Infos und mehr
Inhaltsverzeichnis Inhaltsverzeichnis... 1 Hardware... 3 Upgradepfade... 3 Neue Funktionen... 3 Wichtige Ports... 4 NTFS - NT File System... 4 VSS - Volume Shadow Copy Service... 4 Microsoft Management Console... 5 Funktionsebenen... 5 Domänenfunktionsebenen (4)... 5 Gesamtstrukturfunktionsebenen (3)... 6 Schemaerweiterung... 6 Vertrauensstellungen... 6 Vertrauensstellngstypen... 6 Active Directory Restore... 6 AD Backup... 6 AD Restore... 6 Authorisierendes Restore... 7 Domänencontroller umbenennen... 7 Rename DC Procedure... 7 DNS - Domain Name System (dnsmgmt.msc)... 7 DHCP - Dynamic Host Configuration Protocol (dhcpmgmt.msc)... 7 DHCP Datenbank komprimieren... 7 WINS - Windows Internet Naming Service... 7 WINS Datenbank komprimieren... 7 RAS - Remote Acess Server... 8 Authentification Protocols... 8 Software Update Services... 8 SUS Client... 8 SUS via Group Policy... 8 MBSA / hfnetchk... 8 Checklist... 8 ADSI Edit... 8 Exchante How to Enable Out-of-Office Replies to the Internet... 8 Exchange Recipient Policies... 9 Exchange Show Security Tab... 9 Comannd Line Tools... 9 Glossar... 10 Seite 2
Hardware Von Windows 2003 Server gibt es vier Versionen. Window 2003 Standard Edition Window 2003 Enterprise Edition Window 2003 Datacenter Edition Window 2003 Web Edition Hardwarevoraussetzungen Standard Ed. Enterprise Ed. Datacenter Ed. Web Ed. CPU 133 MHz 133 MHz 400 MHz 133 MHz RAM 128 MB 128 MB 512 MB 128 MB Max. RAM 4 GB 32 GB 64 GB 2 GB SMP 4 CPU 8 CPU 8-64 CPU 2 CPU HD Space 1.5 GB 1.5 GB 1.5 GB 1.5 GB Features Kein Cluster / Keine 64 Bit Cluster bis 8 Knoten / 64 Bit Cluster bis 8 Knoten / 64 Bit Kein DC / Kein 64 Bit Upgradepfade Standard Ed. Enterprise Ed. Datacenter Ed. NT 4.0 Server OK OK - NT 4.0 Terminal Server OK OK - NT 4.0 Enterprise Edition - OK - Win 2000 Server OK OK - Win 2000 Advanced Server - OK - Win 2000 Datacenter Server - - OK Beim Upgrade von NT 4.0 muss mindestens SP5 installiert sein. Ein Upgrade von Versionen vor NT 4.0 wird nicht unterstüzt. Es muss zuerst auf NT 4.0 upgedatet werden. Neue Funktionen Windows 2003 bringt einige neue Funktionen mit sich... Shadow Copies IIS 6 wurde komplett neu entwickelt Neues AD Computers and Users Tool Gleichzeitiges bearbeiten der Eigenschaften mehrerer Objekte Drag und Drop in der MMC SUS - Software Update Services ASR - Automated System Recovery GPMC - Group Policy Management Console RSoP - Resultant Set of Policy POP3 Server GPupdate Seite 3
Wichtige Ports Wichtige Ports 25 smtp 80 http 110 pop3 443 https 1863 instant Messenger 3268 ldap 3269 ldap/ssl 3389 rdp 1433 SQL 1494 Citrix 2598 Citrix NTFS - NT File System Spezielle Berechtigungen Vollzugriff Ändern Lesen & Ausführen Ordnerinhalt auflisten Ordner durchsuchen / Datei ausführen x x x x Ordner auflisten / Daten lesen x x x x x Attribute lesen x x x x x Erweiterte Attribute lesen x x x x x Dateien erstellen / Daten schreiben x x x Ordner erstellen / Daten anhängen x x x Attribute schreiben x x x Erweiterte Attribute schreiben x x x Unterordner und Dateien löschen x Löschen x x Berechtigungen lesen x x x x x x Berechtigungen ändern x Besitz übernehmen x Synchronisieren x x x x x x Lesen Schreiben VSS - Volume Shadow Copy Service %windir%\system32\clients\twclient.msi max. 63 Kopien Seite 4
Microsoft Management Console Die meisten Administrationsarbeiten können mit der via mmc erledigt werden. Hier die wichtigsten im überblick MMC compmgmt.msc Computermanagement devmgmt.msc Device Manager dfrg.msc Defragmentierung dfsgui.msc Distributed File System dhcpmgmt.msc DHCP Konsole diskmgmt.msc Datenträgerverwaltung dnsmgmt.msc DNS Konsole domain.msc Active Directory Domains and Trusts dsa.msc Active Directory Users and Computers dssite.msc Active Directory Sites and Services eventwvr.msc Eventviewer gpedit.msc Group Policy Object Editor lusrmgr.msc Lokal User and Groups rras.msc Routing and Remote Access rsop.msc Resultant set of Policy services.msc Dienste tscc.msc Terminal Services Configuration Funktionsebenen Domänenfunktionsebenen (4) Windows 2000 gemischt (standard) Für gemischte Domänencontroller von NT4 bis Windows 2003. Folgende Funktionen können nicht genutzt werden: universelle Gruppen, verschachtelte Sicherheitsgruppen, Konvertieren von Gruppentypen, Umbenennen von Domänencontrollern. Windows 2000 pur Unterstützt keine WinNT 4.O Domänencontroller mehr. Wenn von einer Windows 2000 Domain im Native Modus auf 2003 upgedated wird. Hier werden aber folgende Funktionen unterstützt: universelle Gruppen, verschachtelte Sicherheitsgruppen, Konvertieren von Gruppentypen Nicht möglich ist aber das umbenennen von Domänencontrollern. Windows Server 2003 interim Diese Domänenfunktionsebene ist Domänen gedacht, welche von NT4 auf Windows 2003 aktualisiert werden. Windows 2000 Domänenkontroller werden nicht unterstützt. Nachdem alle DC's auf 2003 aktualisiert wurden, kann auf die Domänenfunktionsebene Windows Server 2004 hochgestuft werden. Diser vorgang kann nicht mehr rückgängig gemacht werden. Windows Server 2003 Seite 5
Gesamtstrukturfunktionsebenen (3) Windows 2000 (standard) Für gemischte Domänencontroller von NT4 bis Windows 2003. Fast alle neuen Funktionen sind deaktiviert. Ausnahme: Wenn beide Katalogserver unter Windows 2003 laufen, wird die verbesserte Replikationsmethode verwedet. (Neue Attribute werden Synchronisiert nicht mehr der ganze Katalog) Windows 2003 interim Diese Funktionsebene wird beim aktualisieren des ersten NT4 Domänencontrollers gewählt. Es gelten dieselben Einschränkungen wie bei Windows 2000. Windows Server 2003 Neue Funktionen: Ausser Kraft gesetzte Schemaobjekte, Gesamtstruckturvertrauensstellungen, Replikation verknüpfter Werte, Domänenumbenennung, Verbesserte Replikationsalgorithmen, Dynamische Erweiterungsklassen, änderung der Objektklasse. Schemaerweiterung Um die Windows 2000 Domäne zu aktualisieren muss zuerst das Schema erweitert werden. Schemamaster adprep /forestprep Infrastructurmaster adprep /domainprep Um manuell Schemaerweiterungen zu konfigurieren muss man das Active Directory Schema MMC mit dem befehl regsvr32 schmmgmt.dll aktivieren. Vertrauensstellungen Vertrauensstellngstypen Strukturstamm Vertrauenstellung (Forest Trust) Überordnungs-Unterordnungs Vertrauensstellung (Sub Domain) Shortcutvertrauensstellung Bereichsvertrauensstellung (Kerberos für Unix/Linux) Externe Vertrauensstellung (auch für NT4) Gestamtstrukturvertrauensstellung (Vertrauen zwischen zwei Forests) Vertrauensstellungen können entweder transitiv oder nicht transitivsein und sie können unidirektional oder bidirektional sein Active Directory Restore AD Backup Mit der Backup Software ein Backup des Systemstate anlegen. AD Restore Es gibt zwei arten eines Active Directory Restore. Nämlich eine normale Wiederherstellung und eine authorisierende Wiederherstellung Seite 6
Authorisierendes Restore #Im Active Directory Restore Modus booten #Backup zurückspielen ntdsutil authorative restore restore subtree OU=vertrieb,DC=contoso,DC=com oder restore subtree CN=Mark,CN=Users,DC=contoso,DC=com Domänencontroller umbenennen Rename DC Procedure #Active Directory Domains and Trust netdom computername CurrentComputerName /add:newcomputername.domain.tld netdom computername CurrentComputerName /makeprimary:newcomputername.domain.tld Restart the computer netdom computername NewComputerName /remove:oldcomputername.domain.tld DNS - Domain Name System (dnsmgmt.msc) Standard Intervalle Refresh Interval 15 Min Retry Interval 10 Min Expires after 1 Day Minimum TTL 1 Hour TTL DDDDD:HH:MM:SS Zone Transfer zur zu Server in Name Server Tab DHCP - Dynamic Host Configuration Protocol (dhcpmgmt.msc) DHCP Datenbank komprimieren CD %SYSTEMROOT%\SYSTEM32\DHCP NET STOP DHCPSERVER JETPACK DHCP.MDB TMP.MDB NET START DHCPSERVER WPAD - Windows Proxy Auto Discovery-Prottokoll WINS - Windows Internet Naming Service WINS Datenbank komprimieren CD %SYSTEMROOT%\SYSTEM32\WINS NET STOP WINS JETPACK WINS.MDB TMP.MDB NET START WINS Seite 7
RAS - Remote Acess Server Authentification Protocols EAP MS-CHAP v2 (Win98 ab SP1) MS-CHAP (Encription and Authentification) CHAP (Challenge Handshake Autentifiaction Protocol) SPAP (Shiva Password Authentification Protocol) PAP (Password Authentification Protocol) Software Update Services Mit SUS wird die Verwaltung der Patches innerhalb einer Domain vereinfacht. Es werden ca. 6 GB freier Speicherplatz benötigt. Das Administrationsinterface ist über URL erreichbar (http://servername/susadmin/) Internet Zone: Zu vertraenswürdigen Sites hinzufügen. SUS Client Der SUS Client is für WinXP SP1 und für Windows 2000 ab SP3 geeignet. Das Logfile des SUS Client liegt unter %windir%\windowsupdate.log. SUS via Group Policy Das Template befindet sich unter: %windir%\inf\wuau.inf Computer Configuration --> Administrative Templates --> Windows Components --> Windows Update MBSA / hfnetchk Mit dem Microsoft Baseline Security Analizer (MBSA) Tool kann man relativ einfach das Netzwerk scannen und fehlenden Patches der Computer ermitteln. Folgende Breiche werden überprüft: Kontoschwachstellen Schlechte Kennwörter Dateisystemschwachstellen IIS und SQL Schwachstellen Checklist ADSI Edit ADSI-Edit -> Configuration -> Display specifiers -> 407 (dt.) oder 409 (engl) -> User-Display (od. Contact-Display) -> Create Dialog -> "%<sn> %<givenname>" http://support.microsoft.com/?kbid=250455 Exchante How to Enable Out-of-Office Replies to the Internet System Manager -> Global Settings -> Internet Message Formats -> * -> Properties b-> Advanced -> Out of office responses http://www.support.microsoft.com/kb/262352/en-us/ Seite 8
Exchange Recipient Policies %s = surname (last name) %g = given name (first name) %i = middle initial %d = display name %m = Exchange 2000 Alias %rxy = Replace all subsequent characters x with character y in username. If x = y, then the character will be deleted. %1s = Uses the first letter of the surname %5g = Uses the first five letters of the given name http://support.microsoft.com/?kbid=285136 Exchange Show Security Tab Regedit -> HKEY_CURRENT_USER\Software\Microsoft\Exchange\ExAdmin -> DWORD value "ShowSecurityPage -> 1 http://support.microsoft.com/default.aspx?scid=kb;en-us;312647&sd=tech Comannd Line Tools DSADD DSMOD DSQUERY DSMOVE DSRM netdom trust IISBACK.vbs IISWEB.vbs DCPROMO /ADV CVSDE ntdsutil ldp nltest convert [Volume] /fs:ntfs [/v] [/cvtarea:dateiname] [/nosecurity] [/x] diskpart bootcfg getmac shutdown [{-l -s -r -a}] [-f] [-m [\\Computername]] [-t xx] [-c "Nachricht"] [- d[u][p]:xx:yy] DSADD dsadd computer ComputerDN -desc Description -loc Location - memberof GroupDN -s Server -d Domain - u Username -p Password 'Importmodus wenn nicht -i angegeben automatisch Exportmodus -f 'Filename -k 'Ignoriert Fehler beim Importieren cvsde - AD CVS Import / Export Utility Seite 9
cvsde -i -f [filename] -k -i 'Importmodus wenn nicht angegeben automatisch Exportmodus -f 'Filename -k 'Ignoriert Fehler beim Importieren secedit secedit /analyze /db Dateiname [/cfg Dateiname] [/log Dateiname] [/quiet] secedit /configure /db Dateiname [/cfg Dateiname ] [/overwrite][/areas Bereich1 Bereich2...] [/log Dateiname] [/quiet] secedit /export [/mergedpolicy] [/DB Dateiname] [/CFG Dateiname] [/areas Bereich1 Bereich 2...] [/log Dateiname] [/quiet] secedit /validate Dateiname secedit /refreshpolicy wurde mit gpupdate ersetzt netsh netsh? Displays a list of commands netsh aaaa Changes to the `aaaa' context (Authenitification,Authorisation, Audit) netsh add Adds a configuration entry to a list of entries netsh delete Deletes a configuration entry from a list of entries netsh dhcp Changes to the `dhcp' context netsh dump Displays a configuration script netsh exec Runs a script file netsh help Displays a list of commands netsh interface Changes to the `interface' context netsh ras Changes to the `ras' context netsh routing Changes to the `routing' context netsh set Updates configuration settings netsh show Displays information netsh wins Changes to the `wins' context. Glossar Glossar FIPS Federal Information Processing Standard 140-1 (FIPS 140-1)Sensitive but Unclassified, SBU. PKI Public Key Infrastructure PC/SC Personal Computer / Smart Card UPN User Principal Name Seite 10