You are on page 1of 5

Direct Acces Server

braucht 2 Schnittstellen die mit dem internet verbunden sind und muss über 2 IP adressen
erreichbar sein
wenn client für automatic access configuriert ist verbindet er sich automatisch per IPv4 dum DA
Server.

am DA-S kann konfiguruert werden was der Client im Internen netzwerk sieht
zb eingeschränkt auf welche Server im internen netz zugrif möglich

bidirectionale Verbindung -> admins können remote patches installieren

arbeiten wie im LAN möglich, eingeschränkt nur durch Bandbreite seiner (Client) Verbindung

Vorraussetzungen
PKI
Zertifikatsdienste
Webserver
damit client testen kann ob er im Internen Netz ist oder nicht

für IPv6
ISATAP-> muss erst in der registry entfernt werden damit es auch in dns funktioniert
6to4
Toredo

Network Access Protection Verbindung


Kann Zugriff durch Clients einstellen, indem Client "zustand" überprüft wird (zB Patches, Firewall,
Virenschutz) je nach Einstellung im NW.

clients müssen einer gruppe im Direct Access Directory enthalten sein.

branche Cache(?) ~Proxy für Dateien --Fileserver

Zentraler Fileserve und in Filiale Server (erfordert mindestens WS2008R1 oder W7)
Von Zentralem Server an Filialen Server gespeichert um im Cache für die Clients bereitgestellt
Allerdings nicht NUR für daten sondern auch für HTTP anfragen

--> am Fileserver zusätzlichen Rollendienst erweitern damit Branche Cache verüfgbar

Server gibt Client zuerst Checksumme um Version zu überprüfen

(Wird in den Branchcache gespeichert bevor Benutzer es verändert)

Wenn richtiger Version vorhanden wird datei von Cache geladen

Wenn Datei nicht gefunden:


per multicast im metzwerk gesucht und auf anfordernden Computer geladen => Daten
mehrere male vorhanden

Verwenden von gehosteten Cache verhindert das

am zentralserver Rolle erstellen


fillial server dafür aktivieren
clients müssen auch konfiguriert werden
möglichkeiten:
netshell
GPOs

bei uns: verwended keinen fillialen server daher werden sie in den branche cache des hauptserver
gespeichert

Grenzwert: 5% der Festplattengröße, sowohl Server und Client ... fixierter Pfad bei server.

Powershell unter W7 &WS2008

kommt nmir vielen befehlen, kann mit get command aufgerufen werden
zusätzlicher nutzen durch installieren von zusätzlichen modulen, zB durch Applikationen,
funktioniert nur wenn diese packete auch installiert sind

get-command um befehle abzufragen

um zusätzlich instalierbare module abzufragen


get-module -listavailable [-l +<tab>]

um ein module zu laden


import-module [-m <tab>] name (muss nicht ausgeschribeen werden es reicht buchstabe* wenn
eindeutig)
um unterteile des moduls anzeigen zu lassen
get-co<tab> -m <tab> no (muss nicht ausgeschribeen werden es reicht buchstabe* wenn
eindeutig)

Get-Aduser [adu <tab>] filter:* zeigt die user

Get-Service listet services


Get-Service | Format-List [alias FL] Format-Table [alias FT]

Get-ADuser | FT Name,SID
zeigt user in tabelle mit filter Name SID

zuätzlich -AutoSize zeigt vollständige namen (nicht nur firendly names)

Get-Service | FT -AutoSize| Out-File C:\Admin\service.txt

schreibt output in das file service.txt

für sortierung
Get-Service | Sort-Object Status | FT -AutoSize

sortiert nach status, in diesem befehl zuerst stopped dann running

um hilfe aufzurufen
get-help

sortierung ändern mit:


Get-Service | Sort-Object Status -Descending | FT -AutoSize

sortiert mit zuerst running dann stopped


für die ausgabe für das mit zusätzlicher sortierung nach namen
Get-Service | Sort-Object Status,name -descending | ft -AutoSize | Out-File

wieder von running nach stopped zusätzlich namen von z nach a aufgeteilt auf running und
stopped

für csv ausgabe


Get-Service | Export-Csv C:\Admin\services02.csv -Delimiter ";"

exportiert unsortier ohne filter in eine csv datei mit seperator ;

Get-Service | Sort-Object Status,name -descending | select-object -property status,name |


Export-Csv C:\Admin\services02.csv -Delimiter ";"

exportiert sortiert mit filter in eine csv datei mit seperator ;

Erstell neuer Organisationeineheiten mit PS


New-ADOrganizationalUnit -Name "AD Contacts" -Path "DC=mcitp03,DC=tst"

standardwert Protectedfrom accidental Deletion

mit dem schalter -ProtectedFromAccidentalDeletion $False kann man diesen Schutz aufheben

Erkennen und Beheben von Software Problemen:


Bei nicht kompatibler software:
aktuelle software besorgen (hahaha)
kompatibilitäsmodus, mann muss beachten das benutzer meist keine adminrechte haben->
gelöst durch GPO
gpedit.msc =>
W-Einstellungen->
Sicherhheitseinstellung
Lokale Richtlinien
Zuweisen von Benutzerrechten
Oder durch spezielle Adminskripts

Neue W7 möglichkeit ab professional


XP-Mode: VM von windows XP -> Software Application Visualisation für Komplexere Software
(zum kaufen, Fu)

Warnstufen für Useraccountcontrol einstellbar um warnungen abzustellen.

Es kann auch durch sprachversionen zu problemen kommen, da nur ein teil der editionon von
windows sprachpackete richtig unterstützt (es gibt komplete und kleine sprachpakete, kleine
übersetzen nicht die gesamte oberfläche)

Pro Benutzer Umschaltbar und SPrachen für neue benutzer festlegbar. Grundinstallation Englisch-
> standart sprache deutsch einstellbar.

SW Verteilung durch Gruppenrichtlinien:


geht nur in Domänen umgebungen:

funktioniert nur wenn ein windows installer packet vorhanden ist, entweder direkt vom hersteller
oder durch tools herstellen
msi packete anpassbar
-MSI als Datenbank
Speicherort, Registry, Parameter usw (zB Office 2003)
-MSI als Komplette installations datei
Beides per GPO verteilbar

Wenn nicht Standard Config (zB Benutzer Konfig Install bei Office)
-> Transformationsdatei *.mst *.msp

2 Versionen
Auf allen Maschinen installiert
-> Installation (komplet) vor Anmeldung an den Computer
-> angepasst an anmeldnend user -> nachmeldung
-Zuweisung: Nur links zu software verknüpft
-zuweisung mit installation: programm wird erst installiert wenn user zugehörige dateien öffnet

per GPO:
Gruppenrichtlinienverwaltung
zu <AD Computers> neue richtlinie hinzufügen > BEarbeiten
>Im Gruppenrichtlinienverwaltungs editor
Richtlinien>Softwareeinstellungen>Software installation> Neu> Packet>iso file auswählen
Richtlinien>Adminstrative~>System>Ausführlich im Vergleich zu Normal <aktivieren>

zugewiesen->
erweitert-> wenn cih rigendwann vorhabe *.mst *.msp verwenden will

Um probleme zu vermeiden:
Verteilsystem nutzenn und mehrere shares zu verfügung stellen.

zb durch verknüpfen von einem Netzlaufwerk mit dfs


verstecktes share system (nicht in netzwerksystem sichtbar)
der einzelne dfs ordner zeigt auf mehrere share ordner mit anweisungen wie \\srv1\software$
\\srv2\software$ usw
bandbreite tageszeitmäßig einstellbar

dadurch kann last aufgesplitet werden

Um Ausfälle zu vermeiden gibt es verschiedene Server mit selben infromatieon die einander
ersetzen wenn einer ausfällt,
dabei kann man angeben welcher der primäre sein soll

die installation erfolgen mit den berchtingungen das computers.

mit wmi filtrn kann man auch feststellen ob am zielrechner die vorrausetzunegn vorhanden sind
wie zB Speicherplatz

logicaldisk where "DeviceID='C:'" Get name,freespace

gibt von Device mit namen C namen und freien speicher aus
select * from Win32_logicaldisk WHERE DeviceID="C:" AND FreeSpace>2000000000

überprüft ob auf C 2 GB frei sind

WMI-Filter zu Gruppenrichtlinie hinzu von da an wird GPO nur ausgeführt wenn WMI filter
optionen passen

OS abfragen

os get /value

get friendlyname,target
zeigt alle bla mit firendlyname und maschinen namen an

auch für patches einsetzbar

QFE QuickFixEngineering
auf eine GPO kann nur ein filter angehöngt werden