Nicht aus der Schweiz? Besuchen Sie lehmanns.de
Windows Server -  Peter Kloep,  Karsten Weigel,  Raphael Rojas,  Kevin Momber,  Annette Frankl

Windows Server (eBook)

Das umfassende Handbuch
eBook Download: EPUB
2021 | 2. Auflage
1320 Seiten
Rheinwerk Computing (Verlag)
978-3-8362-8369-4 (ISBN)
Systemvoraussetzungen
55,92 inkl. MwSt
(CHF 54,60)
Der eBook-Verkauf erfolgt durch die Lehmanns Media GmbH (Berlin) zum Preis in Euro inkl. MwSt.
  • Download sofort lieferbar
  • Zahlungsarten anzeigen

Der Windows Server ist das Herzstück Ihrer Firmen-IT - und dieses umfassende Handbuch zeigt Ihnen, wie Sie den sicheren Betrieb gewährleisten. Dazu erläutert es Ihnen alle Serverrollen und gibt praxisorientierte Antworten auf alle Fragen des täglichen Betriebs. Das Autorenteam aus Microsoft Premier Field Engineers und erfahrenen Administratoren liefert Ihnen detaillierte Hintergrundinformationen und zahlreiche Praxistipps, die dafür sorgen, dass Ihnen die Konfiguration reibungslos gelingt. Aktuell zum Windows Server 20H2.

Aus dem Inhalt:

  • Neuerungen und Funktionsumfang
  • Alle Rollen und Features
  • Netzwerkgrundlagen und -Topologien
  • Active Directory: Benutzer, Gruppen, Rechte und Delegationen
  • Migration von Serverdiensten
  • PowerShell-Grundkurs
  • Virtualisierung mit Hyper-V
  • Internet Information Services (IIS)
  • Patchmanagement mit WSUS
  • Remotedesktopdienste, VPN und NPS
  • Integration in Azure
  • Troubleshooting und Sicherheit


Die Fachpresse zur Vorauflage:
IT Administrator: »Das umfassende Handbuch [richtet sich keineswegs] nur an erfahrene Admins, vielmehr werden Anfänger hier abgeholt und mitgenommen. Doch finden auch IT-Verantwortliche, die sich tiefergehend mit komplexeren Aspekten befassen möchten, genügend Input hierfür.«
windows.developer: »Wer sich nicht gegen die Rolle des Administrators wehren will oder kann, findet hier eine umfangreiche Vorstellung der Möglichkeiten von Windows Server 2019.«



Peter Kloep ist herausragender Experte für sichere Windows-Infrastrukturen im deutschsprachigen Raum. Seit 2002 ist er Microsoft Certified Trainer und hat seitdem zahlreiche technische Trainings zur Windows-Administration durchgeführt. Außerdem ist er Microsoft Certified Software Engineer und Microsoft Certified Solutions Master - Windows Server 2012. Seit fünf Jahren ist er bei Microsoft als Premier Field Engineer angestellt und unterstützt Premier-Kunden in den Bereichen Identity Management und Security.

Aus dem Lektorat 4
Inhaltsverzeichnis 6
Vorwort der Autoren 29
1   Windows Server 2019 38
1.1   What’s new? 40
1.2   Die verschiedenen Editionen 44
1.2.1   Windows Server Standard 44
1.2.2   Windows Server Datacenter 45
1.3   Long Term Services Channel vs. Semi-Annual Channel 46
1.4   Lizenzierung 48
1.4.1   Verschiedene Lizenzierungsarten 48
1.4.2   Lizenzprogramme (KMS und MAK) 48
1.4.3   Active Directory Based Activation (ADBA) 54
1.4.4   VM-Based Activation 54
1.5   Systemanforderungen 55
1.6   Installation von Windows Server 2019 57
1.6.1   Installation mit grafischer Oberfläche 58
1.6.2   Windows Server Core 65
1.6.3   Nach der Installation 66
1.7   Die Installation automatisieren 69
1.7.1   Windows Assessment and Deployment Kit (ADK) 69
1.7.2   Abbildverwaltung (Deployment Image Servicing and Management) 74
1.7.3   Sysprep 76
1.8   Update-Strategie 81
2   Rollen und Features 83
2.1   Rollen und Rollendienste 83
2.2   Die Rollen im Überblick 86
2.2.1   Active Directory Lightweight Directory Services 86
2.2.2   Active Directory-Domänendienste 89
2.2.3   Active Directory-Rechteverwaltungsdienste 92
2.2.4   Active Directory-Verbunddienste 95
2.2.5   Active Directory-Zertifikatdienste 97
2.2.6   Datei-/Speicherdienste 101
2.2.7   Device Health Attestation 116
2.2.8   DHCP-Server 118
2.2.9   DNS-Server 120
2.2.10   Druck- und Dokumentendienste 121
2.2.11   Faxserver 124
2.2.12   Host Guardian-Dienst 126
2.2.13   Hyper-V 129
2.2.14   Netzwerkcontroller 130
2.2.15   Netzwerkrichtlinien- und Zugriffsdienste 131
2.2.16   Remotedesktopdienste 133
2.2.17   Remotezugriff 136
2.2.18   Volumenaktivierungsdienste 138
2.2.19   Webserver (IIS) 139
2.2.20   Windows Server Update Services (WSUS) 144
2.2.21   Windows-Bereitstellungsdienste 149
2.3   Features 151
2.4   Editionen und ihre Möglichkeiten 184
2.4.1   Windows Server SAC 185
2.4.2   Windows Server 2019 LTSC – Essentials 186
2.4.3   Windows Server 2019 LTSC – Standard oder Datacenter, Core oder Desktop 187
2.4.4   Vergleichen Sie die Editionen 189
2.5   Was ist neu in den unterschiedlichen SAC-Versionen? 193
2.6   Was wurde in den letzten Versionen entfernt? 194
2.7   Server- bzw. Rollen-Platzierung 195
3   Netzwerkgrundlagen und -Topologien 197
3.1   Was ist ein Netzwerk? Diese Begriffe sollten Sie kennen 197
3.2   Welche Topologien gibt es und welche werden heute in der Praxis noch genutzt? 200
3.2.1   Bus-Topologie 200
3.2.2   Ring-Topolgie 201
3.2.3   Stern-Topologie 202
3.2.4   Hierarchische Topologie 203
3.2.5   Vermaschte Topologie 204
3.3   Referenzmodelle 207
3.3.1   ISO-OSI-Referenzmodell 208
3.3.2   TCP/IP-Referenzmodell 225
3.3.3   Gegenüberstellung der beiden Modelle 227
3.4   Übertragungsmethoden 229
3.4.1   Unicast 229
3.4.2   Multicast 229
3.4.3   Broadcast 230
4   IP-Adressmanagement 231
4.1   Was ist eine MAC-Adresse? 231
4.2   Was ist TCP/IP? 234
4.3   Das IP-Protokoll genauer erklärt 237
4.3.1   IP Version 4 237
4.3.2   ARP 247
4.3.3   Subnetting 251
4.3.4   IP Version 6 (IPv6) 254
4.3.5   Aufbau eines IP-Pakets 265
4.4   Wie kommuniziert ein Computer mit einem Netzwerk? 270
4.4.1   Kabelverbindungen 271
4.4.2   WLAN und Mobilfunk 272
4.5   Netzwerkkonfiguration unter Windows 276
4.6   Namensauflösung 284
4.6.1   DNS-Namensauflösung 284
4.6.2   NetBIOS 296
4.7   DHCP 299
4.7.1   Was ist DHCP? 299
4.7.2   IP-Adressen vergeben und erneuern 300
4.7.3   Automatische Vergabe von privaten IP-Adressen (APIPA) 301
4.7.4   Aufbau eines DHCP-Datenpakets 302
4.7.5   Installation eines DHCP-Servers unter Windows Server 2019 303
4.7.6   Konfiguration eines DHCP-Servers nach der Installation der Rolle 309
4.7.7   Konfiguration eines DHCP-Failovers 326
4.8   IPAM 329
4.8.1   Vorteile des IPAM 329
4.8.2   Installation des IPAM 330
4.8.3   Konfiguration des IPAM-Servers 330
4.8.4   Mögliche Anpassungen des IPAM-Servers und Hinweise für den Betrieb 335
5   Authentifizierungsprotokolle 337
5.1   Domänenauthentifizierungsprotokolle 338
5.1.1   LanManager (LM) 338
5.1.2   NTLM 340
5.1.3   Kerberos 341
5.1.4   Ansprüche (Claims) und Armoring 362
5.1.5   Sicherheitsrichtlinien 366
5.2   Remotezugriffsprotokolle 368
5.2.1   MS-CHAP 368
5.2.2   Password Authentication Protocol (PAP) 368
5.2.3   Extensible Authentication Protocol (EAP) 368
5.3   Webzugriffsprotokolle 370
6   Active Directory 372
6.1   Geschichte des Active Directorys 372
6.2   Was ist neu im Active Directory in Windows Server 2019? 375
6.3   Die Datenbank von Active Directory 377
6.4   Die Komponenten des Active Directorys 380
6.4.1   Logischer Aufbau 380
6.4.2   Physischer Aufbau 384
6.4.3   Globaler Katalog 384
6.4.4   FSMO (Flexible Single Master Operations) bzw. Betriebsmaster 385
6.4.5   Standorte 388
6.4.6   Distinguished Name 388
6.4.7   Canonical Name 389
6.4.8   Common Name 389
6.5   LDAP 390
6.6   Schema 392
6.7   Replikation 393
6.7.1   Steuerung der AD-Replikation 393
6.7.2   Tool für die Überprüfung des Replikationsstatus 396
6.8   Read-Only-Domänencontroller (RODC) 398
6.8.1   Voraussetzungen für den Einsatz eines RODC 399
6.8.2   Funktionalität 400
6.8.3   RODC-Attributsatzfilter 400
6.8.4   Wie funktioniert eine RODC-Anmeldung? 401
6.8.5   Einen schreibgeschützten Domänencontroller installieren 402
6.9   Vertrauensstellungen 412
6.9.1   Eigenschaften der Domänenvertrauensstellungen 413
6.9.2   Vertrauensstellungstypen 416
6.9.3   Vertrauensstellung in Windows-Domänen ab Windows Server 2003 416
6.9.4   Authentifizierungsvarianten in Vertrauensstellungen ab Windows Server 2003 417
6.9.5   Fehlerhafte Vertrauensstellungen 418
6.9.6   Eine Gesamtstrukturvertrauensstellung einrichten 419
6.10   Offline-Domänenbeitritt 430
6.11   Der Papierkorb im Active Directory 431
6.12   Der Wiederherstellungsmodus des Active Directorys 434
6.12.1   Nicht-autorisierende Wiederherstellung 435
6.12.2   Autorisierende Wiederherstellung 436
6.12.3   Garbage Collection 436
6.12.4   Active Directory Database Mounting Tool 437
6.13   Active Directory-Verbunddienste (AD FS) 439
6.13.1   Die Komponenten des AD FS 440
6.13.2   Was ist eine Verbundvertrauensstellung? 441
6.14   Installation des Active Directory 443
6.14.1   Den ersten DC in einer Domäne installieren 443
6.14.2   Einen weiteren DC in einer Domäne installieren 455
6.14.3   Installation des ersten DCs in einer Subdomäne der Gesamtstruktur 458
6.14.4   Einen DC aus einer Domäne entfernen 460
6.14.5   Einen defekten oder nicht mehr erreichbaren DC aus einer Domäne entfernen 463
6.14.6   Die Domäne entfernen 467
6.15   Wartungsaufgaben innerhalb des Active Directorys 471
6.15.1   Übertragen oder Übernehmen der FSMO 471
6.15.2   Wartung der AD-Datenbank 471
6.15.3   IFM-Datenträger 473
7   Benutzer, Gruppen & Co im Active Directory
7.1   Container 478
7.1.1   Administrative Konten und Sicherheitsgruppen im Container »Builtin« 480
7.1.2   Administrative Konten und Sicherheitsgruppen aus dem Container »Users« 486
7.2   Organisationseinheiten 490
7.2.1   Objektverwaltung delegieren 491
7.3   Benutzer 495
7.4   Computer 497
7.4.1   Sicherheitseinstellungen für den Domänenbeitritt von neuen Computern 497
7.5   Gruppen 501
7.5.1   Arten von Sicherheitsgruppen 503
7.5.2   Protected Users Group 504
7.6   MSA und gMSA 507
7.6.1   Managed Service Account (MSA) 507
7.6.2   Group Managed Service Account (gMSA) 508
7.7   Password Settings Objects (PSOs) 513
7.7.1   Voraussetzungen für das Anwenden der PSOs 514
7.7.2   PSOs erstellen 514
7.8   Gruppenrichtlinienobjekte (GPO) 518
7.8.1   Allgemeines zu Gruppenrichtlinien 521
7.8.2   Bestandteile einer GPO und die Ablageorte 522
7.8.3   Aktualisierungsintervalle von GPOs 524
7.8.4   GPOs erstellen und löschen 525
7.8.5   Sicherheitsfilter der GPOs 527
7.8.6   Administrative Vorlagen und Central Store 528
7.8.7   Der Central Stores 530
7.8.8   Clientseitige Erweiterungen 532
7.8.9   Softwareinstallation über GPOs 534
7.8.10   Sicherheitseinstellungen innerhalb der GPOs 534
7.9   msDs-ShadowPrincipal 542
7.9.1   msDS-ShadowPrincipalContainer 542
7.9.2   Die Klasse msDS-ShadowPrincipal 542
7.9.3   Die SID msDS-ShadowPrincipal 543
7.9.4   Shadow Principals nutzen 543
7.10   Freigegebene Ordner 545
7.11   Freigegebene Drucker 546
8   Virtualisierung 547
8.1   Hypervisoren 547
8.1.1   Hypervisor-Typen 549
8.1.2   Hypervisor-Design 550
8.2   Hyper-V 554
8.2.1   Hyper-V-Hypervisor 554
8.2.2   Hyper-V-Architektur 568
8.2.3   Hyper-V-Anforderungen 572
8.3   Das ist neu in Windows Server 2019 584
8.4   Virtual Desktop Infrastructure (VDI) 587
8.5   Container 590
8.5.1   Windows-Container 592
8.5.2   Hyper-V-Container 593
8.6   Azure Stack 595
8.6.1   Azure Stack-Hardware 598
8.6.2   Anwendungsbeispiel 600
8.6.3   Azure Stack HCI (Hyperkonvergente Infrastruktur) 602
9   Dateiserver 608
9.1   Grundlagen des Dateisystems 608
9.1.1   Datenträger und Volumes 609
9.1.2   iSCSI 619
9.1.3   Schattenkopien 623
9.1.4   Freigaben 626
9.1.5   NTFS und Freigaben-Berechtigungen 634
9.1.6   Offlinedateien 644
9.1.7   Datendeduplizierung 648
9.2   Distributed File System (DFS) 651
9.2.1   DFS-N (Distributed File System Namespace) 651
9.2.2   DFS-R (Distributed File System Replication) 657
9.3   Hochverfügbarkeit (HA-Anforderungen) 664
9.4   Server Storage Migration Service 667
9.5   Azure Files 670
9.5.1   Einsatzgebiete für Azure Files 670
9.5.2   Azure-Dateifreigabeprotokolle 671
9.5.3   Kosten 683
10   Verwaltung 688
10.1   Windows Admin Center (WAC) 688
10.1.1   Bereitstellungsszenarien 690
10.1.2   Voraussetzungen 692
10.1.3   Die Installation des Windows Admin Centers vorbereiten 694
10.1.4   Windows Admin Center installieren 698
10.1.5   Für Hochverfügbarkeit sorgen 701
10.1.6   Einstellungen des Windows Admin Centers 705
10.1.7   Berechtigungen konfigurieren 708
10.1.8   Erweiterungen 712
10.1.9   Systeme verwalten 716
10.2   Server-Manager 738
10.2.1   Lokalen Server verwalten 738
10.2.2   Servergruppen erstellen 741
10.2.3   Remote-Server verwalten 743
10.3   Remote Server Administration Tools (RSAT) 744
10.3.1   Installation unter Windows 10 744
10.4   PowerShell 751
10.4.1   Anforderungen 751
10.4.2   Beispiele für die Verwaltung 753
10.5   WinRM und WinRS 756
10.5.1   Windows Remote Management (WinRM) 756
10.5.2   Windows Remote Shell (WinRS) 757
10.6   Windows Server-Sicherung 760
10.6.1   Die Windows Server-Sicherung installieren 760
10.6.2   Backup-Jobs erstellen 761
10.6.3   Windows Server-Sicherung auf Remote-Servern 768
10.6.4   Einzelne Dateien wiederherstellen 769
10.6.5   Recovery-Medium nutzen 773
11   Windows PowerShell 779
11.1   Windows PowerShell und PowerShell Core 779
11.2   Grundlagen zur PowerShell 793
11.2.1   Aufbau der PowerShell-Cmdlets 795
11.2.2   Skripte ausführen 797
11.2.3   Offline-Aktualisierung der PowerShell und der Hilfedateien 799
11.3   Sicherheit rund um die PowerShell 801
11.3.1   Ausführungsrichtlinien (Execution Policies) 801
11.3.2   Die PowerShell remote ausführen 804
11.3.3   Überwachung der PowerShell 807
11.4   Beispiele für die Automatisierung 811
11.5   Just enough Administration (JEA) 816
11.5.1   Einsatzszenarien 816
11.5.2   Konfiguration und Verwendung 816
11.6   Windows PowerShell Web Access 823
11.7   Windows PowerShell Version 7 825
12   Migration verschiedener Serverdienste auf Windows Server 2019 826
12.1   Einen Read-Only Domain Controller (RODC) löschen 826
12.1.1   Einen produktiven und erreichbaren RODC aus der Domäne entfernen 826
12.1.2   Einen RODC entfernen, der kompromittiert wurde bzw. einer Gefahr ausgesetzt war 828
12.2   Migration von AD-Objekten aus einem Active Directory in ein anderes Active Directory 831
12.2.1   Installation von ADMT auf einem Windows Server 2012 R2 831
12.2.2   ADMT für die Nutzermigration verwenden 832
12.3   Upgrade eines Active Directorys von Windows Server 2016 auf Windows Server 2019 844
12.4   Migration eines DHCP-Servers 852
12.4.1   Migration des DHCP-Servers auf klassische Weise 852
12.4.2   Migration des DHCP-Servers mithilfe des Failover-Features 853
12.5   Migration eines Druckerservers 862
12.5.1   Migration der vorhandenen Drucker vom alten Druckerserver mithilfe des Assistenten 862
12.5.2   Migration der gesicherten Drucker auf den neuen Druckerserver mithilfe des Assistenten 864
12.5.3   Anpassung einer eventuell vorhandenen GPO für die Druckerzuweisung 868
12.6   Migration eines Dateiservers 873
12.6.1   Vorbereitungen für die Migration des Dateiservers 873
12.6.2   Daten mithilfe von robocopy auf einen neuen Dateiserver migrieren 874
12.6.3   Daten zwischen virtuellen Dateiservern migrieren 875
12.6.4   Weitere Schritte nach der Migration der Daten 876
12.6.5   Einen Dateiserver über die Domänen hinaus migrieren 877
12.6.6   Dateiserver mit dem Storage Migration Service auf Server 2019 umziehen 877
12.7   Migration eines Hyper-V-Servers 894
12.7.1   Migration einer virtuellen Maschine durch Exportieren und Importieren 894
12.7.2   Migration einer virtuellen Maschine mithilfe der PowerShell 901
12.8   Migration eines Failoverclusters 905
12.8.1   Migration des Failoverclusters mit neuer Hardware 905
12.8.2   Migration eines Failoverclusters auf Windows Server 2019 ohne neue Hardware 917
13   Hyper-V 919
13.1   Bereitstellung von Hyper-V 919
13.1.1   Hyper-V installieren 920
13.1.2   Das Hyper-V-Netzwerk konfigurieren 922
13.1.3   Hyper-V konfigurieren 936
13.1.4   Virtuelle Maschinen bereitstellen 943
13.2   Hochverfügbarkeit herstellen 951
13.2.1   Installation des Failoverclusters 951
13.2.2   Den Cluster erstellen 951
13.2.3   Cluster-Storage 957
13.2.4   Das Quorum konfigurieren 959
13.2.5   Das Cluster-Netzwerk konfigurieren 962
13.2.6   Hochverfügbare virtuelle Maschinen erstellen 963
13.3   Replikation für Hyper-V 967
13.3.1   Den Replikatserver konfigurieren 968
13.3.2   Replikation für virtuelle Maschinen starten 970
13.3.3   Die Konfiguration der virtuellen Maschine anpassen 972
13.3.4   Testfailover 973
13.3.5   Geplante Failovers 974
13.3.6   Desasterfall 976
13.4   Den Host Guardian Service bereitstellen 979
13.4.1   Installation 979
13.4.2   Initialisieren des Host Guardian Service 980
13.4.3   Den Host Guardian Service für HTTPS konfigurieren 983
13.4.4   Redundante Host Guardian Services bereitstellen 984
13.4.5   Anpassungen in der Hyper-V-Infrastruktur 985
14   Dateidienste 993
14.1   Die Dateiserver-Rolle installieren 993
14.1.1   Installation mit dem Server-Manager 993
14.1.2   Dateifreigaben anlegen 994
14.2   DFS-Namespaces 997
14.2.1   DFS installieren 997
14.2.2   Basiskonfiguration 998
14.2.3   DFS-Ordnerziele erstellen 1001
14.2.4   Redundanzen der Namespaceserver 1003
14.3   DFS-Replikation 1006
14.3.1   DFS-R installieren 1006
14.3.2   Die Replikation einrichten und konfigurieren 1007
14.4   Ressourcen-Manager für Dateiserver 1011
14.4.1   Installation des Ressourcen-Managers für Dateiserver 1013
14.4.2   Kontingente 1014
14.4.3   Die Dateiprüfungsverwaltung verwenden 1021
14.5   Dynamische Zugriffssteuerung (Dynamic Access Control, DAC) 1028
14.6   Hochverfügbare Dateiserver 1039
14.6.1   Bereitstellung über einen Failovercluster 1045
14.6.2   Ein Speicherreplikat einrichten 1056
14.6.3   »Direkte Speicherplätze« einrichten (Storage Spaces Direct, S2D) 1062
15   Internetinformationsdienste-Server (IIS) 1070
15.1   Installation der IIS-Rolle 1070
15.1.1   Installation auf einem Client 1071
15.1.2   Installation auf einem Serverbetriebssystem 1075
15.1.3   Remoteverwaltung des IIS 1089
15.2   Konfiguration des IIS 1098
15.2.1   Erstellen von Websites und virtuellen Verzeichnissen 1104
15.3   Absichern des Webservers 1112
15.3.1   Authentifizierungsprotokolle 1112
15.3.2   Einsatz von SSL 1114
15.3.3   Überwachung und Auditing 1120
15.4   Sichern und Wiederherstellen 1123
15.5   Hochverfügbarkeit 1126
16   PKI und Zertifizierungsstellen 1130
16.1   Was ist eine PKI? 1130
16.1.1   Zertifikate 1131
16.1.2   Verschlüsselung und Signatur 1132
16.2   Aufbau einer CA-Infrastruktur 1141
16.2.1   Installation der Rolle 1153
16.2.2   Alleinstehende »Offline« Root-CA 1160
16.2.3   Untergeordnete Zertifizierungsstelle als »Online«-Sub-CA 1181
16.3   Zertifikate verteilen und verwenden 1190
16.3.1   Verteilen von Zertifikaten an Clients 1191
16.3.2   Remotedesktopdienste 1192
16.3.3   Webserver 1196
16.3.4   Clients 1202
16.3.5   Codesignatur 1203
16.4   Überwachung und Troubleshooting der Zertifikatdienste 1210
17   Patchmanagement für Windows Server 1217
17.1   Einführung 1217
17.1.1   Patching in der Windows-Welt 1217
17.1.2   Die Geschichte von WSUS 1218
17.1.3   Patch Tuesday 1219
17.1.4   Best Practices für das Patching 1220
17.1.5   Begriffe im Microsoft-WSUS-Umfeld 1224
17.2   Eine WSUS-Installation planen 1228
17.2.1   Systemvoraussetzungen 1228
17.2.2   Bereitstellungsoptionen 1229
17.2.3   Installationsoptionen 1233
17.3   Installation und Konfiguration von WSUS-Server 1235
17.3.1   Konfigurationsassistent 1238
17.3.2   Den Abruf von Updates über WSUS konfigurieren 1247
17.3.3   Reporting-Funktionalität aktivieren 1250
17.4   Die Administration des WSUS-Servers 1252
17.4.1   Die WSUS-Konfigurationskonsole 1252
17.4.2   Der WSUS-Webservice 1264
17.4.3   Updates freigeben 1265
17.4.4   Computer-Reports 1267
17.4.5   Erstellen von zeitgesteuerten Update-Phasen 1269
17.4.6   Vom Netzwerk getrennte WSUS-Server 1274
17.4.7   Verschieben des WSUS-Repositorys 1277
17.5   Automatisierung 1278
17.5.1   E-Mail-Benachrichtigungen 1278
17.5.2   Installation und Konfiguration mit der PowerShell 1279
17.5.3   WSUS-Automatisierung mit der Kommandozeile 1281
17.6   Azure Automation – Updateverwaltung in der Cloud 1286
17.6.1   Azure Automation-Konto bereitstellen und die Basiskonfiguration vornehmen 1287
17.6.2   Das Update-Verhalten konfigurieren 1291
17.6.3   Designentscheidungen 1294
18   Remotedesktopdienste 1296
18.1   Remotedesktopdienste vs. RemoteAdminMode 1297
18.1.1   Remotedesktop aktivieren 1305
18.1.2   Installation der einzelnen Rollendienste 1312
18.1.3   Bereitstellung einer Remotedesktop-Umgebung 1315
18.2   Eine Sammlung von Anwendungen bereitstellen 1325
18.2.1   Erstellen einer RD-Sammlung 1325
18.2.2   RemoteApps verwenden 1330
18.2.3   Den HTML5-Webclient verwenden 1339
18.3   Absichern einer Remotedesktop-Umgebung 1345
18.3.1   Einsatz von Zertifikaten 1345
18.3.2   Verwaltung der Umgebung mithilfe von Gruppenrichtlinien 1351
18.3.3   Ein RD-Gateway verwenden 1356
18.3.4   Überwachung und Troubleshooting 1365
18.3.5   Restricted Admin Mode 1367
18.3.6   Remote Credential Guard 1368
18.3.7   Multifaktor-Authentifizierung für den Zugriff auf die Remotedesktopdienste 1369
18.4   Sonstige Konfigurationen 1371
18.4.1   Implementieren eines RD-Lizenzservers 1371
18.4.2   Aktivieren der Kennwortwechselfunktion 1377
19   Virtuelles privates Netzwerk und Netzwerkrichtlinienserver 1381
19.1   VPN-Zugang 1383
19.1.1   VPN-Protokolle 1412
19.1.2   Konfiguration des VPN-Servers 1418
19.1.3   Konfiguration der Clientverbindungen 1419
19.1.4   Troubleshooting 1423
19.2   DirectAccess einrichten 1426
19.2.1   Bereitstellen der Infrastruktur 1428
19.2.2   Tunnelprotokolle für DirectAccess 1431
19.3   NAT einrichten 1433
19.4   Netzwerkrichtlinienserver 1439
19.4.1   Einrichtung und Protokolle 1442
19.4.2   RADIUS-Proxy-Server 1450
19.4.3   Das Regelwerk für den Zugriff einrichten 1453
19.4.4   Protokollierung und Überwachung 1457
19.5   Den Netzwerkzugriff absichern 1463
19.5.1   Konfiguration der Clients 1464
19.5.2   Konfiguration der Switches 1469
19.5.3   Konfiguration des NPS 1474
19.5.4   Protokollierung und Troubleshooting 1480
19.6   Absichern des Zugriffs auf Netzwerkgeräte über das RADIUS-Protokoll 1485
19.6.1   RADIUS-Server für die Authentifizierung konfigurieren 1485
19.6.2   Definition des RADIUS-Clients 1489
19.6.3   Sicherheitsgruppen erstellen 1494
20   Integration in Azure 1502
20.1   Hybride Szenarien 1502
20.2   Azure Active Directory 1504
20.2.1   Was ist Azure Active Directory? 1504
20.2.2   Was sind die Azure Active Directory Domain Services? 1505
20.2.3   Was unterscheidet das Active Directory in Windows Server vom Azure Active Directory? 1508
20.2.4   Systemvoraussetzungen für Azure Active Directory 1510
20.2.5   Azure Active Directory initial konfigurieren 1512
20.2.6   Azure AD anpassen 1516
20.2.7   Umsetzung des Zugriffs für hybride Identitäten 1525
20.3   Azure Active Directory mit einem On-Premises-Active Directory verknüpfen 1535
20.3.1   AzureAD Connect oder AzureAD Connect Cloud Sync einsetzen 1535
20.3.2   Azure AD Connect installieren 1536
20.3.3   AzureAD Connect Cloud Sync installieren 1554
20.4   AD FS-Lab-Installation 1560
20.5   Erweitertes Monitoring 1574
20.6   Ausblick: Datacenter-Erweiterung 1581
21   Troubleshooting im Windows Server 1583
21.1   Die Windows-Ereignisanzeige 1583
21.1.1   Konfiguration der Log-Eigenschaften 1592
21.1.2   Eine Überwachung einrichten 1596
21.1.3   Verwenden des Windows Admin Centers 1602
21.2   Die Leistungsüberwachung 1604
21.2.1   Ressourcenmonitor 1610
21.2.2   Leistungsindikatoren und die »üblichen Verdächtigen« 1612
21.2.3   CPU 1616
21.2.4   Arbeitsspeicher 1618
21.2.5   Datenträger 1620
21.2.6   Netzwerk 1621
21.2.7   Datensammlersätze 1622
21.3   Erstellen und Auswerten eines Startvorgangs 1626
21.4   Erstellen und Lesen eines Netzwerktraces 1630
21.4.1   Microsoft Network Monitor 3.4 1630
21.4.2   Microsoft Message Analyzer 1633
21.4.3   Wireshark 1635
21.4.4   Beziehen einer IP-Adresskonfiguration 1636
21.4.5   Anmeldung eines Benutzers an einem System 1638
21.4.6   Zugriff auf einen Webdienst 1641
21.5   Debugging 1643
21.5.1   Aktivieren der zusätzlichen Protokollierungsoptionen 1644
21.5.2   Erzeugen und Prüfen von Memory-Dumps 1646
22   Security in und mit dem Windows Server 1652
22.1   Sicherheitsprinzipien 1652
22.1.1   Protect, Detect, Respond 1652
22.1.2   Das Least-Privilege-Prinzip 1654
22.1.3   Berechtigungssysteme innerhalb von Windows 1655
22.1.4   Stellenwert von Identitäten 1657
22.1.5   Härtung von Systemeinstellungen und Anwendungen 1659
22.1.6   Das Clean-Source-Prinzip 1661
22.1.7   Trusted Platform Modul, UEFI Secure Boot und virtualisierungsbasierte Sicherheit 1664
22.2   Das Tier-Modell und das Enterprise Access Model 1670
22.2.1   Pass the Hash und Pass the Ticket 1670
22.2.2   Schutz von privilegierten Usern durch ein Ebenenmodell 1671
22.2.3   Enterprise Access Model 1678
22.2.4   Logon-Beschränkungen 1680
22.2.5   Security Baselines anwenden 1685
22.2.6   Protected Users 1693
22.2.7   Organisationseinheiten (OUs) und Delegationen erstellen 1695
22.3   Praxisbeispiele, mit denen Sie die Sicherheit in Windows Server 2019 erhöhen 1701
22.3.1   Installation und Konfiguration von LAPS 1701
22.3.2   Windows Event Forwarding zur Zentralisierung von Log-Informationen 1718
22.3.3   Die Verwendung von Standardgruppen einschränken 1732
22.3.4   Gruppenverwaltete Dienstkonten 1734
22.3.5   Security Center in Windows Server 2019 1737
22.3.6   Cloud-basierte Erkennungsmechanismen für Windows Server 2019 1741
22.4   Erweiterte Maßnahmen zum Schutz von Windows-Umgebungen 1750
22.4.1   Sicherer Zugriff auf Windows Server 2019 durch Privilege Access Workstations 1750
22.4.2   Authentication Policys und Silos 1753
22.4.3   Defender for Identity 1759
22.4.4   Ausblick auf Red Forest 1764
A   Glossar 1769
Stichwortverzeichnis 1801
Rechtliche Hinweise 1882
Über den Autor 1883

Vorwort der Autoren


Windows Server 2019 ist die neue Version des Microsoft-Serverbetriebssystems, die im Herbst 2018 veröffentlicht wurde. Wir haben dies zum Anlass genommen, unsere Erfahrungen zu Papier zu bringen, die wir beim Testen und Implementieren des Betriebssystems bei unseren Kunden und Arbeitgebern gesammelt haben. Durch unsere langjährige Erfahrung im IT-Umfeld können wir Ihnen zahlreiche Tipps und Tricks zeigen, mit deren Hilfe Sie Fallstricke vermeiden.

Auch in Zeiten des Cloud-Computings wird es noch Unternehmen geben, die Server lokal bereitstellen wollen bzw. müssen, oder Unternehmen, die virtuelle Systeme mit aktuellen Betriebssystemen in der Cloud bereitstellen möchten. Mit dem Ende des erweiterten Supports für Windows Server 2008 R2 im Januar 2020 müssen viele Unternehmen ihre Systeme aktualisieren. Falls Sie dazugehören, sollten Sie prüfen, ob Sie nicht direkt auf das neuste verfügbare Serverbetriebssystem wechseln wollen.

Dieses Buch richtet sich sowohl an Einsteiger, die vielleicht zum ersten Mal mit Windows Server 2019 Kontakt zu Microsoft-Servern haben, als auch an alle »alten Hasen«, die sehen wollen, welche neuen Möglichkeiten der neue Server bietet.

In diesem Buch steckt viel Arbeit, und bei fünf Autoren war die Abstimmung nicht immer leicht. Wir glauben aber, dass das Buch gut gelungen ist.

Nun wünschen wir Ihnen viel Spaß beim Lesen und viel Erfolg bei der Umsetzung Ihres Vorhabens mit dem Windows Server!

Wer sind »wir« – die Autoren?

Peter Kloep

Seit mehr als 25 Jahren bin ich im IT-Bereich unterwegs. Angefangen hat es mit dem Aufbau kleiner Netzwerke, bevor ich 2001 in einem IT-Systemhaus angeheuert habe. Dort habe ich als Techniker und Berater den Kunden bei ihren täglichen Problemen geholfen und habe neue Lösungen mit den Kunden geplant und umgesetzt. 2002 habe ich die Zertifizierung zum Microsoft Certified Trainer abgelegt und begonnen, im Rahmen von Trainings mein Wissen weiterzugeben.

 

Im Anschluss an das Systemhaus habe ich bei einem weltweit operierenden Unternehmen gearbeitet und dort den Anmelde- und Verzeichnisdienst betreut und die ersten Zertifizierungsstellen zur Absicherung der Netzwerkinfrastruktur und eine Smartcard-Anmeldung etabliert.

2007 habe ich den Schritt in die Selbstständigkeit gewagt und war bis 2011 als Trainer und Consultant für die Bereiche Windows Server, Active Directory und Exchange Server unterwegs.

2010 habe ich mich entschieden, nach Redmond zur Ausbildung als »Microsoft Certified Master – Directory Server« zu gehen, um ein noch tieferes Wissen und Verständnis für die Dienste rund um das Active Directory zu erlangen. Die abzulegenden Prüfungen habe ich bestanden, und so kam ich als Master aus Amerika zurück.

Im September 2011 bin ich dann – nach einem kurzen Abstecher zu Comparex – zu Microsoft als Premier Field Engineer gewechselt und habe dort Microsoft-Premier-Kunden im Bereich »Identity und Security« betreut.

2019 habe ich zwei kurze Abstecher zu anderen Arbeitgebern genommen und war unter anderem als Cyber-Security-Architekt für die Planung und den Aufbau einer sicheren Authentifizierungsplattform verantwortlich.

Seit November 2019 bin ich wieder als Senior Customer Engineer (die Rolle wurde umbenannt) für meine Kunden tätig und unterstütze sie im Bereich Identity, Security und Zertifikatdienste.

In diesem Buch habe ich mich um die Themen PKI, PowerShell und Authentifizierungsprotokolle gekümmert. Zusätzlich habe ich die Kapitel zum Thema IIS und Remotedesktop sowie VPN geschrieben.

Alle Kunden und Schulungsteilnehmer, die mich kennen, werden die eine oder andere Sache wiedererkennen – ich sage nur: ichkanngarnix.de 

Neben diesem Buch sind weitere Bücher von mir im Rheinwerk-Verlag zum Thema Security verfügbar.

Mein Dank gilt meinen Eltern, ohne die ich nicht dort wäre, wo ich jetzt bin. Ein besonderer Dank geht an meine Frau, die besonders während der »heißen« Phase des Schreibens einige Stunden auf mich verzichten musste, während ich am Schreibtisch gesessen und die Tastatur gequält habe.

Karsten Weigel

Als Peter Kloep mich 2018 ansprach und mich fragte, ob ich mir vorstellen könne, an diesem Buch mitzuwirken, habe ich nicht lange überlegt und mich sehr auf die neue Aufgabe gefreut. Jetzt, nachdem wir bereits die 2.Auflage geschrieben haben, muss ich sagen, es war ein hartes Stück Arbeit. Aber ich denke, es hat sich gelohnt. Ich muss ehrlich sagen, ich habe den Aufwand stark unterschätzt, kann aber auch sagen, dass es eine sehr lehrreiche Erfahrung für mich war.

 

Ich bin seit gut 20 Jahren in der IT unterwegs und habe schon einige Projekte begleitet und auch meistern dürfen. Ich habe in den letzten Jahren immer die Microsoft-Zertifizierungen für Windows Server abgelegt und konnte dieses Jahr auch die Zertifizierung »MCSE Core Infrastructure« erreichen. Hauptberuflich bin ich als Hauptadministrator bei einer großen Sicherheitsbehörde tätig, betreue den Anmelde- und Verzeichnisdienst und unterstütze verschiedene weltweit eingesetzte Teams bei der Inbetriebnahme von Standorten bzw. der Regeneration der eingesetzten Hardware. Zusätzlich bin ich für die angeschlossenen Organisationseinheiten im 2nd und 3rd Level Support tätig. Nebenberuflich betreue ich die IT verschiedener klein- bis mittelständischer Unternehmen, berate die IT-Abteilungen bei der Absicherung der IT-Infrastruktur bzw. administriere die IT‐Umgebungen eigenständig. Hier kümmere ich mich um »alles, was ein Kabel hat«. Von der Planung, der Bestellung über die Installation und Inbetriebnahme unterstütze ich Kunden, die teilweise selbst kein eigenes IT-Personal vor Ort haben.

Mein täglicher Schwerpunkt ist das Active Directory, die IT-Sicherheit und die Weiterentwicklung bzw. Optimierung von eingesetzten Produkten. Einer meiner Schwerpunkte in den vergangenen Jahren war die Implementierung von Härtungsrichtlinien für Windows Server und die damit verbundenen Probleme. Die Dokumentation, Umsetzung und Überprüfung eines detaillierten Rollen- und Rechtekonzepts stellten hier eine anspruchsvolle Herausforderung dar. Durch den geschickten Einsatz der Windows PowerShell konnte ich zahlreiche der täglichen Aufgaben automatisieren und sie dadurch in der zur Verfügung stehenden Zeit optimieren.

Alle, die den Betrieb eines Active Directory unterstützen oder verantworten, kennen die alltäglichen Probleme, die durch die Anwender und lokalen Administratoren gemeldet werden. Diese erstrecken sich von »Mein Konto wird immer wieder gesperrt« über »Hier funktioniert etwas nicht … ich habe aber nix gemacht« bis hin zu tatsächlichen Ausfällen von Systemen, die durch Hardwareausfälle entstehen.

Meine Inhalte in diesem Buch sind die Themen Netzwerkgrundlagen, IP-Adressmanagement, AD-Grundlagen sowie AD-Benutzer, -Gruppen und Co. Außerdem habe ich das Thema »Migration von Serverdiensten« übernommen. Hier konnte ich meine Praxiserfahrung einfließen lassen.

Da meine Familie viele Stunden auf mich verzichten musste, bedanke ich mich bei meiner Frau und meiner Tochter für die Geduld und die geschenkten Freiräume. Ich habe die eine oder andere Nacht im Büro und nicht im Schlafzimmer verbracht. Vielen Dank, ich liebe euch!

Ein weiterer Dank geht auch an meine Arbeitskollegen, Sven, Peter und Mark, die meine Texte gelesen und mit korrigiert haben.

Kevin Momber

Ich bewege mich seit Mitte der 90er Jahren in der IT und arbeite seit mehr als 15 Jahren im IT-Umfeld. Dabei konnte ich viele unterschiedliche Stationen durchlaufen und war im 1st und 2nd Level Support tätig, habe in der IT-Administration gearbeitet, habe Kunden beraten und mich um die IT-Architektur gekümmert. So konnte ich eine Vielzahl von Technologien kennenlernen und viele Erfahrungen sammeln.

 

Seit 2015 arbeite ich als Premier Field Engineer für Microsoft und betreue Premier-Großkunden bei allen aufkommenden Fragen und Situationen, die im täglichen IT-Betrieb vorkommen.

Als mich Peter Kloep und der Rheinwerk Verlag letztes Jahr angesprochen haben und fragten, ob ich an diesem Buch mitarbeiten möchte, war für mich sehr schnell klar, dass ich mich diesem Projekt stellen will. In diesem Buch habe ich als Autor der Kapitel Virtualisierung, Dateiserver, Hyper-V sowie Dateidienste mitwirken dürfen.

Raphael Rojas

Seit mehr als 10 Jahren bin ich beruflich in der IT unterwegs, zunächst als Student des ziemlich allgemeinen Studiengangs Wirtschaftsinformatik und dann in einem multinationalen Industrieunternehmen, für das ich auch mehrere Einsätze im In- und Ausland in unterschiedlich großen Projekten begleiten und leiten durfte. Viele Zertifizierungen im IT-Service-Management, Projektmanagement, aber auch MCSA und MCSE, sowie ein Master-Studium später hat es mich 2016 zu Microsoft verschlagen, wo ich als Premier Field Engineer größere und kleinere Unternehmen zu Fragen der Security mit einem Fokus auf Active Directory-Sicherheit und Zertifizierungsstellen (PKI) beraten und unterstützt habe.

 

Später ergab sich ein Wechsel zurück zum vorherigen Arbeitgeber. Seitdem bin ich in verschiedenen Positionen tätig gewesen, zunächst als Enterprise-Architekt und im Bereich der IT-Security, inzwischen als Manager für das Team Windows Server und Clients der STIHL...

Erscheint lt. Verlag 30.6.2021
Sprache deutsch
Themenwelt Mathematik / Informatik Informatik Betriebssysteme / Server
ISBN-10 3-8362-8369-7 / 3836283697
ISBN-13 978-3-8362-8369-4 / 9783836283694
Informationen gemäß Produktsicherheitsverordnung (GPSR)
Haben Sie eine Frage zum Produkt?
EPUBEPUB (Wasserzeichen)
Größe: 55,2 MB

DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasser­zeichen und ist damit für Sie persona­lisiert. Bei einer missbräuch­lichen Weiter­gabe des eBooks an Dritte ist eine Rück­ver­folgung an die Quelle möglich.

Dateiformat: EPUB (Electronic Publication)
EPUB ist ein offener Standard für eBooks und eignet sich besonders zur Darstellung von Belle­tristik und Sach­büchern. Der Fließ­text wird dynamisch an die Display- und Schrift­größe ange­passt. Auch für mobile Lese­geräte ist EPUB daher gut geeignet.

Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür die kostenlose Software Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür eine kostenlose App.
Geräteliste und zusätzliche Hinweise

Zusätzliches Feature: Online Lesen
Dieses eBook können Sie zusätzlich zum Download auch online im Webbrowser lesen.

Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.

Mehr entdecken
aus dem Bereich
Das Praxisbuch für Administratoren und DevOps-Teams

von Axel Miesen

eBook Download (2022)
Rheinwerk Computing (Verlag)
CHF 31,15