Teil A Grundlagen, Installation und Virtualisierung mit Hyper-V... 35

Vorwort.............................................................................. 33 Teil A Grundlagen, Installation und Virtualisierung mit Hyper-V........... 35 1 Neuerungen, Editionen und Lizenzierung....................................... 37 Die verschiedenen Editionen von Windows Server 2008 R2..................................... 38 Windows Server 2008 R2-Editionen im Überblick......................................... 38 Windows Server 2008 R2 Foundation für kleine Unternehmen.............................. 40 Neuerungen (nicht nur) im Vergleich zu Windows Server 2003................................. 41 Netzwerk- und Freigabecenter Optimale Verwaltung des Netzwerks........................ 41 Der neue Server-Manager.............................................................. 42 Serverrollen und Serverfunktionen...................................................... 44 Windows-Bereitstellungsdienste......................................................... 44 Neue Failover-Clusterunterstützung..................................................... 47 Windows-Firewall mit erweiterter Sicherheit.............................................. 48 IPsec-Verbesserungen................................................................. 51 Netzwerkzugriffsschutz (NAP).......................................................... 52 Neue Funktionen in Active Directory im Vergleich zu Windows Server 2003................... 54 Windows Server-Sicherung............................................................. 57 Verbesserungen im NTFS-Dateisystem................................................... 58 Änderungen in den Remotedesktopdiensten.............................................. 58 Windows-Systemressourcen-Manager (WSRM)........................................... 59 Neue Installationsmechanismen WIM-Abbilder......................................... 59 Core-Server-Installation............................................................... 60 Internetinformationsdienste (IIS 7.0/7.5)................................................. 61 Neuerungen im Vergleich zu Windows Server 2008............................................ 62 Virtualisierung mit dem neuen Hyper-V 2.0.............................................. 63 Virtual Desktop Infrastructure (VDI).................................................... 66 Hyper-V und schnelle Bereitstellung..................................................... 67 PowerShell 2.0 und verbesserte Verwaltung............................................... 68 Best Practice Analyzer Überprüfung von Active Directory und mehr........................ 71 Active Directory-Verwaltungscenter..................................................... 72 Papierkorb für Active Directory und neue Funktionsebene.................................. 73 Offline-Domänenbeitritt............................................................... 74 Verbesserte Gruppenrichtlinien in Windows Server 2008 R2................................ 75 Gruppenrichtlinien-Preferences effizient einsetzen......................................... 76 Virtuelle Festplatten mit Windows 7 und Windows Server 2008 R2........................... 79 BranchCache Datenzugriff beschleunigen............................................... 80 7

DirectAccess Voller Netzwerkzugriff über das Internet..................................... 83 Dateiklassifizierungsdienste............................................................. 84 Verbesserter Core-Server in Windows Server 2008 R2....................................... 84 Programme sperren mit AppLocker...................................................... 85 Microsoft-Lizenzierung mit Windows Server 2008 R2.......................................... 87 Clientzugriffslizenzen und Serverlizenzen verstehen........................................ 87 Volumenlizenzierung im Überblick...................................................... 88 Open License, Select License Der Einstieg in die Volumenlizenz............................. 88 Ratenkauf oder Software mieten mit Open Value und Enterprise Agreement................... 89 Lizenzen finanzieren................................................................... 89 Re-Imaging, Downgrade, Zweitkopie und Cross-Language................................... 90 Gerätelizenzen (Device CALs) oder Benutzerlizenzen (User CALs)............................ 90 Lizenzierung von Terminalservern (Remotedesktop)........................................ 92 Aktivierung für Unternehmenskunden Volume Activation (VA) 2.0......................... 93 Besonderheiten bei der Windows Server 2008 R2-Lizenzierung............................... 94 Windows 7 zusammen mit Windows Server 2008 R2 betreiben.................................. 95 Zusammenfassung......................................................................... 97 2 Installation, Treiberverwaltung und Aktivierung................................ 99 Windows Server 2008 R2 virtuell und physisch neu installieren.................................. 102 Treiber und Hardware installieren und verwalten.............................................. 112 Windows Server 2008 R2 aktivieren.......................................................... 119 Windows Server 2008 R2-Startoptionen...................................................... 123 Anmeldeprobleme im abgesicherten Modus umgehen....................................... 124 Letzte als funktionierend bekannte Konfiguration im Detail.................................. 124 Hintergrundinformationen zum Installationsmechanismus...................................... 125 Auf Windows Server 2008 R2 aktualisieren.................................................... 127 Windows Server 2003 und Windows Server 2008 R2 parallel installieren........................... 129 Windows Server 2008 und Windows Server 2008 R2 parallel betreiben............................ 131 Zusammenfassung......................................................................... 131 3 Start-Manager verwalten, Virtualisierung und Experimente................... 133 Windows Server 2008 R2-Start-Manager verwalten............................................. 134 Start-Manager reparieren............................................................... 134 Systemstartmenü anpassen.............................................................. 134 Start-Manager mit bcdedit.exe verwalten................................................. 135 Windows Server 2008 R2 auf einer virtuellen Festplatte installieren............................... 136 Windows Server 2008 R2 ausschließlich virtuell booten......................................... 139 Virtuelle Festplatte für den Bootvorgang erstellen.......................................... 139 Windows Server 2008 R2-Abbild auf Festplatte übertragen................................... 140 Zielcomputer bereinigen und vorbereiten................................................. 141 Windows Server 2008 R2 über USB-Stick installieren........................................... 143 Windows Server 2008 R2 als Arbeitsstation für Administratoren................................. 143 Als Arbeitsstation installieren............................................................ 144 Treiber installieren..................................................................... 147 Systemeinstellungen anpassen........................................................... 151 Benutzer anlegen und verwalten......................................................... 153 8

WLAN-Anbindung von Windows Server 2008 R2......................................... 159 Multimedia und Windows Server 2008 R2................................................ 160 Zusammenfassung........................................................................ 169 4 Erste Schritte und Core-Server.................................................... 171 Erste Schritte nach der Installation.......................................................... 172 Mit dem Server-Manager arbeiten....................................................... 173 Server-Manager in der Befehlszeile und PowerShell verwenden.............................. 177 Server über das Netzwerk verwalten Remotedesktop......................................... 178 Remotedesktop aktivieren.............................................................. 178 Verbindungsaufbau über Remotedesktop................................................. 180 Getrennte Verbindungen zurücksetzen................................................... 181 Verbindungsmöglichkeiten konfigurieren................................................ 182 Core-Server verwalten..................................................................... 182 Wichtige Administrationsaufgaben...................................................... 185 Server mit shutdown.exe herunterfahren................................................. 193 Core-Server aktivieren................................................................. 194 Schnellanleitung zur Installation von Serverrollen und Features auf einem Core-Server.......... 195 Core-Server remote verwalten.............................................................. 197 Zusatztools für Core-Server Core Configurator.......................................... 198 Hardware und iscsi über die Befehlszeile installieren.......................................... 200 Zusammenfassung........................................................................ 201 5 Serverrollen und Serverfunktionen............................................... 203 Serverrollen auf einem Server installieren.................................................... 204 Features installieren und verwalten.......................................................... 212 Remoteserver-Verwaltungstools............................................................ 219 Serverrollen und Features auf einem Core-Server installieren.................................... 220 Serverrollen auf einem Core-Server installieren............................................ 222 Zusätzliche Features installieren......................................................... 227 Serverrollen und Features in der Befehlszeile verwalten......................................... 228 Rollen und Features in der Befehlszeile installieren oder deinstallieren........................ 228 Rollen und Features unbeaufsichtigt installieren........................................... 229 Zusammenfassung........................................................................ 229 6 Datenträgerverwaltung............................................................ 231 Datenträger einrichten.................................................................... 233 Laufwerke erstellen, erweitern und reparieren................................................. 235 Einfache Volumes und Software-RAIDS erstellen.......................................... 235 Software-RAIDs und übergreifende Volumes konfigurieren und reparieren.................... 240 Datenträger verkleinern und erweitern....................................................... 243 Partitionen verkleinern................................................................ 243 Partitionen erweitern.................................................................. 244 Datenträger verwalten..................................................................... 245 Schattenkopien verwenden................................................................. 247 Befehlszeilentools zur Datenträgerverwaltung nutzen.......................................... 249 9

Festplattenverwaltung in der Befehlszeile mit Diskpart...................................... 250 Geöffnete Dateien in der Befehlszeile anzeigen openfiles.exe............................... 252 Weitere Befehlszeilentools für die Datenträgerverwaltung.................................... 253 Sysinternals-Tools zur Verwaltung von Dateien und Datenträgern............................ 254 Der neue Windows-Explorer und die neue Windows-Suche..................................... 257 Virtuelle Festplatten erstellen und verwalten................................................... 258 Bibliotheken in Windows 7 und Windows Server 2008 R2 verstehen.............................. 263 Bibliotheken im Überblick.............................................................. 263 Eigene Bibliotheken anlegen und verwalten................................................ 265 Netzwerkpfade in Bibliotheken aufnehmen................................................ 267 Windows-Explorer anpassen............................................................ 267 Zusammenfassung......................................................................... 273 7 Netzwerke mit Windows Server 2008 R2......................................... 275 Netzwerkfeatures in Windows Server 2008 R2 und Windows 7................................... 276 Das Netzwerk- und Freigabecenter........................................................... 277 Netzwerkverbindungen verwalten........................................................ 278 Netzwerkstandorte verwalten............................................................ 281 Erweiterte Verwaltung der Netzwerkverbindungen......................................... 284 Eigenschaften von Netzwerkverbindungen................................................ 288 IP-Routing Manuelle Routen erstellen...................................................... 293 Der öffentliche Ordner..................................................................... 294 Netzwerkeinstellungen für Active Directory-Domänen.......................................... 295 Windows Internet Name Service (WINS)................................................. 295 Computerkonto für den Server in der Domäne erstellen..................................... 296 Erste Schritte in der Windows-Domäne.................................................. 299 Internetprotokoll Version 6 (IPv6)........................................................... 299 Vorteile von IPv6 gegenüber IPv4........................................................ 300 Aufbau und Grundlagen von IPv6........................................................ 300 Windows Server 2008 R2 und Windows 7 nutzen IPv6...................................... 302 IPv6 konfigurieren..................................................................... 302 IPv6 in der Befehlszeile mit netsh.exe konfigurieren........................................ 304 IPv6 deaktivieren...................................................................... 305 Netzwerkdiagnoseframework (NDF)......................................................... 306 Drahtlosnetzwerke (WLANs) mit Windows Server 2008 R2..................................... 306 Allgemeine Informationen zur Verwendung von WLANs mit Windows 7 und Windows Server 2008 R2............................................................... 307 Windows 7 und Windows Server 2008 R2 zur Anbindung an ein WLAN konfigurieren.......... 308 Aufbau eines Ad-hoc-WLAN-Netzwerks.................................................. 310 Sicherheit in WLANs................................................................... 313 Remoteunterstützung mit Freeware TeamViewer versus CrossLoop............................. 316 TeamViewer.......................................................................... 317 CrossLoop............................................................................ 318 Zusammenfassung......................................................................... 320 10

8 Virtualisierung mit Hyper-V R2................................................... 321 Grundlagen und Neuerungen von Hyper-V R2................................................ 322 Hyper-V im Überblick................................................................. 322 Neuerungen von Hyper-V R2 in Windows Server 2008 R2.................................. 323 Hyper-V installieren und verwalten......................................................... 325 Voraussetzungen für den Einsatz von Hyper-V............................................ 326 Hyper-V installieren................................................................... 328 Server im Netzwerk virtualisieren Grundlagen und Voraussetzungen........................... 329 Virtuelle Netzwerke ersetzen und verwalten.................................................. 329 MAC-Adressen optimal für Hyper-V konfigurieren........................................ 331 Virtuelles Netzwerk für weitere Verbindungen erstellen..................................... 332 Virtuelle Server erstellen und installieren..................................................... 332 Per Hyper-V-Manager virtuelle Maschinen erstellen....................................... 332 Einstellungen von virtuellen Servern optimieren........................................... 335 Virtuelle Server installieren............................................................. 337 Virtuelle Server aktivieren.............................................................. 338 Virtuelle Server verwalten.............................................................. 339 Einstellungen von virtuellen Servern anpassen................................................ 341 Hardware zu virtuellen Computern hinzufügen........................................... 341 BIOS-Einstellungen, Arbeitsspeicher und Prozessoranzahl von virtuellen Computern anpassen... 342 Allgemeine Einstellungen von virtuellen Computern verwalten.............................. 343 Virtuelle Festplatten von Servern verwalten und optimieren................................. 343 Datensicherung von Hyper-V.............................................................. 346 Windows Server-Sicherung für das Hyper-V-Backup nutzen................................ 347 Data Protection Manager (DPM) 2010................................................... 347 Snapshots von virtuellen Servern erstellen................................................ 350 Hyper-V durch PowerShell-Export sichern............................................... 352 Fehler in Hyper-V finden und beheben...................................................... 355 Berechtigungen in Hyper-V delegieren....................................................... 356 Hyper-V-Manager auf Windows 7 installieren................................................ 359 Remoteserver-Verwaltungstools installieren............................................... 359 Benutzerkonto, Firewalleinstellungen und Namensauflösung konfigurieren................... 360 Komponentendienste bearbeiten........................................................ 362 WMI-Steuerung konfigurieren.......................................................... 363 Hyper-V-Rechte im Autorisierungs-Manager setzen........................................ 365 Clientcomputer für den Remotezugriff auf Hyper-V konfigurieren........................... 365 Hyper-V-Minianwendung für Windows 7................................................ 367 Hyper-V im Cluster Livemigration in der Praxis............................................. 368 Livemigration und Schnellmigration im Überblick......................................... 368 Start und Ablauf einer Livemigration.................................................... 369 Voraussetzungen für Livemigration...................................................... 370 Datensicherung und Snapshots bei Hyper-V im Cluster..................................... 372 Freigegebene Clustervolumes Cluster Shared Volumes (CSV) aktivieren..................... 372 Hyper-V im Cluster betreiben Livemigration vorbereiten.................................. 375 Exchange Server 2010 als virtuelle Maschine für Livemigration installieren.................... 375 Clusternetzwerke für Livemigration konfigurieren......................................... 384 Livemigration mit dem Failovercluster-Manager durchführen............................... 385 11

System Center Virtual Machine Manager 2008 R2.............................................. 386 Grundlagen zu SCVMM 2008 R2........................................................ 386 System Center Virtual Machine Manager 2008 R2 installieren und betreiben................... 389 Zusatzsoftware für Hyper-V................................................................ 394 Hyper-V-Minianwendung für Windows 7................................................. 394 Hyper-V Manager und VHDCopy....................................................... 395 HyperV_Mon Leistungsmessung für Hyper-V............................................ 396 Microsoft Assessment and Planning (MAP) Toolkit for Hyper-V............................. 396 StarWind V2V Converter............................................................... 397 Citrix Essentials for Hyper-V Express Edition.............................................. 397 Hyper-V Network Command Line Tool für Core-Server.................................... 398 Disk2vhd Physische Festplatten in VHDs exportieren...................................... 398 Windows XP Mode installieren, verteilen und einsetzen......................................... 403 Zusammenfassung......................................................................... 412 Teil B Active Directory................................................................... 413 9 Active Directory Grundlagen und Neuerungen............................... 415 Neue Möglichkeiten in Active Directory im Vergleich zu Windows Server 2003..................... 416 Richtlinien für Kennwörter.............................................................. 416 Schreibgeschützte Domänencontroller.................................................... 417 Schreibgeschützter Domänennamensserver (DNS)......................................... 419 Active Directory-Domänendienste manuell starten und stoppen.............................. 419 Active Directory Snapshot-Viewer........................................................ 419 Versehentliches Löschen von Objekten in Active Directory verhindern........................ 419 Verschiedene Rollen für Active Directory.................................................. 420 Active Directory-Neuerungen in Windows Server 2008 R2...................................... 421 Mehr Möglichkeiten in der PowerShell................................................... 421 Best Practice Analyzer Überprüfung von Active Directory.................................. 425 Active Directory-Verwaltungscenter...................................................... 426 Papierkorb für Active Directory und neue Funktionsebene................................... 427 Offline-Domänenbeitritt................................................................ 429 Active Directory-Webdienste............................................................ 429 Authentifizierungsmechanismussicherung................................................. 430 LDAP und Active Directory im Überblick..................................................... 430 Multimaster-Domänencontroller in Active Directory....................................... 430 Protokolle in Active Directory........................................................... 432 Aufbau von Active Directory................................................................ 435 Die Active Directory-Container im Vergleich.............................................. 437 DNS und Active Directory.............................................................. 438 Zusammenfassung......................................................................... 438 12

10 Active Directory installieren und verwalten..................................... 439 Active Directory vorbereiten............................................................... 440 IP-Einstellungen des Servers konfigurieren................................................ 440 DNS in Windows Server 2008 R2 installieren.............................................. 444 Notwendige DNS-Zonen für Active Directory erstellen..................................... 445 DNS-Einstellungen überprüfen und Fehler beheben........................................ 447 Active Directory-Domänendiensterolle installieren............................................ 448 Active Directory über den Server-Manager installieren..................................... 448 DNS in Active Directory integrieren und sichere Updates konfigurieren....................... 456 DNS-IP-Einstellungen anpassen......................................................... 457 Active Directory von Installationsmedium installieren......................................... 458 Active Directory-Installationsmedium vorbereiten......................................... 458 Domänencontroller von Medium installieren............................................. 459 Active Directory mit Antwortdatei installieren Server Core als Domänencontroller............... 460 Variablen der Antwortdateien für die unbeaufsichtigte Installation........................... 460 Praxisbeispiele für den Einsatz einer Antwortdatei......................................... 465 Installation von Active Directory mit einer Antwortdatei durchführen........................ 466 Das Active Directory-Verwaltungscenter..................................................... 467 Zeitsynchronisierung in Windows-Netzwerken............................................... 471 Grundlagen zur Zeitsynchronisierung in Active Directory................................... 471 Das NTP-Protokoll und Befehle zur Zeitsynchronisierung.................................. 473 net time versus w32tm.exe.............................................................. 474 Funkuhr versus Internetzeit Zeitsynchronisierung konfigurieren........................... 475 Zeitsynchronisierung bei der Virtualisierung beachten...................................... 477 Betriebsmasterrollen von Domänencontrollern verwalten...................................... 478 PDC-Emulator verwalten.............................................................. 478 PDC-Emulator anzeigen............................................................... 479 RID-Master Neue Objekte in der Domäne aufnehmen.................................... 479 Infrastrukturmaster Gruppen über Domänen hinweg auflösen............................. 480 Schemamaster Active Directory erweitern............................................... 480 Domänennamenmaster Neue Domänen hinzufügen...................................... 481 Betriebsmaster verwalten und verteilen................................................... 482 Der globale Katalog................................................................... 484 Zusammenfassung........................................................................ 486 11 Active Directory Neue Möglichkeiten mit Windows Server 2008 R2...... 487 Offline-Domänenbeitritt Djoin.exe........................................................ 488 Vorteile und technische Hintergründe zum Offline-Domänenbeitritt......................... 488 Voraussetzungen für die Verwendung des Offline-Domänenbeitritts......................... 488 Offline-Domänenbeitritt durchführen................................................... 489 Offline-Domänenbeitritt bei einer unbeaufsichtigten Installation über Antwortdatei............ 490 Verwaltete Dienstkonten Managed Service Accounts......................................... 491 Verwaltete Dienstkonten Technische Hintergründe....................................... 491 Verwaltete Dienstkonten produktiv einsetzen............................................. 492 Der Active Directory-Papierkorb im Praxiseinsatz............................................. 495 Technische Hintergründe zum Active Directory-Papierkorb................................. 495 Objekte aus dem Active Directory-Papierkorb mit Bordmitteln wiederherstellen............... 497 Zusammenfassung........................................................................ 502 13

12 Active Directory erweitern......................................................... 503 Schreibgeschützter Domänencontroller (RODC)............................................... 504 Vorbereitungen für die Integration eines zusätzlichen Domänencontrollers in eine Domäne...... 504 Integration eines neuen Domänencontrollers.............................................. 505 Delegierung der RODC-Installation...................................................... 510 Notwendige Nacharbeiten nach der Integration eines zusätzlichen Domänencontrollers......... 511 Neue untergeordnete Domäne erstellen....................................................... 512 DNS-Infrastruktur an untergeordnete Domänen anpassen................................... 513 DNS-Domäne für eine neue untergeordnete Domäne erstellen............................... 513 DNS-Zonen delegieren................................................................. 514 Domänencontroller für eine neue untergeordnete Domäne heraufstufen....................... 518 Neue Domänenstruktur in einer Gesamtstruktur einführen...................................... 519 DNS-Infrastruktur für eine neue Domänenstruktur erstellen................................. 520 IP-Einstellungen beim Einsatz von mehreren Domänen optimieren........................... 520 Neue Domänenstruktur erstellen......................................................... 521 Active Directory-Schema erweitern.......................................................... 522 Zusammenfassung......................................................................... 523 13 Active Directory-Standorte und Replikation..................................... 525 Routingtopologie in Active Directory konfigurieren............................................ 528 Neue Standorte in Active Directory-Standorte und -Dienste erstellen....................... 529 IP-Subnetze erstellen und zuweisen...................................................... 529 Standortverknüpfungen und Standortverknüpfungsbrücken erstellen......................... 530 Domänencontroller zu Standorten zuweisen............................................... 532 Konsistenzprüfung (Knowledge Consistency Checker).......................................... 532 Fehler bei der Active Directory-Replikation beheben........................................... 535 Suche mit der Active Directory-Diagnose.................................................. 535 Häufige Fehlerursachen ausschließen..................................................... 535 Erkennen von Standortzuweisungen eines Domänencontrollers mit nltest.exe.................. 536 Anzeigen der Active Directory-Replikation über repadmin.exe.............................. 536 Kerberostest mit dcdiag.exe ausführen................................................... 537 Notwendige SRV-Records im DNS unter _msdcs überprüfen................................ 537 Zusammenfassung......................................................................... 537 14 Vertrauensstellungen............................................................... 539 Wichtige Grundlagen zu Vertrauensstellungen in Active Directory............................... 540 Varianten der Vertrauensstellungen in Active Directory......................................... 542 Vertrauensstellung einrichten............................................................... 543 Automatisch aktivierte SID-Filterung........................................................ 548 Namensauflösung für Vertrauensstellungen zu Windows NT 4.0-Domänen........................ 549 Zusammenfassung......................................................................... 549 15 Benutzerverwaltung und Active Directory-Verwaltungscenter................ 551 Standardcontainer in Active Directory........................................................ 552 Die wichtigsten Gruppen im Container Builtin............................................ 552 Der Container Domain Controllers...................................................... 555 14

Wichtige Administratorkonten in Active Directory............................................ 555 Active Directory-Benutzerverwaltung........................................................ 557 Benutzerverwaltung für Remotedesktopbenutzer.............................................. 565 Benutzerprofile verwalten.................................................................. 567 Änderungen in den Benutzerprofilen.................................................... 568 Verbindungspunkte (Junction Points)................................................... 571 Kompatibilität mit Profilen von älteren Windows-Versionen................................ 572 Neue servergespeicherte Profile anlegen.................................................. 573 Servergespeicherte Profile für Benutzer in Active Directory festlegen.......................... 575 Benutzerprofile für Remotedesktop...................................................... 575 Verbindliche Profile (Mandatory Profiles)................................................ 576 Allgemeines zu Ordnerumleitungen und servergespeicherten Profilen............................ 578 Gruppen verwalten....................................................................... 581 Computerkonten in Active Directory........................................................ 582 Nach Informationen in Active Directory suchen............................................... 584 Administrationsaufgaben delegieren......................................................... 585 Szenario: Delegierung zum administrativen Verwalten einer Organisationseinheit.............. 586 Verwaltungsprogramme für delegierte Aufgaben installieren................................ 588 Zusammenfassung........................................................................ 588 16 Gruppenrichtlinien verwenden................................................... 589 Neuerungen in Windows Server 2008 R2 und Windows 7...................................... 590 Gruppenrichtlinien-Preferences effizient einsetzen............................................ 590 Lokale Sicherheitsrichtlinien............................................................... 592 Gruppenrichtlinien verwalten.............................................................. 594 Grundlagen und Überblick der Gruppenrichtlinien........................................ 595 Neuerungen in den Gruppenrichtlinien.................................................. 596 Neue administrative Vorlagen.......................................................... 597 Kompatibilität zwischen.adm- und.admx-dateien....................................... 599 Domänenbasierte GPOs mit.admx-dateien administrieren................................. 601 Anbindung von USB-Sticks über Gruppenrichtlinien steuern................................ 602 Aktualisierte Gruppenrichtlinien und weitere Neuerungen.................................. 602 Standardgruppenrichtlinien............................................................ 604 Gruppenrichtlinien mit der Gruppenrichtlinienverwaltung konfigurieren und verwalten........ 605 Neue Gruppenrichtlinie Internet Explorer-Einstellungen verteilen......................... 606 Gruppenrichtlinien erzwingen und Priorität erhöhen Kennwortkonfiguration für die Anwender 613 Vererbung für Gruppenrichtlinien deaktivieren........................................... 617 Datensicherung von Gruppenrichtlinien..................................................... 618 Gruppenrichtlinien in der GPMC sichern................................................. 618 Datensicherung von Gruppenrichtlinien verwalten......................................... 620 Gruppenrichtlinien wiederherstellen..................................................... 621 Gruppenrichtlinien kopieren........................................................... 621 Gruppenrichtlinien in eine neue Gruppenrichtlinie importieren............................. 622 Gruppenrichtlinienmodellierung............................................................ 623 Anmelde- und Abmeldeskripts für Benutzer und Computer.................................... 624 Softwareverteilung über Gruppenrichtlinien.................................................. 627 Fehlerbehebung und Tools für den Einsatz von Gruppenrichtlinien.............................. 628 15

Geräteinstallation mit Gruppenrichtlinien konfigurieren........................................ 629 Geräte-Identifikations-String und Geräte-Setup-Klasse...................................... 630 Gruppenrichtlinieneinstellungen für die Geräteinstallation.................................. 631 Gruppenrichtlinien für den Zugriff auf Wechselmedien konfigurieren......................... 634 Die Registrierungsdatenbank................................................................ 634 Aufbau der Registry.................................................................... 635 Tools zur Verwaltung der Registry....................................................... 639 Zusammenspiel zwischen Registry und Systemdateien....................................... 640 Die Werte in der Registry............................................................... 641 Der Registrierungs-Editor............................................................... 641 Registryschlüssel importieren und exportieren............................................. 645 Registrystrukturen laden................................................................ 646 Registry im Netzwerk bearbeiten......................................................... 647 RegMon und Process Monitor........................................................... 648 Zusammenfassung......................................................................... 648 Teil C Datei-, Druckserver und Infrastruktur...................................... 649 17 Dateiserver und Freigaben......................................................... 651 Berechtigungen für Dateien und Verzeichnisse verwalten........................................ 654 Erweiterte Berechtigungen auf Verzeichnisse............................................... 655 Besitzer für ein Objekt festlegen.......................................................... 656 Vererbung von Berechtigungen.......................................................... 657 Effektive Berechtigungen................................................................ 658 Berechtigungen für Benutzer und Gruppen verwalten....................................... 658 Dateien und Verzeichnisse überwachen....................................................... 660 Aktivierung der Überwachung von Dateisystemzugriffen.................................... 660 Überwachungsprotokoll anzeigen........................................................ 661 Freigabe von Verzeichnissen................................................................ 662 Versteckte Freigaben................................................................... 665 Der Assistent zum Erstellen von Freigaben................................................ 666 Alle Freigaben anzeigen................................................................. 666 Auf Freigaben über das Netzwerk zugreifen................................................ 668 net use-befehl verwenden............................................................... 669 Robocopy Robust File Copy Utility......................................................... 670 Befehlszeilenreferenz von Robocopy...................................................... 670 Anmerkungen zum Umgang mit Robocopy............................................... 673 Zusammenfassung......................................................................... 674 18 Ressourcen-Manager für Dateiserver, DFS, EFS und NFS....................... 675 Kontingentverwaltung mit dem FSRM....................................................... 677 Kontingente und Kontingentvorlagen erstellen............................................. 677 Kontingentvorlagen anpassen........................................................... 679 Dateiprüfungsverwaltung im FSRM.......................................................... 680 16

Speicherberichteverwaltung im FSRM....................................................... 683 Infrastruktur für Dateiklassifizierungen einsetzen............................................. 685 Klassifizierungseigenschaften und Klassifizierungsregeln verstehen und nutzen................. 685 Dateiverwaltungsaufgaben bei der Dateiklassifizierung ausführen............................ 689 Freigaben über DFS organisieren und replizieren.............................................. 692 Neuerungen von DFS in Windows Server 2008 R2......................................... 692 Einführung und wichtige Informationen beim Einsatz von DFS.............................. 696 Voraussetzungen für DFS.............................................................. 699 DFS installieren und einrichten......................................................... 701 DFS-Namespace einrichten............................................................. 703 DFS-Replikation einrichten............................................................. 707 Diagnosebericht erstellen............................................................... 709 Verschlüsselndes Dateisystem (EFS)......................................................... 710 Die Funktionsweise von EFS............................................................ 711 Verschlüsselung für mehrere Personen nutzen............................................. 712 Wann sollte EFS nicht genutzt werden?................................................... 712 Verschlüsselte Dateien wiederherstellen.................................................. 713 Network File System (NFS)................................................................ 714 Identitätsverwaltung für UNIX.......................................................... 715 Server/Client für UNIX................................................................ 718 Zusammenfassung........................................................................ 718 19 Offlinedateien....................................................................... 719 So funktionieren Offlinedateien............................................................. 720 Mit Offlinedateien arbeiten................................................................ 723 Offlinedateien mit dem Server synchronisieren................................................ 724 Speicherplatzverwendung von Offlinedateien konfigurieren..................................... 725 Zusammenfassung........................................................................ 726 20 BranchCache Dateiturbo für Niederlassungen................................ 727 BranchCache im Überblick Niederlassungen effizient anbinden................................ 728 Gehosteter Cache (Hosted Cache) nutzen.................................................... 729 Verteilter Cache (Distributed Cache) nutzen.................................................. 731 BranchCache auf dem Hosted Cache-Server konfigurieren...................................... 733 Feature für Hosted Cache installieren.................................................... 734 Zertifikate auf dem Hosted Cache-Server betreiben........................................ 735 Einstellungen auf dem Hosted Cache-Server anpassen...................................... 737 Contentserver konfigurieren............................................................ 738 BranchCache auf Clients konfigurieren...................................................... 739 Clientkonfiguration mit Gruppenrichtlinien konfigurieren.................................. 739 Firewalleinstellungen für BranchCache setzen............................................. 740 BranchCache mit DirectAccess betreiben..................................................... 742 Leistungsüberwachung und BranchCache.................................................... 743 Zusammenfassung........................................................................ 744 17

21 Verwalten von Druckservern....................................................... 745 Drucker installieren und freigeben........................................................... 746 Zugriff auf freigegebene Drucker............................................................ 749 Drucker mit 64 Bit im Netzwerk freigeben.................................................... 750 Druckjobs verwalten....................................................................... 751 Druckverwaltungskonsole die Zentrale für Druckserver....................................... 752 Benutzerdefinierte Filteransichten erstellen................................................ 753 E-Mail-Benachrichtigungen konfigurieren................................................. 753 Drucker exportieren und importieren.................................................... 754 Drucker verwalten und über Gruppenrichtlinien verteilen................................... 754 Zusammenfassung......................................................................... 755 22 DHCP IP-Adressen im Netzwerk verteilen..................................... 757 DHCP-Server nutzen...................................................................... 758 DHCP-Server installieren............................................................... 758 Grundkonfiguration eines DHCP-Servers................................................. 763 DHCP-Bereiche verwalten.................................................................. 765 Statische IP-Adressen reservieren............................................................ 767 Zusätzliche DHCP-Einstellungen vornehmen................................................. 769 DHCP-Datenbank verwalten und optimieren................................................. 772 Migration DHCP-Datenbank auf einen anderen Server verschieben............................. 773 Core-Server DHCP mit netsh.exe über die Befehlszeile verwalten............................... 774 Ausfallsicherheit bei DHCP-Servern herstellen................................................. 775 Ausfallsicherheit durch Konflikterkennung................................................ 775 Ausfallsicherheit mit 80/20-Regel........................................................ 776 Bereichsgruppierung (Superscopes)...................................................... 776 MAC-Filterung für DHCP in Windows Server 2008 R2 nutzen................................... 777 Zusammenfassung......................................................................... 780 23 Infrastrukturdienste DNS......................................................... 781 Grundkonzepte von DNS................................................................... 782 Zonen und Domänen erstellen.............................................................. 783 Statische Einträge in der DNS-Datenbank erstellen............................................. 785 Zonen einstellen und verwalten.............................................................. 785 Allgemeine Einstellungen für DNS-Zonen................................................. 786 Entfernen alter Einträge aus der Zone konfigurieren........................................ 786 Autoritätsursprung (SOA) von DNS-Zonen............................................... 787 Namenserver einer DNS-Zone verwalten.................................................. 788 Zonenübertragungen für DNS-Zonen zulassen............................................. 789 Verwaltungsmöglichkeiten im Kontextmenü einer Zone..................................... 791 Eigenschaften eines DNS-Servers verwalten................................................... 792 Schnittstellen eines DNS-Servers verwalten................................................ 792 Erweiterte Einstellungen für einen DNS-Server............................................. 793 Zonendaten beim Start des DNS-Servers einlesen........................................... 795 Protokollierung für DNS konfigurieren....................................................... 795 DNS-Weiterleitungen verwenden............................................................ 797 18

IP-Einstellungen beim Einsatz mehrerer Domänen optimieren.................................. 799 Sekundäre DNS-Server konfigurieren........................................................ 801 Befehlszeilentools für DNS................................................................. 802 Nslookup zur Fehlerdiagnose einsetzen.................................................. 802 IPconfig zur DNS-Diagnose verwenden.................................................. 806 DNScmd.exe zur Verwaltung eines DNS-Servers in der Befehlszeile.......................... 807 Probleme bei der Replikation durch fehlerhafte DNS-Konfiguration DNSLint.exe............ 809 Zusammenfassung........................................................................ 813 24 Infrastrukturdienste WINS....................................................... 815 WINS-Server installieren.................................................................. 816 IP-Einstellungen für WINS konfigurieren.................................................... 817 WINS-Replikation einrichten............................................................... 817 WINS in DNS integrieren.................................................................. 819 WINS-Datenbank verwalten............................................................... 821 WINS in der Befehlszeile verwalten.......................................................... 823 Zusammenfassung........................................................................ 826 25 Webserver IIS 7.5................................................................. 827 Neuerungen in IIS 7.0 und 7.5.............................................................. 828 Neuerungen im Vergleich zu Windows Server 2003 (IIS 6.0)................................ 828 Neuerungen in IIS 7.5 im Vergleich zu IIS 7.0............................................. 831 Authentifizierung in IIS 7.0/7.5......................................................... 834 IIS_WPG-Gruppe für Berechtigungen................................................... 836 Installation, Konfiguration und erste Schritte................................................. 836 Webserver starten und beenden......................................................... 836 IIS in der Befehlszeile verwalten AppCMD.exe.......................................... 837 Websites in IIS anzeigen............................................................... 839 Websites hinzufügen und verwalten..................................................... 839 Webanwendungen und virtuelle Verzeichnisse einer Website verwalten....................... 842 Anwendungspools verwalten............................................................... 843 Anwendungspools erstellen und verwalten................................................ 845 Arbeitsprozesse in Anwendungspools zurücksetzen........................................ 846 Module in IIS 7.5 verwalten............................................................ 847 Module hinzufügen und verwalten...................................................... 848 IIS-Verwaltung delegieren................................................................. 848 Vorgehensweise bei der Delegierung von Berechtigungen................................... 848 IIS-Manager-Benutzer verwalten........................................................ 849 Berechtigungen der IIS-Manager-Benutzer verwalten....................................... 850 Delegierung verwalten................................................................. 851 Remoteverwaltung aktivieren........................................................... 853 Sicherheit in IIS 7.5 konfigurieren........................................................... 855 Authentifizierung in IIS 7.5............................................................. 855 Serverzertifikate verwalten.............................................................. 857 Secure Sockets Layer (SSL) konfigurieren................................................. 858 Websites, Dokumente und HTTP-Verbindungen konfigurieren................................. 862 Standarddokument festlegen............................................................ 862 19

Das Feature Verzeichnis durchsuchen aktivieren und verwalten.............................. 862 HTTP-Fehlermeldungen konfigurieren................................................... 863 HTTP-Umleitungen konfigurieren....................................................... 864 IIS 7.0/7.5 überwachen und Protokolldateien konfigurieren..................................... 865 Ablaufverfolgungsregeln für Anforderungsfehler........................................... 865 Allgemeine Protokollierung aktivieren und konfigurieren.................................... 866 Arbeitsprozesse der Anwendungspools überprüfen......................................... 868 Serverleistung optimieren.................................................................. 868 Komprimierung aktivieren.............................................................. 868 Ausgabezwischenspeicherung verwenden.................................................. 869 FTP-Server betreiben...................................................................... 870 FTP-Server konfigurieren............................................................... 870 Schritt für Schritt-Anleitung zum FTP-Server in IIS 7.5..................................... 871 Zusammenfassung......................................................................... 878 Teil D Remotedesktop und Netzwerkzugriffschutz.............................. 879 26 Remotedesktop-Sitzungshost...................................................... 881 Neuerungen der Remotedesktopdienste im Vergleich zu Windows Server 2003..................... 883 Remotedesktop-Sitzungshost installieren..................................................... 883 Remotedesktoplizenzierung................................................................. 886 Remotedesktoplizenzierung installieren................................................... 887 Nacharbeiten zur Installation............................................................ 892 Easy Print-Druckertreiber für Remotedesktop................................................. 895 Applikationen installieren.................................................................. 896 Remotedesktopclient (RDP) 7.0............................................................. 898 Erweiterte Desktopdarstellung (Desktop Experience)....................................... 899 Befehlszeilenparameter für den Remotedesktopclient....................................... 901 Displaydatenpriorisierung.............................................................. 902 Digitalkameras und Mediaplayer umleiten................................................. 902 Remotedesktop-Sitzungshost verwalten....................................................... 903 Remotedesktop-Sitzungshost konfigurieren............................................... 903 Remotedesktopdienste-Manager......................................................... 907 Remotedesktopdienste in der PowerShell verwalten......................................... 909 Einmaliges Anmelden (Single Sign-On) für Remotedesktop-Sitzungshost...................... 910 RemoteApp Anwendungen virtualisieren.................................................... 912 RemoteApp-Programme konfigurieren................................................... 912 Infrastruktur des Remotedesktop-Sitzungshosts für RemoteApp anpassen..................... 914 RemoteApps und der Remotedesktopverbindungs-Manager................................. 917 Web Access für Remotedesktop............................................................. 920 RemoteApps über Remotedesktop-Sitzungshost oder Remotedesktop-Verbindungsbroker veröffentlichen........................................................................ 922 Zertifikat des Web Access-Servers auf Clients importieren................................... 923 Remotedesktopgateway RDP über HTTPS................................................... 923 Remotedesktopgateway und ISA Server 2004/2006 oder Forefront Threat Management Gateway.. 926 Remotedesktopgateway einrichten und konfigurieren....................................... 926 20

Remotedesktopgateway und Netzwerkzugriffsschutz (NAP)................................. 929 Gehostete Desktops Hyper-V und Remotedesktop........................................... 934 Windows XP, Windows Vista oder Windows 7 als virtuelle Computer einsetzen................ 935 Remotedesktop-Sitzungshost installieren................................................. 935 Virtuelle Computer installieren und für VDI vorbereiten................................... 936 Virtuellen Desktop-Pool konfigurieren................................................... 940 Personalisierte virtuelle Rechner verwenden............................................... 943 Aero in einer VDI-Infrastruktur verwenden............................................... 945 Eigenes Hintergrundbild für gehostete Desktops aktivieren.................................. 950 Remotedesktop-Verbindungsbroker......................................................... 951 Roundrobin konfigurieren............................................................. 954 IP-Virtualisierung mit Remotedesktopdiensten............................................... 955 Remotedesktopdienste und der Windows-Systemressourcen-Manager........................... 956 Tools für Remotedesktop-Sitzungshost...................................................... 958 Remote Desktop Load Simulation Tools.................................................. 958 Change Logon Anmeldungen aktivieren oder deaktivieren................................. 958 Query Prozessinformationen auf Remotedesktop-Sitzungshosts............................ 958 Reset Terminalsitzungen zurücksetzen.................................................. 959 TSCON und TSDISCON Abmelden und Anmelden von Remotedesktopsitzungen............ 959 TSKILL Prozesse auf Remotedesktop-Sitzungshosts beenden.............................. 960 Zusammenfassung........................................................................ 960 27 Netzwerkrichtlinien- und Zugriffsdienste verwalten........................... 961 Überblick über den Netzwerkzugriffsschutz (NAP)............................................ 963 Funktionsweise von NAP im Netzwerk................................................... 964 Komponenten der NAP................................................................ 966 Neuerungen der Netzwerkrichtlinien in Windows Server 2008 R2............................ 967 Erste Schritte mit NAP.................................................................... 969 Clients zur Unterstützung von NAP verwalten............................................. 969 Serverkomponenten von NAP verwalten................................................. 970 Netzwerkzugriffsschutz (NAP) mit DHCP einsetzen........................................... 973 Vorbereitungen für den Einsatz von NAP mit DHCP....................................... 973 DHCP-Bereich für NAP-Unterstützung konfigurieren...................................... 973 Netzwerkrichtlinienserver konfigurieren.................................................. 974 DHCP-Server für NAP konfigurieren.................................................... 981 NAP-Client konfigurieren.............................................................. 983 Windows Vista und Windows 7 in Domäne aufnehmen.................................... 985 NAP-Konfiguration überprüfen......................................................... 988 Fehler in der NAP-Konfiguration suchen................................................. 991 Netzwerkzugriffsschutz (NAP) mit VPN..................................................... 992 Certificate Authority (CA) unter Windows Server 2008 R2 installieren........................ 993 Benutzerkonto mit Einwahlberechtigungen erstellen....................................... 994 Zertifikat für den NPS-Server zuweisen................................................... 995 NPS-Server konfigurieren.............................................................. 996 RADIUS-Client konfigurieren.......................................................... 1002 Routing- und RAS-Dienst für die Remoteeinwahl konfigurieren............................. 1003 Fehlersuche und Behebung für die VPN-Einwahl mit NAP.................................. 1012 RAS-Benutzer und RAS-Ports verwalten und konfigurieren................................. 1013 21

HTTPS-VPN über Secure Socket Tunneling-Protokoll (SSTP)................................... 1015 Ablauf beim Verbinden über SSTP....................................................... 1016 SSTP installieren....................................................................... 1016 Fehlerbehebung bei SSTP-VPN.......................................................... 1024 IPsec mit Netzwerkzugriffsschutz (NAP) einsetzen............................................. 1024 IPsec-Verbesserungen in Windows Server 2008............................................ 1025 IPsec-Umgebung einrichten............................................................. 1026 Fehlersuche bei der Einrichtung von NAP über IPsec....................................... 1040 IPsec-Richtlinien erstellen.................................................................. 1041 Verbindung durch Erstellung einer eingehenden Regel testen................................ 1045 Verbindung von NAP über IPsec testen................................................... 1046 802.1x und der Netzwerkzugriffsschutz (NAP)................................................. 1046 802.1x-Infrastruktur mit Netzwerkzugriffsschutz vorbereiten................................ 1047 Verbindungsanforderungsrichtlinie erstellen............................................... 1047 Systemintegritätsprüfung und Integritätsrichtlinien konfigurieren............................ 1049 Netzwerkrichtlinien erstellen............................................................ 1049 Zusammenfassung......................................................................... 1051 22 28 DirectAccess im Praxiseinsatz...................................................... 1053 Technischer Überblick zu DirectAccess....................................................... 1054 ISATAP, Teredo und 6to4 Voraussetzungen für DirectAccess............................... 1055 Notwendige Vorbereitungen im Netzwerk.................................................... 1060 Zertifikateinstellungen für DirectAccess festlegen........................................... 1060 Firewallregel für ICMPv4 und ICMPv6 erstellen und aktivieren.............................. 1062 ISATAP-Name von der globalen Blockierliste entfernen und CRL-Einstellungen konfigurieren... 1064 Automatische Registrierung von Zertifikaten konfigurieren.................................. 1067 DirectAccess-Server vorbereiten......................................................... 1068 Interne Server für den Zugriff über DirectAccess konfigurieren Infrastrukturserver............ 1072 Clientkonfiguration für DirectAccess..................................................... 1072 DirectAccess installieren und konfigurieren................................................... 1073 Workshop: Testumgebung für DirectAccess................................................... 1082 Grundlagen des Workshops............................................................. 1082 Domänencontroller installieren.......................................................... 1082 DirectAccess-Server konfigurieren....................................................... 1086 Netzwerkadressenserver (APP1) vorbereiten.............................................. 1087 Webserver für Internetzugriff konfigurieren............................................... 1089 NAT-Netzwerk konfigurieren........................................................... 1091 DirectAccess-Client (Client1) installieren und einrichten.................................... 1093 DirectAccess einrichten und testen....................................................... 1098 ISATAP-Verbindung testen und Fehler beseitigen.......................................... 1101 Fehler in DirectAccess beheben.............................................................. 1102 Allgemeine Fehlersuche der IPv6-Konfiguration............................................ 1102 Fehlersuche bei DirectAccess-Clients..................................................... 1104 6to4-Verkehr in DirectAccess funktioniert nicht............................................ 1107 Teredo funktioniert nicht............................................................... 1109 DirectAccess über HTTPS funktioniert nicht............................................... 1109 DirectAccess-Clients remote verwalten....................................................... 1110 Zusammenfassung......................................................................... 1111

Teil E Active Directory-Zusatzdienste.............................................. 1113 29 Active Directory-Zertifikatdienste................................................ 1115 Neuerungen der Active Directory-Zertifikatdienste seit Windows Server 2003..................... 1117 Windows Server 2008 R2-Zertifizierungsstelle installieren...................................... 1118 Zertifizierungsstellentypen und Zertifizierungsverwaltungskonsolen............................. 1119 Eigenständige Zertifizierungsstellen...................................................... 1122 Untergeordnete Zertifizierungsstelle installieren........................................... 1122 Online Certificate Status-Protokoll konfigurieren............................................. 1123 Zertifikateinstellungen über Gruppenrichtlinien verteilen...................................... 1125 Sicherheit für Zertifizierungsstellen verwalten................................................. 1126 Rechte für Zertifizierungsstellen im Überblick............................................. 1126 Active Directory-Zertifikatdienste sichern................................................ 1127 Zertifikat einem Server zuweisen und installieren (Beispiel Exchange Server 2010)................. 1128 Zertifikat einer Website zuweisen (Beispiel Outlook Web Access)............................ 1130 SSL für Outlook Web Access aktivieren................................................... 1131 Exchange-Zertifikat über die Exchange-Verwaltungskonsole in Exchange Server 2010 ändern.... 1134 Externes Zertifikat zur Anbindung von Nutzern über das Internet mit ISA oder TMG ändern........ 1140 Neues Zertifikat konfigurieren.......................................................... 1140 Neues Zertifikat auf ISA Server oder Forefront Threat Management Gateway integrieren........ 1141 Zertifikat auf einem Client-PC importieren................................................... 1145 Zertifikate auf Pocket-PCs oder Smartphones installieren....................................... 1146 Mit Zertifikaten sicheren Zugriff über das Internet konfigurieren................................ 1147 Zertifikate und die Veröffentlichung über das Internet verstehen............................. 1147 Dritthersteller-Zertifikat installieren..................................................... 1150 Digitale Signatur und Nachrichtenverschlüsselung mit Zertifikaten.............................. 1153 Zusammenfassung........................................................................ 1154 30 Active Directory Lightweight Domain Services (AD LDS)...................... 1155 Active Directory Lightweight Domain Services im Überblick.................................... 1156 AD LDS-Instanzen installieren.............................................................. 1157 ADSI-Editor für AD LDS.................................................................. 1158 AD LDS-Schema verwalten................................................................ 1160 Active Directory mit AD LDS synchronisieren................................................ 1162 AD LDS an Applikationen anpassen......................................................... 1163 Organisationseinheiten, Gruppen und Benutzer in AD LDS verwalten............................ 1163 Zusammenfassung........................................................................ 1165 31 Active Directory-Rechteverwaltung.............................................. 1167 Aufbau einer Testumgebung für Active Directory-Rechteverwaltung............................. 1169 Testumgebung vorbereiten............................................................. 1169 Active Directory-Rechteverwaltung nach der Installation konfigurieren....................... 1175 Windows 7-Client vorbereiten.......................................................... 1177 Test mit Word 2010 und AD RMS.......................................................... 1178 Zusammenfassung........................................................................ 1179 23

32 Active Directory-Verbunddienste nutzen........................................ 1181 Active Directory-Verbunddienste (AD FS) im Überblick........................................ 1182 Active Directory-Verbunddienste installieren.................................................. 1183 Rolleninstallation von AD FS durchführen.................................................... 1183 SSL und Zertifikate mit AD FS verwenden.................................................... 1185 SSL für AD FS aktivieren................................................................ 1185 AD FS-Web-Agents auf Webserver installieren............................................. 1185 Zertifikate für den Webserver erstellen.................................................... 1185 Webserver für die Unterstützung von AD FS konfigurieren.................................. 1187 AD FS-Server konfigurieren................................................................. 1187 AD FS-Richtlinie konfigurieren.......................................................... 1188 Organisationsansprüche konfigurieren.................................................... 1188 AD FS-Server in der Ressourcen-Organisation konfigurieren................................. 1189 Richtlinien exportieren und importieren.................................................. 1190 Von Clients auf Anwendungen zugreifen, die über AD FS zur Verfügung gestellt werden......... 1192 Zusammenfassung......................................................................... 1192 Teil F Hochverfügbarkeit............................................................... 1193 33 Clustering und Hochverfügbarkeit................................................ 1195 Einführung in die Hochverfügbarkeit mit Windows Server 2008 R2............................... 1196 Neuerungen von Clustern unter Windows Server 2008 R2................................... 1196 Voraussetzungen für Cluster............................................................ 1198 Einen Cluster planen................................................................... 1199 Windows Server 2003-Cluster migrieren...................................................... 1199 Cluster mit iscsi installieren (Testumgebung)................................................ 1200 Vorbereitungen für die Clusterinstallation................................................. 1200 Clusterunterstützung installieren und konfigurieren........................................ 1208 Nacharbeiten: Überprüfung des Clusters und erste Schritte mit der Clusterverwaltung........... 1212 Laufwerke und Ressourcen zum Cluster hinzufügen............................................ 1216 Dateiserver im Cluster betreiben............................................................. 1218 Dateiservercluster installieren........................................................... 1218 Freigaben für einen Dateiserverclusters erstellen............................................ 1220 Druckserver im Cluster betreiben............................................................ 1222 Befehlszeilen- und PowerShell-Verwaltung von Clustern........................................ 1222 NLB-Cluster einsetzen..................................................................... 1225 NLB-Cluster vs. Failovercluster.......................................................... 1225 Neuerungen im Lastenausgleich......................................................... 1225 Lastenausgleich installieren.............................................................. 1225 Lastenausgleich konfigurieren........................................................... 1226 Technische Hintergründe............................................................... 1231 Zusammenfassung......................................................................... 1232 24

34 Windows PowerShell, Befehlszeile und Batchdateien.......................... 1233 Einführung in PowerShell und PowerShell ISE................................................ 1235 PowerShell auf Core-Servern............................................................... 1238 Grundsätzliche Funktionsweise der PowerShell............................................... 1239 PowerShell-Laufwerke verwenden....................................................... 1240 Befehle aus der Eingabeaufforderung in der PowerShell verwenden........................... 1242 Skripts mit der PowerShell erstellen...................................................... 1242 Windows PowerShell zur Administration verwenden....................................... 1243 Prozesse mit der PowerShell anzeigen und verwalten....................................... 1245 Praxisbeispiele für die wichtigsten Cmdlets................................................... 1246 Communitiy-Tools für die PowerShell....................................................... 1249 PowerGUI eine weitere grafische Oberfläche für die Windows PowerShell................... 1250 Free PowerShell Commands for Active Directory.......................................... 1253 Normale Befehlszeile verwenden............................................................ 1254 Batchdateien verwenden................................................................... 1258 Mit Umgebungsvariablen arbeiten.......................................................... 1259 Verwaltung mit WMI und dem Tool WMIC.................................................. 1260 Telnet verwenden......................................................................... 1261 Zusammenfassung........................................................................ 1262 35 Neue Sicherheitsfunktionen....................................................... 1263 Benutzerkontensteuerung.................................................................. 1264 Windows-Firewall und IPsec............................................................... 1267 Firewall mit der Konsole konfigurieren................................................... 1270 Verbindungssicherheitsregeln in der Konsole konfigurieren................................. 1273 Automatische Windows-Updates........................................................... 1275 Patches auf dem Core-Server verwalten.................................................. 1278 BitLocker-Laufwerkverschlüsselung......................................................... 1278 Voraussetzungen für BitLocker.......................................................... 1278 Funktionsweise von BitLocker.......................................................... 1279 BitLocker auf einem neuen Server einrichten.............................................. 1281 TPM in Windows Server 2008 R2 aktivieren und initialisieren............................... 1283 BitLocker-Laufwerkverschlüsselung mit und ohne TPM aktivieren........................... 1284 Rettungsmöglichkeiten zur Wiederherstellung............................................. 1292 BitLocker ausschalten.................................................................. 1292 BitLocker und Active Directory-Domänen................................................ 1293 USB-Stick mit BitLocker To Go verschlüsseln................................................. 1293 Datenausführungsverhinderung............................................................ 1296 Zusammenfassung........................................................................ 1297 36 WSUS 3.0 SP2 Schnelleinstieg................................................... 1299 Vorteile des Patchmanagements............................................................ 1302 Microsoft Baseline Security Analyzer (MBSA)................................................. 1303 Funktionen und Voraussetzungen für WSUS 3.0 SP2.......................................... 1307 WSUS 3.0 SP2 installieren................................................................. 1310 WSUS 3.0 SP2 konfigurieren............................................................... 1313 25

Clientcomputer über Gruppenrichtlinien anbinden............................................ 1318 Neue Gruppenrichtlinienvorlage für WSUS 3.0............................................ 1318 Gruppenrichtlinien für die Anbindung von Clients......................................... 1318 Problemlösungen bei der Clientanbindung................................................ 1323 Updates genehmigen und bereitstellen........................................................ 1325 Berichte mit WSUS abrufen................................................................. 1326 WSUS über die Befehlszeile verwalten mit WSUSUtil.exe....................................... 1328 Zusammenfassung......................................................................... 1328 37 Datensicherung und Wiederherstellung.......................................... 1329 Die Windows Server-Sicherung im Überblick.................................................. 1330 Windows Server-Sicherung installieren und konfigurieren....................................... 1331 Sicherung über die Befehlszeile und PowerShell konfigurieren................................... 1336 Daten mit dem Sicherungsprogramm wiederherstellen.......................................... 1339 Kompletten Server mit dem Sicherungsprogramm wiederherstellen............................... 1341 Bluescreens verstehen und beheben.......................................................... 1347 Ursachenforschung bei Bluescreens betreiben.............................................. 1347 Bluescreens vs. Blackscreens............................................................. 1350 Windows-Einstellungen für Bluescreens................................................... 1352 Den Fehlern bei Bluescreens mit Zusatztools auf der Spur................................... 1352 Zusammenfassung......................................................................... 1355 38 Active Directory installieren, erweitern und verwalten......................... 1357 Active Directory sichern und wiederherstellen................................................. 1359 Active Directory-Daten aus der Datensicherung wiederherstellen................................. 1360 Nicht autorisierende Wiederherstellung................................................... 1360 Autorisierende Wiederherstellung........................................................ 1361 Autorisierende Wiederherstellung einer Organisationseinheit................................ 1362 Autorisierende Wiederherstellung einzelner Objekte........................................ 1362 Wiederherstellung bei einem Totalausfall des Domänencontrollers durchführen.................... 1362 Active Directory-Datenbank warten.......................................................... 1364 Active Directory-Datenbank verschieben.................................................. 1364 Offlinedefragmentierung der Active Directory-Datenbank................................... 1364 Active Directory-Datenbank reparieren................................................... 1365 Snapshots der Active Directory-Datenbank erstellen........................................ 1366 Zusammenfassung......................................................................... 1366 39 Systemüberwachung und Fehlerbehebung...................................... 1367 Ereignisanzeige Fehlerbehebung in Windows Server 2008 R2................................... 1368 Fehlerbehebung bei der Verbindung mit der Remoteverwaltung.................................. 1376 Workshop: Besitz von Dateien übernehmen und Zugriffe setzen................................. 1380 Programme mit geheimen Internetzugriffen entdecken und sperren.............................. 1382 Virenschutz und Firewall gefahrlos testen..................................................... 1384 26

Daten schnell und einfach ohne Kennwort freigeben........................................... 1385 Problemaufzeichnung Fehler in Windows nachstellen und beheben............................ 1388 Überwachung der Systemleistung........................................................... 1389 Die Leistungsüberwachung................................................................. 1391 Indikatorendaten im Systemmonitor beobachten.......................................... 1394 Sammlungssätze...................................................................... 1395 Leistungsüberwachung für Fortgeschrittene.................................................. 1397 Leistungsprobleme in Exchange oder anderen AD-abhängigen Diensten beheben.............. 1397 Speicherengpässe...................................................................... 1402 Die Prozessorauslastung............................................................... 1404 Der Task-Manager........................................................................ 1405 Diagnose des Arbeitsspeichers.............................................................. 1409 Die Systemkonfiguration.................................................................. 1410 Aufgabenplanung......................................................................... 1412 Funktionen der Aufgabenplanung....................................................... 1414 Neue Aufgabe erstellen................................................................. 1415 Sysinternals Zusatztools für die Systemüberwachung......................................... 1416 Prozessüberwachung mit Sysinternals-Tools Process Monitor, Process Explorer und Co........ 1416 Laufwerke und Datenträger überwachen.................................................. 1424 Netzwerktools........................................................................ 1428 Sicherheitstools....................................................................... 1434 Systeminformationen anzeigen und Arbeitsspeicher auslesen................................ 1439 Sicherheitskonfigurations-Assistent (SCW)................................................... 1445 DNS-Troubleshooting..................................................................... 1451 Domänencontroller kann nicht gefunden werden.......................................... 1452 Namensauflösung von Mitgliedsservern.................................................. 1454 WINS in DNS integrieren.............................................................. 1454 Namensauflösung durch Weiterleitung, Stammhinweise, sekundäre DNS-Server und Firewalls... 1455 Geänderte IP-Adressen, DHCP und DNS-Namensauflösung................................ 1456 Dynamisches DNS im Internet nutzen und Netzwerk an das Internet anbinden................ 1457 DynDNS für den Internetzugang mit dynamischen IP-Adressen nutzen....................... 1459 Zusammenfassung........................................................................ 1460 40 Active Directory-Diagnose........................................................ 1461 Domänencontroller-Diagnose (dcdiag.exe) verwenden........................................ 1462 Namensauflösung mit nslookup.exe testen................................................... 1465 Standard-OUs per Active Directory-Benutzer und -Computer überprüfen...................... 1467 Active Directory-Standorte überprüfen...................................................... 1468 Liste der Domänencontroller überprüfen..................................................... 1468 Active Directory-Dateien überprüfen........................................................ 1469 Domänenkonto der Domänencontroller überprüfen........................................... 1469 Administrative Freigaben überprüfen........................................................ 1471 Gruppenrichtlinien überprüfen............................................................. 1472 DNS-Einträge von Active Directory überprüfen............................................... 1472 Betriebsmaster testen...................................................................... 1473 Ereignisprotokollierung von Active Directory konfigurieren.................................... 1473 27

Active Directory bereinigen und Domänencontroller entfernen.................................. 1474 Vorbereitungen beim Entfernen eines Domänencontrollers.................................. 1474 Domänencontroller herabstufen......................................................... 1475 Herabstufung eines Domänencontrollers erzwingen........................................ 1475 Active Directory-Metadaten bereinigen................................................... 1476 Fehler beim Entfernen von Active Directory mit dcpromo................................... 1478 Zusammenfassung......................................................................... 1478 Teil G Migration und Aktualisierung................................................ 1479 41 Migration zu Windows Server 2008 R2........................................... 1481 Windows Server 2008 R2 im Windows Server 2003/2008-Netzwerk betreiben...................... 1482 Dateiserver-Migrationstoolkit............................................................... 1483 Zertifikate migrieren....................................................................... 1487 Mögliche Vorgehensweise bei der Migration zu Windows Server 2008 R2.......................... 1488 Migration mit dem Active Directory Migration Tool (ADMT) 3.0 und 3.1......................... 1489 Vorbereitungen für ADMT 3.1........................................................... 1489 ADMT installieren und einführen........................................................ 1490 Migration von Benutzerkonten mit dem ADMT............................................ 1491 ADMT ohne Vertrauensstellungen einsetzen.................................................. 1492 Zusammenfassung......................................................................... 1493 42 Windows-Bereitstellungsdienste.................................................. 1495 Das Windows-Abbildformat................................................................ 1496 Grundlagen zur automatisierten Installation.................................................. 1497 Zusatztools für die automatisierte Installation.............................................. 1498 Windows System Image Manager, Antwortdateien und Kataloge............................. 1500 Workshop: Erstellen einer Antwortdatei zur automatisierten Installation von Windows 7............ 1501 Schritt 1: Windows-Installation automatisieren............................................ 1501 Schritt 2: Antwortdatei zur automatisierten Partitionierung der Festplatten erweitern............ 1507 Schritt 3: Computerabbild installieren Sysprep im Praxiseinsatz............................. 1509 Windows PE-CD erstellen und Windows-Abbild anfertigen..................................... 1511 Abbilder mit ImageX erstellen........................................................... 1512 Windows 7 über ein ImageX-Abbild installieren............................................ 1513 Grundlagen der Windows-Bereitstellungsdienste............................................... 1514 Neuerungen in WDS von Windows Server 2008 R2......................................... 1515 Der Betriebsmodus von WDS........................................................... 1515 Abbilder in WDS verwalten............................................................. 1516 Wie funktioniert die automatisierte Installation von Windows Vista oder Windows 7 über WDS?. 1517 Windows-Bereitstellungsdienste installieren................................................... 1518 Ersteinrichtung der Windows-Bereitstellungsdienste........................................ 1518 Multicast verwenden................................................................... 1519 Abbilder verwalten und installieren.......................................................... 1521 28

Startabbilder verwalten................................................................ 1521 Installationsabbilder verwenden......................................................... 1524 Suchabbilder verwenden............................................................... 1526 Aufzeichnungsabbilder verwenden...................................................... 1528 Automatische Namensgebung für Clients konfigurieren.................................... 1530 Berechtigungen für Abbilder verwalten................................................... 1531 Virtuelle Festplatten in WDS verwenden.................................................. 1531 Treiberpakete in WDS verwenden....................................................... 1534 Unbeaufsichtigte Installation über die Windows-Bereitstellungsdienste........................... 1534 Aktivierung für Unternehmenskunden Volumenaktivierung (VA) 2.0.......................... 1537 Grundlegende Informationen zum Einsatz von Volumenaktivierung (VA) 2.0................. 1538 Mehrfachaktivierungsschlüssel (Multiple Activation Key, MAK)............................. 1540 Schlüsselverwaltungsdienst (Key Management Service, KMS)-Aktivierung.................... 1540 Mehrfachaktivierungsschlüssel (MAK) und Aktivierung per Schlüsselverwaltungsdienst (KMS) in der Praxis.......................................................................... 1541 KMS-Schnellanleitung................................................................. 1546 Microsoft Deployment Toolkit (MDT) 2010.................................................. 1547 Lite Touch-Installation vs. Zero Touch-Installation........................................ 1548 Deploymentfreigabe anlegen............................................................ 1549 Programmkompatibilität sicherstellen.................................................... 1549 Installationsabbilder über MDT bereitstellen.............................................. 1554 Anwendungen über MDT 2010 bereitstellen.............................................. 1554 System Center Configuration Manager 2007 SP2 und R3...................................... 1554 Zusammenfassung........................................................................ 1556 43 Service Pack 1 und Internet Explorer 9........................................... 1557 SP1 für Windows Server 2008 R2 installieren und deinstallieren................................. 1558 Installation des SP1 vorbereiten......................................................... 1558 SP1 installieren....................................................................... 1559 SP1 skriptbasiert und unbeaufsichtigt installieren.......................................... 1561 Sicherungsdateien von SP1 bereinigen................................................... 1562 SP1 im Cluster installieren.............................................................. 1562 SP1 deinstallieren..................................................................... 1563 Problembehebung mit dem System Update Readiness Tool................................. 1563 Blockierungstoolkit für Windows Service Packs............................................ 1564 Fehler 0xc0000034 nach der SP1-Installation.............................................. 1565 Internet Explorer 9 und Windows Server 2008 R2............................................. 1565 Internet Explorer 9 automatisiert installieren.............................................. 1566 Internet Explorer 9 Installation verhindern............................................. 1566 Internet Explorer Administration Kit (IEAK) 9 Das eigene IE-Paket schnüren................ 1567 Eigenen Suchanbieter für beliebige Websites erstellen TechNet-Suche auf Servern aktivieren... 1575 Entwicklungstools aufrufen Fehler schneller finden....................................... 1576 Sicherheit im Internet Explorer 9........................................................ 1578 Hyper-V R2 SP1 Besonderheiten und Kompatibilität......................................... 1580 Dynamic Memory Erweiterung für Hyper-V 2.0............................................. 1581 Dynamic Memory Technik........................................................... 1581 Dynamic Memory Praxis............................................................. 1582 29

RemoteFX Virtual Desktop Infrastructure und Remotedesktop-Sitzungshost..................... 1584 Grundlagen und Voraussetzungen von RemoteFX.......................................... 1584 RemoteFX produktiv einrichten und verwalten VDI und Remotedesktop-Sitzungshost......... 1587 Weitere Verbesserungen von SP1............................................................ 1590 Windows HPC Server 2008 R2.............................................................. 1590 Supercomputer-Cluster mit herkömmlichen Servern........................................ 1591 Head Node, Compute Node und Broker Node............................................. 1592 HPC Pack 2008 R2 (SP1)............................................................... 1593 Zusammenfassung......................................................................... 1595 44 Microsoft Desktop Optimization Pack 2010..................................... 1597 Microsoft Enterprise Desktop Virtualization (MED-V)......................................... 1598 Grundlagen zu MED-V Enterprise-Desktop vs. Windows XP Mode......................... 1599 MED-V installieren und testen........................................................... 1601 Einstellungen für die Verbindung auf dem MED-V-Server................................... 1602 Virtuellen Computer für MED-V erstellen................................................. 1603 Microsoft System Center Desktop Error Monitoring............................................ 1605 Microsoft Diagnostic and Recovery Toolset................................................... 1609 Assistent für die Absturzanalyse Bluescreens verstehen..................................... 1609 Rettungs-CD für Windows Server 2008 erstellen........................................... 1611 Rettungs-CD mit ERD-Commander verwenden............................................ 1612 Rettungs-CD mit ERD-Commander über einen USB-Stick starten............................ 1614 Alternativen zur ERD-Commander-CD................................................... 1615 Advanced Group Policy Management........................................................ 1615 Change-Mangement und Offlinebearbeitung von Gruppenrichtlinien......................... 1616 AGPM installieren und testen........................................................... 1618 Gruppenrichtlinien überprüfen und Fehler beheben........................................ 1623 Asset Inventory Service Inventarisierung und Fehleranalyse.................................... 1626 Zusammenfassung......................................................................... 1626 Teil H Windows Server 2008 und SharePoint...................................... 1627 45 SharePoint Services 3.0 mit SP2................................................... 1629 Einführung in Windows SharePoint Services 3.0 SP2........................................... 1631 SharePoint Services 3.0 mit SP2 einrichten.................................................... 1635.NET-Framework 3.5 installieren......................................................... 1635 SharePoint Services 3.0 mit SP2 installieren................................................ 1636 SharePoint Services parallel zu anderen Websites betreiben.................................. 1637 Benutzerberechtigungen in den SharePoint Services zuweisen................................ 1644 Praxisbeispiele für die SharePoint Services 3.0................................................. 1646 SharePoint Services mit zusätzlichen Vorlagen erweitern.................................... 1647 Erweiterungen herunterladen und installieren............................................. 1647 Erweiterungen konfigurieren und verwenden.............................................. 1649 Websites einfach erweitern.................................................................. 1651 30

Blogs erstellen............................................................................ 1652 Webparts in Websites einfügen............................................................. 1653 Seiteninhalte konfigurieren und einrichten................................................... 1654 Design der SharePoint Services anpassen..................................................... 1656 Office 2007/2010 mit SharePoint verwenden.................................................. 1656 Microsoft Search Server 2008/2010 Express................................................... 1657 Funktionsumfang Search Server 2008.................................................... 1657 Einfache Installation und Inbetriebnahme von Search Server 2008........................... 1658 Datenquellen verwenden und indexieren................................................. 1660 Exchange Server, Websites, Freigaben: Der Search Server indexiert alles....................... 1661 Interne und externe Suchergebnisse verwenden............................................ 1662 Microsoft Search Server 2010 Express.................................................... 1663 Zusammenfassung........................................................................ 1663 46 SharePoint Foundation 2010...................................................... 1665 Neuerungen in SharePoint Foundation 2010.................................................. 1667 SharePoint Foundation 2010 installieren..................................................... 1671 Systemvoraussetzungen und Installation vorbereiten....................................... 1671 SharePoint 2010 Foundation installieren................................................. 1672 SharePoint Services 3.0 SP2 auf SharePoint Foundation 2010 aktualisieren........................ 1676 Aktualisierung auf SharePoint Foundation 2010 vorbereiten................................. 1676 Aktualisierung auf SharePoint Foundation 2010 durchführen............................... 1678 SharePoint mit der PowerShell verwalten..................................................... 1681 Zusammenfassung........................................................................ 1682 Stichwortverzeichnis............................................................. 1683 Der Autor............................................................................ 1699 Thomas Joos......................................................................... 1700 31

Kapitel 28 DirectAccess im Praxiseinsatz In diesem Kapitel: Technischer Überblick zu DirectAccess 1054 Notwendige Vorbereitungen im Netzwerk 1060 DirectAccess installieren und konfigurieren 1073 Workshop: Testumgebung für DirectAccess 1082 Fehler in DirectAccess beheben 1102 DirectAccess-Clients remote verwalten 1110 Zusammenfassung 1111 Remotedesktop und Netzwerkzugriffschutz 1053

Kapitel 28 DirectAccess im Praxiseinsatz Setzen Sie im Unternehmen Windows Server 2008 R2 und Windows 7 in einem speziellen VPN, DirectAccess genannt, ein, können Clientrechner auf alle Funktionen im Netzwerk zugreifen, genauso wie beim internen Zugriff. Bei DirectAccess müssen Anwender sich nicht erst zu einem VPN einwählen oder authentifizieren, sondern der Rechner verbindet sich im Hintergrund automatisch mit dem Firmennetzwerk. Grundgedanke ist die Verbindung eines Windows 7-Rechners über IPv6 und IPsec mit einem DirectAccess-Server unter Windows Server 2008 R2, der im Unternehmen positioniert ist und sowohl Verbindung mit dem internen Netzwerk und dem Internet hat. Diese Verbindung funktioniert auch über NAT oder durch Firewalls. Gesichert wird diese Verbindung über IPsec und IPv6. Den IPV6-Verkehr tunneln Windows 7 und Windows Server 2008 R2 automatisch in IPv4-Paketen, wenn kein IPv6 zur Verfügung steht, wie zum Beispiel bei der Verbindung im Internet. Der DirectAccess-Server routet die Verbindungen dann zum internen Netzwerk weiter. Je nachdem, wo der Client positioniert ist, also NAT, blockiert durch Firewall oder andere Technologien, verwendet DirectAccess verschiedene Funktionen für den Verbindungsaufbau. Hier kommen vor allem 6to4, Teredo, ISATAP und HTTPS im Einsatz. TIPP Auf der Internetseite http://technet.microsoft.com/en-us/network/dd420463.aspx erhalten Sie umfassende Informationen und W hitepapers zu DirectAccess. Auch im Micr osoft TechNet erhalten Sie über http://technet.microsoft.com/en-us/library/dd758757%28ws.10%29.aspx weitere Anleitungen. Den kompletten Umfang dieser Technologie zu beschreiben, würde den Umfang des Buchs sprengen. DirectAccess lässt sich mit dem Netzwerkzugriffschutz kombinieren sowie durch Smartcards weiter absichern. Blockiert eine Firewall den DirectAccess-Datenverkehr, schaltet der Client automatisch auf eine HTTPS-Verbindung um, die in den seltensten Fällen blockiert wird. Durch die neue Technik können mobile Anwender mit allen internen Applikationen und Daten arbeiten, sobald eine Verbindung zum Internet besteht. Administratoren haben vom internen Netzwerk ebenfalls einen vollständigen Zugang zu dem Client im Internet. Der Netzwerkverkehr wird vollkommen bidirektional abgewickelt. Dies hat zum Beispiel den Vorteil, dass auch Gruppenrichtlinien auf eingewählte VPN-Clients funktionieren. Das war bisher noch nicht möglich. Damit dieser Zugriff funktioniert, muss der DirectAccess-Server im internen Netzwerk mit Windows Server 2008 R2 laufen. Dieser Server ist sozusagen der neue VPN-Server, den Sie im Netzwerk integrieren. Windows 7-Clients sollen dadurch schnellen Zugriff auf interne Ressourcen haben, sobald diese mit dem Internet verbunden sind. Der Zugriff soll dazu nicht nur vom Client zum Netzwerk erfolgen, sondern Administratoren sollen auch in der Lage sein, über das Internet angebundene Clients zu verwalten. Beide Möglichkeiten sollen von extern die gleichen Möglichkeiten bieten wie internen Clients. Ein wichtiger Vorteil von DirectAccess ist, dass Anwender keine Aktion durchführen müssen, um sich mit dem Netzwerk zu verbinden, sondern Windows baut automatisch eine gesicherte Verbindung mit dem Firmennetzwerk auf. Die Verbindung soll für den Anwender vollkommen transparent erfolgen, er soll nahezu keinen Unterschied zwischen interner und externer Verbindung bemerken. HINWEIS Um DirectAccess hochverfügbar zu konfigurieren, verwenden Sie am besten einen Hyper - V-Cluster. Als virtueller Computer ist der DirectAccess-Server am besten abgesichert. Es gibt in DirectAccess keine Einschränkungen, wie viele Benutzer gleichzeitig verbunden sein dürfen. Technischer Überblick zu DirectAccess Bei der Verwendung von DirectAccess authentifiziert sich der Client über ein Computerzertifikat am Direct- Access-Server und umgekehrt, bevor sich der Anwender am Computer anmeldet. Die Verbindung zwischen Client und Server funktioniert über IPsec-gesichertes VPN. Als Verschlüsselungsmethode können Sie dabei 1054

Technischer Überblick zu DirectAccess 3DES und AES einsetzen. Die Kommunikation erfolgt dazu mittels IPv6 zwischen Windows 7 und dem Direct- Access-Server unter Windows Server 2008 R2. Sobald sich der Client mit Netzwerk verbunden hat, kann er weiter mit IPv4 kommunizieren (End-To-Edge-Protection), die IPv6-Verbindung endet dann am DirectAccess- Server. Wollen Sie mit IPsec bis zu den Anwendungsservern im Netzwerk arbeiten (End-To-End-Protection), muss auf den beteiligten Servern Windows Server 2008, besser Windows Server 2008 R2 installiert und IPsec konfiguriert sein. DirectAccess kann aber auch problemlos über IPv4 kommunizieren. An den Stellen, wo die Konfiguration IPv6 benötigt, bauen Client und Server automatisch einen IPv6-Tunnel über IPv4 auf, sodass die Kompatibilität gewährleistet ist. Diese Konfiguration empfiehlt Microsoft, da so die Sicherheit wesentlich höher ist. HINWEIS Wenn Sie IPv6 im Unternehmen nicht einsetzen, enthält DirectAccess IPv6-Übergangstechnologien, mit denen Sie die IPv6-Konnektivität für DirectAccess sicherstellen können. Als Authentifizierungsmechanismus können Sie SmartCards verwenden, aber auch die herkömmliche Authentifizierung über Benutzernamen und Kennwort in Active Directory. Dazu baut der DirectAccess-Client eine zertifikatgesicherte Verbindung zum DirectAccess-Server auf dem internen DNS- und Domänencontroller auf, um eine sichere Verbindung zu gewährleisten. Setzen Sie im Unternehmen auf IPv6, kann der IPsec-Datenverkehr auch im internen Netzwerk fortgeführt werden. Auf dem DirectAccess-Server legen Sie auch fest, auf welche internen Server der Zugriff erfolgen darf. Diese Technik wird in Windows Vista nicht verfügbar sein, sondern ausschließlich nur in Windows 7. Die Domänencontroller sollten unter Windows Server 2008 laufen; hier ist R2 nicht vorgeschrieben. Für den vollständigen Einsatz von DirectAccess in einer hochsicheren Umgebung benötigen Sie jedoch auch auf den Domänencontrollern Windows Server 2008 R2. Die Verwaltung erfolgt über die DirectAccess-Verwaltungskonsole, die Sie unter Windows Server 2008 R2 als Feature installieren. Die Einrichtung unterstützt Windows Server 2008 R2 mit Assistenten und einigen Hilfedateien. Während der Einrichtung legen Sie fest, ob Sie eine interne Zertifizierungsstelle verwenden wollen, ob Sie IPv6 auch intern nutzen und welche externen Geräte Zugriff erhalten sollen. Für Anwender auf ihren PCs ändert sich mit der Arbeit bei DirectAccess nichts. Verbinden sich Clients direkt mit einem VPN mit der Zentrale, und arbeiten Sie im Unternehmen mit DirectAccess, müssen Sie bei der Einrichtung von BranchCache weitere Schritte beachten. ISATAP, Teredo und 6to4 Voraussetzungen für DirectAccess Damit Sie DirectAccess einsetzen können, müssen Sie folgende Voraussetzungen erfüllen: Der DirectAcess-Server für die Einwahl vom Internet muss mit Windows Server 2008 R2 installiert sein und er muss Mitglied einer Active Directory-Domäne sein. Der Server benötigt zwei Netzwerkkarten. Eine Karte ist mit dem Internet, die andere mit dem internen Netzwerk verbunden. Der DirectAccess-Server sollte über mindestens zwei öffentliche IPv4-Adressen im Internet verfügen, um die verschiedenen Tunnel verwenden zu können. Der Server kann auch hinter einer Firewall positioniert sein, zum Beispiel in einer DMZ (Demilitarized Zone). NAT unterstützt der DirectAccess-Server nicht, nur Clients dürfen hinter einem NAT positioniert sein. Auf den Clients für die Einwahl durch DirectAccess müssen Sie Windows 7 Professional, Enterprise oder Ultimate ausführen. Windows Vista sowie Windows XP unterstützen DirectAccess nicht. Nur Windows Server 2008 R2 und Windows 7 beherrschen DirectAccess als Server oder als Client. Die Clients müssen Mitglied einer Active Directory-Domäne sein. Remotedesktop und Netzwerkzugriffschutz 1055

Kapitel 28 DirectAccess im Praxiseinsatz Sie müssen eine interne Zertifizierungsstelle im Netzwerk betreiben, sowie eine Zertifikatsperrliste (Certificate Revocation List, CRL) auf dem DirectAccess-Server Ein weiterer Server im Netzwerk dient als Infrastrukturserver. Dabei kann es sich auch um den Direct- Access-Server selbst handeln. Besser ist aber ein Anwendungsserver im internen Netzwerk. Über eine Verbindung zu diesem Server testet der DirectAccess-Server, ob er gerade mit dem internen Netzwerk verbunden ist, oder sich über das Internet mit dem Netzwerk verbindet. Mindestens ein Domänencontroller und DNS-Server muss mit Windows Server 2008 installiert sein, besser mit Windows Server 2008 R2, um alle Features zu unterstützen. Mit diesem Server baut der DirectAccess- Client über das Internet eine Verbindung auf, um Namen im internen Netzwerk aufzulösen. Als Funktionsebene für die Gesamtstruktur und die Domäne unterstützt DirectAccess auch Windows Server 2008; der Betriebsmodus Windows Server 2008 R2 ist nicht zwingend notwendig. Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) Auf dem Domänencontroller/DNS-Server läuft für die Unterstützung von DirectAccess das Intra-Site Automatic Tunnel Addressing Protocol (ISATAP). Dieses ist dafür zuständig, dass interne Server, die mit IPv4 kommunizieren, mit den DirectAccess-Clients eine Verbindung aufbauen können. Nur Windows 7 und Windows Server 2008 R2 beherrschen ISATAP, Windows Vista und Windows Server 2008 dagegen nicht. Als ISATAP-Router vom Internet zum internen Netzwerk kann auf Wunsch auch der DirectAccess-Server dienen. Bei der Einrichtung von DirectAccess-Servern erstellt der Assistent automatisch DNS-Einträge, die für den Verbindungsaufbau zum Netzwerk wichtig sind. Abbildg. 28.1 Anzeigen der DNS-Einträge für DirectAccess DirectAccess-Clients erfahren zum Beispiel per DNS, welcher Server im Netzwerk als ISATAP-Router konfiguriert ist. Über diesen Server bauen dann Clients eine IPv6- über IPv4-Verbindung auf. ISATAP IPv6-Adressen erkennen Sie daran, dass diese am Ende mit der Buchstabenkette 5efe aufhören, sowie an der IPv4-Adresse des entsprechenden Geräts. 1056

Technischer Überblick zu DirectAccess Meist beginnen diese Adressen mit 2001 oder 2002. Eine ISATAP-IPv6-Adresse des DirectAccess-Servers mit der IPv4-Adresse 131.107.0.2 ist zum Beispiel 2002:890a:1419:1:0:5efe:131.107.0.2. Diese Adresse sehen Sie auf dem Server auch, wenn Sie ipconfig eingeben. Die Konfiguration dieser Adressen nimmt der Einrichtungs-Assistent von DirectAccess automatisch vor, hier müssen Sie nicht manuell nacharbeiten. Die ISATAP-IPv6-Adressen haben nichts mit den normalen IPv6-Adressen des Servers zu tun, sondern dienen der DirectAccess-Kommunikation. Eine solche Konfiguration führt der Assistent nur dann durch, wenn intern im Netzwerk noch keine IPv6- Infrastruktur im Einsatz ist. In diesem Fall geht der Einrichtungs-Assistent davon aus, dass der DirectAccess- Server als ISATAP-Router konfiguriert werden soll, nimmt die Einrichtung vor und erstellt die beschriebenen DNS-Einträge. Damit ISATAP funktioniert, muss diese Funktion auf dem DNS-Server zunächst freigeschaltet werden. Wie das geht, zeigen wir Ihnen bei der Einrichtung von DirectAccess genauer. Abbildg. 28.2 Anzeigen der IPv6-Adresse für ISATAP über IPconfig auf dem DirectAccess-Server 6to4 und Teredo verstehen DirectAccess hinter NAT 6to4 ist eine Technik, die IPv6-Daten über IPv4-Verbindungen leiten kann. Diese Technik kommt zum Einsatz, sobald zwei Computer mit IPv6 kommunizieren wollen, der Datenverkehr aber über ein IPv4-Netzwerk geroutet wird, wie zum Beispiel das Internet. DirectAccess-Clients und die internen Server in Ihrem Netzwerk arbeiten mit IPv6 bei DirectAccess-Verbindungen. Die Verbindung über das Internet wird mit IPv4 abgewickelt. Auf dem DirectAccess-Server können Sie den öffentlichen IPv4-Bereich Ihres Unternehmens, also die öffentlichen IPv4-Adressen, in einen IPv6-Bereich umwandeln lassen. Sie können also IPv6 im Internet nutzen, um Direct- Access-Verbindungen aufzubauen. Bei der Verbindung verpacken 6to4-Rechner IPv6-Pakete in IPv4-Pakete, senden diese zum DirectAccess- Server, der diese dann wiederum in das interne Netzwerk umleiten kann. Arbeiten Sie über ein Netzwerk mit Netzwerkadressübersetzung (Network Address Translation, NAT), werden diese Pakete meist gefiltert. Hier kann nicht mehr 6to4 zum Einsatz kommen, da diese Technik von einer öffentlichen IP-Adresse im Internet abhängig ist, zum Beispiel durch direkte Einwahl. Moderne Router unterstützen bereits 6to4-Routing ins Internet, sodass in diesem Fall auch bei der Position hinter einem Router oder einer Firewall keine Probleme existieren. Kann der Router oder die Firewall den 6to4-Verkehr aber nicht weiterleiten, funktioniert DirectAccess über 6to4 nicht mehr. Damit die Verbindung dennoch funktioniert, kommt in diesem Fall Teredo ins Spiel. Teredo tunnelt IPv6- Pakete in UDP-Pakete. Dadurch lassen sich DirectAccess-Clients auch hinter NATs betreiben, zumindest dann, wenn Router oder Firewall den Teredo-Verkehr nicht blockieren. Aber auch dann kann DirectAccess noch funktionieren, da die Technik dann auf ein einfaches HTTPS-VPN umschaltet. Teredo-Clients bauen eine Verbindung zu Teredo-Servern auf, wenn der Client hinter einem NAT konfiguriert ist. Beim Betrieb von Direct- Remotedesktop und Netzwerkzugriffschutz 1057