Sie sind auf Seite 1von 5

Arbeitsschrite einrichten Server

Neueste Oracle VM VirtualBox (3.20) installieren


VMs löschen
Im Kursordner MCITP-Kurse
Ordner W2008R2 von eSata kopieren
Neue VM GW3 erstellen
64 GB HD, 1024 MB Ram 3 Netzwerkkarten
W2008R2 vollständige Installation

IP Adressen:
10.134.23.103/24 NIC1
192.168.255.3/24 NIC2
172.20.31.0/24 NIC3

passwort für den Kurs 1qA

Guest Edition installieren

Netwerkschnitstellen einstellen mit obigen einstellungen


NAT1 und 2 bekommen per DHCP von wifi netz
NAT2 hat apipa Adresse

um festzustellen welche NAT im Windows Welche in der VM ist, kabel lösen in der VM
eines zum Wifi "Wifi" nennen
interner Switch "Kurs"
Site1 als Sit 1 bezeichnen

Einstellungen "Wifi"

10.134.23.103
255.255.255.0
SG 10.134.23.254
DNS
172.30.1.101
173.30.1.102

Einstellungen "Kurs"

192.168.255.3
255.255.255.0
SG--
DNS--

Einstellung "Site1"
172.20.32.0
255.255.255.0
SG? 172.30.31.1
DNS
vom DC

Firewall einstellen damit Ping möglich


Server Manager
eingehende Regeln
Datei und Druckerfreigrabe (Echo bla)

DC1 zum DC hochstufen


unter ROllen Rollen hinzufügen
Active Directory Domänendienste

Rollendienste für dcpromo


--->erweitere einstellungen

Neue Domäne in Neuer Gesamtstruktur


mcitp03
gesamstrukturfunktions ébene W2008R2

ReverseLookupzone

rechtsklick
neue zone
arte der zone
primär schreibbar
sekundär nur lesbar
=> Zone in Active Directory eintragen damit man steuern kann wer sich im Automatic update
eintragen darf, one dass muss man das immer ein und ausschalten um das Textfile upzudaten
Stubzone hat nur eintrag für den Nameserver
Vorteil bei großen AD in dem Zonen deligiert werden, indem nur Teile gespeichert werden
Hier eintellen Primär
als nächstes Partitionen einstellen
1 bedeute in forrest
2 bedeutret nur im Dom DNS bereich
3 nur in der Dom Partition um auch für Win2k zu funktionieren

ipv4 lookupzone

1) nur rechner registrierbar die ein konto in der domäne haben

mit redircmp kann man ändern wo im AD defniert wird das computerkonten wo anders
ghespeichert werden als normalerweise
redircmp "OU=Ad Computers,DC=mcitp03,DC=tst"

netdom join gw1 /domain:mcitp03.tst /UserD:mcitp03\Administrator /PasswordD:1qA /reboot:0

^um einen PC eine domain hinzuzufügen

um einen anderen zeitserver als den Microsoftzeitserver zu verwenden


>w32tm /config /manualpeerlist:at.pool.ntp.org /syncfromflags:MANUAL /update

wifi firewall blockiert das für rechner im wifi netz

router zum routen bringen


Routing und RAS installieren
GW1
Rollen> Rollen hinzufügen-> Netzwerkrichtlinien und Zugriffsdienste-> Routing und RAS(Remote
Acces Server ... für VPN verbindungen)
+ Netzwerrichtlinien Server für später im Kurs

Integritäts bla um zertifikate mit ipsec auszustellen, Computer kann nur dann verbindung
aufbauen wenn gültiges zertifikat
HCAP lässt nur verbindung zu wenn gewisse einstellungen den anforderungen entsprechen

RAS konfigurieren und aktivieren


1) reiner remote access
2) nur nat
3) kombiniert 1 und 2
4) wählen nach bedarf
erzwungene vpn-tunnels für clients, dabei macht nicht der client die VP verbidnung sondern der
Router an dem der Client hängt
5) Benutzerdefiniert-->

------------------
NAT
Bereiche hinzufügen und sagen welches das öffenliche ist (an dem wird NAT aufgeführt) oder
privat

Proxy über Benutzerrichtlinie

Neue Richtlinie Erstellen


Benutzerkonf: Richtliniern Windowseinstellungen IE wartung
Verbindung Proxy

sicherheitseinstellungen beim IE override


Computererconfig
einstellungen
windows einstellungen
reg
neues Sammlungselement
neues registrierungs element
SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-
4F3A74704073}
Wert von IsINstalled auf 0 setzen
SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-
4F3A74704073}
Wert von IsINstalled auf 0 setzen

bei beiden von aktualiseren auf ersetzen ändern

-----

Routing einstellen
Routing und RAS
ipv4
statische Routen
Unter MS Routing muss man sagen auf wleche Schnittstelle weitergeleiten wird, normalerweise
steht das in der packet tabelle

für netshell
netsh routing ip>add per 172.20.51.0 255.255.255.0 KURS (nhop=)192.168.255.5

---
dnscmd kann nur ausgefäührt werden wenn dns server eingestellt

/dsforwarer hat den vorteil das es ins auch active directory gespeichert wird

dnscmd /zoneadd mcitp07.tst /dsforwarder 172.20.71.200

RIP für Internetprotokoll


auf allgemein klicken udn rip hinzufügen
für kurs alles auf default lassen

Gruppenrichtlinien für Admins


Sortiermethode nach nachnamen mittels AD einstellbar
adsiedit ist ein lowlevel editor für das acticve directory
rechtklick-> Verbindungseinstellungen-> Konfiguration
Wichtig einen Namen dazugeben damit man sich auskennt
bei änderungen hier, gilöt es für alle gleichsprachigen systeme wie das AD
CN=409 --> English
407 Deutsch
Steuerelement cn=User-display
create dialog
%<sn>% %<givenName>%
sn= surename

--> ordnet nach Nachname


um das zu gewährleisten muss das eingestellt werden bei
cn=User-display
cn=contact-display
cn=inetorgperson-display

Wenn man in einem AD Atribute einfügt muss festgelet werden ob nur ein oder mehrere Atribute
vergeben werden

Man unterschiedliche suffixe definieren:


macht man in der Verwaltung:
Active-Direktory: Domänen und Vertrauensstellungen
Eigenschaften
neues eintragen und hinzufügen
zB test03.tst

dann kann man das suffix Benutzernamen hinzufpgen


wenn der "user principal name" (haupanmelde name) zu einem gewissen suffix zugewiesen wird
kann man sich nur damit anmelden
allerdings kann man sich in den abwärtskompatiblen namen anmelden -->
Domainname\benutzername

User Atribute-->
userAccount wert folgert durch eine Bitmaske (10 bit lang)

managed service accoutns haben kein statisches kennwort, am client und am server wird es in
abständen gleichzeiteig gewechselt
man kann aber leider nur einer maschine zugeordnet werden

kennwort kann nicht delegiert werden -> hat mit kerberos zu tun

daruch wird verhindert das die authentifizierung ein benutzers nicht weiter gereicht werden kann,
wordurchd as problem bestehen kann das man benutzer von vielen services ausperrt.

ldp

weiter lowlevel editor


greift noch tiefer ein
mann kann sich mit jeder ldap datenbank verbninden also auch mit unix