Eigenschaften des Servers findet man unter Sicherheit die Konfiguration f...
• Radius Sicherheit
  Um diesen Typ zu verwenden wählt man unter Authentfizierungsanbieter Radius Authent...
• Router mit Filtern versehen
  Öffne die Ras und Routing Mangement Konsole, gehe unter IP Routing/Allgemein und wä...
• Zonenalterung sorgt für Verwirrung
  Auch die Hilfe bringt hier wenig, da es so unverständlich formuliert ist das ...
• Sekundäre DNS Zone einrichten
  Eine sekundäre Zone setzt man vorwiegend in Subnetzen ein die sich in anderen Stand...
• Wichtige DNS-Konsolenbefehle
  Ipconfig -flushdns Leert den DNS Cache ipconfig -displaydns zeigt den Inhalt d...
• Zonendelegierung einrichten
  Das delegieren von Zonen ist ein zuweisen von Autorität über Abschnitte eines DNS N...
• WINS Server konfigurieren
  Wins ist standardmäßig nicht installiert, und ist in einer reinen Windows 2000 oder...
• Push + Pull Replikation
  Hier definiert man welche Informationen zwischen mehreren Servern geschickt (push) ...
• WINS-Forward Lookup
  Sinnvoll ist es unter dem DNS Server den WINS Server als zusätzliche Namensauflösun...
• Wins Datenbank aufräümen
  Obwohl man die Datenbank mit der Option Datenbank aufräumen von veralteten Einträge...
• Die Anzahl der rekursiven DNS-Abfragen ermitteln
  Wer einen Überblick über die DNS Abfragen von den Root Servern abwärts festzustelle...
• Dynamic DNS funktioniert nicht
  Obwohl der DNS Serverfehlerfrei arbeitet, kann es denoch vorkommen daß keine dynami...
• Reverse Lookup
  Im Rahmen der DNS Konventionen wurde zur Namensauflösung eine fiktive Domäne mit de...
• Braucht man WINS heutzutage noch
  Rein technisch gesehen ist bei einem funktionierenden DNS kein Windows Internet Nam...
• DHCP- IP Adressen für wichtige Geräte reservieren
  Obwohl für Server eine IP reserviert werden könnte empfiehlt Microsoft statische IP...
• DHCP-Eigenschaften enträtselt
  Die Beschreibung dieser Optionen ist wohl kaum verständlich, daher unten die Auflös...
• DHCP Bereich festlegen
  Hierbei handelt es sich um eine Zuweisung eines IP Adressenpools in einem physikali...
• DHCP Server in AD integrieren
  Um eine Implementierung in eine AD-Domäne einzubauen muß der Server autorisiert wer...
• DHCP Protokolldateien auswerten
  Dies ist keine große Kunst da die Dateien wie üblich im txt. Format vorliegen, und ...
• DHCP Relay Agent verwenden
  Wenn der DHCP Server nicht im eigenen Netz liegt muß über ein Relay gegangen werden...
• DHCP Datenbank komprimieren und bereinigen
  Mit diesem Aufruf der übrigends direkt so in eine bat. Datei übernommen werden kann...
• Mit DHCP Optionen Clients konfigurieren
  Mit DHCP Optionen können den Clients zahlreiche Konfigurationen zugewiesen werden, ...
• DHCP Informationen dokumentieren
  Eine einfache Möglichkeit ist das exportieren einer Liste die entweder als .txt ode...
• Konfigurieren von Clients für eine abweichende Leasedauer
  Sinnvoll ist dieses Szenario zB. Bei Notebooks. Dazu führt man auf dem Notebook den...
• DHCP Konsolenbefehle
  Die Bedeutung dieser Befehle geht bereits aus dem Aufruf hervor. net start dhcpser...
• Installieren von DHCP
  Die Installation ist wie bei allen Servern Assistenten gesteuert über die Serverver...
• DHCP vergibt doppelte Adressen
  Dies kann entstehen wenn eine veraltete Sicherung der dhcp Datenbank eingespielt wi...
• Dynamic DNS funktioniert wegen DHCP nicht
  Bevor ein DHCP Server eine automatische DNS Registrierung durchführen kann, muß in ...
• DHCP Server Datenbank kopieren
  Wenn man einen DHCPServer erneuern will bzw. ein Ausfallkonzept haben will, ist es ...
• Computer über Konsole der Domäne hinzufügen/entfernen
  Mit dem Befehl net computer \\meincomputer /add auf dem DC wird der Client meincomp...
• Driverquery Installierte Treiber ermitteln
  Mit diesem Komandozeilentool kann man die installierten Treiber anzeigen lassen. Du...
• Wichtige DNS Konsolenbefehle
  Ipconfig -flushdns Leert den DNS Cache ipconfig -displaydns zeigt den Inhalt d...
• Remotegesteuerter Shutdown - schutdown -i
  Durch diesen Aufruf wird ein graphisches Tool gestartet das ein Remotegesteuertes h...
• Netsh für IPSec verwenden
  Netsh ist ein Befehlszeilen Scriptingtool das ausschließlich auf Server 2003 funkti...
• dnscmd enumzones
  Mit diesem Befehl dnscmd 123.123.123.123 /enumzones werden die DNS Zonen aufgeliste...
• dnscmd enumzones
  Mit diesem Befehl lassen sich zahlreiche Abfragen und Aktionen bezüglich Wins und N...
• runas "Ausführen als" auf der Konsole
  Komandozeile öffnen und diesen Befehl eingeben: ...
• Domänencontroller mit Netdom umbenennen
  Zuerst muß ein alternativer name hinzugefügt werden: Dann dieser zum primä...
• Mit Netdiag und Dcdiag umfangreiche Diagnosen durchführen
  Diese beiden Tools gehören zu den Support Tools und müssen erst von der CD installi...
• arp - Adress Resolution Protocol
  Zeigt Einträge des ARP-Cache (Address Resolution Protocol) an oder ändert solche Ei...
• adprep - Gesamtstruktur/Domäne updaten
  Um so ein Update vornehmen zu können muß man die Gesamttruktur bzw. Domäne darauf v...
• ...
• Terminalserver Anmeldebefehle
  change logon /enable aktiviert Anmeldungen change logon /disable deaktiviert Anmel...
• Dsmod - AD Objekte modifizieren
  Dieses mächtige Tool kann nur angeschnitten werden, wer sich entschließt dies in ei...
• dsquery - AD durchsuchen
  Mit diesem Befehlszeilentool hat man ein umfassendes Werkzeug um AD in der Komandoz...
• Expand - Komprimierte Dateien im Griff
  Mithilfe dieses Befehls kann man komprimierte Dateien von Originaldatenträgern abru...
• Route - Routen managen
  Mit diesem Befehl lassen sich routen anzeigen, setzen, löschen, ändern... route ...
• Xcopy - Kopieren auf der Konsole
  Der Befehlssyntax ist: xcopy Quelle Ziel /w - wartet auf eine Eingabe, bevor mit...
• dsmove und movetree - Objekte verschieben
  dsmove - Mit diesem Befehl kann man ein Objekt an einen anderen Speicherort verschi...
• nslookup - DNS Server testen
  Mit diesem Befehl hat man eine korrekte Aussage: nslookup 192.168.1.20 (DHCP Serve...
• Konsolenbefehle für die Datenträgerverwaltung
  chkdsk : Datenträger auf Fehler überprüfen convert: Konvertieren FAT/FAT32/NTFS f...
• Konsolenmeldung senden wurde aufgepeppt
  Wie auch schon in den Vorgängerversionen gibt es wieder die Möglichkeit Usern oder ...
• Objekte mit DSADD erstellen
  DSADD ist ein neues Komandozeilentool daß es ermöglicht Computer, User, Gruppen, OU...
• Tasklist und Taskkill
  Bei diesen nützlichen Befehlen handelt es sich um fie Konsolenvariante des Taskmana...
• Getmac - Mac Adressen ermitteln
  Mit diesem Befehl kann man auf einfache Weise die MAC-Adressen aller Netzwerkkarten...
• Ping mit Parametern
  In bestimmten Fällen macht es Sinn das Komando Ping mit folgenden Parametern zu ver...
• Umfangreiche Netzwerkdiagnose mit netsh
  Das Komandozeilentool netsh ist in der Lage umfangreiche Netzwerkdiagnosen durchzuf...
• Volumenschattenkopie Dienst
  Dieses Feature ermöglicht frühere Dateiversionen oder Ordner einfach wieder herzust...
• Systemstatus sichern und wieder herstellen
  Ist ein (Member) Server einmal völlig zerschossen, dann ist eine Wiederherstellungs...
• Inhalt der Systemstatus Sicherung
  In der Systemstatusdaten sind sind alle wichtigen Elemente der Systemkonfiguration ...
• Es kann keine Verbindung mit der Domäne hergestellt werden…
  da der Domänencontroller nicht verfügbar ist bzw. das Computerkonto nicht gefunden ...
• DC kann nicht gefunden werden
  Obwohl der Computer über einen SRV Eintrag verfügt kann der DC nicht gefunden werde...
• Dynamische Registrierung der DC Locatoreinträge scheitert
  Die genaue Fehlermeldung lautet: Der Server kann keine dynamische Registrierung ...
• Der RPC Server ist nicht verfügbar
  Dieser Fehler deutet auf ein Problem mit der Namensauflösung hin. Es kann sowohl ei...
• Securedc und hisecdc verhindern den Systemstart des DC
  Diese erhöhten Sicherheitseinstellungen der Richtlinien können zum versagen eines N...
• Es kann keine Domäne hinzugefügt werden
  Wenn man keine Domäne hinzufügen bzw. entfernen kann, liegt das in den meisten Fäll...
• Änderungen der Gruppenmitgliedschaften werden nicht übernommen
  Dieser Fehler kann auftreten wenn der Infrastrukturmaster nicht richtig funktionier...
• Keine Verbindung mit Windows 2000 DC
  Um einen Windows 2000 DC mit Server 2003 verwalten zu können muß SP3 oder höher ins...
• DHCP Datenbankfehler beheben
  Ist die Datenbank des DHCP Servers zerschossen gibt es die Möglichkeit diese neu ab...
• Dienste anzeigen auf Remotecomputer versagt
  Wenn man versucht, mit dem Dienste-Snap-In (Services.msc) Dienste auf einem Remotec...
• SMB Zugriff auf DC scheitert
  Der SMB Zugriff von einem Linux System auf einen Windows 2000 Server über smbmount ...
• Domäne oder RPC-Server nicht verfügbar
  Wie so oft ist auch hier ein DNS Problem fast sicher. Am besten überprüft man mit d...
• Änderungen an Gruppenmitgliedschaften treten nicht in Kraft
  In diesem Fall muß man von einem Infrastrukturmaster ausgehen der nicht verfügbar o...
• Strukturierte Vorgehensweise bei der Fehlersuche
  1. Welcher Server ist es, welches Ausmaß hat der Fehler grob betrachtet. 2. Ist de...
• Objektzugriffe überwachen
  Ressourcen (Ordner, Dateien) die man überwachen möchte sollte man sorgfältig auswä...
• Neue IPSec Funktionen
  Im 2003 Server steht eine verbesserte Version von IPSEC zur Verfügung. Sogar für Wi...
• Netzwerkkonfigurations-Operatoren enträtselt
  Die neu integrierte Gruppe Netzwerkkonfigurations-Operatoren verfügt über Rechte zu...
• Kerberos erlaubt nur 5 Minuten Zeitdifferenz
  Nicht selten kommt es zu Authentifizierungsproblemen durch eine zu große Zeitdiffer...
• Drucken über Webbrowser
  Windows Server 2003 unterstützt das drucken über Browser (http). Man kann so z.B. e...
• Server 2003 SP1 - Unter die Haube geschaut
  Das Windows Server 2003 Service Pack 1 enthält neben vielen kleinen Hotfixes auch d...
• FSMO Rollen durchschaut
  FSMO ist die Abkürzung für Flexible Single Master Operations. Während man beliebig...
• ...
• Verteiltes Dateisystem (Distributed File System)
  Durch das verteilte Dateisystem (Distributed File System, DFS) wird es möglich Benu...
• Windows Server 2003 im Überblick
  Windows Server 2003 R2 ist ein Versionsupdate das auf Windows Server 2003 mit...
• Windows Server Update Service
  Für das patchen von Clients und Servern in einer Unternehmensumgebung ist der Admin...
• Servergespeicherte Benutzerprofile schnell laden
  Ein unbestrittener Nachteil serverbasierter Profile ist die relativ lange Ladezeit ...
• Volumes bereitstellen
  Mit diesem Feature kann man eine Festplatte ohne ihr einen Laufwerksbuchstaben zuwe...
• Windows Raid verwenden
  Generell ist diese Lösung wenig professionell und nicht empfehlenswert weil nur wen...
• Neuen Datenträger hinzufügen
  Um einen neuen Datenträger wie eine Festplatte in ein System hinzuzufügen müssen 2 ...
• Übergreifende Volumes
  Ist die Zusammenfassung von mehreren physischen Datenträgern zu einem Volume. Es kö...
• Austauschen von Datenträgern zwischen Servern
  Verschiedene Gründe können es erfordern, daß ein Datenträger in einen anderen Serve...
• Dsmod - AD Objekte modifizieren
  Dieses mächtige Tool kann nur angeschnitten werden, wer sich entschließt dies in ei...
• dsquery - AD durchsuchen
  Mit diesem Befehlszeilentool hat man ein umfassendes Werkzeug um AD in der Komandoz...
• Expand - Komprimierte Dateien im Griff
  Mithilfe dieses Befehls kann man komprimierte Dateien von Originaldatenträgern abru...
• Route - Routen managen
  Mit diesem Befehl lassen sich routen anzeigen, setzen, löschen, ändern... route ...
• Xcopy - Kopieren auf der Konsole
  Der Befehlssyntax ist: xcopy Quelle Ziel /w - wartet auf eine Eingabe, bevor mit...
• dsmove und movetree - Objekte verschieben
  dsmove - Mit diesem Befehl kann man ein Objekt an einen anderen Speicherort verschi...
• nslookup - DNS Server testen
  Mit diesem Befehl hat man eine korrekte Aussage: nslookup 192.168.1.20 (DHCP Serve...
• Konsolenbefehle für die Datenträgerverwaltung
  chkdsk : Datenträger auf Fehler überprüfen convert: Konvertieren FAT/FAT32/NTFS f...
• Konsolenmeldung senden wurde aufgepeppt
  Wie auch schon in den Vorgängerversionen gibt es wieder die Möglichkeit Usern oder ...