Alle Beiträge von Thomas Joos

Konfiguration der Routingtopologie in Active Directory

Routingtopologie fallen hauptsächlich folgende Aufgaben an, die auf den nächsten Seiten ausführlicher behandelt werden:

· Erstellen von Standorten in Active Directory.

· Erstellen von IP-Subnetzen und zuweisen an die Standorte.

· Erstellen von Standortverknüpfungen für die Active Directory-Replikation.

· Konfiguration von Zeitplänen und Kosten für die optimale Standortreplikation.

Damit Sie die standortübergreifende Replikation von Active Directory verwenden können, sollten Sie in jedem Standort, an dem später ein Domänencontroller angeschlossen ist, ein unabhängiges IP-Subnetz verwenden. Dieses IP-Subnetz wird in der Active Directory-Verwaltung hinterlegt und dient fortan zur Unterscheidung der Standorte in Active Directory.

Das wichtigste Verwaltungswerkzeug, um Standorte in Active Directory zu verwalten, ist das Snap-In Active Directory-Standorte und -Dienste. Um neue Standorte zu erstellen, müssen Sie Mitglied der Gruppe Organisations-Administratoren sein. Administratoren, die nicht Mitglieder dieser Gruppe sind, dürfen keine Standorte in Active Directory erstellen.

Es ist nicht unbedingt notwendig, dass jeder Standort mit der Zentrale durch eine Sterntopologie angebunden ist. Die Replikation in Active Directory ermöglicht auch die Anbindung von Standorten, die zwar mit anderen Standorten verbunden sind, aber nicht mit der Zentrale. In jedem Standort sollte darüber hinaus ein oder mehrere unabhängige IP-Subnetze verwendet werden.

Active Directory unterscheidet auf Basis dieser IP-Subnetze, ob Domänencontroller zum gleichen oder zu unterschiedlichen Standorten gehören, und steuert entsprechend die Replikation.

vCenter Server Appliance an Active Directory anbinden

Zur Konfiguration melden Sie sich am Web-Client zunächst mit einem Administratorkonto aus der SSO-Domäne an, die Sie in vSphere konfiguriert haben.

Anschließend klicken Sie auf die Home-Ansicht im Web-Client im oberen Bereich des Fensters.

In der Home-Ansicht klicken Sie auf  „Verwaltung“ und bei „Single Sign On“auf  „Konfiguration“. Bei Identitätsquellen können Sie entweder „Active Directory (Integrierte Windows-Authentifizierung)“ oder „Active Directory als LDAP-Server“ auswählen. Nutzen Sie Active Directory nur als LDAP-Server, müssen die beteiligten Hosts kein Mitglied der Active Directory-Domäne werden.

Die Anbindung erfolgt über einen Assistenten, in dem Sie die Daten der Domäne ausfüllen. Anschließend wird die Domäne im Fenster angezeigt.

Verwenden der Domänencontroller-Diagnose

 Eine ausführliche Diagnose erhalten Sie durch „dcdiag /v“. Möchten Sie eine ausführlichere Diagnose durchführen, sollten Sie die Ausgabe jedoch in eine Datei umleiten, da Sie dadurch das Ergebnis besser durchlesen und eventuell auch an einen Spezialisten weitergeben können. Die Eingabeaufforderung könnte dann zum Beispiel „dcdiag/v >c:\dcdiag.txt“ lauten.

Für die erste Überprüfung reicht die normale Diagnose mit „Dcdiag“ jedoch vollkommen aus. Fehler sollten Sie in einer Suchmaschine recherchieren und beheben. Im idealen Fall sollte „Dcdiag“ keine Fehler zeigen.

Mit „dcdiag /a“ überprüfen Sie alle Domänencontroller am gleichen Active Directory-Standort, über „dcdiag /e“ werden alle Server in der Gesamtstruktur getestet.

Um sich nur die Fehler und keine Informationen anzeigen zu lassen, wird „dcdiag /q“ verwendet. Die Option „dcdiag /s:<Domänencontroller>“ ermöglicht den Test eines Servers über das Netzwerk.

Um sich nur die Fehler und keine Informationen anzeigen zu lassen, verwenden Sie „dcdiag /q“. Die Option „dcdiag /s:<Domänencontroller>“  ermöglicht den Test eines Servers über das Netzwerk.

Es wird während des Tests auch geprüft, ob das Computerkonto in Active Directory in Ordnung ist und ob das Computerkonto sich richtig registriert hat. Sie können über die Option „dcdiag /RecreateMachineAccount“ eine Fehlerbehebung versuchen, wenn der Test fehlschlägt. Über „dcdiag /FixMachineAccount“ können Sie ebenfalls eine Fehlerbehebung versuchen. Eine weitere Option, die Fehler behebt, ist „dcdiag /fix“.

 

Ausschließen der häufigsten Fehlerursachen bei der Replikation in Active Directory

Zunächst sollten Sie die Replikationswege von Active Directory aufzeichnen und genau feststellen, welche Domänencontroller sich nicht mehr mit anderen Domänencontrollern replizieren. An dieser Stelle können Sie als nächstes mit den Diagnosetools wie Dcdiag die problematischen Domänencontroller genauer untersuchen.

Ausschließen der häufigsten Fehlerursachen

Bevor Sie mit Tools die Replikation genauer untersuchen, sollten Sie zunächst die gravierendsten und häufigsten Fehlerursachen ausschließen:

  • Liegt auf dem Domänencontroller, der sich nicht mehr replizieren kann ein generelles Problem vor, welches sich mit Dcdiag herausfinden lässt. Liegen also die Probleme überhaupt nicht in der Replikation, sondern hat der Domänencontroller eine Funktionsstörung?
  • Wurde auf dem Domänencontroller eine Software installiert, welche die Replikation stören kann, wie Sicherheitssoftware, Virenscanner, Firewall oder sonstiges?
  • Ist auf dem Domänencontroller, mit dem die Replikation nicht mehr stattfinden kann, die Hardware ausgefallen?
  • Liegt unter Umständen nur ein Leitungs-, Router- oder Firewallproblem vor?
  • Lässt sich der entsprechende Domänencontroller noch anpingen und lässt sich der DNS-Name des Servers auflösen?
  • Gibt es generelle Probleme mit der Authentifizierung zwischen den Domänencontrollern, die durch Zugriff verweigert-Meldungen gemeldet werden?
  • Sind die Replikationsintervalle zwischen Standorten so kurz eingestellt, dass die vorherige Replikation noch nicht abgeschlossen ist, und die nächste bereits beginnt?
  • Wurden Änderungen an der Routingtopologie vorgenommen, die eine Replikation verhindern können?

Mozilla Firefox im Unternehmenseinsatz

Die Gruppenrichtlinienvorlagen von Firefox helfen dabei den Browser für den Unternehmenseinsatz zu konfigurieren (https://support.mozilla.org/en-US/kb/customizing-firefox-using-group-policy).

Auf der Seite „Firefox in einem Unternehmen nutzen“ (https://developer.mozilla.org/de/docs/Mozilla/Firefox/Nutzung_in_Unternehmen) lassen sich weitere Informationen und Software herunterladen, um Firefox im Unternehmen einzusetzen.

Firefox wird für Unternehmen als Rapid Release (RR) und als Extended Support Release (ESR) eingesetzt. Bei RR handelt es sich jeweils um die aktuellste Version, die alle 6 Wochen erscheint. ESR ist die Version, die für 54 Wochen im Einsatz bleiben. Welche Version im Unternehmen eingesetzt wird, liegt also an den Anforderungen des Unternehmens.

Mozilla hat Einstellungen im Firefox-Browser geändert, sodass die Benutzerverfolgung auf Websites standardmäßig blockiert wird, ohne dass Anwender selbst das vorgeben müssen. Die Entwickler wollen sicherstellen, dass Benutzer effektiver geschützt werden, und nicht erst selbst die richtigen Einstellungen vornehmen müssen. Der Schritt bedeutet eine Anpassung vom passiveren „Nicht verfolgen“-System.

Dieses stützt sich auf Seiten, um den Tracker zu erkennen und zu deaktivieren. Das neue, aktive System blockiert standardmäßig Tracking. Benutzer müssen in diesem Fall selbst tätig werden, wenn Tracker einer Website aktiv bleiben sollen. Google Chrome, Microsoft Edge/IE und Apples Safari bieten ebenfalls eine Do-not-Track-Option für ihre Browser.

Die Gruppenrichtlinienvorlagen von Mozilla Firefox liegen ebenfalls als ADMX-Dateien vor. Werden diese in das System eingebunden, wie die Vorlagen von Google oder andere Vorlagen, stehen die Einstellungen über „Computerkonfiguration\Administrative Vorlagen\Mozilla\Firefox“ zur Verfügung.

 

Erweiterungen in Google Chrome mit Gruppenrichtlinien steuern

Dazu benötigen Sie die ID der Erweiterung. Die ID sehen Sie in der Adressleiste von Google Chrome, wenn Sie diese aufrufen. Sie können über Gruppenrichtlinien festlegen, dass Anwender keine Erweiterungen installieren dürfen.

Erweiterungen steuern Sie über „Computerkonfiguration\Administrative Vorlagen\Google\Google Chrome\Erweiterungen“ und „Benutzerkonfiguration\Administrative Vorlagen\Google\Google Chrome\Erweiterungen“.

Um alle Erweiterungen zu blockieren, verwenden Sie „Schwarze Liste für Installation von Erweiterungen konfigurieren“. Als Wert für diese Einstellung verwenden Sie „*“. In diesem Fall dürfen keinerlei Erweiterungen mehr durch Anwender installiert werden. Bereits installierte Erweiterungen werden aus Google Chrome entfernt.

Wollen diese eine Erweiterung installieren, erhalten sie eine Fehlermeldung mit der ID der Erweiterung. Sie können solche Erweiterungen dann über „Weiße Liste für die Installation von Erweiterungen konfigurieren“ erlauben lassen. Dazu geben Sie als Wert bei der Richtlinie die ID an, die in der Adressleiste, oder in der Fehlermeldung des Benutzers angezeigt werden.

Für die Installation wird am besten der Offline-Installer verwendet, den Microsoft auf der Chrome Browser for Enterprise-Webseite anbietet (https://enterprise.google.com/chrome/chrome-browser). Bei der Version handelt es sich um die ganz normale Google Chrome-Version, allerdings komplett offline installierbar. Außerdem sind die Gruppenrichtlinienvorlagen enthalten. 

Die Zertifizierungsstellentypen und -Aufgaben verstehen

Bei der Installation der Active Directory-Zertifikatdienste wählen Sie aus, ob der Typ Unternehmen oder Eigenständig installiert werden soll. Wählen Sie Unternehmen aus, integriert Windows die Zertifikatdienste in Active Directory. Außerdem verteilt eine Zertifizierungsstelle (Certificate Authority, CA) das Zertifikat für die vertrauenswürdigen Stammzertifizierungsstellen auf den Computern automatisch über eine Gruppenrichtlinie. 

Alle Mitgliedcomputer einer Domäne vertrauen einer internen Stammzertifizierungsstelle mit dem Typ Unternehmen automatisch. Das Zertifikat dieser Zertifizierungsstelle wird dazu auf den Clientcomputern und Mitgliedsservern in den Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstellen integriert.

Damit der Server fehlerfrei Zertifikate ausstellen kann, muss er Mitglied der Gruppe Zertifikateherausgeber sein. Diese Gruppe befindet sich in der OU Users.

Innerhalb einer Unternehmenszertifizierungsstelle werden die Zertifikate auf Basis von Zertifikatvorlagen ausgestellt. Sie können in der Verwaltungskonsole certsrv.msc und certtmpl.msc jederzeit weitere Vorlagen erstellen.

Die Zertifikatvorlagen verwalten Sie aber hauptsächlich mit dem Snap-In Zertifikatvorlagen. Dieses startet, wenn im Kontextmenü Zertifikatvorlagen in der Verwaltungskonsole Zertifizierungsstelle auf den Menüpunkt Verwalten klicken. Direkt starten Sie die Verwaltung durch die Eingabe von certtmpl.msc im Startmenü. Neben den Standardvorlagen, gibt es noch zahlreiche weitere, die über die Verwaltungskonsole konfiguriert und aktiviert werden können.

Jede Zertifikatvorlage verfügt über eine eigene Sicherheitsverwaltung, die Sie über das Kontextmenü in den Eigenschaften auf der Registerkarte Sicherheit aufrufen. Erstellen Sie Zertifikate auf Basis der Zertifikatvorlagen, können die Zertifikatdienste die Daten und den Namen des Antragstellers automatisch aus Active Directory auslesen.

Zertifikate im IIS-Manager abrufen

Sie können neben der Zertifikateverwaltung auch den IIS-Manager auf einem Server nutzen:

  1. Öffnen Sie den IIS-Manager über das Menü Tools im Server-Manager.
  2. Klicken Sie auf den Servernamen.
  3. Doppelklicken Sie auf das Feature Serverzertifikate im mittleren Bereich der Konsole. Hier sehen Sie alle Serverzertifikate, die Sie verwenden können, damit sich Anwender per SSL verbinden können.
  4. Klicken Sie im Bereich Aktionen auf Zertifikatanforderung erstellen. Alternativ können Sie auch Domänenzertifikat erstellen auswählen, wenn Sie mit den Active Directory-Zertifikatdiensten arbeiten. Die folgenden Fenster sind dabei identisch. 

Geben Sie im neuen Fenster den Namen des Zertifikats ein. Achten Sie darauf, dass der Name, den Sie im Feld Gemeinsamer Name eingeben, dem Servernamen entspricht, mit dem Anwender auf den Server zugreifen. Verwenden Anwender für den Zugriff einen anderen Namen als den gemeinsamen Namen des Zertifikats, erhalten die Anwender eine Zertifikatewarnung, die besagt, dass das Zertifikat für eine andere Seite ausgestellt ist.

Windows Server Virtual Machine Licensing

Die Lizenzierung in Windows Server 2019 erfolgt nicht auf Basis der CPUs, wie in Vorgängerversionen bis Windows Server 2012 R2, sondern auf Basis der CPU-Kerne. Das wurde bereits mit Windows Server 2016 geändert. In Hyper-V werden wiederum bei virtuellen Servern die logischen Prozessoren lizenziert, da diese das Pendant zu den physischen Prozessorkernen darstellen. 

Setzen Unternehmen also Server mit mehreren Prozessoren ein, ist pro Kern-Paar jeder CPU eine Lizenz notwendig, egal welche Edition im Einsatz ist.

Lizenzen von Windows Server 2016/2019 sind direkt auf die physische Hardware gebunden. Jede Lizenz deckt zwei physische Prozessorkerne ab. Sie dürfen mit der Standard Edition außerdem bis zu zwei virtuelle Server oder Hyper-V-Container auf dem lizenzierten Host betreiben. Beim Einsatz der Datacenter Edition dürfen Sie so viele virtuelle Server und Hyper-V-Container auf dem Host betreiben, wie die Hardware hergibt.  Welche Edition Sie einsetzen, müssen Sie also ausrechnen.

Hier spielen natürlich auch Faktoren wie Storage Spaces Direct und Storage Replica eine Rolle, genauso wie Shielded-VMs und Funktionen für hyperkonvergente Netzwerke. Alle Unterscheide der Editionen sind auf der Seite https://blogs.technet.microsoft.com/ausoemteam/2018/10/13/windows-server-2019-editions-comparison/ zu finden.

Voraussetzungen für die Verwendung des Offline-Domänenbeitritts

Nur Benutzer, die über die Rechte verfügen Computer einer Domäne hinzuzufügen, können Djoin für den Offline-Beitritt nutzen. Dazu müssen Sie entweder über Domänenadminrechte verfügen, oder ein Administrator muss die entsprechenden Rechte delegieren.

Die Rechte, um Computer in eine Domäne aufzunehmen, können Sie über Gruppenrichtlinien setzen. Bearbeiten Sie dazu unter „Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten“ den Wert „Hinzufügen von Arbeitsstationen zur Domäne“. Nehmen Sie hier die Benutzerkonten auf, die über die entsprechenden Rechte verfügen sollen.

Der Offline-Domänenbeitritt erfolgt über das Tool Djoin in der Eingabeaufforderung auf einem Computer unter Windows 7/8/8.1, Windows 10 oder Windows Server 2008 R2/2012/2012 R2 oder Windows Server 2016/2019, der bereits Mitglied der Domäne ist.