Server-Infrastrukturen mit Microsoft Windows

Thomas Frey

Server-Infrastrukturen mit Microsoft Windows Server Technologien

AlleswasSie für das Microsoft

Seminar

20-413 und die

Zertifizierungsprüfung

„Entwerfen und Implementieren

einer Windows Server-Infrastruktur"

benötigen.

Inhaltsverzeichnis

Liebe

Leserinnen,

liebe Leser 3

Dieses Buchist ein

vollständiges

Seminarhandbuchfür das 20413Seminar 3 Was ist der Vorteil

gegenüber

den Microsoft

Seminarunterlagen?

³

Warumsollten Sie sich mit Server-Infrastrukturen

beschäftigen?

³ Was haben Server-Infrastrukturen undIT-Servicemanagementmiteinanderzutun? 4

Hier

geht

^{es um}

Planung

^und

Implementation

^{von 4}

Server-Infrastrukturen

mit Microsoft Windows Server

Technologien

¹¹

Tipps

^fürdas

Ausprobieren

^vonFunktionen ¹²

Welche Themen werden im Buch behandelt? 12

1. Die Server-Infrastruktur 14

1.1

Serverupgrades

^und

Servermigration

¹⁴

1.1.1

Upgrade

^und

^Migration

¹⁴

Für welche Edition sollten Sie sich entscheiden? 14

Anforderungen

^andie Hardware 15

Direktes

Upgrade

^voneiner Vorversionvs.

Servermigration

¹⁵

Verfügbare

Tools für die

Upgrade-

^oder

Migrationsplanung

¹⁶

DieKonsolidierung^{vonServern 17}

Das EntwickelnvonPlänenzu

Server-Upgrades

^und

-Migrationen

¹⁷

Die Server

Migration

über Domänen 18

1.1.2 Die

Virtualisierung

^{und derEinsatz inderCloud 19}

Die

Auslagerung

vonServer in die Microsoft Azure Cloud 19 So verwenden Sie das Microsoft Assessment andPlanning^{Toolkit 22}

SonutzenSie das MAP-Toolkit 23

1.2 Die

Server-Bereitstellungsinfrastruktur

²⁶

1.2.1 DasEntwickelneines

Bereitstellungsplans

²⁷

DieErstellungsstrategiefür ein Server- bzw.

Betriebssystemabbild

²⁷

Was ist das WindowsImageDatei Format(WIM) ²⁷

Die verschiedenen

Installations-Strategien

²⁸

Auswählen einerStrategie^zurautomatischen

Bereitstellung

²⁸

Implementieren

einer automatisiertenBereitstellungsstrategie ³⁰ 1.2.2^DieTools^zurabbildbasiertenInstallationvonWindows 30

Die

Bereitstellungsszenarien

³³

Sobereiten Sie mit DISM ein Windows Server 2012 Abbildvor 33 SostellenSie einImage^{mit demWindowsDS}Dienst bereit 38 1.3 BereitstellenvonServern mit dem Virtual Machine

Manager

⁴³

Übersicht

über die Tools zum Bereitstellen^vonvirtuellenComputern ⁴³

Der Virtual MachineManager (VMM) ⁴⁴

So werden HostszumVMM

hinzugefügt

⁴⁵

Das VerwaltenvonHosts die nichtderDomäne

angehören

⁴⁹

Speicher

und Netzwerk für virtuelle Maschinen 50

1.3.1 DasVMM Fabric

Management

⁵¹

Solegen^SielogischeNetzwerke in der Fabrican: 52

Die

Bereitstellung

^vonVMM Libraries und Profilen 56

So nutzenSie Profile 57

Überlegungen

und Best Practice für das NutzenvonProfilen 60

So stellen Sie virtuelle Maschinen mit Profilen bereit 60

1.3.2 VMM Servicesmit Service

Vorlagen

bereitstellen 63

Die

Vorlagen

für virtuelle Maschinen und Services: 63

Dienstvorlagen ⁶⁴

So

konfigurieren

Sie virtuelle Maschinen undDienstvorlagen ⁶⁴ Das Bereitstellenvonvirtuellen Maschinen mit dem

App

^{Controller 66}

2. Die

Netzwerk-Infrastrukturdienste

68

2.1 Planen und Wartenvon

IP-Konfigurationen

^und

Adressverwaltung

⁶⁸ 5

2.1.1

Strategien

^{für die}

Bereitstellung

^{vonDHCP 68}

Strategien

für die

DHCP-Verfügbarkeit

⁶⁹

Das DHCP-Failover 70

So richten Sie DHCP-Failover ein 71

IPv6 und DHCP 74

Migration

der DHCP-Serverrolle 75

DHCP-Bereiche und deren

Optionen

⁷⁶

2.1.2

Strategien

^{für eine}

Bereitstellung

^{vonIPAM 77}

Waskann^{IPAM? 77}

Richtlinien und Best Practices für dieIPAM-Bereitstellung ⁷⁹

So bereiten Sie IPAMvor 79

Anforderungen

der Infrastruktur für

IPAM-Bereitstellungen

⁸²

So

integrieren

Sie DHCP und DNS Server in IPAM 82

Zusammenfassung^derPlanungen^{für die}

Nutzung

^{vonIPAM 87} So verwalten Sie Adressbereiche und DHCP Server mit IPAM 88 Die

Integration

^vonIPAM in den Virtual Machine

Manager

⁹⁰

2.2 Planen und

Implementieren

^der

Namensauflösung

⁹¹

Analysen

^und

Planungen

für die DNS-Server

Bereitstellung

⁹¹ 2.2.1 Auswahl des

geeigneten

Szenarios fürden DNS-Namensraum 93

DNS-Zonen entwerfen und

Implementieren

⁹⁴

DieGlobalNamesZone 95

So erstellen Sie DNS-Zonen 96

2.2.2 Die

Zonenreplikation

^und

Zonendelegierung

¹⁰²

Das Einbeziehenvon

Zonenreplikation

^und-Delegierung ¹⁰²

Wie

integrieren

Sie Namensräume? 103

Soaktivieren^Sie

Zonenübertragungen

¹⁰⁵

Optimieren

Ihrer DNS-Infrastruktur 106

2.2.3Sicherheit^{und hohe}

Verfügbarkeit

^{für DNS 109}

Mögliche

Bedrohungenfür Ihre DNS-Infrastruktur 110

DNSSECin WindowsServer2012 R2 113

Soimplementieren^{Sie die}Namensauflösung nach^Ihren

Anforderungen

¹¹⁵

2.3

Speicher

und Datendienste 119

Die Komponenten^{einesSAN 120}

2.3.1Wasist iSCSI 121

Planungen^{für die}Implementation^{voniSCSI-SANs 121}

HoheVerfügbarkeit^{für iSCSI 122}

Sicherheitsoptionen

^{für iSCSI 122}

Soimplementieren^{Sie iSCSI 123}

2.3.2 Was sind

Speicherplätze

¹²⁹

So

konfigurieren

Sie

Speicherplätze

¹³²

2.4 Die Dateidienste ¹³⁸

Wichtige Überlegungen

^fürdieVerwendung^vonDFSNamespace ¹³⁹ Wichtige

Überlegungen

^{für die}Verwendungvon DFS

Replikation

¹⁴⁰

2.4.1 So richten Sie DFS ein 140

Soerstellen Sie einenNamespace ¹⁴¹

So erstellen Sie Ordner und Ordnerziel in Ihrem

Namespace

¹⁴³

Soerstellen Sie

Replikationsgruppen

¹⁴⁵

Wichtige

Überlegungen

^fürdie VerwendungvonBranchCache ¹⁴⁷

2.4.2 So

konfigurieren

Sie BranchCache 149

Sokonfigurieren^SieBranchCacheauf einemDateiserver ¹⁵⁰

So

konfigurieren

Sie BranchCache auf einem Client 153

Speicheroptimierungsmöglichkeiten

^mitWindowsServer 2012 R2 154

3. Die

logische

^Active

Directory-Infrastruktur

¹⁵⁶

Gesamtstmlctur-Infrastruktur und Domäneninfrastruktur ¹⁵⁶

3.1 Die AD DS-Gesamtstruktur ¹⁵⁶

Die Auswahl des

geeigneten

^{Modells 157}

3.1.1ADDS-Gesamtstruktur

Vertrauensstellungen

¹⁵⁸

6

Die

Eigenschaften

von

Gesamtstruktur-Vertrauensstellungen

¹⁵⁸

Mögliche

Sicherheitsbedenken bei

Gesamtstruktur-Vertrauensstellungen

¹⁵⁹

Soerstellen Sie eine

Gesamtstruktur-Vertrauensstellung

¹⁶⁰

3.1.2 Active

Directory Integration

mit Windows Azure Active

Directory

¹⁶⁹

Möglichkeiten

^{für die}

Integration

^vonlokaler

Authentifizierung

^{in Azure 169} Wie

synchronisieren

^SieDirectoryInformationen in die Cloud? 170

3.2 Active

Directory

Domänendienst-Domänen 170

Gründe für^die

Implementierung

vonmehreren Domänen 172

Wie viele Domänen sind sinnvoll? 172

Richtlinien undBestPractices für diePlanung^{vonDomänen 173} SoimplementierenSie eine AD Domäne in eine Gesamtstruktur 173

DNS-Namespaces

^{in AD DS}

Umgebungen

¹⁷⁶

Die

DNS-Anwendungspartition

177

Der

Replikationsbereich

¹⁷⁸

Richtlinien und Best Practices für die

Implementation

^vonDNS-Servern in Active

Directory

Domänenstrukturumgebungen ¹⁷⁸

3.3 Die Active

Directory Domänenstruktur-Vertrauensstellung

¹⁷⁹

RichtlinienundBest PracticesfürdenEntwurfvonDomänenvertrauensstellungen ¹⁸⁰ 3.4 Entwurfund

Implementation

^von

Organisationseinheiten

¹⁸¹

3.4.1 Das Modellzum

Delegieren

vonadministrativen AD

Verwaltungsaufgaben...182

Vereinfachen Ihres Modells 183

Besondere

Überlegungen

^zur

Rechtedelegierung

^fürFilialen ¹⁸⁴

Benötigte Informationen^{für den}Modellentwurf 184

Strukturen 184

Ressourcen 185

Prozesse 185

3.4.2 Das

Design

^von

Organisationseinheiten

¹⁸⁶

DieStrategien^{für das}Design ¹⁸⁶

Welche

Optionen

stehen für das

Delegieren

^von

Verwaltungsaufgaben

^zur

Verfügung

¹⁸⁸

So erteilen Sie administrativeBerechtigungen ¹⁸⁹

Design^von

Organisationseinheiten

^zumDelegieren^vonVerwaltungsfunktionen ¹⁹²

Design

^von

Organisationseinheiten

^zur

Durchsetzung

^von

Gruppenrichtlinien

¹⁹³

Design^vonOrganisationseinheiten-Hierarchien ¹⁹⁴

Der Schutzvon

Organisationseinheiten

^vorversehentlichem Löschen 195

So schützen Sie AD

Organisationseinheiten

¹⁹⁵

So bearbeiten SieOrganisationseinheiten ¹⁹⁶

3.5 Die Active

Directory Gruppenstrategie

²⁰⁰

Die Active

Directory Gruppen

²⁰⁰

DieBenennungsstrategie^fürGruppen ²⁰¹

Strategien

für das Verwendenvon

Gruppen

^{für den}

Ressourcenzugriff.

²⁰¹

Die

Planung

^{für die}

Gruppenverwaltung

²⁰²

So aktivieren sie dieSelf-Service-Verwaltung für^Benutzer 203 Richtlinien undBestPractices für die Active

Directory Gruppenstrategie

²⁰⁴

So erstellen undVerwalten SieGruppen^{mit dem}

Verwaltungscenter

²⁰⁵

Sofügen^{Sie einer}Gruppe

Mitglieder

^{hinzu 206}

4. Die

physische

^Active

Directory-Infrastruktur

²⁰⁹

4.1Die

Strategie

^für

Gruppenrichtlinienobjekte

²⁰⁹

DienotwendigenInformationen füreine

Gruppemichtlinienstrategie

²⁰⁹ 4.2 Das Entwerfen und

Implementieren

^von

Gruppenrichtlinienobjekten

²¹¹

Kategorien

^der

Gruppenrichtlinieneinstellungen

²¹¹

Informationen und

Überlegungen

^zumDesign^deradministrativen Vorlagen ²¹³ Informationen und

Überlegungen

^zum

Design

^von

Gruppenrichtlinien-Voreinstellungen

²¹⁵

BestPractices für das

Design

^von

Grappenrichtlinienobjekten

²¹⁶

DieVerwaltung^von

Gruppemichtlinienobjekten

²¹⁷

Alternativen für die

Verwendung

^von

Gruppenrichtlinienobjekten

²¹⁷

4.2.1 So erstellen Sie eine

Gruppenrichtlinie

²¹⁷

So erstellen Sie ein

Gruppenrichtlinienobjekt:

²¹⁸

7

Soerstellen Sie die

Gruppenrichtlinie:

²²⁰

Blocken einer

Anwendung

^{anhand des}Dateipfades ²²³

Blocken einer

Anwendung

anhand des Dateihashes 226

4.2.2 Die

Verarbeitung

von

Gruppenrichtlinienobjekten

228

Die

Vererbung

^von

Gruppenrichtlinien

²²⁹

Die Filterungvon

Gruppenrichtlinien

230

Der Einflussvon

langsamen Verbindungen

²³⁰

Überlegungen

und Best Practices für das

Design

^der

Gruppenrichtlinienverarbeitung

²³⁴

4.2.3 Das Planen der

Gruppenrichtlinienverwaltung

²³⁵

DasPlanen der

Migration

^von

Gruppenrichtlinienobjekten

²³⁸

Best Practices für dasDesign^der

Gruppenrichtlinienverwaltung

239 So schränken Sie die

Wirkung

^einer

Gruppenrichtlinie

auf bestimmte Benutzer ein 240

So sichern SieeineGPO 240

4.3 Die

Standorttopologie

^{für Active}

Directory

Domänendienste 241

Das

Design

^vonActive

Directory

^{Standorten 242}

VorteilevonAD DS Standorten 242

Die

Replikation

^durch

Standortverknüpfungen

²⁴²

LokalisierenvonDiensten mit Standorten 243

Ihre

Möglichkeiten

^{für das}

Design

^vonAD Standorten 243

Notwendige

Informationen^fürdas

Standortdesign

²⁴⁴

Die automatischStandortabdeckung ²⁴⁴

Richtlinienund Best Practices beim

Design

^vonAD DS Standorten 245

So_erzeugenSieStandortobjekte ²⁴⁶

4.4 DieADDS

Replikation

²⁴⁷

Die AD DS

Replikationskomponenten

²⁴⁸

Was sind KCC und ISTG 250

Optionen

^{für das}

Design

^der

standortübergreifenden Replikation

²⁵¹ Richtlinien und Best PracticeszurAuswahleines

Replikationsprotokolls

252 Die Besonderheitenvom

globalen Katalog

^{und der}

RODC-Replikation

²⁵³

Die

SYSVOL-Replikation

²⁵³

DasDesign^vonStandortverknüpfungen ²⁵⁴

Die

Bridgeheadserver

²⁵⁵

Die

Überbrückung

von

Standortverknüpfungen

²⁵⁷

So richten Sie die Active

Directory Replikation

^{ein: 259}

4.5

Platzierung

^derDomänencontroller ²⁶²

Die

Hardwareanforderungen

für Domänencontroller 262

BereitstellenvonDomänencontrollern auf dem Server Core 263 Richtlinien und Best Practices für diePlatzierungvon Domänencontrollern 263 Richtlinien und Best Practices für die

Platzierung

^von

globalen Katalogen

²⁶⁴ Richtlinien undBestPractices^{für die}

Platzierung

der Betriebsmaster 264 Richtlinien und Best Practices für die

Überwachung

vonDomänencontrollern 265 DieNutzung^{vonMicrosoftAzure}für Domänencontroller 268

4.5.1 Das VirtualisierenvonDomänencontrollern ²⁶⁸

Überlegungen

^zur

Virtualisierung

²⁶⁸

Das^{Sichernvonvirtuellen}Domänencontrollern ²⁶⁹

Richtlinien und Best Practices für das Bereitstellenvonvirtuellen Domänencontrollern 270

Klonenvonvirtuellen Domänencontrollern 271

4.5.2 Das

Design

^von

hochverfügbaren

Domänencontrollern 271

Richtlinien und Best Practices für das Planen der hohen

Verfügbarkeit

²⁷¹

Benötigte

Komponenten^fürhohe

Verfügbarkeit

^{vonAD DS 272} Richtlinien und Best Practices für dasDesign^vonhochverfügbarenDomänencontrollern 273 Richtlinien und Best Practices für das

Design

^von

hochverfügbaren globalen Katalogservern....

²⁷⁴ RichtlinienundBest Practices für dasDesign^einer

hochverfügbaren

DNS-Infrastruktur 274 Richtlinien und Best Practices für das

Design

^einer

hochverfügbaren

Netzwerk-Infrastruktur.... 274 Richtlinien und^BestPractices für

Sicherung

^und

Wiederherstellung

^{in AD DS 275}

Der ActiveDirectory-Papierkorb ²⁷⁵

Die Active

Directory-Wiederherstellung

²⁷⁷

5.

Remote

Access und

Netzwerkzugriffschutz

²⁷⁸

8

5.1 Die Remote Access Dienste 278

Methoden fürden

Remotezugriff

²⁷⁹

5.1.1 DirectAccess 279

DirectAccess-Komponenten

²⁸⁰

Der

Planungsumfang

der DirectAccess

Implementierung

²⁸²

Die DirectAccess Infrastruktur 282

Webserver und^PKI 284

Der Network Location Server 285

Die

Optionen

^{für die}

Netzwerkkonfiguration

285

Richtlinien und Best Practices für die DirectAccess

Implementation

²⁸⁶ SonutzenSie für den DA-Server den Assistentenfürerste Schritte 287

5.1.2 VPN 294

Die

Planung

^einer

Strategie

für VPN-Dienste 295

DieAuswahl einesgeeignetenTunnel-Protokolls für VPN 296

Die Auswahl der

Authentifizierungs-

^und

Verschlüsselungsmethode

²⁹⁷

Planen der Richtlinien für den

Netzwerkzugriff

²⁹⁹

Planungen

^{für die}

Clientverbindungen

^mitVPN 302

So

implementieren

^{Sie VPN 302}

So installieren Sie die

notwendigen

Serverrollen für den VPNServer 302 Soaktivieren Sie VPN,^wennbereitsDirectAccesskonfiguriert^{wurde 305} SoaktivierenSieVPN,wennnoch keine

RAS-Konfigurationen durchgeführt

^{wurden 306} So erstellen Sie Netzwerkrichtlinien auf dem Netzwerkrichtlinienserver 309

So

konfigurieren

Sie dieVPNClients 312

5.1.3 Web

Application Proxy

³¹⁷

DieOptionen für^dieAuthentifizierung ³¹⁷

Richtlinien und Best Practices für SSO 317

Das Veröffentlichenvon

Applikationen

³¹⁸

Richtlinien und Best Practices für

Workplace

^{Join 318}

5.1.4 Planen einer

hochverfügbaren

^und

komplexen

Remote Access Infrastruktur.318 Richtlinien undBestPracticesfür den

Lastenausgleich

318

Die Remote Access

Kapazität

³¹⁹

Remote Access bei verschiedenen Standorten 319

Remote Access übermehrere Gesamtstrukturen 320

5.1.5 Das Planen der RADIUS

Implementierung

³²⁰

Die RADIUS RollenvonWindows Server 2012 R2 320

Verbindungsanforderungsrichtlinien

³²¹

Die

Konfiguration

^der

Verbindungsanforderungsverarbeitung

³²² Richtlinien undBestPracticesfürdie

RADIUS-Implementierung

322

Soimplementieren^{Sie RADIUS 322}

So

konfigurieren

Sie den RADIUS-Client 324

SoerstellenSiedie Netzwerkrichtlinien aufdemNetzwerkrichtlinienserver 327

So

konfigurieren

Sie die VPN Clients 328

5.2 Der Schutz Ihres Netzwerks 329

Mögliche Bedrohungen ³³⁰

Die

wichtigsten

^vier

Prinzipien

für die Netzwerksicherheit 330

DerProzess fürdas

Designen

^derSicherheit 332

Prozeduren und Richtlinien für die Netzwerksicherheit 333

5.2.1 Windows Firewall

Strategien

333

Szenarien für die Windows Firewall 334

Das

Konfigurieren

^von

eingehenden

^und

ausgehenden Regeln

auf der Windows Firewall 334

Die

Verwendung

^vonIPsec mit der Windows Firewall 336

DieVerbindungssicherheitsregeln ³³⁷

Der Assistent fürneue

Verbindungssicherheitsregeln

³³⁷

Richtlinien undBestPractices^{für das}

Design

^der

Netzwerksicherheitsregeln

338 So erstellen Sie Firewall- und

Verbindungssicherheitsregeln

³³⁹

5.2.2 Die

Netzwerkzugriffschutz-Infrastruktur

343

DieIntegritätsrichtlinien ³⁴⁴

Die Netzwerkrichtlinien 345

9

Die

NAP-Erzwingung

346

DerNetzwerkbereich mit denWartungsservern ³⁴⁷

Soimplementieren^SieNetzwerkzugriffschutz 348

5.2.3

Netzwerkzugriffschutz

^durch

dynamische Zugriffssteuerung

360

Ansprüche 361

Identität 362

Dateiklassifizierung

bzw. die Ressourceneigenschaften ³⁶²

Die zentrale

Zugriffsrichtlinie

³⁶³

Die Gründe fürden Einsatz^vonDAC 364

Planung

^derzentralen Zugriffsrichtlinie 364

Die

Dateiklassifizierungen

³⁶⁵

Die

Dateizugriffsüberwachung

³⁶⁷

Unterstützung^nach„Zugriff verweigert" ³⁶⁸

Was wird für die

Bereitstellung

^vonDAC mindestens

benötigt

³⁶⁹

Best Practices für die

Implementation

vonDAC 369

5.2.4 So erstellen Sie zentrale

Zugriffsregeln

und -Richtlinien 369

So bereiten Siealles^fürDACvor 370

So

konfigurieren

SieDAC 373

So

implementieren

^{Sie DAC 379}

Soführen Siedie

Überprüfung

^undFehlerbehebung^{vonDAC durch 383} Sokonfigurieren^{Sie die}

„Unterstützung

^nach

Zugriff verweigert"

384

Anhang

A: Verwendete Powershell Cmdlets

und Kommandozeilen-Tools.... 386

1. Die Server-Infrastruktur .386

1.2Die

Server-Bereitstellungsinfrastruktur

386

2 Planen und Wartenvon

IP-Konfigurationen

^undder

Adressverwaltung

³⁸⁷

2.1.DHCP 387

2.2 DNS 387

2.4 Planen und

Implementieren

vonDateidiensten 388

3.

Konzeption

^und

Implementierung

^der

logischen

AD-Infrastruktur 388 3.4 Das Entwerfen und

Implementieren

der InfrastrukturvonActiveDirectory

Organisationseinheiten:

³⁸⁸

4.

Konzeption

^und

Implementierung

^der

physischen

AD-Infrastruktur 389

4.1DieStrategie^für

Gruppenrichtlinienobjekte

389

5. Remote Access und

Netzwerkzugriffschutz

³⁸⁹

5.2 Der Schutz IhresNetzwerks 389

Anhang

^B:

Übersicht

über Ports und Ihre

Verwendung ³⁹⁰

Anhang

^{C: Weitere}

Informationen

391

Wer hat dieFSMO-Betriebsmasterrolleninne? 391

Das

Übertragen

der Betriebsmasterrollen mit„ntdsutil.exe" 391

Anhang

D: So richten Sie

wichtige Infrastrukturdienste

ein 393 So

implementieren

Sie die Active

Directory

Zertifikatsdienste 393 So

implementieren

^SieeinenRouter aufBasisvonMicrosoft Windows Server 2012 R2 396

Index 402

10