Thomas Frey
Server-Infrastrukturen mit Microsoft Windows Server Technologien
AlleswasSie für das Microsoft
Seminar
20-413 und dieZertifizierungsprüfung
„Entwerfen und Implementieren
einer Windows Server-Infrastruktur"benötigen.
Inhaltsverzeichnis
Liebe
Leserinnen,
liebe Leser 3Dieses Buchist ein
vollständiges
Seminarhandbuchfür das 20413Seminar 3 Was ist der Vorteilgegenüber
den MicrosoftSeminarunterlagen?
3Warumsollten Sie sich mit Server-Infrastrukturen
beschäftigen?
3 Was haben Server-Infrastrukturen undIT-Servicemanagementmiteinanderzutun? 4Hier
geht
es umPlanung
undImplementation
von 4Server-Infrastrukturen
mit Microsoft Windows ServerTechnologien
11Tipps
fürdasAusprobieren
vonFunktionen 12Welche Themen werden im Buch behandelt? 12
1. Die Server-Infrastruktur 14
1.1
Serverupgrades
undServermigration
141.1.1
Upgrade
undMigration
14Für welche Edition sollten Sie sich entscheiden? 14
Anforderungen
andie Hardware 15Direktes
Upgrade
voneiner Vorversionvs.Servermigration
15Verfügbare
Tools für dieUpgrade-
oderMigrationsplanung
16DieKonsolidierungvonServern 17
Das EntwickelnvonPlänenzu
Server-Upgrades
und-Migrationen
17Die Server
Migration
über Domänen 181.1.2 Die
Virtualisierung
und derEinsatz inderCloud 19Die
Auslagerung
vonServer in die Microsoft Azure Cloud 19 So verwenden Sie das Microsoft Assessment andPlanningToolkit 22SonutzenSie das MAP-Toolkit 23
1.2 Die
Server-Bereitstellungsinfrastruktur
261.2.1 DasEntwickelneines
Bereitstellungsplans
27DieErstellungsstrategiefür ein Server- bzw.
Betriebssystemabbild
27Was ist das WindowsImageDatei Format(WIM) 27
Die verschiedenen
Installations-Strategien
28Auswählen einerStrategiezurautomatischen
Bereitstellung
28Implementieren
einer automatisiertenBereitstellungsstrategie 30 1.2.2DieToolszurabbildbasiertenInstallationvonWindows 30Die
Bereitstellungsszenarien
33Sobereiten Sie mit DISM ein Windows Server 2012 Abbildvor 33 SostellenSie einImagemit demWindowsDSDienst bereit 38 1.3 BereitstellenvonServern mit dem Virtual Machine
Manager
43Übersicht
über die Tools zum BereitstellenvonvirtuellenComputern 43Der Virtual MachineManager (VMM) 44
So werden HostszumVMM
hinzugefügt
45Das VerwaltenvonHosts die nichtderDomäne
angehören
49Speicher
und Netzwerk für virtuelle Maschinen 501.3.1 DasVMM Fabric
Management
51SolegenSielogischeNetzwerke in der Fabrican: 52
Die
Bereitstellung
vonVMM Libraries und Profilen 56So nutzenSie Profile 57
Überlegungen
und Best Practice für das NutzenvonProfilen 60So stellen Sie virtuelle Maschinen mit Profilen bereit 60
1.3.2 VMM Servicesmit Service
Vorlagen
bereitstellen 63Die
Vorlagen
für virtuelle Maschinen und Services: 63Dienstvorlagen 64
So
konfigurieren
Sie virtuelle Maschinen undDienstvorlagen 64 Das Bereitstellenvonvirtuellen Maschinen mit demApp
Controller 662. Die
Netzwerk-Infrastrukturdienste
682.1 Planen und Wartenvon
IP-Konfigurationen
undAdressverwaltung
68 52.1.1
Strategien
für dieBereitstellung
vonDHCP 68Strategien
für dieDHCP-Verfügbarkeit
69Das DHCP-Failover 70
So richten Sie DHCP-Failover ein 71
IPv6 und DHCP 74
Migration
der DHCP-Serverrolle 75DHCP-Bereiche und deren
Optionen
762.1.2
Strategien
für eineBereitstellung
vonIPAM 77WaskannIPAM? 77
Richtlinien und Best Practices für dieIPAM-Bereitstellung 79
So bereiten Sie IPAMvor 79
Anforderungen
der Infrastruktur fürIPAM-Bereitstellungen
82So
integrieren
Sie DHCP und DNS Server in IPAM 82ZusammenfassungderPlanungenfür die
Nutzung
vonIPAM 87 So verwalten Sie Adressbereiche und DHCP Server mit IPAM 88 DieIntegration
vonIPAM in den Virtual MachineManager
902.2 Planen und
Implementieren
derNamensauflösung
91Analysen
undPlanungen
für die DNS-ServerBereitstellung
91 2.2.1 Auswahl desgeeigneten
Szenarios fürden DNS-Namensraum 93DNS-Zonen entwerfen und
Implementieren
94DieGlobalNamesZone 95
So erstellen Sie DNS-Zonen 96
2.2.2 Die
Zonenreplikation
undZonendelegierung
102Das Einbeziehenvon
Zonenreplikation
und-Delegierung 102Wie
integrieren
Sie Namensräume? 103SoaktivierenSie
Zonenübertragungen
105Optimieren
Ihrer DNS-Infrastruktur 1062.2.3Sicherheitund hohe
Verfügbarkeit
für DNS 109Mögliche
Bedrohungenfür Ihre DNS-Infrastruktur 110DNSSECin WindowsServer2012 R2 113
SoimplementierenSie dieNamensauflösung nachIhren
Anforderungen
1152.3
Speicher
und Datendienste 119Die KomponenteneinesSAN 120
2.3.1Wasist iSCSI 121
Planungenfür dieImplementationvoniSCSI-SANs 121
HoheVerfügbarkeitfür iSCSI 122
Sicherheitsoptionen
für iSCSI 122SoimplementierenSie iSCSI 123
2.3.2 Was sind
Speicherplätze
129So
konfigurieren
SieSpeicherplätze
1322.4 Die Dateidienste 138
Wichtige Überlegungen
fürdieVerwendungvonDFSNamespace 139 WichtigeÜberlegungen
für dieVerwendungvon DFSReplikation
1402.4.1 So richten Sie DFS ein 140
Soerstellen Sie einenNamespace 141
So erstellen Sie Ordner und Ordnerziel in Ihrem
Namespace
143Soerstellen Sie
Replikationsgruppen
145Wichtige
Überlegungen
fürdie VerwendungvonBranchCache 1472.4.2 So
konfigurieren
Sie BranchCache 149SokonfigurierenSieBranchCacheauf einemDateiserver 150
So
konfigurieren
Sie BranchCache auf einem Client 153Speicheroptimierungsmöglichkeiten
mitWindowsServer 2012 R2 1543. Die
logische
ActiveDirectory-Infrastruktur
156Gesamtstmlctur-Infrastruktur und Domäneninfrastruktur 156
3.1 Die AD DS-Gesamtstruktur 156
Die Auswahl des
geeigneten
Modells 1573.1.1ADDS-Gesamtstruktur
Vertrauensstellungen
1586
Die
Eigenschaften
vonGesamtstruktur-Vertrauensstellungen
158Mögliche
Sicherheitsbedenken beiGesamtstruktur-Vertrauensstellungen
159Soerstellen Sie eine
Gesamtstruktur-Vertrauensstellung
1603.1.2 Active
Directory Integration
mit Windows Azure ActiveDirectory
169Möglichkeiten
für dieIntegration
vonlokalerAuthentifizierung
in Azure 169 Wiesynchronisieren
SieDirectoryInformationen in die Cloud? 1703.2 Active
Directory
Domänendienst-Domänen 170Gründe fürdie
Implementierung
vonmehreren Domänen 172Wie viele Domänen sind sinnvoll? 172
Richtlinien undBestPractices für diePlanungvonDomänen 173 SoimplementierenSie eine AD Domäne in eine Gesamtstruktur 173
DNS-Namespaces
in AD DSUmgebungen
176Die
DNS-Anwendungspartition
177Der
Replikationsbereich
178Richtlinien und Best Practices für die
Implementation
vonDNS-Servern in ActiveDirectory
Domänenstrukturumgebungen 178
3.3 Die Active
Directory Domänenstruktur-Vertrauensstellung
179RichtlinienundBest PracticesfürdenEntwurfvonDomänenvertrauensstellungen 180 3.4 Entwurfund
Implementation
vonOrganisationseinheiten
1813.4.1 Das Modellzum
Delegieren
vonadministrativen ADVerwaltungsaufgaben...182
Vereinfachen Ihres Modells 183
Besondere
Überlegungen
zurRechtedelegierung
fürFilialen 184Benötigte Informationenfür denModellentwurf 184
Strukturen 184
Ressourcen 185
Prozesse 185
3.4.2 Das
Design
vonOrganisationseinheiten
186DieStrategienfür dasDesign 186
Welche
Optionen
stehen für dasDelegieren
vonVerwaltungsaufgaben
zurVerfügung
188So erteilen Sie administrativeBerechtigungen 189
Designvon
Organisationseinheiten
zumDelegierenvonVerwaltungsfunktionen 192Design
vonOrganisationseinheiten
zurDurchsetzung
vonGruppenrichtlinien
193DesignvonOrganisationseinheiten-Hierarchien 194
Der Schutzvon
Organisationseinheiten
vorversehentlichem Löschen 195So schützen Sie AD
Organisationseinheiten
195So bearbeiten SieOrganisationseinheiten 196
3.5 Die Active
Directory Gruppenstrategie
200Die Active
Directory Gruppen
200DieBenennungsstrategiefürGruppen 201
Strategien
für das VerwendenvonGruppen
für denRessourcenzugriff.
201Die
Planung
für dieGruppenverwaltung
202So aktivieren sie dieSelf-Service-Verwaltung fürBenutzer 203 Richtlinien undBestPractices für die Active
Directory Gruppenstrategie
204So erstellen undVerwalten SieGruppenmit dem
Verwaltungscenter
205SofügenSie einerGruppe
Mitglieder
hinzu 2064. Die
physische
ActiveDirectory-Infrastruktur
2094.1Die
Strategie
fürGruppenrichtlinienobjekte
209DienotwendigenInformationen füreine
Gruppemichtlinienstrategie
209 4.2 Das Entwerfen undImplementieren
vonGruppenrichtlinienobjekten
211Kategorien
derGruppenrichtlinieneinstellungen
211Informationen und
Überlegungen
zumDesignderadministrativen Vorlagen 213 Informationen undÜberlegungen
zumDesign
vonGruppenrichtlinien-Voreinstellungen
215BestPractices für das
Design
vonGrappenrichtlinienobjekten
216DieVerwaltungvon
Gruppemichtlinienobjekten
217Alternativen für die
Verwendung
vonGruppenrichtlinienobjekten
2174.2.1 So erstellen Sie eine
Gruppenrichtlinie
217So erstellen Sie ein
Gruppenrichtlinienobjekt:
2187
Soerstellen Sie die
Gruppenrichtlinie:
220Blocken einer
Anwendung
anhand desDateipfades 223Blocken einer
Anwendung
anhand des Dateihashes 2264.2.2 Die
Verarbeitung
vonGruppenrichtlinienobjekten
228Die
Vererbung
vonGruppenrichtlinien
229Die Filterungvon
Gruppenrichtlinien
230Der Einflussvon
langsamen Verbindungen
230Überlegungen
und Best Practices für dasDesign
derGruppenrichtlinienverarbeitung
2344.2.3 Das Planen der
Gruppenrichtlinienverwaltung
235DasPlanen der
Migration
vonGruppenrichtlinienobjekten
238Best Practices für dasDesignder
Gruppenrichtlinienverwaltung
239 So schränken Sie dieWirkung
einerGruppenrichtlinie
auf bestimmte Benutzer ein 240So sichern SieeineGPO 240
4.3 Die
Standorttopologie
für ActiveDirectory
Domänendienste 241Das
Design
vonActiveDirectory
Standorten 242VorteilevonAD DS Standorten 242
Die
Replikation
durchStandortverknüpfungen
242LokalisierenvonDiensten mit Standorten 243
Ihre
Möglichkeiten
für dasDesign
vonAD Standorten 243Notwendige
InformationenfürdasStandortdesign
244Die automatischStandortabdeckung 244
Richtlinienund Best Practices beim
Design
vonAD DS Standorten 245SoerzeugenSieStandortobjekte 246
4.4 DieADDS
Replikation
247Die AD DS
Replikationskomponenten
248Was sind KCC und ISTG 250
Optionen
für dasDesign
derstandortübergreifenden Replikation
251 Richtlinien und Best PracticeszurAuswahleinesReplikationsprotokolls
252 Die Besonderheitenvomglobalen Katalog
und derRODC-Replikation
253Die
SYSVOL-Replikation
253DasDesignvonStandortverknüpfungen 254
Die
Bridgeheadserver
255Die
Überbrückung
vonStandortverknüpfungen
257So richten Sie die Active
Directory Replikation
ein: 2594.5
Platzierung
derDomänencontroller 262Die
Hardwareanforderungen
für Domänencontroller 262BereitstellenvonDomänencontrollern auf dem Server Core 263 Richtlinien und Best Practices für diePlatzierungvon Domänencontrollern 263 Richtlinien und Best Practices für die
Platzierung
vonglobalen Katalogen
264 Richtlinien undBestPracticesfür diePlatzierung
der Betriebsmaster 264 Richtlinien und Best Practices für dieÜberwachung
vonDomänencontrollern 265 DieNutzungvonMicrosoftAzurefür Domänencontroller 2684.5.1 Das VirtualisierenvonDomänencontrollern 268
Überlegungen
zurVirtualisierung
268DasSichernvonvirtuellenDomänencontrollern 269
Richtlinien und Best Practices für das Bereitstellenvonvirtuellen Domänencontrollern 270
Klonenvonvirtuellen Domänencontrollern 271
4.5.2 Das
Design
vonhochverfügbaren
Domänencontrollern 271Richtlinien und Best Practices für das Planen der hohen
Verfügbarkeit
271Benötigte
KomponentenfürhoheVerfügbarkeit
vonAD DS 272 Richtlinien und Best Practices für dasDesignvonhochverfügbarenDomänencontrollern 273 Richtlinien und Best Practices für dasDesign
vonhochverfügbaren globalen Katalogservern....
274 RichtlinienundBest Practices für dasDesigneinerhochverfügbaren
DNS-Infrastruktur 274 Richtlinien und Best Practices für dasDesign
einerhochverfügbaren
Netzwerk-Infrastruktur.... 274 Richtlinien undBestPractices fürSicherung
undWiederherstellung
in AD DS 275Der ActiveDirectory-Papierkorb 275
Die Active
Directory-Wiederherstellung
2775.
Remote
Access undNetzwerkzugriffschutz
2788
5.1 Die Remote Access Dienste 278
Methoden fürden
Remotezugriff
2795.1.1 DirectAccess 279
DirectAccess-Komponenten
280Der
Planungsumfang
der DirectAccessImplementierung
282Die DirectAccess Infrastruktur 282
Webserver undPKI 284
Der Network Location Server 285
Die
Optionen
für dieNetzwerkkonfiguration
285Richtlinien und Best Practices für die DirectAccess
Implementation
286 SonutzenSie für den DA-Server den Assistentenfürerste Schritte 2875.1.2 VPN 294
Die
Planung
einerStrategie
für VPN-Dienste 295DieAuswahl einesgeeignetenTunnel-Protokolls für VPN 296
Die Auswahl der
Authentifizierungs-
undVerschlüsselungsmethode
297Planen der Richtlinien für den
Netzwerkzugriff
299Planungen
für dieClientverbindungen
mitVPN 302So
implementieren
Sie VPN 302So installieren Sie die
notwendigen
Serverrollen für den VPNServer 302 Soaktivieren Sie VPN,wennbereitsDirectAccesskonfiguriertwurde 305 SoaktivierenSieVPN,wennnoch keineRAS-Konfigurationen durchgeführt
wurden 306 So erstellen Sie Netzwerkrichtlinien auf dem Netzwerkrichtlinienserver 309So
konfigurieren
Sie dieVPNClients 3125.1.3 Web
Application Proxy
317DieOptionen fürdieAuthentifizierung 317
Richtlinien und Best Practices für SSO 317
Das Veröffentlichenvon
Applikationen
318Richtlinien und Best Practices für
Workplace
Join 3185.1.4 Planen einer
hochverfügbaren
undkomplexen
Remote Access Infrastruktur.318 Richtlinien undBestPracticesfür denLastenausgleich
318Die Remote Access
Kapazität
319Remote Access bei verschiedenen Standorten 319
Remote Access übermehrere Gesamtstrukturen 320
5.1.5 Das Planen der RADIUS
Implementierung
320Die RADIUS RollenvonWindows Server 2012 R2 320
Verbindungsanforderungsrichtlinien
321Die
Konfiguration
derVerbindungsanforderungsverarbeitung
322 Richtlinien undBestPracticesfürdieRADIUS-Implementierung
322SoimplementierenSie RADIUS 322
So
konfigurieren
Sie den RADIUS-Client 324SoerstellenSiedie Netzwerkrichtlinien aufdemNetzwerkrichtlinienserver 327
So
konfigurieren
Sie die VPN Clients 3285.2 Der Schutz Ihres Netzwerks 329
Mögliche Bedrohungen 330
Die
wichtigsten
vierPrinzipien
für die Netzwerksicherheit 330DerProzess fürdas
Designen
derSicherheit 332Prozeduren und Richtlinien für die Netzwerksicherheit 333
5.2.1 Windows Firewall
Strategien
333Szenarien für die Windows Firewall 334
Das
Konfigurieren
voneingehenden
undausgehenden Regeln
auf der Windows Firewall 334Die
Verwendung
vonIPsec mit der Windows Firewall 336DieVerbindungssicherheitsregeln 337
Der Assistent fürneue
Verbindungssicherheitsregeln
337Richtlinien undBestPracticesfür das
Design
derNetzwerksicherheitsregeln
338 So erstellen Sie Firewall- undVerbindungssicherheitsregeln
3395.2.2 Die
Netzwerkzugriffschutz-Infrastruktur
343DieIntegritätsrichtlinien 344
Die Netzwerkrichtlinien 345
9
Die
NAP-Erzwingung
346DerNetzwerkbereich mit denWartungsservern 347
SoimplementierenSieNetzwerkzugriffschutz 348
5.2.3
Netzwerkzugriffschutz
durchdynamische Zugriffssteuerung
360Ansprüche 361
Identität 362
Dateiklassifizierung
bzw. die Ressourceneigenschaften 362Die zentrale
Zugriffsrichtlinie
363Die Gründe fürden EinsatzvonDAC 364
Planung
derzentralen Zugriffsrichtlinie 364Die
Dateiklassifizierungen
365Die
Dateizugriffsüberwachung
367Unterstützungnach„Zugriff verweigert" 368
Was wird für die
Bereitstellung
vonDAC mindestensbenötigt
369Best Practices für die
Implementation
vonDAC 3695.2.4 So erstellen Sie zentrale
Zugriffsregeln
und -Richtlinien 369So bereiten SieallesfürDACvor 370
So
konfigurieren
SieDAC 373So
implementieren
Sie DAC 379Soführen Siedie
Überprüfung
undFehlerbehebungvonDAC durch 383 SokonfigurierenSie die„Unterstützung
nachZugriff verweigert"
384Anhang
A: Verwendete Powershell Cmdletsund Kommandozeilen-Tools.... 386
1. Die Server-Infrastruktur .386
1.2Die
Server-Bereitstellungsinfrastruktur
3862 Planen und Wartenvon
IP-Konfigurationen
undderAdressverwaltung
3872.1.DHCP 387
2.2 DNS 387
2.4 Planen und
Implementieren
vonDateidiensten 3883.
Konzeption
undImplementierung
derlogischen
AD-Infrastruktur 388 3.4 Das Entwerfen undImplementieren
der InfrastrukturvonActiveDirectoryOrganisationseinheiten:
3884.
Konzeption
undImplementierung
derphysischen
AD-Infrastruktur 3894.1DieStrategiefür
Gruppenrichtlinienobjekte
3895. Remote Access und
Netzwerkzugriffschutz
3895.2 Der Schutz IhresNetzwerks 389
Anhang
B:Übersicht
über Ports und IhreVerwendung 390
Anhang
C: WeitereInformationen
391Wer hat dieFSMO-Betriebsmasterrolleninne? 391
Das
Übertragen
der Betriebsmasterrollen mit„ntdsutil.exe" 391Anhang
D: So richten Siewichtige Infrastrukturdienste
ein 393 Soimplementieren
Sie die ActiveDirectory
Zertifikatsdienste 393 Soimplementieren
SieeinenRouter aufBasisvonMicrosoft Windows Server 2012 R2 396Index 402
10