Windows Server - Das umfassende Handbuch
von: Peter Kloep, Karsten Weigel, Raphael Rojas, Kevin Momber, Annette Frankl
Rheinwerk Computing, 2021
ISBN: 9783836283694
Sprache: Deutsch
1320 Seiten, Download: 55290 KB
Format: EPUB, auch als Online-Lesen
Aus dem Lektorat | 4 | ||
Inhaltsverzeichnis | 6 | ||
Vorwort der Autoren | 29 | ||
1 Windows Server 2019 | 38 | ||
1.1 What’s new? | 40 | ||
1.2 Die verschiedenen Editionen | 44 | ||
1.2.1 Windows Server Standard | 44 | ||
1.2.2 Windows Server Datacenter | 45 | ||
1.3 Long Term Services Channel vs. Semi-Annual Channel | 46 | ||
1.4 Lizenzierung | 48 | ||
1.4.1 Verschiedene Lizenzierungsarten | 48 | ||
1.4.2 Lizenzprogramme (KMS und MAK) | 48 | ||
1.4.3 Active Directory Based Activation (ADBA) | 54 | ||
1.4.4 VM-Based Activation | 54 | ||
1.5 Systemanforderungen | 55 | ||
1.6 Installation von Windows Server 2019 | 57 | ||
1.6.1 Installation mit grafischer Oberfläche | 58 | ||
1.6.2 Windows Server Core | 65 | ||
1.6.3 Nach der Installation | 66 | ||
1.7 Die Installation automatisieren | 69 | ||
1.7.1 Windows Assessment and Deployment Kit (ADK) | 69 | ||
1.7.2 Abbildverwaltung (Deployment Image Servicing and Management) | 74 | ||
1.7.3 Sysprep | 76 | ||
1.8 Update-Strategie | 81 | ||
2 Rollen und Features | 83 | ||
2.1 Rollen und Rollendienste | 83 | ||
2.2 Die Rollen im Überblick | 86 | ||
2.2.1 Active Directory Lightweight Directory Services | 86 | ||
2.2.2 Active Directory-Domänendienste | 89 | ||
2.2.3 Active Directory-Rechteverwaltungsdienste | 92 | ||
2.2.4 Active Directory-Verbunddienste | 95 | ||
2.2.5 Active Directory-Zertifikatdienste | 97 | ||
2.2.6 Datei-/Speicherdienste | 101 | ||
2.2.7 Device Health Attestation | 116 | ||
2.2.8 DHCP-Server | 118 | ||
2.2.9 DNS-Server | 120 | ||
2.2.10 Druck- und Dokumentendienste | 121 | ||
2.2.11 Faxserver | 124 | ||
2.2.12 Host Guardian-Dienst | 126 | ||
2.2.13 Hyper-V | 129 | ||
2.2.14 Netzwerkcontroller | 130 | ||
2.2.15 Netzwerkrichtlinien- und Zugriffsdienste | 131 | ||
2.2.16 Remotedesktopdienste | 133 | ||
2.2.17 Remotezugriff | 136 | ||
2.2.18 Volumenaktivierungsdienste | 138 | ||
2.2.19 Webserver (IIS) | 139 | ||
2.2.20 Windows Server Update Services (WSUS) | 144 | ||
2.2.21 Windows-Bereitstellungsdienste | 149 | ||
2.3 Features | 151 | ||
2.4 Editionen und ihre Möglichkeiten | 184 | ||
2.4.1 Windows Server SAC | 185 | ||
2.4.2 Windows Server 2019 LTSC – Essentials | 186 | ||
2.4.3 Windows Server 2019 LTSC – Standard oder Datacenter, Core oder Desktop | 187 | ||
2.4.4 Vergleichen Sie die Editionen | 189 | ||
2.5 Was ist neu in den unterschiedlichen SAC-Versionen? | 193 | ||
2.6 Was wurde in den letzten Versionen entfernt? | 194 | ||
2.7 Server- bzw. Rollen-Platzierung | 195 | ||
3 Netzwerkgrundlagen und -Topologien | 197 | ||
3.1 Was ist ein Netzwerk? Diese Begriffe sollten Sie kennen | 197 | ||
3.2 Welche Topologien gibt es und welche werden heute in der Praxis noch genutzt? | 200 | ||
3.2.1 Bus-Topologie | 200 | ||
3.2.2 Ring-Topolgie | 201 | ||
3.2.3 Stern-Topologie | 202 | ||
3.2.4 Hierarchische Topologie | 203 | ||
3.2.5 Vermaschte Topologie | 204 | ||
3.3 Referenzmodelle | 207 | ||
3.3.1 ISO-OSI-Referenzmodell | 208 | ||
3.3.2 TCP/IP-Referenzmodell | 225 | ||
3.3.3 Gegenüberstellung der beiden Modelle | 227 | ||
3.4 Übertragungsmethoden | 229 | ||
3.4.1 Unicast | 229 | ||
3.4.2 Multicast | 229 | ||
3.4.3 Broadcast | 230 | ||
4 IP-Adressmanagement | 231 | ||
4.1 Was ist eine MAC-Adresse? | 231 | ||
4.2 Was ist TCP/IP? | 234 | ||
4.3 Das IP-Protokoll genauer erklärt | 237 | ||
4.3.1 IP Version 4 | 237 | ||
4.3.2 ARP | 247 | ||
4.3.3 Subnetting | 251 | ||
4.3.4 IP Version 6 (IPv6) | 254 | ||
4.3.5 Aufbau eines IP-Pakets | 265 | ||
4.4 Wie kommuniziert ein Computer mit einem Netzwerk? | 270 | ||
4.4.1 Kabelverbindungen | 271 | ||
4.4.2 WLAN und Mobilfunk | 272 | ||
4.5 Netzwerkkonfiguration unter Windows | 276 | ||
4.6 Namensauflösung | 284 | ||
4.6.1 DNS-Namensauflösung | 284 | ||
4.6.2 NetBIOS | 296 | ||
4.7 DHCP | 299 | ||
4.7.1 Was ist DHCP? | 299 | ||
4.7.2 IP-Adressen vergeben und erneuern | 300 | ||
4.7.3 Automatische Vergabe von privaten IP-Adressen (APIPA) | 301 | ||
4.7.4 Aufbau eines DHCP-Datenpakets | 302 | ||
4.7.5 Installation eines DHCP-Servers unter Windows Server 2019 | 303 | ||
4.7.6 Konfiguration eines DHCP-Servers nach der Installation der Rolle | 309 | ||
4.7.7 Konfiguration eines DHCP-Failovers | 326 | ||
4.8 IPAM | 329 | ||
4.8.1 Vorteile des IPAM | 329 | ||
4.8.2 Installation des IPAM | 330 | ||
4.8.3 Konfiguration des IPAM-Servers | 330 | ||
4.8.4 Mögliche Anpassungen des IPAM-Servers und Hinweise für den Betrieb | 335 | ||
5 Authentifizierungsprotokolle | 337 | ||
5.1 Domänenauthentifizierungsprotokolle | 338 | ||
5.1.1 LanManager (LM) | 338 | ||
5.1.2 NTLM | 340 | ||
5.1.3 Kerberos | 341 | ||
5.1.4 Ansprüche (Claims) und Armoring | 362 | ||
5.1.5 Sicherheitsrichtlinien | 366 | ||
5.2 Remotezugriffsprotokolle | 368 | ||
5.2.1 MS-CHAP | 368 | ||
5.2.2 Password Authentication Protocol (PAP) | 368 | ||
5.2.3 Extensible Authentication Protocol (EAP) | 368 | ||
5.3 Webzugriffsprotokolle | 370 | ||
6 Active Directory | 372 | ||
6.1 Geschichte des Active Directorys | 372 | ||
6.2 Was ist neu im Active Directory in Windows Server 2019? | 375 | ||
6.3 Die Datenbank von Active Directory | 377 | ||
6.4 Die Komponenten des Active Directorys | 380 | ||
6.4.1 Logischer Aufbau | 380 | ||
6.4.2 Physischer Aufbau | 384 | ||
6.4.3 Globaler Katalog | 384 | ||
6.4.4 FSMO (Flexible Single Master Operations) bzw. Betriebsmaster | 385 | ||
6.4.5 Standorte | 388 | ||
6.4.6 Distinguished Name | 388 | ||
6.4.7 Canonical Name | 389 | ||
6.4.8 Common Name | 389 | ||
6.5 LDAP | 390 | ||
6.6 Schema | 392 | ||
6.7 Replikation | 393 | ||
6.7.1 Steuerung der AD-Replikation | 393 | ||
6.7.2 Tool für die Überprüfung des Replikationsstatus | 396 | ||
6.8 Read-Only-Domänencontroller (RODC) | 398 | ||
6.8.1 Voraussetzungen für den Einsatz eines RODC | 399 | ||
6.8.2 Funktionalität | 400 | ||
6.8.3 RODC-Attributsatzfilter | 400 | ||
6.8.4 Wie funktioniert eine RODC-Anmeldung? | 401 | ||
6.8.5 Einen schreibgeschützten Domänencontroller installieren | 402 | ||
6.9 Vertrauensstellungen | 412 | ||
6.9.1 Eigenschaften der Domänenvertrauensstellungen | 413 | ||
6.9.2 Vertrauensstellungstypen | 416 | ||
6.9.3 Vertrauensstellung in Windows-Domänen ab Windows Server 2003 | 416 | ||
6.9.4 Authentifizierungsvarianten in Vertrauensstellungen ab Windows Server 2003 | 417 | ||
6.9.5 Fehlerhafte Vertrauensstellungen | 418 | ||
6.9.6 Eine Gesamtstrukturvertrauensstellung einrichten | 419 | ||
6.10 Offline-Domänenbeitritt | 430 | ||
6.11 Der Papierkorb im Active Directory | 431 | ||
6.12 Der Wiederherstellungsmodus des Active Directorys | 434 | ||
6.12.1 Nicht-autorisierende Wiederherstellung | 435 | ||
6.12.2 Autorisierende Wiederherstellung | 436 | ||
6.12.3 Garbage Collection | 436 | ||
6.12.4 Active Directory Database Mounting Tool | 437 | ||
6.13 Active Directory-Verbunddienste (AD FS) | 439 | ||
6.13.1 Die Komponenten des AD FS | 440 | ||
6.13.2 Was ist eine Verbundvertrauensstellung? | 441 | ||
6.14 Installation des Active Directory | 443 | ||
6.14.1 Den ersten DC in einer Domäne installieren | 443 | ||
6.14.2 Einen weiteren DC in einer Domäne installieren | 455 | ||
6.14.3 Installation des ersten DCs in einer Subdomäne der Gesamtstruktur | 458 | ||
6.14.4 Einen DC aus einer Domäne entfernen | 460 | ||
6.14.5 Einen defekten oder nicht mehr erreichbaren DC aus einer Domäne entfernen | 463 | ||
6.14.6 Die Domäne entfernen | 467 | ||
6.15 Wartungsaufgaben innerhalb des Active Directorys | 471 | ||
6.15.1 Übertragen oder Übernehmen der FSMO | 471 | ||
6.15.2 Wartung der AD-Datenbank | 471 | ||
6.15.3 IFM-Datenträger | 473 | ||
7 Benutzer, Gruppen & Co im Active Directory | 478 | ||
7.1 Container | 478 | ||
7.1.1 Administrative Konten und Sicherheitsgruppen im Container »Builtin« | 480 | ||
7.1.2 Administrative Konten und Sicherheitsgruppen aus dem Container »Users« | 486 | ||
7.2 Organisationseinheiten | 490 | ||
7.2.1 Objektverwaltung delegieren | 491 | ||
7.3 Benutzer | 495 | ||
7.4 Computer | 497 | ||
7.4.1 Sicherheitseinstellungen für den Domänenbeitritt von neuen Computern | 497 | ||
7.5 Gruppen | 501 | ||
7.5.1 Arten von Sicherheitsgruppen | 503 | ||
7.5.2 Protected Users Group | 504 | ||
7.6 MSA und gMSA | 507 | ||
7.6.1 Managed Service Account (MSA) | 507 | ||
7.6.2 Group Managed Service Account (gMSA) | 508 | ||
7.7 Password Settings Objects (PSOs) | 513 | ||
7.7.1 Voraussetzungen für das Anwenden der PSOs | 514 | ||
7.7.2 PSOs erstellen | 514 | ||
7.8 Gruppenrichtlinienobjekte (GPO) | 518 | ||
7.8.1 Allgemeines zu Gruppenrichtlinien | 521 | ||
7.8.2 Bestandteile einer GPO und die Ablageorte | 522 | ||
7.8.3 Aktualisierungsintervalle von GPOs | 524 | ||
7.8.4 GPOs erstellen und löschen | 525 | ||
7.8.5 Sicherheitsfilter der GPOs | 527 | ||
7.8.6 Administrative Vorlagen und Central Store | 528 | ||
7.8.7 Der Central Stores | 530 | ||
7.8.8 Clientseitige Erweiterungen | 532 | ||
7.8.9 Softwareinstallation über GPOs | 534 | ||
7.8.10 Sicherheitseinstellungen innerhalb der GPOs | 534 | ||
7.9 msDs-ShadowPrincipal | 542 | ||
7.9.1 msDS-ShadowPrincipalContainer | 542 | ||
7.9.2 Die Klasse msDS-ShadowPrincipal | 542 | ||
7.9.3 Die SID msDS-ShadowPrincipal | 543 | ||
7.9.4 Shadow Principals nutzen | 543 | ||
7.10 Freigegebene Ordner | 545 | ||
7.11 Freigegebene Drucker | 546 | ||
8 Virtualisierung | 547 | ||
8.1 Hypervisoren | 547 | ||
8.1.1 Hypervisor-Typen | 549 | ||
8.1.2 Hypervisor-Design | 550 | ||
8.2 Hyper-V | 554 | ||
8.2.1 Hyper-V-Hypervisor | 554 | ||
8.2.2 Hyper-V-Architektur | 568 | ||
8.2.3 Hyper-V-Anforderungen | 572 | ||
8.3 Das ist neu in Windows Server 2019 | 584 | ||
8.4 Virtual Desktop Infrastructure (VDI) | 587 | ||
8.5 Container | 590 | ||
8.5.1 Windows-Container | 592 | ||
8.5.2 Hyper-V-Container | 593 | ||
8.6 Azure Stack | 595 | ||
8.6.1 Azure Stack-Hardware | 598 | ||
8.6.2 Anwendungsbeispiel | 600 | ||
8.6.3 Azure Stack HCI (Hyperkonvergente Infrastruktur) | 602 | ||
9 Dateiserver | 608 | ||
9.1 Grundlagen des Dateisystems | 608 | ||
9.1.1 Datenträger und Volumes | 609 | ||
9.1.2 iSCSI | 619 | ||
9.1.3 Schattenkopien | 623 | ||
9.1.4 Freigaben | 626 | ||
9.1.5 NTFS und Freigaben-Berechtigungen | 634 | ||
9.1.6 Offlinedateien | 644 | ||
9.1.7 Datendeduplizierung | 648 | ||
9.2 Distributed File System (DFS) | 651 | ||
9.2.1 DFS-N (Distributed File System Namespace) | 651 | ||
9.2.2 DFS-R (Distributed File System Replication) | 657 | ||
9.3 Hochverfügbarkeit (HA-Anforderungen) | 664 | ||
9.4 Server Storage Migration Service | 667 | ||
9.5 Azure Files | 670 | ||
9.5.1 Einsatzgebiete für Azure Files | 670 | ||
9.5.2 Azure-Dateifreigabeprotokolle | 671 | ||
9.5.3 Kosten | 683 | ||
10 Verwaltung | 688 | ||
10.1 Windows Admin Center (WAC) | 688 | ||
10.1.1 Bereitstellungsszenarien | 690 | ||
10.1.2 Voraussetzungen | 692 | ||
10.1.3 Die Installation des Windows Admin Centers vorbereiten | 694 | ||
10.1.4 Windows Admin Center installieren | 698 | ||
10.1.5 Für Hochverfügbarkeit sorgen | 701 | ||
10.1.6 Einstellungen des Windows Admin Centers | 705 | ||
10.1.7 Berechtigungen konfigurieren | 708 | ||
10.1.8 Erweiterungen | 712 | ||
10.1.9 Systeme verwalten | 716 | ||
10.2 Server-Manager | 738 | ||
10.2.1 Lokalen Server verwalten | 738 | ||
10.2.2 Servergruppen erstellen | 741 | ||
10.2.3 Remote-Server verwalten | 743 | ||
10.3 Remote Server Administration Tools (RSAT) | 744 | ||
10.3.1 Installation unter Windows 10 | 744 | ||
10.4 PowerShell | 751 | ||
10.4.1 Anforderungen | 751 | ||
10.4.2 Beispiele für die Verwaltung | 753 | ||
10.5 WinRM und WinRS | 756 | ||
10.5.1 Windows Remote Management (WinRM) | 756 | ||
10.5.2 Windows Remote Shell (WinRS) | 757 | ||
10.6 Windows Server-Sicherung | 760 | ||
10.6.1 Die Windows Server-Sicherung installieren | 760 | ||
10.6.2 Backup-Jobs erstellen | 761 | ||
10.6.3 Windows Server-Sicherung auf Remote-Servern | 768 | ||
10.6.4 Einzelne Dateien wiederherstellen | 769 | ||
10.6.5 Recovery-Medium nutzen | 773 | ||
11 Windows PowerShell | 779 | ||
11.1 Windows PowerShell und PowerShell Core | 779 | ||
11.2 Grundlagen zur PowerShell | 793 | ||
11.2.1 Aufbau der PowerShell-Cmdlets | 795 | ||
11.2.2 Skripte ausführen | 797 | ||
11.2.3 Offline-Aktualisierung der PowerShell und der Hilfedateien | 799 | ||
11.3 Sicherheit rund um die PowerShell | 801 | ||
11.3.1 Ausführungsrichtlinien (Execution Policies) | 801 | ||
11.3.2 Die PowerShell remote ausführen | 804 | ||
11.3.3 Überwachung der PowerShell | 807 | ||
11.4 Beispiele für die Automatisierung | 811 | ||
11.5 Just enough Administration (JEA) | 816 | ||
11.5.1 Einsatzszenarien | 816 | ||
11.5.2 Konfiguration und Verwendung | 816 | ||
11.6 Windows PowerShell Web Access | 823 | ||
11.7 Windows PowerShell Version 7 | 825 | ||
12 Migration verschiedener Serverdienste auf Windows Server 2019 | 826 | ||
12.1 Einen Read-Only Domain Controller (RODC) löschen | 826 | ||
12.1.1 Einen produktiven und erreichbaren RODC aus der Domäne entfernen | 826 | ||
12.1.2 Einen RODC entfernen, der kompromittiert wurde bzw. einer Gefahr ausgesetzt war | 828 | ||
12.2 Migration von AD-Objekten aus einem Active Directory in ein anderes Active Directory | 831 | ||
12.2.1 Installation von ADMT auf einem Windows Server 2012 R2 | 831 | ||
12.2.2 ADMT für die Nutzermigration verwenden | 832 | ||
12.3 Upgrade eines Active Directorys von Windows Server 2016 auf Windows Server 2019 | 844 | ||
12.4 Migration eines DHCP-Servers | 852 | ||
12.4.1 Migration des DHCP-Servers auf klassische Weise | 852 | ||
12.4.2 Migration des DHCP-Servers mithilfe des Failover-Features | 853 | ||
12.5 Migration eines Druckerservers | 862 | ||
12.5.1 Migration der vorhandenen Drucker vom alten Druckerserver mithilfe des Assistenten | 862 | ||
12.5.2 Migration der gesicherten Drucker auf den neuen Druckerserver mithilfe des Assistenten | 864 | ||
12.5.3 Anpassung einer eventuell vorhandenen GPO für die Druckerzuweisung | 868 | ||
12.6 Migration eines Dateiservers | 873 | ||
12.6.1 Vorbereitungen für die Migration des Dateiservers | 873 | ||
12.6.2 Daten mithilfe von robocopy auf einen neuen Dateiserver migrieren | 874 | ||
12.6.3 Daten zwischen virtuellen Dateiservern migrieren | 875 | ||
12.6.4 Weitere Schritte nach der Migration der Daten | 876 | ||
12.6.5 Einen Dateiserver über die Domänen hinaus migrieren | 877 | ||
12.6.6 Dateiserver mit dem Storage Migration Service auf Server 2019 umziehen | 877 | ||
12.7 Migration eines Hyper-V-Servers | 894 | ||
12.7.1 Migration einer virtuellen Maschine durch Exportieren und Importieren | 894 | ||
12.7.2 Migration einer virtuellen Maschine mithilfe der PowerShell | 901 | ||
12.8 Migration eines Failoverclusters | 905 | ||
12.8.1 Migration des Failoverclusters mit neuer Hardware | 905 | ||
12.8.2 Migration eines Failoverclusters auf Windows Server 2019 ohne neue Hardware | 917 | ||
13 Hyper-V | 919 | ||
13.1 Bereitstellung von Hyper-V | 919 | ||
13.1.1 Hyper-V installieren | 920 | ||
13.1.2 Das Hyper-V-Netzwerk konfigurieren | 922 | ||
13.1.3 Hyper-V konfigurieren | 936 | ||
13.1.4 Virtuelle Maschinen bereitstellen | 943 | ||
13.2 Hochverfügbarkeit herstellen | 951 | ||
13.2.1 Installation des Failoverclusters | 951 | ||
13.2.2 Den Cluster erstellen | 951 | ||
13.2.3 Cluster-Storage | 957 | ||
13.2.4 Das Quorum konfigurieren | 959 | ||
13.2.5 Das Cluster-Netzwerk konfigurieren | 962 | ||
13.2.6 Hochverfügbare virtuelle Maschinen erstellen | 963 | ||
13.3 Replikation für Hyper-V | 967 | ||
13.3.1 Den Replikatserver konfigurieren | 968 | ||
13.3.2 Replikation für virtuelle Maschinen starten | 970 | ||
13.3.3 Die Konfiguration der virtuellen Maschine anpassen | 972 | ||
13.3.4 Testfailover | 973 | ||
13.3.5 Geplante Failovers | 974 | ||
13.3.6 Desasterfall | 976 | ||
13.4 Den Host Guardian Service bereitstellen | 979 | ||
13.4.1 Installation | 979 | ||
13.4.2 Initialisieren des Host Guardian Service | 980 | ||
13.4.3 Den Host Guardian Service für HTTPS konfigurieren | 983 | ||
13.4.4 Redundante Host Guardian Services bereitstellen | 984 | ||
13.4.5 Anpassungen in der Hyper-V-Infrastruktur | 985 | ||
14 Dateidienste | 993 | ||
14.1 Die Dateiserver-Rolle installieren | 993 | ||
14.1.1 Installation mit dem Server-Manager | 993 | ||
14.1.2 Dateifreigaben anlegen | 994 | ||
14.2 DFS-Namespaces | 997 | ||
14.2.1 DFS installieren | 997 | ||
14.2.2 Basiskonfiguration | 998 | ||
14.2.3 DFS-Ordnerziele erstellen | 1001 | ||
14.2.4 Redundanzen der Namespaceserver | 1003 | ||
14.3 DFS-Replikation | 1006 | ||
14.3.1 DFS-R installieren | 1006 | ||
14.3.2 Die Replikation einrichten und konfigurieren | 1007 | ||
14.4 Ressourcen-Manager für Dateiserver | 1011 | ||
14.4.1 Installation des Ressourcen-Managers für Dateiserver | 1013 | ||
14.4.2 Kontingente | 1014 | ||
14.4.3 Die Dateiprüfungsverwaltung verwenden | 1021 | ||
14.5 Dynamische Zugriffssteuerung (Dynamic Access Control, DAC) | 1028 | ||
14.6 Hochverfügbare Dateiserver | 1039 | ||
14.6.1 Bereitstellung über einen Failovercluster | 1045 | ||
14.6.2 Ein Speicherreplikat einrichten | 1056 | ||
14.6.3 »Direkte Speicherplätze« einrichten (Storage Spaces Direct, S2D) | 1062 | ||
15 Internetinformationsdienste-Server (IIS) | 1070 | ||
15.1 Installation der IIS-Rolle | 1070 | ||
15.1.1 Installation auf einem Client | 1071 | ||
15.1.2 Installation auf einem Serverbetriebssystem | 1075 | ||
15.1.3 Remoteverwaltung des IIS | 1089 | ||
15.2 Konfiguration des IIS | 1098 | ||
15.2.1 Erstellen von Websites und virtuellen Verzeichnissen | 1104 | ||
15.3 Absichern des Webservers | 1112 | ||
15.3.1 Authentifizierungsprotokolle | 1112 | ||
15.3.2 Einsatz von SSL | 1114 | ||
15.3.3 Überwachung und Auditing | 1120 | ||
15.4 Sichern und Wiederherstellen | 1123 | ||
15.5 Hochverfügbarkeit | 1126 | ||
16 PKI und Zertifizierungsstellen | 1130 | ||
16.1 Was ist eine PKI? | 1130 | ||
16.1.1 Zertifikate | 1131 | ||
16.1.2 Verschlüsselung und Signatur | 1132 | ||
16.2 Aufbau einer CA-Infrastruktur | 1141 | ||
16.2.1 Installation der Rolle | 1153 | ||
16.2.2 Alleinstehende »Offline« Root-CA | 1160 | ||
16.2.3 Untergeordnete Zertifizierungsstelle als »Online«-Sub-CA | 1181 | ||
16.3 Zertifikate verteilen und verwenden | 1190 | ||
16.3.1 Verteilen von Zertifikaten an Clients | 1191 | ||
16.3.2 Remotedesktopdienste | 1192 | ||
16.3.3 Webserver | 1196 | ||
16.3.4 Clients | 1202 | ||
16.3.5 Codesignatur | 1203 | ||
16.4 Überwachung und Troubleshooting der Zertifikatdienste | 1210 | ||
17 Patchmanagement für Windows Server | 1217 | ||
17.1 Einführung | 1217 | ||
17.1.1 Patching in der Windows-Welt | 1217 | ||
17.1.2 Die Geschichte von WSUS | 1218 | ||
17.1.3 Patch Tuesday | 1219 | ||
17.1.4 Best Practices für das Patching | 1220 | ||
17.1.5 Begriffe im Microsoft-WSUS-Umfeld | 1224 | ||
17.2 Eine WSUS-Installation planen | 1228 | ||
17.2.1 Systemvoraussetzungen | 1228 | ||
17.2.2 Bereitstellungsoptionen | 1229 | ||
17.2.3 Installationsoptionen | 1233 | ||
17.3 Installation und Konfiguration von WSUS-Server | 1235 | ||
17.3.1 Konfigurationsassistent | 1238 | ||
17.3.2 Den Abruf von Updates über WSUS konfigurieren | 1247 | ||
17.3.3 Reporting-Funktionalität aktivieren | 1250 | ||
17.4 Die Administration des WSUS-Servers | 1252 | ||
17.4.1 Die WSUS-Konfigurationskonsole | 1252 | ||
17.4.2 Der WSUS-Webservice | 1264 | ||
17.4.3 Updates freigeben | 1265 | ||
17.4.4 Computer-Reports | 1267 | ||
17.4.5 Erstellen von zeitgesteuerten Update-Phasen | 1269 | ||
17.4.6 Vom Netzwerk getrennte WSUS-Server | 1274 | ||
17.4.7 Verschieben des WSUS-Repositorys | 1277 | ||
17.5 Automatisierung | 1278 | ||
17.5.1 E-Mail-Benachrichtigungen | 1278 | ||
17.5.2 Installation und Konfiguration mit der PowerShell | 1279 | ||
17.5.3 WSUS-Automatisierung mit der Kommandozeile | 1281 | ||
17.6 Azure Automation – Updateverwaltung in der Cloud | 1286 | ||
17.6.1 Azure Automation-Konto bereitstellen und die Basiskonfiguration vornehmen | 1287 | ||
17.6.2 Das Update-Verhalten konfigurieren | 1291 | ||
17.6.3 Designentscheidungen | 1294 | ||
18 Remotedesktopdienste | 1296 | ||
18.1 Remotedesktopdienste vs. RemoteAdminMode | 1297 | ||
18.1.1 Remotedesktop aktivieren | 1305 | ||
18.1.2 Installation der einzelnen Rollendienste | 1312 | ||
18.1.3 Bereitstellung einer Remotedesktop-Umgebung | 1315 | ||
18.2 Eine Sammlung von Anwendungen bereitstellen | 1325 | ||
18.2.1 Erstellen einer RD-Sammlung | 1325 | ||
18.2.2 RemoteApps verwenden | 1330 | ||
18.2.3 Den HTML5-Webclient verwenden | 1339 | ||
18.3 Absichern einer Remotedesktop-Umgebung | 1345 | ||
18.3.1 Einsatz von Zertifikaten | 1345 | ||
18.3.2 Verwaltung der Umgebung mithilfe von Gruppenrichtlinien | 1351 | ||
18.3.3 Ein RD-Gateway verwenden | 1356 | ||
18.3.4 Überwachung und Troubleshooting | 1365 | ||
18.3.5 Restricted Admin Mode | 1367 | ||
18.3.6 Remote Credential Guard | 1368 | ||
18.3.7 Multifaktor-Authentifizierung für den Zugriff auf die Remotedesktopdienste | 1369 | ||
18.4 Sonstige Konfigurationen | 1371 | ||
18.4.1 Implementieren eines RD-Lizenzservers | 1371 | ||
18.4.2 Aktivieren der Kennwortwechselfunktion | 1377 | ||
19 Virtuelles privates Netzwerk und Netzwerkrichtlinienserver | 1381 | ||
19.1 VPN-Zugang | 1383 | ||
19.1.1 VPN-Protokolle | 1412 | ||
19.1.2 Konfiguration des VPN-Servers | 1418 | ||
19.1.3 Konfiguration der Clientverbindungen | 1419 | ||
19.1.4 Troubleshooting | 1423 | ||
19.2 DirectAccess einrichten | 1426 | ||
19.2.1 Bereitstellen der Infrastruktur | 1428 | ||
19.2.2 Tunnelprotokolle für DirectAccess | 1431 | ||
19.3 NAT einrichten | 1433 | ||
19.4 Netzwerkrichtlinienserver | 1439 | ||
19.4.1 Einrichtung und Protokolle | 1442 | ||
19.4.2 RADIUS-Proxy-Server | 1450 | ||
19.4.3 Das Regelwerk für den Zugriff einrichten | 1453 | ||
19.4.4 Protokollierung und Überwachung | 1457 | ||
19.5 Den Netzwerkzugriff absichern | 1463 | ||
19.5.1 Konfiguration der Clients | 1464 | ||
19.5.2 Konfiguration der Switches | 1469 | ||
19.5.3 Konfiguration des NPS | 1474 | ||
19.5.4 Protokollierung und Troubleshooting | 1480 | ||
19.6 Absichern des Zugriffs auf Netzwerkgeräte über das RADIUS-Protokoll | 1485 | ||
19.6.1 RADIUS-Server für die Authentifizierung konfigurieren | 1485 | ||
19.6.2 Definition des RADIUS-Clients | 1489 | ||
19.6.3 Sicherheitsgruppen erstellen | 1494 | ||
20 Integration in Azure | 1502 | ||
20.1 Hybride Szenarien | 1502 | ||
20.2 Azure Active Directory | 1504 | ||
20.2.1 Was ist Azure Active Directory? | 1504 | ||
20.2.2 Was sind die Azure Active Directory Domain Services? | 1505 | ||
20.2.3 Was unterscheidet das Active Directory in Windows Server vom Azure Active Directory? | 1508 | ||
20.2.4 Systemvoraussetzungen für Azure Active Directory | 1510 | ||
20.2.5 Azure Active Directory initial konfigurieren | 1512 | ||
20.2.6 Azure AD anpassen | 1516 | ||
20.2.7 Umsetzung des Zugriffs für hybride Identitäten | 1525 | ||
20.3 Azure Active Directory mit einem On-Premises-Active Directory verknüpfen | 1535 | ||
20.3.1 AzureAD Connect oder AzureAD Connect Cloud Sync einsetzen | 1535 | ||
20.3.2 Azure AD Connect installieren | 1536 | ||
20.3.3 AzureAD Connect Cloud Sync installieren | 1554 | ||
20.4 AD FS-Lab-Installation | 1560 | ||
20.5 Erweitertes Monitoring | 1574 | ||
20.6 Ausblick: Datacenter-Erweiterung | 1581 | ||
21 Troubleshooting im Windows Server | 1583 | ||
21.1 Die Windows-Ereignisanzeige | 1583 | ||
21.1.1 Konfiguration der Log-Eigenschaften | 1592 | ||
21.1.2 Eine Überwachung einrichten | 1596 | ||
21.1.3 Verwenden des Windows Admin Centers | 1602 | ||
21.2 Die Leistungsüberwachung | 1604 | ||
21.2.1 Ressourcenmonitor | 1610 | ||
21.2.2 Leistungsindikatoren und die »üblichen Verdächtigen« | 1612 | ||
21.2.3 CPU | 1616 | ||
21.2.4 Arbeitsspeicher | 1618 | ||
21.2.5 Datenträger | 1620 | ||
21.2.6 Netzwerk | 1621 | ||
21.2.7 Datensammlersätze | 1622 | ||
21.3 Erstellen und Auswerten eines Startvorgangs | 1626 | ||
21.4 Erstellen und Lesen eines Netzwerktraces | 1630 | ||
21.4.1 Microsoft Network Monitor 3.4 | 1630 | ||
21.4.2 Microsoft Message Analyzer | 1633 | ||
21.4.3 Wireshark | 1635 | ||
21.4.4 Beziehen einer IP-Adresskonfiguration | 1636 | ||
21.4.5 Anmeldung eines Benutzers an einem System | 1638 | ||
21.4.6 Zugriff auf einen Webdienst | 1641 | ||
21.5 Debugging | 1643 | ||
21.5.1 Aktivieren der zusätzlichen Protokollierungsoptionen | 1644 | ||
21.5.2 Erzeugen und Prüfen von Memory-Dumps | 1646 | ||
22 Security in und mit dem Windows Server | 1652 | ||
22.1 Sicherheitsprinzipien | 1652 | ||
22.1.1 Protect, Detect, Respond | 1652 | ||
22.1.2 Das Least-Privilege-Prinzip | 1654 | ||
22.1.3 Berechtigungssysteme innerhalb von Windows | 1655 | ||
22.1.4 Stellenwert von Identitäten | 1657 | ||
22.1.5 Härtung von Systemeinstellungen und Anwendungen | 1659 | ||
22.1.6 Das Clean-Source-Prinzip | 1661 | ||
22.1.7 Trusted Platform Modul, UEFI Secure Boot und virtualisierungsbasierte Sicherheit | 1664 | ||
22.2 Das Tier-Modell und das Enterprise Access Model | 1670 | ||
22.2.1 Pass the Hash und Pass the Ticket | 1670 | ||
22.2.2 Schutz von privilegierten Usern durch ein Ebenenmodell | 1671 | ||
22.2.3 Enterprise Access Model | 1678 | ||
22.2.4 Logon-Beschränkungen | 1680 | ||
22.2.5 Security Baselines anwenden | 1685 | ||
22.2.6 Protected Users | 1693 | ||
22.2.7 Organisationseinheiten (OUs) und Delegationen erstellen | 1695 | ||
22.3 Praxisbeispiele, mit denen Sie die Sicherheit in Windows Server 2019 erhöhen | 1701 | ||
22.3.1 Installation und Konfiguration von LAPS | 1701 | ||
22.3.2 Windows Event Forwarding zur Zentralisierung von Log-Informationen | 1718 | ||
22.3.3 Die Verwendung von Standardgruppen einschränken | 1732 | ||
22.3.4 Gruppenverwaltete Dienstkonten | 1734 | ||
22.3.5 Security Center in Windows Server 2019 | 1737 | ||
22.3.6 Cloud-basierte Erkennungsmechanismen für Windows Server 2019 | 1741 | ||
22.4 Erweiterte Maßnahmen zum Schutz von Windows-Umgebungen | 1750 | ||
22.4.1 Sicherer Zugriff auf Windows Server 2019 durch Privilege Access Workstations | 1750 | ||
22.4.2 Authentication Policys und Silos | 1753 | ||
22.4.3 Defender for Identity | 1759 | ||
22.4.4 Ausblick auf Red Forest | 1764 | ||
A Glossar | 1769 | ||
Stichwortverzeichnis | 1801 | ||
Rechtliche Hinweise | 1882 | ||
Über den Autor | 1883 |