Alle Beiträge von Thomas Joos

Erstellen von Standortverknüpfungen und Standortverknüpfungsbrücken

Wenn Sie in Ihrem Unternehmen verschiedene Bandbreiten von WAN-Leitungen einsetzen, macht es Sinn, auch verschiedene Standortverknüpfungen zu erstellen. Sie können auf Basis jeder Standortverknüpfung einen Zeitplan festlegen, wann die Replikation möglich ist. Standortverknüpfungen können auf Basis von IP oder SMTP erstellt werden. SMTP hat starke Einschränkungen bei der Replikation und wird nur selten verwendet. Sie sollten daher auf das IP-Protokoll setzen, über das von Active Directory alle Daten repliziert werden können.

Um eine neue Standortverknüpfung zu erstellen, klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den Eintrag IP unterhalb von Inter-Site Transports und wählen im Kontextmenü den Eintrag Neue Standortverknüpfung aus.

Um eine neue Standortverknüpfung zu erstellen, klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den Eintrag IP unterhalb von Inter-Site Transports und wählen im Kontextmenü den Eintrag Neue Standortverknüpfung aus.

Nachdem Sie die Erstellung einer neuen Standortverknüpfung gewählt haben, erscheint das Fenster, in dem Sie die Bezeichnung der Standortverknüpfung sowie die Standorte eingeben. Wählen Sie den Namen der Standortverknüpfung so, dass bereits durch die Bezeichnung der Standortverknüpfung darauf geschlossen werden kann, welche Standorte miteinander verbunden sind, zum Beispiel Berlin <> Frankfurt oder auch die Art der Verbindung zwischen den verschiedenen Niederlassungen.

Erstellen von neuen Standorten über Active Directory-Standorte und -Dienste

Sobald die Voraussetzungen für die Routingtopologie vorhanden sind, sollten Sie die einzelnen physischen Standorte im Snap-In „Active Directory-Standorte und -Dienste“ erstellen.

Wenn Sie das Snap-In öffnen, wird unterhalb des Eintrags „Sites“ der erste Standort als Standardname-des-ersten-Standorts bezeichnet. Sie finden das Snap-In am schnellsten über den Server-Manager im Menü „Tools“. Im ersten Schritt sollten Sie für diesen Standardnamen den richtigen Namen eingeben, indem Sie ihn mit der rechten Maustaste anklicken und im Kontextmenü den Befehl „Umbenennen“ wählen.

Sie müssen die Domänencontroller im Anschluss nicht neu starten, der Name wird sofort aktiv. Als Nächstes können Sie alle notwendigen Standorte erstellen, an denen Sie Domänencontroller installieren wollen. Klicken Sie dazu mit der rechten Maustaste im Snap-In auf Sites und wählen im Kontextmenü den Eintrag Neuer Standort aus.

Sie können Standorte auch in der PowerShell erstellen. Dazu verwenden Sie den Befehl New-ADReplicationSite <Standort>.

Erstellen Sie eine CSV-Datei, die mit der Zeile name beginnt, können Sie eine Liste von Standorten in eigenen Zeilen erstellen. Diese können Sie dann auf einen Schlag mit dem Befehl Import-Csv 1Path C:\newsites.csv | New-ADReplicationSite als Standort anlegen.

Hochverfügbarkeit in Hyper-V

Mit Hyper-V-Replica lassen sich virtuelle Server zwischen Hyper-V-Hosts replizieren, ohne dass diese Bestandteil eines Clusters sein müssen. Der virtuelle Server wird vom Quellserver auf den Zielserver repliziert, also kopiert.

Sie können für die Replikation auch eine Kette konfigurieren. So kann zum Beispiel Server A zu Server B und dieser den gleichen virtuellen Server zu Server C replizieren.

In Windows Server 2012 konnten Sie den Synchronisierungsintervall nur bis zu 5 Minuten einstellen, seit Windows Server 2012 R2 haben Sie hier auch die Möglichkeit alle 30 Sekunden die Daten zwischen den Hosts replizieren zu lassen. Alternativ können Sie die Replikation auf bis zu 15 Minuten Intervall ausdehnen.

Die Konfiguration erfolgt über einen Assistenten im Hyper-V-Manager oder der PowerShell. Die Einrichtung nehmen Sie über einen Assistenten im Hyper-V-Manager vor. Die Quell-VM läuft bei diesem Vorgang weiter. Fällt ein Hyper-V-Host aus, lassen sich die replizierten Server online schalten, und als produktiver Server nutzen. Nach der ersten Übertragung müssen nur noch Änderungen übertragen werden. Die erste Übertragung können Sie mit einem externen Datenträger vornehmen, wenn die Datenleitung nicht genügend Leistung bietet.Rep

Windows-Cluster und die PowerShell

Um die notwendigen Features für einen Hyper-V-Cluster zu installieren, können Sie auch die PowerShell verwenden. Geben Sie die folgenden Cmdlets ein:

Install-WindowsFeature Hyper-V, Failover-Clustering, Multipath-IO

Mit restart-computer können Sie den Server neu starten. Mit der Option -restart startet er nach der Installation automatisch.

Sie können auch in der PowerShell einen Cluster erstellen. Die Syntax dazu lautet:

New-Cluster -Name <Clustername> -StaticAddress <IP-Adresse des Clusters> -Node <Knoten 1>, <Knoten 2>

Beim Erstellen des Clusters geben Sie zunächst den Namen sowie dessen IP-Adresse ein. Der Name des Clusters wird zur Verwaltung genutzt, und mit der IP-Adresse greifen Sie auf den Cluster zu.

Für einen schnellen Überblick, welche Netzwerkeinstellungen der Cluster zur Kommunikation nutzt, starten Sie eine PowerShell-Sitzung auf dem Server und rufen das Cmdlet Get-ClusterNetwork auf.

Vor allem zur Automatisierung oder für Administratoren die lieber mit Befehlszeilenanweisungen arbeiten, bietet Microsoft, neben dem bekannten Befehl Cluster mit den verschiedenen Optionen, auch das Cmdlet Get-Cluster, mit dem Sie in der PowerShell Aufgaben der Clusterverwaltung durchführen.

Generell bietet das Cmdlet Get-Cluster (und weitere Cmdlets) in der PowerShell die gleichen Möglichkeiten, wie das Tool Cluster in der herkömmlichen Eingabeaufforderung. Damit Sie Failovercluster in der PowerShell verwenden können, müssen Sie nicht mehr das Modul für Failovercluster in der PowerShell laden. Module kann die PowerShell automatisch laden.

 

 

Google Chrome mit Gruppenrichtlinien anpassen

Die Vorlagen werden in Active Directory eingebunden, wie andere Vorlagen auch. Sie müssen die ADMX- und die ADML-Dateien kopieren.

Nachdem die Richtlinien zur Verfügung steht, werden die Einstellungen über „Computerkonfiguration\Administrative Vorlagen\Google\Google Chrome“ und „Benutzerkonfiguration\Administrative Vorlagen\Google\Google Chrome“ erreicht. Hier sind Unterordner zu sehen, über die wiederum die verschiedenen Einstellungen für Google Chrome erreichbar sind.

Idealerweise sollte eine eigene Gruppenrichtlinie für die Verwaltung von Google Chrome angelegt werden. Über die Richtlinien kann bei „Google Update“ auch festgelegt werden, wie Google Chrome automatisch installiert werden soll. Umgesetzte Richtlinien werden in Chrome angezeigt, in dem in der Adressleiste die Adresse „chrome://policy“ aufgerufen wird.

Mozilla Firefox im Unternehmenseinsatz

Auch Firefox kann im Unternehmenseinsatz recht umfangreich abgesichert werden. Dazu stellen die Entwickler auch Gruppenrichtlinienvorlagen zur Verfügung (https://support.mozilla.org/en-US/kb/customizing-firefox-using-group-policy). Auf der Seite „Firefox in einem Unternehmen nutzen“ (https://developer.mozilla.org/de/docs/Mozilla/Firefox/Nutzung_in_Unternehmen) lassen sich weitere Informationen und Software herunterladen, um Firefox im Unternehmen einzusetzen.

Firefox wird für Unternehmen als Rapid Release (RR) und als Extended Support Release (ESR) eingesetzt. Bei RR handelt es sich jeweils um die aktuellste Version, die alle 6 Wochen erscheint. ESR ist die Version, die für 54 Wochen im Einsatz bleiben. Welche Version im Unternehmen eingesetzt wird, liegt also an den Anforderungen des Unternehmens.

Mozilla hat Einstellungen im Firefox-Browser geändert, sodass die Benutzerverfolgung auf Websites standardmäßig blockiert wird, ohne dass Anwender selbst das vorgeben müssen. Die Entwickler wollen sicherstellen, dass Benutzer effektiver geschützt werden, und nicht erst selbst die richtigen Einstellungen vornehmen müssen. Der Schritt bedeutet eine Anpassung vom passiveren „Nicht verfolgen“-System.

Dieses stützt sich auf Seiten, um den Tracker zu erkennen und zu deaktivieren. Das neue, aktive System blockiert standardmäßig Tracking. Benutzer müssen in diesem Fall selbst tätig werden, wenn Tracker einer Website aktiv bleiben sollen. Google Chrome, Microsoft Edge/IE und Apples Safari bieten ebenfalls eine Do-not-Track-Option für ihre Browser.

Die Gruppenrichtlinienvorlagen von Mozilla Firefox liegen ebenfalls als ADMX-Dateien vor. Werden diese in das System eingebunden, wie die Vorlagen von Google oder andere Vorlagen, stehen die Einstellungen über „Computerkonfiguration\Administrative Vorlagen\Mozilla\Firefox“ zur Verfügung.

Windows-Bereitstellungsdienste nutzen

Als nächstes startet das Bootimage mit Windows PE, das in den Hauptspeicher geladen wird. Über einen Eintrag in der Antwortdatei wird die Festplatte angepasst. Das Setup führt die in der Antwortdatei enthaltene Anmeldung an den WDS-Server aus. Existiert dieser Eintrag nicht, wird um eine Authentifizierung gebeten. Soll eine unbeaufsichtigte Installation durchgeführt werden, darf immer nur ein Image in der Imagegruppe existieren.

Wurde die Antwortdatei mit Informationen, wie Product Key, Sprachversion und Domänenkonto korrekt konfiguriert, läuft die Installation völlig automatisiert ab.

Die Installation besteht aus der Installation der Serverrolle und der anschließenden Ersteinrichtung des Servers. Als erstes starten Sie den Server-Manager und installieren die Rolle Windows-Bereitstellungsdienste über das Menü Verwalten.

Standardmäßig wird sowohl der Bereitstellungsserver als auch der Transportserver installiert. Zur Installation gehört eine Ersteinrichtung, auch Initialisierung genannt, die über die Verwaltungskonsole der Windows-Bereitstellungsdienste durchgeführt wird. Während der Installation nehmen Sie keine Einstellungen vor. Die Anpassung des Dienstes wird erst nachträglich vorgenommen.

Öffnen Sie für die erste Einrichtung die Verwaltungskonsole der Windows-Bereitstellungsdienste über Tools im Server-Manager oder durch Eingabe von wdsmgmt.msc im Startmenü. Der Server wird angezeigt, ist aber noch mit einem Warnzeichen versehen.

Über das Kontextmenü starten Sie den Befehl Server konfigurieren. Es startet ein Assistent, über den Sie den WDS-Server einrichten. Auf der ersten Seite nach dem Begrüßungsfenster legen Sie den Speicherort fest, in dem die Installationsabbilder gespeichert werden. Es bietet sich an, dafür eine eigene Partition zu wählen. Statt über den Assistenten können Sie diesen Vorgang auch über die Eingabeaufforderung mit dem Befehl wdsutil /initialize-server /reminst:<Ordner> durchführen.

Windows-Bereitstellungsdienste in Windows Server 2019

Der WDS-Server muss außerdem Zugang zu einem aktiven DHCP-Server haben. Der Server benötigt eine separate Partition, die mit NTFS oder ReFS formatiert ist. In dieser speichern Sie die Abbilder zur automatisierten Installation von Windows 10. Die PCs im Netzwerk booten und verbinden sich mit dem Server. Dieser kopiert dann über das Netzwerk das Image auf den Computer und führt die Installation von Windows 10 durch.

Multicast-Verbindung zu langsamen Clients kann ein WDS-Server automatisch trennen und so Übertragungen auf Basis der Clientgeschwindigkeit in mehrere Streams aufzuteilen. Außerdem wird Multicasting in Umgebungen mit IPv6 unterstützt. Mit Transportserver sind Netzwerkstarts und Datenmulticasting im Rahmen einer erweiterten Konfiguration möglich. Ein Transportserver ist ein eigenständiger Server der WDS der PXE, also das Booten von Computern über das Netzwerk unterstützt.

Beim Verwenden eines Transportservers für Netzwerkstarts und Multicasting sind Sie nicht auf ein Active Directory oder DNS angewiesen. WDS unterstützen Netzwerkstarts von x64-Computern mit EFI, einschließlich Funktionen zum automatischen Hinzufügen, DHCP-Verweisen zum Weiterleiten von Clients an einen bestimmten PXE-Server sowie der Fähigkeit, Startabbilder mithilfe von Multicasting bereitzustellen. Treiberpakete lassen sich jetzt direkt in Startabbilder integrieren.

Installationsabbilder dienen der Installation von Windows und erfordern eine Abbildgruppe. Eine Abbildgruppe ist ein Ordner, der sich unterhalb des Knotens Installationsabbilder befindet. Für alle Clientcomputer, die keine Unterstützung für PXE bieten, gibt es die Möglichkeit, ein Startabbild zu exportieren. Somit können auch diese Clientcomputer durch den WDS-Server bedient werden.

Softwareverteilung über Gruppenrichtlinien

Die Softwareverteilung erfolgt über die in diesem Kapitel ausführlich behandelten Gruppenrichtlinien. Die Konfiguration der Softwareverteilung in Gruppenrichtlinien erfolgt über den Bereich Computerkonfiguration/Richtlinien/Softwareeinstellungen beziehungsweise Benutzerkonfiguration/Richtlinien/Softwareeinstellungen. Dort findet sich jeweils der Eintrag Softwareinstallation.

Über den Befehl Paket im Untermenü Neu des Kontextmenüs dieses Eintrags führen Sie die Bereitstellung eines Programms auf Basis von .msi-Dateien durch. Dazu kopieren Sie zunächst die Installationsdateien des Programms, welches Sie installieren wollen, auf eine Netzwerkfreigabe, die Anwender auch lesen dürfen. Anschließend binden Sie die .msi-Datei ein. Installationen, die auf .exe-Dateien aufbauen, funktionieren mit diesen Möglichkeiten nicht.

Wählen Sie anschließend die .msi-Datei von der Netzwerkfreigabe aus. Als Nächstes können Sie die Bereitstellungsmethode auswählen. Stellen Sie das Paket für Computer bereit, nicht für Benutzer, steht die Option Veröffentlicht nicht zur Verfügung.

Wählen Sie die Option Veröffentlicht aus, erscheint das Paket auf dem Client zur manuellen Installation in der Systemsteuerung. Alle erforderlichen Einstellungen sind automatisch gesetzt. Durch einen Doppelklick auf das Paket können Sie die Eigenschaften bearbeiten.

Wählen Sie die Option Zugewiesen aus, erstellt Windows ebenfalls automatisch einen Eintrag. Wählen Sie besser die Option Erweitert aus. Bei dieser Auswahl können Sie Einstellungen genau setzen. Es öffnet sich ein neues Fenster mit verschiedenen Registerkarten, über die Sie die automatische Installation konfigurieren können.

Fehlerbehebung im Netzwerk

Im Anschluss an die Konfiguration und Anbindung von Richtlinien daran können Sie die Gruppenrichtlinie auf einer Windows-Arbeitsstation mit gpupdate /force in der Eingabeaufforderung übertragen.

Windows 10 und Windows Server 2019 bieten die Möglichkeit, Gruppenrichtlinien über die Windows-PowerShell zu verwalten. Dazu steht das PowerShell-Modul „GroupPolicy“ zur Verfügung, das Sie mit dem Befehl „Import-Module GroupPolicy“ in die Windows-PowerShell ISE oder einer normalen PowerShell-Sitzung importieren können. Die wichtigsten Cmdlets können Sie sich anzeigen lassen, wenn Sie „Get-Command *gpo*“ eingeben.

Falls Gruppenrichtlinien nicht funktionieren, können die Ursachen sehr unterschiedlich sein. Sie sollten Schritt für Schritt untersuchen, wo das Problem liegen könnte. Legen Sie am besten für die unterschiedlichen Einstellungen verschiedene Gruppenrichtlinien an und verknüpfen Sie diese mit der entsprechenden OU oder der ganzen Domäne. Bei der Überprüfung helfen noch folgende Punkte:

  • Stellen Sie sicher, dass die Clients den DNS-Server verwenden, auf dem die SRV-Recordsvon Active Directory gespeichert sind.
  • Überprüfen Sie mit Nslookupin der Eingabeaufforderung, ob auf den Clients die Namensauflösung zur Domäne funktioniert.
  • Überprüfen Sie die Ereignisanzeige auf Fehler.
  • Ist der Benutzer/Computer in der richtigen OU, auf der die Richtlinie angewendet wird?
  • Versuchen Sie die Richtlinie auf eine Sicherheitsgruppe anzuwenden? Dies ist nicht ohne Weiteres möglich, und erfordert einige Nacharbeit.
  • Stimmt die Vererbung? In welcher Reihenfolge starten die Gruppenrichtlinien?
  • Haben Sie etwas an der standardmäßigen Vererbung der Richtlinie verändert?
  • Haben Sie irgendwo Erzwungen oder Vererbung deaktivieren aktiviert?
  • Geben Sie auf dem PC in der Eingabeaufforderung als angemeldeter Benutzer gpresult > gp.txt ein, um sich das Ergebnis der Richtlinie anzeigen zulassen.

Das Windows-MMC-Snap-In Richtlinienergebnissatz bietet eine grafische Oberfläche und wertet die angewendeten Richtlinien aus. Sie können sich den Richtlinienergebnissatz auf einer Arbeitsstation über MMC/Datei/Snap-In hinzufügen/Richtlinienergebnissatz anzeigen lassen. Eine weitere Möglichkeit ist die Eingabe von rsop.msc.

Wenn Gruppenrichtlinien auf einzelnen Rechnern nicht korrekt angewendet werden, können Sie das kostenlose Microsoft Tool Group Policy Log View (http://www.microsoft.com/en-us/download/details.aspx?id=11147) verwenden um die Fehler genauer einzugrenzen.