Damit mit Wireshark unter Windows Wlan Traffic analysiert werden kann benötigt man einen speziellen Adapter (AirPcap), der auch im Promiscuous Mode (oder Monitor Mode) betrieben werden kann.

Mit Microsoft Network Monitor 3.4 und Windows 7 kann man jetzt auch “normale” Adapter im Monitor Mode betreiben um Wireless Frames zu sniffen.

NetMon

Dazu die entsprechende Version von NetMon herunterladen (x86 oder x64) und installieren.

NetMon öffnen und unter “Select Networks” den Wireless Adapter auswählen. Alle anderen Adapter deaktivieren.

Dann auf “Properties” klicken und die “Scanning Options” konfigurieren.

Der “Monitor Mode” muss aktiviert werden, außerdem kann man den Frequenzbereich sowie den Kanal auswählen. Wählt man keinen Kanal aus, scannt NetMon alle Kanäle.

Mit “Apply” werden die Einstellungen übernommen, das Fenster “Scanning Options” muss man offen lassen, der “Network Interface Configuration” Dialog kann mit “OK” geschlossen werden.

Jetzt kann man auf “New Capture” klicken und mit “Start” einen neuen Trace starten.

Analyse

Die Analyse des Traffics ist mit NetMon etwas ungewohnt, es hilft allerdings sehr wenn man sich von  http://nmparsers.codeplex.com/ die aktuellsten Parser installiert.

Alternativ kann man das Ergebnis aus NetMon als “.cap” Datei speichern und mit Wireshark öffnen.

 

btw. das funktioniert genauso mit Windows 8 Beta

 

have fun!

tom

Share | | Tweet

Tags: wireshark, netmon, wireless

In bisherigen Version von Windows Server und Active Directory hatte das Betreiben von virtuellen DCs einige Nachteile im Vergleich zu anderen virtuellen Servern. So konnten Domain Controller z.B. nicht von der Snapshot Fähigkeit des Hypervisors profitieren, das zurücksetzen eines DCs auf einen Snapshot hatte fatale Auswirkungen auf die Gesamtstruktur.

VDC Safe Restore

Im Active Direcotry Replikationsmodell wird jede Transaktion mit einer fortlaufenden Nummer (Update Sequence Number) versehen. Domain Controller “merken” sich diese Nummern sowie eine eindeutige ID des Replikationspartners (Invocation ID) von dem sie die jeweilige Änderung erhalten haben. Wird ein DC auf einen früheren Zeitpunkt zurückgesetzt (Snapshot) könnte er bereits verwendete USNs wiederverwenden, seine Replikationspartner akzeptieren diese Transaktionen nicht mehr, sie haben diese bereits erhalten. Der wiederhergestellte DC kann nicht mehr replizieren und wird in den sogenannten “USN Rollback Protection” Status gesetzt. Der DC muss jetzt manuell aus dem AD entfernt werden.

In Windows Server 8 Active Directory gibt es ein Feature das dieses Problem verhindern soll. Über die ACPI Table stellt der Hypervisor die VM-Generation ID zur Verfügung, diese wird im RAM des jeweiligen Domain Controllers gespeichert.

Wird ein Snapshot angewandt, wird diese VM-Generation ID zurückgesetzt, so merkt der Domain Controller dass er wiederhergestellt wurde.

 

Der wiederhergestellte DC setzt seine Invocation ID zurück und da seine Replikationspartner diese ID noch nicht kennen kann die Replikation wieder aufgenommen werden. Außerdem wird der SYSVOL Ordner “nicht autorisierend” wiederhergestellt und folgendes Ereignis wird im “Directory Service” Event Log protokolliert.

Folgendes Active Directory Attribut wird für die VM-Generation ID verwendet. Hier geht’s zum entsprechenden Eintrag im MSDN.

ms-DS-Generation-Id

VDC Safe Restore muss (und kann) nicht konfiguriert werden, sofern der Hypervisor das VM-Generation ID Feature unterstützt ist es automatisch aktiv. Aktuell unterstützt nur Windows Server 8 Hyper-V dieses Feature, andere Herstellen werden hoffentlich bald nachziehen.

Achtung, dieses Feature soll die USN Rollback Problematik lösen, es ist auf keinem Fall ein Ersatz für ein konsistentes Backup! Der DC wird “nicht autorisierend” wiederhergestellt.

 

so long,

tom

Share | | Tweet

Tags: Windows Server 8 CP, active directory, virtualisierung, dc

Tipp: Damit man die “send on behalf” Berechtigung einem Benutzer für eine Verteilergruppe geben kann, ist ein einfacher Powershell Befehl nötig:

Set-DistributionGroup GroupName -GrantSendOnBehalfTo UserName

 

Grüße

dn

Share | | Tweet

Tags: exchange 2010

Mit Windows 8 kommt ein neues Feature "Windows 8 to Go", welches bereits in der CP verfügbar ist. Damit ist es möglich die Windows Umgebung per USB-Stick oder anderen Datenträger mitzunehmen.

Als erstes muss der USB Stick bootfähig gemacht werden. Diese Prozedur ist dieselbe, die Thomas bereits in folgenden Post erklärt um Windows 7/8 vom USB Stick zu installieren.

Anbei nochmal kurz die Befehle:

- diskpart

- list disk

- select disk X (USB Datenträger auswählen)

- create partition primary

- format fs=ntfs quick

- active

 

Jetzt muss noch der PC neu gestartet werden und Windows 8 installiert werden. Als Datenträger empfiehlt sich hier ein USB 3.0 Speichermedium.

 

Grüße

dn

Share | | Tweet

Tags: Windows 8

Seit kurzem ist das Service Pack 2 für den Nachfolger von ISA 2006 verfügbar. Neben Bugfixes und verbesserten Fehlerseiten ist vor allem die Möglichkeit den Firewall Service als Domain User zu starten interessant. Dadurch erhält man die Möglichkeit den SPN für die virtuelle IP Adresse des NLB Custer auf eine Benutzerkonto zu binden, wenn der Firewall Service dann mit diesem Konto gestartet wird, funktioniert Kerberos Authentifizierung auch im NLB.

NLB und Kerberos

Für ein erfolgreiche Kerberos Authentifizierung muss der Service Principal Name den der Client verwendet um sich mit dem Server zu verbinden im Active Directory Account des Servers registriert sein. Der SPN muss im gesamten Forest eindeutig sein, d.h. nur ein Account kann den SPN für die NBL IP Adresse verwenden. Verbinden sich Clients mit anderen Knoten im Cluster schlägt die Kerberos Authentifizierung fehl, da der SPN nicht stimmt.

Bisher konnte der “Microsoft Forefront TMG Firewall Service” nur als Network Service laufen, d.h. für Kerberos Authentifizierungen wurde das Computerkonto jedes TMG Servers verwendet.

Mit Service Pack 2 kann man den Firewall Dienst als Domänenbenutzer starten, registriert man auf diesen Domänenbenutzer die benötigten SPNs funktioniert die Kerberos Authentifizierung im Clusterbetrieb.

Service Account Sicherheit

Aus Sicherheitsgründen sollte man ein eigenes Benutzerkonto für den TMG Service anlegen, dieses Benutzerkonto sollte ausschließlich für TMG verwendet werden und keine weiteren Berechtigungen in der Domain haben. Außerdem sollte man das Konto aus der Gruppe “Domain Users” entfernen, und eine andere Gruppe als primäre Gruppe definieren. Auch dieses Gruppe sollte kein Berechtigungen in der Domain oder auf einem anderen System haben.

Forefront TMG erteilt dem Benutzerkonto automatisch die minimal benötigten Berechtigungen wenn man den Firewall Service für dieses Konto konfiguriert. Auch auf dem TMG ist somit keine Konfiguration von Berechtigungen für das Service Account notwendig.

Konfiguration

Nach der Installation von Service Pack 2 kann man in den Eigenschaften des Arrays, im Reiter “Credentials” das Konto auswählen unter dem der Firewall Service in Zukunft laufen soll.

SPN hinzufügen

Um einen Serivce Principal Name zum Service Account hinzuzufügen, kann man z.B. das Tool “setspn” verwenden.

Registrierte SPNs anzeigen:

setspn –L benutzername

setspn –L computername

Neuen SPN registrieren:

setspn -S http/myArray.ntsystems.local tmgSvcUsr

Der Parameter –S überprüft zuerst ob der SPN nicht bereits von einem anderen Konto verwendet wird, anschließend wird er zum Konto hinzugefügt.

Verify Kerberos Authentication

Mit einem Netzwerk Analyse Tool sieht man dass vor der Registrierung des SPN NTLM für Proxy Authentifizierung verwendet wird.

Wurde der Firewall Service als Domain User gestartet und der benötigte SPN registriert, wird Kerberos verwendet.

Der Client verwendet jetzt GSS-API, also Kerberos, um sich zu authentifizieren. Mit “klist” kann man sehen dass der Client jetzt ein Ticket für den Array Namen hat.

Achtung: Es müssen alle Mitglieder im Array aktualisiert werden, bevor der Firewall Service als Domain User gestartet werden kann. Außerdem sollte man den SPN erst dann hinzufügen, wenn der Firewall Service als Domain User läuft da es sonst zu Authentifizierungsproblemen kommt.

 

Weitere Informationen zu “Kerberos authentication on an NLB array” im TechNet: http://technet.microsoft.com/en-us/library/hh454304.aspx

Um Forefront TMG SP2 installieren zu können muss Forefront TMG SP1 Update 1 installiert sein, Download: http://www.microsoft.com/download/en/details.aspx?id=11445

 

so long, tom

Share | | Tweet

Tags: forefront, tmg, authentication

In Windows Server Versionen bis 2008R2 gab es für eine ausfallsichere DHCP Umgebung zwei Möglichkeiten, ein sogenanntes Split Scope Deployment oder ein Windows Failover Cluster. Beide Varianten haben Nachteile, im Split Scope Deployment teilen sich mehrere DHCP Server einen Bereich. Fällt ein Server aus, gibt es auf den verbleibenden Servern unter Umständen nicht genug freie Adressen, auch Leases bzw. Reservierungen sind nicht konsistent. Ein Failover Cluster hat einen gewissen administrativen Aufwand (Shared Storage) und erfordert Windows Server Enterprise Lizenzen für alle Knoten im Cluster.

Windows Server 8 DHCP Server Failover

DHCP Server Failover bietet die Möglichkeit zwei DHCP Server für einen Bereich zu konfigurieren. Es muss sich dabei um Windows 8 DHCP Server handeln, andere Hersteller oder ältere Server Betriebssysteme werden nicht unterstützt. Im Load Sharing Modus bedienen beide Server Client Anfragen und replizieren die Lease Informationen. Fällt ein Server aus kann der zweite Server bereits bestehende Leases verlängern. Außerdem verfügen beide Server über den gesamten Bereich, Reservierungen und Optionen werden ebenfalls zwischen den Servern repliziert und sind so konsistent.

Load Sharing Mode

Im Standard Modus wird ein Failover Relationship im Load Sharing betrieben, das bedeuted Clientanfragen werden gleichmäßig auf die beiden DHCP Server verteilt. Die Verteilung der Anfragen kann über den Wert load-balancing ratio konfiguriert werden. Der Load Sharing Mode eignet sich für Server im selben Standort.

Hot Standby Mode

Alternativ können die DHCP Server im Hot Standby Mode betrieben werden, dabei ist ein Server “aktiv” und bedient Clientanfragen. Der zweite Server übernimmt diese Aufgabe sobald er erste nicht mehr verfügbar ist. Die Entscheidung ob ein Server “aktiv” oder “standby” ist, kann für jeden DHCP Bereich getroffen werden, ein Server kann also standby für einen Bereich sein und gleichzeitig aktiv für einen andern. Der Hot Standby Mode eignet sich für Außenstellen oder kleinere Standorte an denen kein zweiter Server vor Ort ist und ein Server im entfernten Rechenzentrum nur im Problemfall übernehmen soll.

DHCP Rolle installieren

Die DHCP Server Rolle wird über den Server Manager hinzugefügt, dazu verwendet man den Add Roles and Features Wizard.

Die entsprechende Rolle auswählen, und entscheiden ob der Server automatisch neustarten soll, das ist für DHCP nicht notwendig.

Nach der Installation weißt der Post-Install configuration Wizard darauf hin, dass man den Server noch im Active Directory autorisieren muss.

Natürlich kann man die Rolle auch mit der PowerShell hinzufügen, verwendet wird dazu das Modul ServerManager (PowerShell v3 importiert Module automatisch, also kein Import-Module):

Auch nach dieser Insatllation weißt der ServerManager auf notwendige Post-Install Schritte hin

Es sind jetzt zwei DHCP Server verfügbar, nun geht es an die Failover Konfiguration.

DHCP Server Failover Konfiguration

Über einen Rechtsklick auf einen DHCP Server im Server Manager öffnet man die bekannte dhcpmgmt Konsole (doch nicht überall Metro).

Ein neuer Bereich wird, wie immer, mit einem Rechtsklick auf den IPv4 Knoten erstellt. Dabei hat sich mit WS8 nichts geändert, man wählt einen Namen, das Subnet bzw. den IP Range sowie Optionen wie Gateway und DNS Server.

Jetzt kann man entscheiden ob man DHCP Failover für den gesamten Server oder für jeden einzelnen Bereich konfigurieren will. Je nach dem für welche Konfiguration man sich entscheidet, beginnt man mit der Konfiguration auf dem IPv4 Knoten oder auf dem jeweiligen Bereich.

Mit “Configure Failover” wird die Konfiguration gestartet, als ersten Schritt muss man den Partner-Server angeben.

Nach der Auswahl des Partner-Servers werden einige Voraussetzungen für eine erfolgreiche Failover Beziehung überprüft, unter anderem wird überprüft ob der Server erreichbar ist, ob mindestens Windows Server 8 Beta installiert ist, ob der angemeldete Benutzer über ausreichende Rechte verfügt (Mitglied der Gruppe DHCP Administrators) und ob auf dem Partner überhaupt ein DHCP Server läuft. Sind die Vorrausetzungen ok, wird ein Dialog für die Konfiguration des Failover Relationships angezeigt.

In diesem Dialog wird der Failover Mode konfiguriert. Außerdem kann die Load Sharing ratio hier festgelegt werden. Maximum Client Lead Time gibt die temporäre Lease Zeit für neue Clients an, deren Anfragen der Failover Server bedient. Auch die Zeit nach der ein Server im Partner-Down-State den gesamten Bereich übernimmt wird durch die MCLT gesetzt.

Wird der Hot Standby Mode gewählt, kann anstelle der Load Sharing ratio die Menge an Adressen Konfiguriert werden, welche für den Standby Server reserviert werden. Sollten keine Adressen reserviert werden, kann der Standby Server erst dann neue Clients bedienen, wenn er den gesamten Bereich übernommen hat, das dauert standardmäßig eine Stunde (MCTLT).

Das Auto State Switchover interval gibt an nach welcher Zeit ein Server vom communication interrupted in den partner down state wechselt. Standardmäßig passiert das nach 10 Minuten.

Hat man die Optionen konfiguriert wird die Partnerschaft konfiguriert. Für die Failover Konfiguration wird TCP Port 647 verwendet.

In den Eigenschaften des Bereiches gibt es den neuen Reiter Failover, dort kann man den Status der Failover Partnerschaft und die konfigurierten Optionen sehen.

Konfiguration ändern oder löschen

Um die Konfiguration zu ändern, öffnet man die Eigenschaften des IPv4 Konten und wählt dort unter Failover die entsprechende Partnerschaft aus.

Mit Edit kann man die ausgewählte Partnerschaft ändern, mit delete wird diese gelöscht.

Verify Failover

Mit einem Netzwerk Analyse Tool sieht man die DHCP Kommunikation, hier ist zu beobachten dass der Client zwei DHCP Offers bekommt. Eine von jedem Server in der Failover Konfiguration.

Beide DHCP Offers sind bis auf die angebotene Lease Time identisch, der “aktive” Server bietet eine Adresse mit der im Bereich konfigurierten Lease Time an (8 Tage).

Während die Lease Time im Offer des “standby” Servers der Maximum Client Lead Time entspricht.

 

so long, tom

Share | | Tweet

Tags: Windows 8, Windows Server 8 CP

Eines der ersten Tools das auf meinen Geräten installiert wird ist das Analysetool Wireshark.

Nach der Installation auf Windows 8 konnte ich keine neuen Captures starten, es war kein Interface verfügbar.

Das Problem scheint am WinPCAP Treiber zu liegen, die Lösung war einfach. Ich habe den WinPCAP im “Kompatibilitätsmodus” Windows 7 neu installiert.

 

Download WinPCAP: www.winpcap.org

have fun!

Share | | Tweet

Tags: wireshark

Mit Windows Server 2008R2 wurde das Active Directory Verwaltungscenter oder Administrative Center eingeführt. Es sollte das seit Windows 2000 bekannte Active Directory Users and Computers Snap-in ersetzen.

Das Verwaltungscenter in Windows 8 Server Beta kommt im Metro Style daher und ist Teil der ADDS Simplified Administration. Es bietet einige sehr nützliche Funktionen, unter anderem endlich eine grafische Oberfläche für PSO und den AD Papierkorb. Außerdem werden die neuen Dynamischen ACLs über das Verwaltungscenter konfiguriert.

Da es auf PowerShell aufsetzt, ist ein PowerShell History Viewer integriert.

Metro Style

Geöffnet wird das Administrative Center über “Tools” im Server Manager oder man führt “dsac.exe” aus.

“Reset Password” und “Global Search” sind schon aus dem ADAC von 2008R2 bekannt, neu ist die PowerShell History im unteren Bereich. Öffnet man diesen sieht man die PowerShell Befehle welche das ADAC zuletzt ausgeführte.

Active Directory Recycle Bin

Auch der AD Papierkorb wurde mit Windows Server 2008R2 eingeführt, die Verwendung war zwar etwas kompliziert (keine grafische Oberfläche), trotzdem war es eine nützliche Erweiterung. Mit Windows Server 8 gibt es ein GUI um gelöschte Objekte einfach zu finden und wiederherzustellen.

Sollte der AD Recycle Bin noch nicht aktiv sein, kann man ihn im ADAC gleich aktivieren. Dafür muss sich der Forest im “Windows Server 2008R2” Functional Level befinden.

Einfach auf “Enable Recycle Bin…” klicken und den Dialog bestätigen, schon ist der Recycle Bin aktiv. Natürlich muss die Änderung auf alle DCs repliziert werden, erst wenn dieser Vorgang abgeschlossen ist funktioniert er zuverlässig.

Im der PowerShell Histroy sieht man sofort welcher Befehl ausgeführt wurde:

Enable-ADOptionalFeature -Confirm:$false -Identity:"766ddcd8-acd0-445e-f3b9-a7f9b6744f2a" -Scope:"ForestOrConfigurationSet" -Target:"tomt.local"

Löscht man jetzt ein Objetk aus dem AD wird es in den neu erstellten Container “Deleted Objects” verschoben. Dort bleibt es (mit all seinen Attributen und Links) bis die Deleted Objects Lifetime (msDS-DeletedObjectLifetome)abgelaufen ist, dann wird es zum recycled Object. Nach Ablauf der Recylced Object Lifetime (tombstoneLifetime) wird es vom Garbage Collection Process endgültig aus der AD Datenbank gelöscht.

Im “Deleted Obejects” Container findet man gelöschte Objekte die nach aktiveren des Recylce Bin Features gelöscht wurden und deren Deleted Objects Lifetime noch nicht abgelaufen ist. Man kann in dem Container suchen und die Ansicht filtern um die gewünschten Objekte zu finden.

Hat man die Objekte gefunden kann man diese einzeln oder mehrere zusammen wiederherstellen. Einfach rechts auf das Objekt klicken und “Restore” oder “Restore To…” auswählen.

“Restore” stellt die Objekte an ihrem Ursprünglichen Ort wieder her (lastKnownParent), mit “Restore To…” erhält man folgenden Dialog und kann das Ziel auswählen.

Auch hier werden in der PowerShell History die ausgeführten Befehle angezeigt:

Restore-ADObject -Confirm:$false -Identity:"bb127a94-277f-4a7d-a09b-5893906cb16b" -Server:"WIN8CP-DC1.tomt.local"

Fine-Grained Password Policy

Fine-Grained Password Policies wurden mit Windows Server 2008 eingeführt, sie waren eine wichtige Neuerung und auch sie waren in der Verwendung nicht ganz einfach.

Mit dem neuen ADAC gibt es eine GUII für die sogenannten PSOs oder Password Setting Objects. Um ein neues PSO zu erstellen öffnet man den Container Password Settings (“CN=Password Settings Container,CN=System,DC=tomt,DC=local”) und klickt auf New, Password Settings.

Im Dialog “Create Password Settings” kann man die Fine-Grained Password Policy konfigurieren und diese gleich einer Gruppe oder einem Benutzer zuweisen. Ist ein Benutzer Mitglied in mehreren Gruppen auf die ein PSO angewendet wird, hat jenes mit dem niedrigerem Precedence Wert (msDS-PasswordSettingsPrecedence) Vorrang.

Und auch hier wieder die entsprechenden PowerShell Befehle:

Add-ADFineGrainedPasswordPolicySubject -Identity:"CN=pso_group1,CN=Password Settings Container,CN=System,DC=tomt,DC=local" -Server:"WIN8CP-DC1.tomt.local" -Subjects:"CN=group1,OU=groups,OU=tomt,DC=tomt,DC=local"

New-ADFineGrainedPasswordPolicy -ComplexityEnabled:$true -LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" -Name:"pso_group2" -PasswordHistoryCount:"24" -Precedence:"20" -ReversibleEncryptionEnabled:$false -Server:"WIN8CP-DC1.tomt.local"

Set-ADObject -Identity:"CN=pso_group2,CN=Password Settings Container,CN=System,DC=tomt,DC=local" -ProtectedFromAccidentalDeletion:$true -Server:"WIN8CP-DC1.tomt.local"

Durch diese neuen grafischen Oberflächen wird das ADAC wahrscheinlich mehr Verwendung finden als sein Vorgänger. Auch an den Metro Style wird man sich gewöhnen (müssen).

 

so long,
tom

Share | | Tweet

Tags: Windows 8, Windows Server 8 CP, active directory, AD Administrative Center, PSO, AD Recycle Bin

Mit Windows Server 8 kann man einen Group Policy refresh auf remote Computern initiieren. Verwendet wird dazu die GPMC oder natürlich PowerShell.

Group Policy Management Console

Man wählt die OU aus in der sich die Computerkonten befinden auf denen man das Update ausführen möchte. Achtung: Man kann das GP Update nur auf Computerkonten initiieren, es werden aber Computer und Benutzerrichtlinien aktualisiert.

Mit einem Rechtsklick auf die OU kann man “Group Policy Update…” auswählen. Der Dialog um das Update zu bestätigen zeigt an um wie viele Computer es sich handelt.

Klickt man auf “Yes” wird “gpupdate /force” auf den erreichbaren Computern ausgeführt.

Ein kurzer Report wird angezeigt, in dem evtl. Fehler sichtbar sind.

PowerShell

Mit dem cmdlet “Invoke-GPUpdate” aus dem Modul “GroupPolicy” kann man das GP Update auch per PowerShell starten.

Invoke-GPUpdate –Computer “win8cp-dc1”

Firewall

Damit das Remote GP Update funktioniert müssen folgende Windows Firewall Regeln aktiviert sein (Verbindungen akzeptieren)

• Remote Scheduled Tasks Management (RPC)
• Remote Scheduled Tasks Management (RPC-EPMAP)
• Windows Management Instrumentation (WMI-IN)

 

tom

Share | | Tweet

Tags: Windows 8, Windows Server 8 CP, group policy

Seit kurzem die Beta des neuen Servers verfügbar, natürlich musste mal wieder ein neuer Name her: Windows Server “8” Consumer Preview.

Der neue Server Manager ist natürlich im Metro Style und ist über die RSAT (Remote Server Administration Tools) auch für das neue Client OS (Windows 8 Consumer Preview) verfügbar.

Download RSAT (Beta/CP): http://www.microsoft.com/download/en/details.aspx?id=28972

Dashboard

Über das Dashboard sieht man eine Zusammenfassung der verwalteten Server und Rollen. Der Status wird automatisch aktualisiert, standardmäßig alle 10 Minuten. Man wird so auf evtl. Probleme hingewiesen.

Über “Manage” kann man Server hinzufügen oder Rollen und Features auf bereits verwalteten Server installieren.

Fügt man einen Server hinzu, kann man diese aus dem Active Directory suchen oder den DNS Namen angeben, außerdem kann man Textdateien die Servernamen enthalten importieren.

Damit man einen Server hinzufügen kann muss die Remoteverwaltung (WinRM) dort aktiviert werden, DCOM wird nicht mehr benötigt.

Server Groups

Mit Server Gruppen können mehrere Server die z.B. dieselbe Aufgabe erfüllen zu einer Gruppe hinzugefügt werden.

 

Add Roles and Features

Über den Server Manager können Rollen und Features auf allen verwalteten Server hinzugefügt oder entfernt werden. In folgendem Beispiel füge ich einen weiteren Domain Controller hinzu. Alle Schritte führe ich auf meinem Windows 8 CP Client mit RSAT aus.

Unter “Manage” klicke ich auf “Add Roles and Features” um den Wizard zu starten.

Ich wähle die Art der Installation und den Zielserver aus.

Ich wähle Active Directory Domain Services aus und bestätige dass ich die nötigen Rollen sowie die Management Tools installieren möchte.

Wurden die ADDS Binaries auf dem Zielserver installiert erhält man eine Notification im Server Manager, hier wird auch gleich der “Task” angezeigt um den Server zum Donain Controller zu machen (zu promoten)

Ich klicke also auf “Promote this server to a domain controller” und komme so zu folgendem Wizard.

Wie bereits mit “dcpromo” kann man auch hier auswählen ob man den DC zu einer bestehenden Domain, eine neue Domain in einem bestehenden Forest hinzufügen, oder gleich einen neuen Forest erstellen möchte.

Im nächsten Schritt werden die DC Options konfiguriert. Der DC soll DNS sowie Global Catalog sein, außerdem wird hier die Site ausgewählt und das DSRM Passwort gesetzt.

Man kann noch die Pfade für die ADDS Datenbank und Log Files sowie den SYSVOL Share setzen.

Ist die Konfiguration abgeschlossen kommt man zur “Review Options” Seite, man kann die ausgewählten Optionen nochmal überprüfen. Das eigentlich interessante an dieser Seite ist jedoch der Button “View Script” er zeigt das PowerShell Script an, welches auf dem Remote Server ausgeführt wird.

Der Server Manager erledigt alle Tasks mit PowerShell Befehlen, dcpromo kann noch für “unattended” Insatllationen verwendet werden, die Empfehlung von Microsoft ist es allerdings “dcpromo” nicht mehr zu verwenden.

Server Manager führt einen prerequisite Check auf dem Zielserver durch, dabei wird überprüft ob der Server zum DC promoted werden kann.

Nach dem Klick auf “Install” gehts los, der Server wird hochgestuft, und DNS sowie die AD Tools werden installiert. Anschließend wird der Server neu gestartet und ich habe einen neuen DC.

 

tom

Share | | Tweet

Tags: Windows Server 8 CP, Windows 8, ServerManager