Active Directory Einrichtung – Server 2019

Da ich keine meiner Demo Umgebungen auf Server 2019 migrieren wollte habe ich eine Neueinrichtung vorgenommen. In diesem Artikel ist die Einrichtung einer Active Directory Umgebung zusammengefasst. 

Grundsätzlich kann diese Anleitung auch als Basis für ein Active Directory das im Produktivbetrieb eingesetzt wird verwendet werden.

Bei Windows Server 2019 hat sich auf den ersten Blick nicht viel geändert. Microsoft bietet die Aufzeichnung eines Webinar zu dem Thema an.

Anmerkung: Zur Netztrennung zwischen meinen Demoumgebungen nutze ich eine virtuelle pfsense.

Vorbereitungen

Die Hardwareanforderungen an eine Domain Controller sind gering. In meinem Fall begnügt sich der Server mit 2GB Ram und 2 CPU Kernen.

Während der Installation und den Windows Updates gebe ich ihm mehr Arbeitsspeicher und CPU-Kerne damit es flotter vorangeht.

Beim zweiten Domain Controller bietet es sich an den Server im Core Modus zu installieren. Dieser lässt sich problemlos in Server Manager integrieren und von dort Verwalten. 

Obacht, die Vorauswahl bei der Installation steht auf Core Installation. Die grafische Oberfläche kann nicht wie bei Server 2016 nachträglich installiert werden.

Hier die Bilderstrecke der Installation

Nach der Installation aktualisieren wir den Server mit allen vorhandenen Windows Updates.

Bevor der Server zum Domain Controller hochgestuft werden kann vergeben wir eine Statische IP-Adresse und geben ihm einen „sprechenden Namen“ z.B. „ADS01“

weiterlesen

Intelligenter Hintergrundübertragungsdienst (BITS)

Microsoft Virtual Machine Converter 3.1

Hier habe ich die Virtualisierung eines Windows Server 2008R2 bei meinem Kumpel Andi begleitet.

Der MVMC wurde von Microsoft eingestellt (bereits zum 1. Juni 2017) und durch Azure Site Recovery ersetzt. Ein Fehler auf der Microsoft Website weist den Download als Version 3.0 aus. Das MSI-Paket ist die zuletzt veröffentliche Version 3.1.

Vorbereitungen

Vor einer Virtualisierung sind verschiedene Dinge zu klären bzw. zu prüfen. Beginnen wir mit dem Quellsystem:

  • ist besondere Hardware bzw. Peripherie angeschlossen? (z.B. Serielle Verbindungen, USB-Hardware)
  • Hersteller Support auch nach der Virtualisierung? (Es gibt tatsächlich Hersteller die sich damit schwer tun)
  • Lokale Lizenzserver die auf die Hardware geschlüsselt sind
  • Lizenz-Dongel können mit USB-Device-Server bereitgestellt werden (Ich habe bisher gute Erfahrungen mit Silex gemacht)
  • wie wird das System später gesichert? Werden zusätzliche Datenbankdumps benötigt?

Bei dem Zielsystem müssen wir auch einige dinge beachten

  • Wird das Gastsystem unterstützt (evtl. werden Servicepacks auf dem Gast oder Host benötigt)
  • Ausreichend Recourcen vorhanden (Storage, CPU, Arbeitsspeicher)
  • Anpassung bzw. Erweiterung des Backups nötig

Wenn diese Punkte geklärt sind kann es losgehen.

Installation Virtual Machine Converter

bei der Installation muss außer den Systemanforderungen nichts weiter beachtet werden. Bei unserem Hyper-V setze ich voraus das das System aktuell ist! Sprich Windows Updates, Treiber und Firmware des System sind auf dem neusten Stand.

In der Regel Installiere ich den MVMC auf dem Virtualisierungshost (in diesem Fall Microsoft Server 2016) zusätzlich wird benötigt

  • Microsoft .NET Framework 4.5
  • Windows PowerShell Runtime
  • Windows Feature Bits Compact server
  • Visual C++ Redistributable for Visual Studio 2012 Update 1
weiterlesen
System Aktiviert

Windows Server 2016 – Aktivieren

Hier zeige ich wie ihr eine Testversion (Evaluation) von Windows Server 2016 aktivieren könnt. Das Microsoft EvaluationCenter findet ihr hier.

Um die entsprechende Version zu aktivieren verwende ich DISM (Deployment Image Servicing and Management) die benötigten Parameter sind in diesem MSDN-Artikel beschrieben.

Ich verwende DISM in einer normalen Shell (mit Administrativen Rechten). Microsoft bietet auch entsprechende PowerShell cmdlets an.

Zuerst klären wir welche Version installiert ist. Dazu nutzen wir den Befehl

Windows cmdShell
dism Get-CurrentEdition

Danach prüfen wir in welche Version sich die Installierte Version umwandeln lässt

dism Get-TargetEdition

Nun bauen wir uns den Befehl zusammen um den Server zu aktivieren

dism Set-Edition

Nach der Konvertierung und einem Neustart sollte der Server automatisch aktiviert worden sein.

Windwos cmdShell
Server Aktivierung mit DISM

System Aktiviert
Systemsteuerung

Anmerkung:

Die DISM Parameter sind nicht „synchron“ in der PowerShell. Hier stellt Microsoft eine Mapping Tabelle bereit.

Mit DISM++  gibt es eine grafische Oberfläche für das umfangreiche Befehlszeilen

PowerShell

Windows 10 – Vorinstallierte Anwendungen deinstallieren

PowerShell
Deinstallation mit Get-AppxPackage „Package“ | Remove-AppxPackage

Microsoft liefert Windows 10 mit einer Reihe zusätzlicher Anwendungen aus. Vieles davon benötige ich nicht. Da ich für meine Garage einen Rechner neu installiert habe (Windows 10 Version 1803) habe ich das zum Anlass genommen mein PowerShell-Script zu überarbeiten.

Das Ergebnis ist die Version 0.3 meines win-10-app-cleaner.ps1 Script. Ich habe das Script unterteilt damit es sich einfach anpassen lässt.

In meinem Script werden die Anwendungen global deinstalliert. Im Script wird dazu Get-AppxPackage verwendet in Kombination mit Remove-AppxPackage. Die Referenz im TechNet  zu den Appx-Modul-Cmdlets findet ihr hier.

Es versteht sich von selbst die PowerShell bzw. die ISE als Administrator zu starten. Im Screenshot ist ein Block markiert und mit F8 lassen sich die gewählten Codezeilen ausführen.

Diese Liste ist nicht Vollständig. Je nach System und Laufzeit unterscheiden sich die installierten Apps. Mit dem folgenden Cmdlet verschafft ihr euch einen Überblick. Ich habe 

Im folgenden Screenshot tauchen weitere Windows Apps auf. 

PowerShell Get-AppxPackage
PowerShell Get-AppxPackage mit Alphabetisch sortierter Liste

Im TechNet kann man sich in dem Bereich Windows10-App-Verwaltung zu den Apps informieren.

Hohe Laufwerksauslastung durch .cab- und cbslog-Dateien

Bei einem meiner Windows Server 2008 R2 die ich betreue erhielt ich durch das Monitoring System eine Alarmmeldung vom Systemlaufwerk.

Server Eye Überwachung
Alarmmeldung im OCC von Server Eye

Mit der Freeware TreeSize prüfte ich das entsprechende Laufwerk. Es war damit schnell zu erkennen welche Verzeichnisse für die Auslastung verantwortlich waren. C:\Windows\Logs\CBS mit 16,3 GB und C:\Windows\Logs\CBS mit 10,3 GB. In den Ordnern lagen CbsPersist_YYYYMMDDHHMMSS.log bzw. cab_XXXX Dateien.

Woher kommen diese Dateien?

Verantwortlich ist die Windows Resources Protection. Die Log-Datei kann aufgrund der Größe nicht mehr in eine CbsPersist_YYYYMMDDHHMMSS.cab Archiviert werden. weiterlesen

Per Powershell Exchange Postfach als .pst-Datei exportieren und importieren

Möchte man ein Postfach als .pst-Datei exportieren kann man dazu z.B. Outlook verwenden oder man nimmt die Powershell, genauer gesagt die Exchange Managemet Shell oder lädt sich die entsprechenden CMDlets in die Powershell.

Mailbox Export

In meinem Beispiel exportiere ich ein Postfach auf einem Server 2012 R2 mit Exchange 2013. Je nach Umgebung sollte man vorher prüfen ob für den Export ausreichend Platz vorhanden ist So manches Postfach ist größer als gedacht.

Der Befehl für einen Export ist simpel, eine Vollständige Übersicht der Parameter gibt in diesem TechNET-Artikel.

[code]

New-MailboxExportRequest -Mailbox POSTFACH -Filepath ZIEL

[/code]

Postfach: Gültige Werte sind Alias, Anzeigename oder SMTP-Adresse
ZIEL: Ein Ziel per UNC Pfad Angeben

Der zusammengesetzte Befehl lautet in meinem Fall so:

[code]

New-MailboxExportRequest -Mailbox info –FilePath \\localhost\work\info.pst

[/code]

weiterlesen

Active-Directory-Papierkorb aktivieren, AD-Elemente wiederherstellen

In der Artikelserie Aufbau eines AD mit Windows Server 2008R2 aktivieren wir heute den AD Papierkorb. Dieser ist Standardmäßig deaktiviert und muss manuell aktiviert werden. Microsoft sieht nicht vor den Papierkorb wieder zu deaktivieren.

Wer die anderen Artikel gelesen hat, der hat mitbekommen das ich bei dem Low-Budget Project keine teuere Datensicherungssoftware einsetzen kann, die AD Elemente Granular zurücksichern kann (z.B. Symantec BackupExec). Der Praktische nutzen des AD Papierkorb ist, dass ein gelöschtes Objekt Vollständig wiederhergestellt werden kann. Benutzer werden mit ihren Berechtigungen und Gruppenmitgliedschaften wiederhergestellt. Ganze OUs mit deren Inhalten.

Damit der AD Papierkorb eingerichtet werden kann muss unsere Domain mindestens die Version „Server 2008R2“ Neudeutsch Forrest Funcional Level besitzen. Damit werden die gelöschten Objekte Standardmäßig 180 Tage gespeichert.

Der Papierkorb wird auf dem Schemata Master aktiviert. In Meiner AD infrastruktur gibt es nur einen Server und daher ist er automatisch der Schemata -Master. In einer größeren Umgebung müssen wir erst den Schemata Master ermitteln. Dazu einfach die Powershell öffnen und mit dem Befehl netdom query fsmo Anzeigen lassen.

netdom query fsmo
Betriebsmasterrollen per Powershellbefehl abfragen

weiterlesen

Ordner / Laufwerke mit Robocopy-Script synchronisieren

Auch ich arbeit häufig mit Robocopy. In der Regel per shell. Natürlich gibt es dazu auch praktische GUIs. Mit diesen habe ich mich bisher aber nur rudimentär beschäftigt. Am ende des Beitrags werde ich mehrere verlinken. Da meine Scripte mit robocopy eher statisch sind z.B. Umzug eines Fileserver oder Spiegelung von Ordnern oder Festplatten, hier mein Standard-Script. In meinem Script Spiegele ich 1:1 Quelle und Ziel sind nachher identisch ohne Ausschluss von Temporären oder anderen unnötigem Ballast.

Hier das zerlegte Script mit seinen Optionen

OptionBeschreibung
1/MIRerstellt einen Spiegel des Verzeichnis (Dateien werden erstellt und ersetzt. Dateien die nicht in der Quelle vorhanden sind werden im Ziel gelöscht)
2/CopyAllDie Dateien werden incl. der Dateiattribute kopiert
3/TEEDas Log wird auf dem Bildschirm und als Datei ausgegeben
4/R:1Anzahl der Wiederholungen bei fehlgeschlagenem Kopiervorgang
5/W:2gibt die Wartezeit in Sekunden an bevor erneut versucht wird zu kopieren
6/MT:16Multi-Threading gibt die Anzahl der gleichzeitigen Kopieen an
7/DCOPY:TExplizite Option für Zeitstempel (Damit hatte ich bereits Ärger, Unterordner mit Leerzeichen im Verzeichnisnamen wurde ohne die Option mit falschem Datum kopiert. Deshalb habe ich das eingebaut)
8/LOG:Pfad für die Log-Datei

Hier das Script zusammengesetzt:

Wie bereits in der Einleitung erwähnt hier zwei grafische Oberflächen für robocopy. Mit beiden habe ich bereits erfolgreich gearbeitet.

Windows Server 2008R2 – Zeitsynchronisierung mit einem externen NTP-Server konfigurieren

In diesem Artikel zeige ich wie man bei einem Windows Server 2008R2 einen externen NTP-(Network Time Protocol) Zeitdienst konfiguriert. Dazu möchte ich noch ein paar Sätze schreiben.

In der Regel arbeite ich in Active Directory-Umgebungen mit ein oder zwei Domaincontrollern. Hier ist die Konfiguration unproblematisch. Der PDC (Primäre Domain Controller) hat die FSMO-Rolle PDC-Emulator und ist somit für die korrekte Zeit der Domain verantwortlich da sich alle Clients mit diesem Zeitserver abgleichen. Solange alle gleich falsch gehen ist das unproblematisch. Gleichen aber z.B. Clientrechner ihre Zeit mit einer anderen  Zeitquelle ab und weicht diese Zeit vom Domaincontroller ab wird es zu Probleme mit Kerberos kommen. Der Dienst der für die Zeitsynchronisierung verantwortlich ist w32time. Wir begeben uns dazu in die Kommandozeile da Microsoft hierfür kein grafische Konfiguration bereitstellt. Alternativ wäre es auch möglich die Konfiguration über die Windows Registry durchzuführen. Mit dem Befehl

[code]
w32tm /config /manualpeerlist:TIMESERVER /syncfromflags:manual /reliable:yes /update
[/code]

Hierbei ist TIMESERVER eine Variable für den oder die Zeitserver mit denen Sie abgleichen möchten. Aber legen wir los und Konfigurieren nun den Server.

Mit dem Befehl w32tm /query /source lassen wir uns die aktuelle Konfiguration anzeigen.

NTP Zeitserver Konfiguration 1

weiterlesen

Praktischer Netzwerkkleinkram

Hier möchte ich eine kleine Sammlung an praktischen Netzwerkbefehlen und kleinen Scripten für meine Leser zusammenstellen. Dieser Artikel ist im Gegensatz zu den anderen nicht so ausführliche gehalten. Hier möchte ich nur eine Basis schaffen und Anregungen geben. Für jeden sollte aber etwas dabei sein. Die Sammlung werde ich nach und nach erweitern. Also ruhig mal reinschauen.

weiterlesen