.: Daniel Melanchthon :.

Banging your head against a wall uses 150 Calories an hour.

Windows Server 2008 Security in der Praxis - Read-only Domain Controller (RODC)

Windows Server 2008 Security in der Praxis - Read-only Domain Controller (RODC)

  • Comments 3
  • Likes

Gerade ist mein heutiger Demowebcast zu Ende gegangen. Mit nur einem Inhaltsslide in Powerpoint und ansonsten nahezu 60min Demo habe ich für mich einen Praxisrekord aufgestellt. Ich bin jetzt mal gespannt auf das Feedback, ob solche Demoszenarien gut ankommen und ob wir die öfter machen sollen.

Server Core ist eine neue Severrolle in Windows Server 2008. Dabei wird ein minimalistischer Windows Server 2008 installiert, der dann definierbar über die Serverrollen nur noch für bestimmte Funktionen zur Verfügung steht und nur bestimmte Features unterstützt.

Rollen Features
  • Active Directory Domain Services (ADDS)
  • Active Directory Lightweight Directory Service (ADLDS)
  • Domain Name System Server (DNS)
  • Dynamic Host Configuration Protocol Server (DHCP)
  • File Services
  • Internet Information Services (IIS7)
  • Print Server
  • Streaming Media Services
  • Hyper-V
    • Fertig innerhalb von 180 Tagen nach Windows Server 2008 RTM
    • Beta in Windows Server 2008 RTM
  • BitLocker
  • Client For NFS
  • DFS Server & Replication
  • Failover Cluster
  • FRS
  • LPD Print Service
  • MultipathIO
  • Network Load Balancing
  • Removable Storage Management
  • Server For NFS
  • SNMP
  • Subsystem for UNIX-based Applications
  • Telnet Client
  • Windows Server Backup
  • WINS
  • Server Core Installation

    Die Installation erfolgt direkt von der Window Server 2008 DVD. Je nach verwendeter DVD muss man einen Installationsschlüssel eingeben, der dann die richtige Windows Server-Version vorgibt oder man installiert von einem Volumenlizenzdatenträger, der keinen Schlüssel abfragt. Hier erfolgt die Lizenzierung später über KMS oder MAK. Während der Installation hat man dann die Wahl zwischen dem vollen Server oder der Server Core-Variante. Server Core ist dementsprechend auch keine separate SKU.

    Server Core Konfiguration

    Die Konfiguration des Server Core erfolgt primär an der Kommandozeile. Während des Webcasts hatte ich gezeigt, wie man die Fernverwaltung in der Windows Firewall aktivieren kann - dann kann man auch mit MMC-Tools von einem normalen Server sich gegen einen Server Core verbinden und diesen grafisch aus der Ferne administrieren. Anbei das von mir verwendete Demoskript:

    Einstellen der Zeit- und Sprachoptionen

    date
    time
    control timedate.cpl
    control intl.cpl

    Einstellen der Netzwerkkonfiguration

    ipconfig
    netsh interface ipv4 show interfaces

    netsh interface ipv4 set address name="<Nummer des Netzwerkinterface>" source=static address="<IP-Adresse>" mask="<Netzwerkmaske>" gateway="<Standardgateway>"
    netsh interface ipv4 add dnsserver name="<Nummer des Netzwerkinterface>" address="<DNS-Server IP-Adresse>" index="<Nummer des DNS-Servers>"
    ipconfig /all

    Einstellen der Fernwartung und -steuerung

    netsh advfirewall firewall set rule group="Remoteverwaltung" new enable=yes
    netsh firewall set icmpsetting 8
    ping localhost

    netsh advfirewall firewall set rule group="Remotedesktop" new enable=yes
    cscript %WINDIR%\System32\scregedit.wsf /ar /v
    cscript %WINDIR%\System32\scregedit.wsf /ar 0

    winrm quickconfig
    winrs -r:<ServerName> cmd

    Einstellung von automatischen Update

    cscript %WINDIR%\System32\Scregedit.wsf /au /v
    cscript %WINDIR%\System32\Scregedit.wsf /au 4

    Einstellen des Windows Error Reporting

    serverWerOptin /query
    serverWerOptin /summary
    serverWerOptin /detailed
    serverWerOptin /disable

    Ändern des Rechnernamens

    hostname
    netdom renamecomputer <ALTER_NAME> /newname:<NEUER_NAME> /force /reboot:10

    Hinzufügen zu einer Domäne

    netdom join <COMPUTERNAME> /domain:<DOMÄNENNAME> /userd:<DOMÄNE\ADMINISTRATIVER ACCOUNT> /passwordd:*
    shutdown /r /t 0

    Schemaerweiterung für RODC (einmalig pro Forest notwendig)

    cd /d D:\sources\adprep
    adprep.exe /RODCPREP

    Hochstufen zum Domain Controller (RODC)

    dcpromo.exe /unattend:answer.txt
    shutdown /r /t 0

    Minimale Antwortdatei für RODC via dcpromo /unattend:answer.txt

    [DCInstall]
    InstallDNS=Yes
    ConfirmGc=No
    CriticalReplicationOnly=No
    DisableCancelForDnsInstall=No
    Password=<PASSWORT>
    RebootOnCompletion=No
    ReplicaDomainDNSName=<DNS-DOMÄNENNAME>
    ReplicaOrNewDomain=ReadOnlyReplica
    ReplicationSourceDC=<NAME EINES VOLLSTÄNDIGEN DC>
    SafeModeAdminPassword=<PASSWORT>
    SiteName=<STANDORT>
    UserDomain=<DNS-DOMÄNENNAME>
    UserName=<ADMINISTRATIVER ACCOUNT>

    Installation von Virtual Machine Additions

    Schließlich noch ein Hinweis für die Nutzung in einer virtualisierten Umgebung. Als allerersten Schritt würde ich immer die Virtual Machine Additions installieren. Ich habe im Webcast gezeigt, wie das auf einem Server Core geht. Einfach die ISO-Datei in das virtuelle CD-Laufwerk mounten und folgendes eingeben (D: als Buchstaben für das CD-Laufwerk angenommen):

    cd /d D:\Windows
    setup.exe -s -v"/qn"

    Der Server installiert sofort automatisch die Virtual Machine Additions und rebootet den Server ohne weitere Warnungen.

    Installation von Hardware

    Jede Hardware, für die Windows Server 2008 schon Treiber mitbringt, kann direkt angeschlossen und automatisch installiert werden. Benötigt man jedoch zusätzliche Treiber, müssen die sich automatisiert installieren lassen:

    pnputil -i -a <driverinf>

    Eine Liste aller Treiber, die sich auf dem Server befinden erhält man durch folgende Eingabe:

    sc query type= driver

    Verwaltung der Eventlogs

    Die Ereignisanzeige lässt sich am einfachsten remote darstellen. Wer direkt am Server (vielleicht auch automatisiert) Zugriff auf das Eventlog haben möchte, kann das neue Tool wevutil.exe nutzen:

    wevtutil el
    wevtutil qe /f:text <LOGNAME>
    wevtutil epl <LOGNAME>
    wevtutil cl <LOGNAME>

    Dienste- und Prozess-Steuerung

    sc start <service name>
    sc stop <service name>

    net start <service name>
    net stop <service name>

    tasklist
    taskkill /PID <PROZESS ID>
    taskkill /T /PID <PROZESS ID>
    taskkill /F /PID <PROZESS ID>

    Installation von Rollen und Features

    oclist
    start /w ocsetup <ROLLE>
    start /w ocsetup <FEATURE>

    Comments
    • Habe mir den Webcast heute angesehen.

      Echt spitze gemacht, die Demos waren inhaltlich sehr ansprechend und sehr interessant. Weitere solche Webcasts würde ich sehr begrüßen, weiter so!

    • Wir (14 angehende MCSE's) haben den Webcast heute bei uns im Bildungszentrum angeschaut und fanden es sehr interessant und informativ.

      Die Demo war eine runde Sache. Bitte mehr davon!

      Persönlich werde ich jetzt nach meinem ersten Webcast mein Augenmerk auf weitere Angebote legen.

      Vielen Dank für dieses tolle Angebot.

    • Hallo,

      fande diesen Webcast sehr gut, vor allem, weil so ein Demoszenario die ganze Sache "begreiflicher" macht :-) *gibt es das Wort überhaupt*

      Bitte mehr davon und nicht nur eine Powerpointpräsentation.

      Das ist auch ein Grund, wieso ich mir noch keine Webcast DVD gekauft habe, weil mir die "live" Demoszenarien fehlen.

      Bin auf die weiteren Webcasts gespannt.

    Your comment has been posted.   Close
    Thank you, your comment requires moderation so it may take a while to appear.   Close
    Leave a Comment