Windows Windows SERVER Windows Server notizen Windows Server Domain Controller Setup Ziel: Aufbau einer Windows-Domäne mit: DC1 = erster Domain Controller DC2 = zweiter Domain Controller CLIENT1 = Client in der Domäne Active Directory DNS Replikation zwischen beiden Servern Voraussetzungen Windows Server installiert Netzwerkverbindung vorhanden Lokaler Administrator vorhanden Statische IP-Adressen geplant Beide Server im selben Netzwerk NAT oder internes Netzwerk korrekt eingestellt Netzwerkplan Gerät IP-Adresse Router / Gateway 10.0.2.1 DC1 10.0.2.254 DC2 10.0.2.253 CLIENT1 DHCP oder statisch DC1 vorbereiten Rechnernamen ändern Beispiel: DC1 Statische IP konfigurieren Einstellung Wert IP-Adresse 10.0.2.254 Subnetzmaske 255.255.255.0 Gateway 10.0.2.1 Bevorzugter DNS 10.0.2.254 Active Directory installieren Server-Manager öffnen Verwalten → Rollen und Features hinzufügen Installieren: Active Directory-Domänendienste DNS-Server DC1 zum Domain Controller hochstufen Nach der Installation erscheint oben rechts die Flagge. Dort auswählen: Diesen Server zu einem Domänencontroller heraufstufen Neue Gesamtstruktur erstellen NICHT: Arbeitsgruppe SONDERN: Neue Gesamtstruktur hinzufügen Beispiel: fisi2502.internal Wichtige Einstellungen Aktivieren: DNS-Server Globaler Katalog Nicht aktivieren: Schreibgeschützter Domain Controller (RODC) Funktionsebenen Einstellung Wert Gesamtstrukturfunktionsebene Windows Server 2025 Domänenfunktionsebene Windows Server 2025 Nach dem Neustart prüfen Nun existieren: Active Directory DNS SYSVOL NETLOGON DNS auf DC1 prüfen ipconfig /all DNS MUSS sein: 10.0.2.254 Nicht verwenden: Router-DNS Google DNS Fritzbox-DNS DC2 vorbereiten Rechnernamen ändern DC2 Statische IP konfigurieren Einstellung Wert IP-Adresse 10.0.2.253 Subnetzmaske 255.255.255.0 Gateway 10.0.2.1 DNS 10.0.2.254 Wichtig: DC2 verwendet zuerst DC1 als DNS-Server. DC2 der Domäne beitreten NICHT: Arbeitsgruppe SONDERN: fisi2502.internal Anmeldung mit: fisi2502\Administrator oder: Administrator mit dem Passwort von DC1. Verbindung testen Von DC2: ping dc1 ping fisi2502.internal AD DS und DNS auf DC2 installieren Im Server-Manager: Verwalten → Rollen und Features hinzufügen Installieren: Active Directory-Domänendienste DNS-Server DC2 hochstufen Nach der Installation auf die Flagge klicken: Diesen Server zu einem Domänencontroller heraufstufen Wichtig NICHT: Neue Gesamtstruktur SONDERN: Domänencontroller zu vorhandener Domäne hinzufügen Domäne: fisi2502.internal Optionen bei DC2 Aktivieren: DNS-Server Globaler Katalog Nicht aktivieren: Schreibgeschützter DC Nach Neustart Jetzt replizieren zwischen DC1 und DC2: Benutzer Gruppen Gruppenrichtlinien DNS SYSVOL DNS optimieren DC1 DNS 1 10.0.2.254 DNS 2 10.0.2.253 DC2 DNS 1 10.0.2.253 DNS 2 10.0.2.254 Client zur Domäne hinzufügen DNS auf CLIENT1 setzen 10.0.2.254 Domäne beitreten Dieser PC → Eigenschaften → Domäne ändern Domäne: fisi2502.internal Anmeldung am Client Beispiele: fisi2502\Benutzername oder: benutzername@fisi2502.internal Wichtige Befehle DHCP erneuern ipconfig /release ipconfig /renew DNS Cache löschen ipconfig /flushdns Domain Controller prüfen dcdiag Replikation prüfen repadmin /replsummary Wichtige Hinweise Beide Server werden NICHT „ein Server“ Es bleiben: zwei getrennte Server ABER: beide replizieren Active Directory beide können Benutzer anmelden beide können DNS beantworten beide besitzen eine Kopie der Domäne Das nennt man: Multi-Master-Replikation Typische Fehler Falscher DNS-Server Der häufigste Fehler. Domain Controller dürfen NICHT den Router als DNS verwenden. DC2 erstellt neue Gesamtstruktur Falsch. DC2 muss: Vorhandener Domäne hinzufügen verwenden. Client nutzt Router-DNS Dann kann der Client die Domäne nicht finden. Ablaufübersicht DC1 installieren ↓ AD DS + DNS installieren ↓ Neue Gesamtstruktur erstellen ↓ DC1 wird Domain Controller ↓ DC2 vorbereiten ↓ DC2 der Domäne beitreten ↓ AD DS + DNS auf DC2 installieren ↓ DC2 zu vorhandenem Domain Controller hinzufügen ↓ Replikation aktiv ↓ Client der Domäne beitreten Merksatz Active Directory funktioniert nur sauber, wenn alle Geräte den Domain Controller als DNS verwenden. Windows Server Einrichten Klicki Bunti Schritt-für-Schritt-Anleitung: Windows-Domäne mit DC1, DC2 und Client Ziel Eine eigene Domäne aufbauen mit: DC1 als erster Domain Controller DC2 als zweiter Domain Controller DNS auf beiden Servern Windows-Client in die Domäne aufnehmen Beispiel-Domäne: fisi2502.internal Beispiel-Netzwerk: 10.0.2.0/24 Netzwerkübersicht Gerät IP-Adresse DNS Gateway / Router 10.0.2.1 - DC1 10.0.2.254 10.0.2.254 DC2 10.0.2.253 zuerst 10.0.2.254 Client DHCP oder statisch 10.0.2.254 / 10.0.2.253 Wichtige Grundregel Alle Server und Clients müssen im gleichen Netzwerk sein. In der VM-Software sollte deshalb bei allen drei Maschinen derselbe Netzwerkmodus eingestellt sein, zum Beispiel: NAT-Netzwerk oder: Internes Netzwerk Wichtig ist nicht der Name, sondern dass DC1, DC2 und Client sich gegenseitig erreichen können. Teil 1: DC1 Netzwerk einstellen 1. Server-Manager öffnen Nach dem Start von Windows Server öffnet sich normalerweise automatisch der Server-Manager. Falls nicht: Startmenü → Server-Manager 2. Lokaler Server öffnen Im Server-Manager links auf: Lokaler Server klicken. 3. Rechnernamen ändern Neben „Computername“ auf den aktuellen Namen klicken. Dann: Ändern Computername eintragen: DC1 Danach: OK → Neustart 4. Netzwerkeinstellungen öffnen Nach dem Neustart wieder öffnen: Server-Manager → Lokaler Server Dann neben „Ethernet“ auf die blaue Netzwerkverbindung klicken. Danach öffnet sich: Netzwerkverbindungen 5. Adapter-Eigenschaften öffnen Rechtsklick auf: Ethernet Dann: Eigenschaften 6. IPv4 öffnen Auswählen: Internetprotokoll Version 4 (TCP/IPv4) Dann: Eigenschaften 7. Statische IP für DC1 eintragen Aktivieren: Folgende IP-Adresse verwenden Eintragen: IP-Adresse: 10.0.2.254 Subnetzmaske: 255.255.255.0 Standardgateway: 10.0.2.1 Aktivieren: Folgende DNS-Serveradressen verwenden Eintragen: Bevorzugter DNS-Server: 10.0.2.254 Alternativer DNS-Server: leer lassen Dann: OK → Schließen 8. Netzwerk prüfen PowerShell öffnen: Startmenü → Windows PowerShell Befehl: ipconfig /all Prüfen, ob dort steht: IPv4-Adresse: 10.0.2.254 DNS-Server: 10.0.2.254 Teil 2: DC1 zu Active Directory Domain Controller machen 1. Rollen und Features öffnen Im Server-Manager oben rechts: Verwalten → Rollen und Features hinzufügen Microsoft beschreibt diesen Weg ebenfalls über den Server-Manager mit anschließender Heraufstufung zum Domänencontroller. :contentReference[oaicite:0]{index=0} 2. Assistent starten Klicken: Weiter Auswählen: Rollenbasierte oder featurebasierte Installation Dann: Weiter 3. Zielserver auswählen Auswählen: DC1 Dann: Weiter 4. Serverrollen auswählen Haken setzen bei: Active Directory-Domänendienste Falls ein Fenster erscheint: Features hinzufügen anklicken. Zusätzlich Haken setzen bei: DNS-Server Dann: Weiter 5. Features Hier normalerweise nichts ändern. Weiter 6. Installation starten Bis zur Bestätigung durchklicken. Dann: Installieren 7. DC1 hochstufen Nach der Installation oben rechts auf die Flagge klicken. Dann: Diesen Server zu einem Domänencontroller heraufstufen 8. Neue Gesamtstruktur erstellen Auswählen: Neue Gesamtstruktur hinzufügen Stammdomänenname: fisi2502.internal Dann: Weiter 9. Domänencontrolleroptionen Einstellen: Gesamtstrukturfunktionsebene: Windows Server 2025 Domänenfunktionsebene: Windows Server 2025 Haken aktiviert lassen bei: DNS-Server Globaler Katalog NICHT aktivieren: Schreibgeschützter Domänencontroller DSRM-Kennwort vergeben. Dann: Weiter 10. DNS-Warnung Falls eine DNS-Warnung erscheint, ist das in dieser Testumgebung normal. Weiter 11. NetBIOS-Name Der NetBIOS-Name wird meistens automatisch gesetzt. Beispiel: FISI2502 Dann: Weiter 12. Pfade prüfen Standardpfade lassen: Datenbankordner Protokolldateien SYSVOL Dann: Weiter 13. Installation abschließen Voraussetzungsprüfung abwarten. Dann: Installieren Der Server startet danach neu. 14. Nach Neustart anmelden Anmelden mit: FISI2502\Administrator oder: Administrator@fisi2502.internal Teil 3: DC1 prüfen 1. DNS prüfen PowerShell öffnen: ipconfig /all Wichtig: DNS-Server: 10.0.2.254 2. Active Directory öffnen Im Server-Manager oben rechts: Tools → Active Directory-Benutzer und -Computer Dort sollte die Domäne sichtbar sein: fisi2502.internal 3. DNS-Konsole öffnen Im Server-Manager: Tools → DNS Dort sollte DC1 sichtbar sein. Unter Forward-Lookupzonen sollte stehen: fisi2502.internal Teil 4: DC2 Netzwerk einstellen 1. DC2 starten Auf DC2 anmelden mit lokalem Administrator. 2. Rechnernamen ändern Server-Manager → Lokaler Server → Computername → Ändern Computername: DC2 Dann: OK → Neustart 3. IPv4-Einstellungen öffnen Nach Neustart: Server-Manager → Lokaler Server → Ethernet Dann: Rechtsklick auf Ethernet → Eigenschaften Dann: Internetprotokoll Version 4 (TCP/IPv4) → Eigenschaften 4. Statische IP für DC2 eintragen IP-Adresse: 10.0.2.253 Subnetzmaske: 255.255.255.0 Standardgateway: 10.0.2.1 DNS: Bevorzugter DNS-Server: 10.0.2.254 Alternativer DNS-Server: leer lassen Wichtig: DC2 nutzt am Anfang DC1 als DNS, damit er die Domäne finden kann. 5. Verbindung zu DC1 testen PowerShell auf DC2 öffnen: ping 10.0.2.254 Dann: ping dc1 Dann: ping fisi2502.internal Teil 5: DC2 der Domäne hinzufügen 1. Systemeigenschaften öffnen Auf DC2: Server-Manager → Lokaler Server → Computername Dann: Ändern 2. Domäne eintragen Unten auswählen: Domäne Eintragen: fisi2502.internal Dann: OK 3. Domänenadmin eingeben Benutzername: FISI2502\Administrator Kennwort: Passwort vom Domain Administrator 4. Neustart Nach erfolgreicher Meldung: Willkommen in der Domäne fisi2502.internal Dann: Neustart Teil 6: DC2 zum zweiten Domain Controller machen 1. Auf DC2 anmelden Anmelden mit: FISI2502\Administrator 2. Rollen und Features hinzufügen Im Server-Manager: Verwalten → Rollen und Features hinzufügen 3. Rollen auswählen Installieren: Active Directory-Domänendienste DNS-Server Bei Nachfragen: Features hinzufügen Dann: Weiter → Installieren 4. DC2 hochstufen Nach der Installation oben rechts auf die Flagge klicken. Dann: Diesen Server zu einem Domänencontroller heraufstufen 5. Vorhandene Domäne verwenden Wichtig: NICHT auswählen: Neue Gesamtstruktur hinzufügen Sondern auswählen: Domänencontroller zu vorhandener Domäne hinzufügen Domäne: fisi2502.internal 6. Zugangsdaten prüfen Falls gefragt: FISI2502\Administrator eingeben. 7. Optionen setzen Aktivieren: DNS-Server Globaler Katalog NICHT aktivieren: Schreibgeschützter Domänencontroller DSRM-Kennwort vergeben. Dann: Weiter 8. Replikationsquelle Wenn gefragt: Von beliebigem Domänencontroller replizieren oder DC1 auswählen. Dann: Weiter 9. Installation abschließen Voraussetzungsprüfung abwarten. Dann: Installieren DC2 startet danach neu. Teil 7: DNS auf DC1 und DC2 richtig einstellen 1. DC1 DNS-Einstellungen Auf DC1: Server-Manager → Lokaler Server → Ethernet → Eigenschaften Dann: Internetprotokoll Version 4 (TCP/IPv4) DNS eintragen: Bevorzugter DNS-Server: 10.0.2.254 Alternativer DNS-Server: 10.0.2.253 2. DC2 DNS-Einstellungen Auf DC2: Server-Manager → Lokaler Server → Ethernet → Eigenschaften Dann: Internetprotokoll Version 4 (TCP/IPv4) DNS eintragen: Bevorzugter DNS-Server: 10.0.2.253 Alternativer DNS-Server: 10.0.2.254 Microsoft empfiehlt für Domain Controller passende interne DNS-Client-Einstellungen, damit AD und Namensauflösung zuverlässig funktionieren. :contentReference[oaicite:1]{index=1} Teil 8: Replikation prüfen 1. Auf DC1 prüfen PowerShell als Administrator öffnen: dcdiag Dann: repadmin /replsummary 2. Auf DC2 prüfen PowerShell als Administrator öffnen: dcdiag Dann: repadmin /replsummary 3. Active Directory prüfen Auf DC1: Server-Manager → Tools → Active Directory-Benutzer und -Computer Prüfen, ob DC2 als Domain Controller auftaucht. Teil 9: Client Netzwerk einstellen 1. Client starten Windows Client starten. 2. Netzwerkeinstellungen öffnen Bei Windows 11: Start → Einstellungen → Netzwerk und Internet Dann: Ethernet oder bei WLAN: WLAN 3. IP-Einstellungen prüfen Wenn DHCP genutzt wird: IP-Zuweisung: Automatisch DHCP Das ist okay. Aber DNS muss auf die Domain Controller zeigen. 4. DNS manuell setzen Bei Ethernet: Start → Einstellungen → Netzwerk und Internet → Ethernet Dann bei DNS-Serverzuweisung: Bearbeiten Auswählen: Manuell IPv4 aktivieren. Eintragen: Bevorzugter DNS: 10.0.2.254 Alternativer DNS: 10.0.2.253 Microsoft beschreibt für Windows die Änderung der IP-/DNS-Einstellungen über Netzwerk & Internet und „IP-Zuweisung bearbeiten“. :contentReference[oaicite:2]{index=2} 5. DNS testen PowerShell oder Eingabeaufforderung öffnen: ipconfig /all Prüfen: DNS-Server: 10.0.2.254 DNS-Server: 10.0.2.253 Dann testen: ping dc1 ping dc2 ping fisi2502.internal Teil 10: Client der Domäne hinzufügen 1. Einstellungen öffnen Auf dem Client: Start → Einstellungen → Konten Dann: Auf Arbeits- oder Schulkonto zugreifen Dann: Verbinden 2. Lokaler AD-Domäne beitreten Auswählen: Dieses Gerät einer lokalen Active Directory-Domäne hinzufügen Domänenname eingeben: fisi2502.internal Microsoft beschreibt diesen Weg für den Domänenbeitritt über „Konten → Auf Arbeits- oder Schulkonto zugreifen → Verbinden“. :contentReference[oaicite:3]{index=3} 3. Domänenadmin eingeben Benutzername: FISI2502\Administrator Kennwort: Passwort vom Domain Administrator 4. Neustart Nach erfolgreichem Beitritt: Neustart 5. Am Client mit Domänenkonto anmelden Beispiel: FISI2502\Benutzername oder: Benutzername@fisi2502.internal Teil 11: Benutzer im Active Directory erstellen 1. AD-Benutzer und -Computer öffnen Auf DC1: Server-Manager → Tools → Active Directory-Benutzer und -Computer 2. Benutzer erstellen Links die Domäne öffnen: fisi2502.internal Dann zum Beispiel: Users Rechtsklick: Neu → Benutzer 3. Benutzerdaten eingeben Beispiel: Vorname: Max Nachname: Mustermann Benutzeranmeldename: max.mustermann Dann: Weiter 4. Passwort setzen Passwort vergeben. Für Testumgebung möglich: Kennwort läuft nie ab Für echte Umgebung besser nicht dauerhaft verwenden. Dann: Fertigstellen Teil 12: Anmeldung testen Auf dem Client anmelden mit: FISI2502\max.mustermann oder: max.mustermann@fisi2502.internal Wenn die Anmeldung funktioniert, ist der Client erfolgreich in der Domäne. Nützliche Befehle IP-Adresse anzeigen ipconfig /all DHCP neu beziehen ipconfig /release ipconfig /renew DNS-Cache löschen ipconfig /flushdns Domäne testen ping fisi2502.internal Domain Controller testen dcdiag Replikation testen repadmin /replsummary Häufige Fehler Fehler 1: Client findet Domäne nicht Ursache meistens: Client nutzt Router oder Internet-DNS Richtig: Client muss DC1 oder DC2 als DNS nutzen Fehler 2: DC2 findet Domäne nicht Ursache meistens: DC2 nutzt falschen DNS Richtig vor dem Domänenbeitritt: DNS auf DC2 = 10.0.2.254 Fehler 3: DC2 wird als neue Gesamtstruktur eingerichtet Falsch: Neue Gesamtstruktur hinzufügen Richtig: Domänencontroller zu vorhandener Domäne hinzufügen Fehler 4: Server sind nicht im gleichen VM-Netzwerk Alle Maschinen müssen denselben Netzwerkmodus nutzen: DC1 = NAT-Netzwerk DC2 = NAT-Netzwerk Client = NAT-Netzwerk oder: DC1 = Internes Netzwerk DC2 = Internes Netzwerk Client = Internes Netzwerk Kurzer Ablauf als Merkkette DC1 Name setzen ↓ DC1 statische IP setzen ↓ AD DS + DNS installieren ↓ Neue Gesamtstruktur erstellen ↓ DC1 ist erster Domain Controller ↓ DC2 Name setzen ↓ DC2 statische IP setzen ↓ DC2 DNS auf DC1 setzen ↓ DC2 der Domäne beitreten ↓ AD DS + DNS auf DC2 installieren ↓ DC2 als zusätzlichen Domain Controller hochstufen ↓ DNS gegenseitig eintragen ↓ Client DNS auf DC1/DC2 setzen ↓ Client der Domäne beitreten ↓ Mit Domänenbenutzer anmelden Merksatz Ohne richtigen DNS funktioniert Active Directory nicht sauber. Alle Server und Clients müssen die Domain Controller als DNS verwenden. Active Directory komplett per PowerShell Schnellster Weg: Active Directory komplett per PowerShell Wichtig Vorher anpassen falls deine Werte anders sind: Domäne: fisi2502.internal Netzwerk: 10.0.2.0/24 Gateway: 10.0.2.1 DC1: 10.0.2.254 DC2: 10.0.2.253 Teil 1: DC1 komplett einrichten 1. Rechnernamen ändern Auf Server 1: Rename-Computer -NewName "DC1" -Restart Danach neu anmelden. 2. Netzwerk konfigurieren Netzwerkadapter anzeigen: Get-NetAdapter Meistens heißt er: Ethernet Dann IP setzen: New-NetIPAddress ` -InterfaceAlias "Ethernet" ` -IPAddress 10.0.2.254 ` -PrefixLength 24 ` -DefaultGateway 10.0.2.1 DNS setzen: Set-DnsClientServerAddress ` -InterfaceAlias "Ethernet" ` -ServerAddresses 10.0.2.254 3. Netzwerk prüfen ipconfig /all Wichtig: IPv4-Adresse: 10.0.2.254 DNS-Server: 10.0.2.254 4. Active Directory + DNS installieren Install-WindowsFeature ` AD-Domain-Services,DNS ` -IncludeManagementTools 5. Neue Domäne erstellen Install-ADDSForest ` -DomainName "fisi2502.internal" ` -DomainNetbiosName "FISI2502" ` -InstallDNS ` -SafeModeAdministratorPassword (Read-Host -AsSecureString "DSRM Passwort") ` -Force 6. Neustart abwarten Der Server startet automatisch neu. Danach anmelden mit: FISI2502\Administrator 7. Prüfen ob AD funktioniert Get-ADDomain dcdiag Teil 2: DC2 vorbereiten 1. Rechnernamen ändern Auf Server 2: Rename-Computer -NewName "DC2" -Restart Danach neu anmelden. 2. Netzwerk konfigurieren IP setzen: New-NetIPAddress ` -InterfaceAlias "Ethernet" ` -IPAddress 10.0.2.253 ` -PrefixLength 24 ` -DefaultGateway 10.0.2.1 DNS setzen: Set-DnsClientServerAddress ` -InterfaceAlias "Ethernet" ` -ServerAddresses 10.0.2.254 3. Verbindung testen ping 10.0.2.254 ping dc1 ping fisi2502.internal Teil 3: DC2 der Domäne hinzufügen Add-Computer ` -DomainName "fisi2502.internal" ` -Credential "FISI2502\Administrator" ` -Restart Passwort eingeben. Danach startet DC2 neu. Teil 4: DC2 zum zweiten Domain Controller machen Nach Neustart anmelden mit: FISI2502\Administrator 1. AD DS + DNS installieren Install-WindowsFeature ` AD-Domain-Services,DNS ` -IncludeManagementTools 2. DC2 hochstufen Install-ADDSDomainController ` -DomainName "fisi2502.internal" ` -InstallDNS ` -Credential (Get-Credential "FISI2502\Administrator") ` -SafeModeAdministratorPassword (Read-Host -AsSecureString "DSRM Passwort") ` -Force Danach startet DC2 automatisch neu. Teil 5: DNS sauber konfigurieren Auf DC1 Set-DnsClientServerAddress ` -InterfaceAlias "Ethernet" ` -ServerAddresses 10.0.2.254,10.0.2.253 Auf DC2 Set-DnsClientServerAddress ` -InterfaceAlias "Ethernet" ` -ServerAddresses 10.0.2.253,10.0.2.254 Teil 6: Replikation prüfen Auf DC1 oder DC2: repadmin /replsummary dcdiag Teil 7: Benutzer erstellen New-ADUser ` -Name "Max Mustermann" ` -GivenName "Max" ` -Surname "Mustermann" ` -SamAccountName "max.mustermann" ` -UserPrincipalName "max.mustermann@fisi2502.internal" ` -AccountPassword (ConvertTo-SecureString "Test123!" -AsPlainText -Force) ` -Enabled $true Teil 8: Client vorbereiten DNS setzen: Set-DnsClientServerAddress ` -InterfaceAlias "Ethernet" ` -ServerAddresses 10.0.2.254,10.0.2.253 Client der Domäne hinzufügen Add-Computer ` -DomainName "fisi2502.internal" ` -Credential "FISI2502\Administrator" ` -Restart Teil 9: Anmeldung testen Am Client anmelden mit: FISI2502\max.mustermann oder: max.mustermann@fisi2502.internal Nützliche Befehle IP anzeigen ipconfig /all DNS Cache löschen ipconfig /flushdns Domäne testen ping fisi2502.internal AD prüfen Get-ADDomain Domain Controller prüfen dcdiag Replikation prüfen repadmin /replsummary Häufigster Fehler Fast immer DNS. Richtig: DC1 → DNS = DC1/DC2 DC2 → DNS = DC2/DC1 Client → DNS = DC1/DC2 Falsch: Router-DNS Google-DNS Fritzbox-DNS Ultra-Kurzfassung DC1: Name setzen ↓ IP setzen ↓ DNS setzen ↓ AD + DNS installieren ↓ Neue Domäne erstellen DC2: Name setzen ↓ IP setzen ↓ DNS auf DC1 ↓ Domäne beitreten ↓ AD + DNS installieren ↓ Zum zweiten DC hochstufen Client: DNS auf DCs setzen ↓ Domäne beitreten ↓ Mit Domänenkonto anmelden DHCP mit Powershell DHCP-Server auf DC1 per PowerShell einrichten Wichtig Nicht blind 1:1 übernehmen falls dein Netzwerk anders ist. Beispiel-Netzwerk: Netzwerk: 10.0.2.0/24 Gateway: 10.0.2.1 DC1: 10.0.2.254 DC2: 10.0.2.253 Domäne: fisi2502.internal DHCP-Bereich Beispiel: 10.0.2.100 - 10.0.2.200 Teil 1: DHCP-Server installieren Auf DC1 als Domänenadministrator: Install-WindowsFeature DHCP -IncludeManagementTools Teil 2: DHCP im Active Directory autorisieren Wichtig bei Domain-Umgebung. Add-DhcpServerInDC ` -DnsName "dc1.fisi2502.internal" ` -IPaddress 10.0.2.254 Prüfen: Get-DhcpServerInDC Teil 3: DHCP-Bereich erstellen DHCP-Scope anlegen: Add-DhcpServerv4Scope ` -Name "LAN" ` -StartRange 10.0.2.100 ` -EndRange 10.0.2.200 ` -SubnetMask 255.255.255.0 ` -State Active Teil 4: Gateway konfigurieren Gateway verteilen: Set-DhcpServerv4OptionValue ` -Router 10.0.2.1 Teil 5: DNS konfigurieren DNS-Server verteilen: Set-DhcpServerv4OptionValue ` -DnsServer 10.0.2.254,10.0.2.253 ` -DnsDomain "fisi2502.internal" Teil 6: Lease-Zeit setzen (optional) Beispiel: Set-DhcpServerv4Scope ` -ScopeId 10.0.2.0 ` -LeaseDuration 1.00:00:00 Das bedeutet: 1 Tag Lease-Zeit Teil 7: DHCP-Dienst prüfen Get-Service DHCPServer Wenn nötig starten: Start-Service DHCPServer Teil 8: DHCP prüfen Alle DHCP-Scopes anzeigen: Get-DhcpServerv4Scope DHCP-Optionen anzeigen: Get-DhcpServerv4OptionValue Vergebene IPs anzeigen: Get-DhcpServerv4Lease -ScopeId 10.0.2.0 Teil 9: Client testen Auf dem Client: ipconfig /release ipconfig /renew Danach prüfen: ipconfig /all Wichtig: IPv4-Adresse = aus DHCP-Bereich Gateway = 10.0.2.1 DNS = 10.0.2.254 / 10.0.2.253 Teil 10: DHCP-Reservierung erstellen (optional) Beispiel: Add-DhcpServerv4Reservation ` -ScopeId 10.0.2.0 ` -IPAddress 10.0.2.150 ` -ClientId "AA-BB-CC-DD-EE-FF" ` -Description "Client-PC" MAC-Adresse anzeigen: getmac Teil 11: DHCP-Konsole öffnen Falls du später GUI nutzen willst: dhcpmgmt.msc Nützliche Befehle DHCP-Server anzeigen: Get-DhcpServerInDC Scopes anzeigen: Get-DhcpServerv4Scope Leases anzeigen: Get-DhcpServerv4Lease -ScopeId 10.0.2.0 DHCP-Dienststatus: Get-Service DHCPServer Wichtiger Hinweis In einer Active-Directory-Umgebung sollte DHCP immer: DNS der Domain Controller verteilen Richtig: 10.0.2.254 10.0.2.253 Falsch: 8.8.8.8 1.1.1.1 Router-DNS Sonst funktioniert: Domänenbeitritt Anmeldung Gruppenrichtlinien Active Directory nicht sauber. Ultra-Kurzfassung DHCP installieren ↓ DHCP autorisieren ↓ DHCP-Scope erstellen ↓ Gateway setzen ↓ DNS setzen ↓ Client per DHCP verbinden ↓ IP prüfen Komplett ABLAUF für Klausur mit Powershell! WINDOWS SERVER LAB – KORREKTER ABLAUF (GEPRÜFT) Netzwerk DC1 = 10.0.2.254 DC2 = 10.0.2.253 Gateway = 10.0.2.1 Domäne = fisi2502.internal Wichtig vor Start Netzwerkadaptername prüfen (bei dir meist Ethernet): Get-NetAdapter Falls der Adapter anders heißt, überall "Ethernet" ersetzen. ================================================== TEIL 1 – DC1 (AUF SERVER 1) ================================================== 1. Rechnername setzen Rename-Computer -NewName "DC1" -Restart Nach Neustart anmelden. 2. Netzwerk konfigurieren Vorher prüfen ob schon IP gesetzt: Get-NetIPAddress -InterfaceAlias "Ethernet" Dann setzen: New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress 10.0.2.254 -PrefixLength 24 -DefaultGateway 10.0.2.1 DNS setzen: Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 10.0.2.254 Prüfen: ipconfig /all 3. AD + DNS installieren Install-WindowsFeature AD-Domain-Services,DNS -IncludeManagementTools 4. Neue Domäne erstellen Install-ADDSForest -DomainName "fisi2502.internal" -DomainNetbiosName "FISI2502" -InstallDNS -SafeModeAdministratorPassword (Read-Host -AsSecureString "DSRM Passwort") -Force Server startet neu. Danach anmelden mit: FISI2502\Administrator 5. DHCP installieren Install-WindowsFeature DHCP -IncludeManagementTools 6. DHCP autorisieren Add-DhcpServerInDC -DnsName "DC1.fisi2502.internal" -IPAddress 10.0.2.254 Prüfen: Get-DhcpServerInDC 7. DHCP Scope erstellen Add-DhcpServerv4Scope -Name "LAN" -StartRange 10.0.2.100 -EndRange 10.0.2.200 -SubnetMask 255.255.255.0 -State Active 8. Gateway verteilen Set-DhcpServerv4OptionValue -Router 10.0.2.1 9. DNS NUR DC1 verteilen Set-DhcpServerv4OptionValue -DnsServer 10.0.2.254 -DnsDomain "fisi2502.internal" Prüfen: Get-DhcpServerv4OptionValue ================================================== HIER WECHSEL ZU DC2 ================================================== TEIL 2 – DC2 (AUF SERVER 2) ================================================== 10. Rechnername setzen Rename-Computer -NewName "DC2" -Restart Nach Neustart anmelden. 11. Netzwerk konfigurieren Vorher prüfen: Get-NetIPAddress -InterfaceAlias "Ethernet" Dann setzen: New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress 10.0.2.253 -PrefixLength 24 -DefaultGateway 10.0.2.1 DNS setzen: Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 10.0.2.254 Verbindung prüfen: ping 10.0.2.254 ping dc1 ping fisi2502.internal 12. Domäne beitreten Add-Computer -DomainName "fisi2502.internal" -Credential "FISI2502\Administrator" -Restart Server startet neu. Danach anmelden mit: FISI2502\Administrator 13. AD + DNS installieren Install-WindowsFeature AD-Domain-Services,DNS -IncludeManagementTools 14. DC2 zum zweiten Domain Controller hochstufen Install-ADDSDomainController -DomainName "fisi2502.internal" -InstallDNS -Credential (Get-Credential "FISI2502\Administrator") -SafeModeAdministratorPassword (Read-Host -AsSecureString "DSRM Passwort") -Force Server startet neu. ================================================== HIER ZURÜCK ZU DC1 ================================================== TEIL 3 – DHCP AUF DC1 ERWEITERN ================================================== 15. DHCP DNS erweitern Jetzt erst, weil DC2 jetzt existiert: Set-DhcpServerv4OptionValue -DnsServer 10.0.2.254,10.0.2.253 -DnsDomain "fisi2502.internal" Prüfen: Get-DhcpServerv4OptionValue 16. Optional DNS Client Settings Server DC1: Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 10.0.2.254,10.0.2.253 DC2: Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 10.0.2.253,10.0.2.254 17. Replikation prüfen dcdiag repadmin /replsummary ================================================== TEIL 4 – CLIENT ================================================== 18. DNS setzen Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 10.0.2.254,10.0.2.253 19. Domäne beitreten Add-Computer -DomainName "fisi2502.internal" -Credential "FISI2502\Administrator" -Restart 20. Anmeldung FISI2502\Administrator oder: FISI2502\max.mustermann ================================================== MERKSATZ DC1 komplett bauen ↓ DHCP fertig ↓ ZU DC2 WECHSELN ↓ DC2 der Domäne beitreten ↓ DC2 zum zweiten Domain Controller machen ↓ ZURÜCK ZU DC1 ↓ DHCP DNS erweitern ↓ CLIENT hinzufügen Betriebsystem Klausurvorbereitung Schlegel Single-Session vs. Multi-Session (Mehrbenutzersysteme) Single-Session-Systeme → Nur ein Benutzer gleichzeitig Typisch für: MS-DOS alte Handys z.b alte versionen bis Windows 3.1 Merkmale: kein paralleles Arbeiten keine Benutzertrennung kaum Rechteverwaltung Multi-Session / Multiuser-Systeme → Mehrere Benutzer gleichzeitig Typisch für: Server-Systeme Linux (immer Multiuser, abhängig von Ressourcen) Historie: 1960 → erste Mehrbenutzersysteme 1982 → Commodore 64 (Single-User) ab 1990er → moderne Mehrbenutzersysteme Vorteile: unterschiedliche Benutzerrechte eigener Home-Ordner pro Benutzer höhere Sicherheit (Admin vs. User) Kosteneinsparung (ein System für mehrere Nutzer) Gruppen mit unterschiedlichen Rechten möglich Anmeldung (Login-Prozess) 1. Identifikation → Wer bist du? Benutzername (entscheidend) Anzeigename Token (möglich) 2. Authentisierung (Authentifizierung) (Systemseite) → Bist du wirklich diese Person? Eingabe von Nachweisen (Passwort, PIN, Biometrie, Token, Passkey, 2FA / MFA) Das System überprüft diese Angaben Passwort wird als Hash gespeichert Eingabe wird gehasht und mit dem gespeicherten Hash verglichen 3. Autorisierung → Was darfst du? Rechte und Berechtigungen werden geprüft Zugriff auf erlaubte Ressourcen wird gewährt Hashwerte Nicht auf den Ausgangswert zurückführbar (Einwegfunktion) Kleine Änderung der Eingabe → völlig anderer Hashwert Kollision: zwei verschiedene Eingaben → gleicher Hash Beispiel: MD5 war dafür bekannt und gilt als unsicher Benutzer & Gruppen Benutzer → Berechtigungsträger, der sich am System anmelden kann lokale Benutzerkonten zentrale Benutzerkonten, z. B. über Active Directory Benutzer können unterschiedliche Rechte besitzen Gruppen → dienen nur zur Rechtevergabe mit Gruppen kann man sich nicht anmelden lokale Gruppen oder Domänengruppen vereinfachen die Rechteverwaltung Benutzerrollen Administrator → volle Kontrolle zur Systemverwaltung Standardbenutzer → eingeschränkte Rechte Gast → kaum Rechte, heute selten sinnvoll System → mindestens Admin-Rechte, oft darüber hinaus SID (Security Identifier) eindeutige interne Kennung eines Benutzers wird nur einmal vergeben bleibt auch nach Löschung eindeutig verhindert ungewollte Rechteübernahme nach Neuerstellung Eigenschaften eines Benutzerkontos Benutzername / Anmeldename vollständiger Name / Anzeigename UPN: user @ domain.tld SID PowerShell Get-LocalUser -Name Home-Verzeichnis AppData → benutzerspezifische Daten Programmdateien ntuser.dat → versteckt, enthält benutzerspezifische Einstellungen Merksätze Benutzername = Anmeldename (wichtig für Verwaltung) Gruppen = nur Rechtevergabe Multiuser = mehr Sicherheit + Struktur Test Fragen zur Klausur Single-Session vs. Multi-Session – Test (40 Fragen) 1. Was ist ein Single-Session-System? Ein System, bei dem nur ein Benutzer gleichzeitig arbeiten kann. 2. Nenne ein Beispiel für ein Single-Session-System. MS-DOS oder Windows 3.1. 3. Was ist ein Multiuser-System? Ein System, bei dem mehrere Benutzer gleichzeitig arbeiten können. 4. Wo werden Multiuser-Systeme typischerweise eingesetzt? Auf Server-Systemen. 5. Ist Linux ein Multiuser-System? Ja, Linux ist immer ein Multiuser-System. 6. Wann entstanden die ersten Mehrbenutzersysteme? Um 1960. 7. Welches System war wieder ein Single-User-System (1982)? Der Commodore 64. 8. Nenne einen Vorteil von Multiuser-Systemen. Unterschiedliche Benutzerrechte möglich. 9. Warum sind Multiuser-Systeme sicherer? Weil Rechte getrennt sind (Admin vs. Benutzer). 10. Was ist ein Home-Verzeichnis? Der persönliche Speicherbereich eines Benutzers. 11. Was bedeutet Identifikation? Der Benutzer gibt an, wer er ist (z. B. Benutzername). 12. Was ist Authentisierung? Überprüfung, ob der Benutzer wirklich diese Person ist. 13. Nenne ein Beispiel für Authentisierung. Passwort oder Fingerabdruck. 14. Was ist Autorisierung? Festlegen, welche Rechte ein Benutzer im System hat. 15. In welcher Reihenfolge laufen die Schritte ab? Identifikation → Authentisierung → Autorisierung. 16. Was ist ein Hashwert? Ein verschlüsselter Wert, der aus Eingabedaten berechnet wird. 17. Kann man einen Hash zurückrechnen? Nein, er ist nicht zurückrechenbar. 18. Was passiert bei kleiner Änderung der Eingabe? Der Hashwert ändert sich komplett. 19. Was ist eine Kollision? Zwei verschiedene Eingaben haben denselben Hash. 20. Welcher Hash-Algorithmus ist unsicher? MD5. 21. Was ist ein Benutzer? Ein Berechtigungsträger im System. 22. Was ist eine Gruppe? Eine Sammlung von Benutzern zur Rechtevergabe. 23. Kann man sich mit einer Gruppe anmelden? Nein. 24. Was ist ein Administrator? Ein Benutzer mit vollen Systemrechten. 25. Was darf ein Standardbenutzer nicht? Keine Systemverwaltung durchführen. 26. Was ist der Gast-Account? Ein Benutzer mit sehr eingeschränkten Rechten. 27. Was ist das System-Konto? Ein Konto mit sehr hohen Rechten (mehr als Admin). 28. Was ist eine SID? Eine eindeutige interne Kennung eines Benutzers. 29. Warum ist die SID wichtig? Sie identifiziert Benutzer eindeutig im System. 30. Wird eine SID wiederverwendet? Nein, sie ist einmalig. 31. Was ist ein UPN? User Principal Name (z. B. user @ domain.tld). 32. Was ist der Unterschied zwischen Benutzername und Anzeigename? Benutzername = Login, Anzeigename = sichtbarer Name. 33. Was macht der Befehl Get-LocalUser? Zeigt lokale Benutzerkonten an. 34. Was befindet sich im Home-Verzeichnis? Benutzerspezifische Daten und Einstellungen. 35. Was ist AppData? Ein Ordner für benutzerspezifische Programmdaten. 36. Was ist ntuser.dat? Eine versteckte Datei mit Benutzereinstellungen. 37. Warum spart Multiuser Kosten? Mehrere Nutzer teilen sich ein System. 38. Warum sind Gruppen wichtig? Sie vereinfachen die Rechteverwaltung. 39. Was bedeutet: Benutzername = Anmeldename? Beide sind identisch und wichtig für die Verwaltung. 40. Was ist der Unterschied zwischen Authentisierung und Autorisierung? Authentisierung prüft Identität, Autorisierung legt Rechte fest. Mein Abgleich der Klausurvorbereitung und PDF von herrn Schlegel Ergänzung zur Klausurvorbereitung – Benutzermanagement (wichtige Zusatzinfos aus Unterricht/PDF) Single- vs. Multi-Session (Windows genauer verstehen) Windows kann Single-Session und Multi-Session Desktop = meist Single-Session Server / Enterprise = Multi-Session möglich Wichtig: Windows = Multiuser-fähig, aber Sessions sind getrennt Warum Multiuser? (nicht nur „mehr Benutzer“) bessere Ressourcennutzung getrennte Benutzerbereiche Schutz vertraulicher Daten abgestufte Rechte Rechtevergabe über Gruppen Login-Prozess (Begriffe sauber können!) Identifikation = Benutzername Authentisierung = Passwort / Nachweis Autorisierung = Rechte werden zugewiesen Authentifikation = Überbegriff (Prüfung der Angaben) Administrator (wichtige Details!) integrierter Administrator existiert, ist oft deaktiviert erster Benutzer bekommt automatisch Adminrechte Admin darf: alles installieren Benutzer verwalten Rechte vergeben System komplett kontrollieren Standardbenutzer (konkret können!) darf Programme ausführen darf im eigenen Home schreiben darf andere Dateien nur lesen darf NICHT: Programme installieren Benutzer verwalten System ändern Gastkonto (Klausur-Falle!) standardmäßig deaktiviert oft ohne Passwort großes Sicherheitsrisiko → sollte deaktiviert bleiben SYSTEM-Konto (SEHR WICHTIG!) internes Konto vom Betriebssystem nicht sichtbar im Benutzer-Manager hat Vollzugriff auf alles → wichtiger als Administrator! Spezielle Systemkonten Netzwerkdienst → Netzwerkzugriffe Lokaler Dienst → eingeschränkte lokale Rechte DefaultAccount → systeminterne Prozesse WDAGUtilityAccount → Sicherheitsfunktionen → keine normalen Benutzer! SID (Security Identifier) eindeutige interne ID eines Benutzers wird nur einmal vergeben bleibt einzigartig, auch nach Löschen → verhindert Rechteübernahme bei neuem Benutzer Passwort-Speicherung (sehr wichtig!) Speicherort: C:\Windows\System32\config\SAM Passwörter werden nicht im Klartext gespeichert Benutzerprofil wird beim ersten Login erstellt Pfad: %userprofile% enthält: persönliche Ordner AppData → Programmeinstellungen NTUSER.DAT → Registry vom Benutzer UAC (Benutzerkontensteuerung) seit Windows Vista auch Admin arbeitet eingeschränkt Änderungen müssen bestätigt werden → Schutz vor Schadsoftware Wichtige Merksätze Windows = Multiuserfähig, aber Session-basiert SYSTEM > Administrator (wichtig!) Gruppen = nur Rechtevergabe Benutzername ≠ entscheidend → SID ist entscheidend UAC schützt vor ungewollten Änderungen