arian/hugo-azo-notes
arian
/
hugo-azo-notes
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

added M127

This commit is contained in:
Arian Furrer 2024-02-09 17:53:11 +01:00
parent c9c2def594
commit 70cd21b089
2 changed files with 599 additions and 0 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

41
content/M127/UCS.md Normal file
View File

@ -0,0 +1,41 @@
+++
title = 'UCS'
date = 2024-02-08T21:18:17+01:00
draft = true
+++
{{< toc >}}
# Was ist UCS
- *Univention Corporate Server*
- Alternative zu *Windows Server*
# Wer sind Univention
- Open Source Foundation
- Aus Bremen, DE
- Primäres Produkt UCS
# UCS - Univention Corporate Server
- Server Betriebssystem
- Basiert auf Linux (Debian)
- Unterstützt Clients
- Linux
- Windows
- Mac
- Gesteuert über Web-Interface
# Univention App-Center
- Zertifizierte Enterprise-Apps
- Sichere Installation
- Basically `apt-get`
# Wie starten?
- Server Hardware mit UCS vorinstalliert bei *Thomas Krenn* kaufen
- VM mit UCS kaufen
- Mit ISO-File selbst machen
# Weitere Informationen / Quellen
- [Video](https://www.youtube.com/watch?v=02JJWy7rhg8)
- [Download und Support](https://www.univention.com/download-and-support)
- [Dokumentation](https://docs.univention.com)
- [Wiki](https://wiki.univention.com)

558
content/M127/Windows-Server.md Normal file
View File

@ -0,0 +1,558 @@
+++
title = 'Windows Server 2019'
date = 2024-02-08T21:31:43+01:00
draft = true
+++
{{< toc >}}
# Kapitel 1: Informationen zu diesem Buch und zur virtuellen Testumgebung
- Formatierung:
- Normaler Text: Normale Notizen
- *Schräger Text*: Namen von Geräten und Dateien, IP-Adressen, etc.
- ***Schräger und fetter Text*** (inline): Platzhalter
- **Fetter Text** (Anfang der Linie): Untertitel
# Kapitel 2: Windows Server 2019
## Editionen
### Windows Server 2019 Essentials
- Firmenumgebung bis 25 User
- Ersetzt *Small Business Server*
- Reduzierter Funktionsumgang (z.B. keine Virtualisierung)
- Keine *Exchange*-Lizenz einbegriffen
### Windows Server 2019 Standard
- Standard-Version
- Lizenz erlaubt für 2 Virtualisierungsinstanzen
### Windows Server 2019 Datacenter
- Für grosse Firmen
- Volle Funktionalität
- Unbegrenzte Virtualisierungsinstanzen
## *SAC* und *LTSC*
### SAC
- *Semi-Annual Channel* Version
- Halbjährlicher Release
- Name: *Windows Server **YYMM***
### LTSC
- *Long-Term Servicing Channel* Version
- Voller Release
- 5 Jahre Support
- Name: *Windows Server **YYYY***
## Core-Version
- Kein GUI; nur Terminal
- Remote-Verbindung nur mit *Windows 10 Professional* oder *Windows 10 Enterprise* möglich
- Beinhaltet ausschliesslich *PowerShell*, *Server Manager* und Interfaces für installierte Dienste
## Hyper-V
- Hypervisor von Microsoft
## Verzeichnisdienste
- Netzwerkressourcen selektiv verfügbar machen
- Benutzer / Gruppen
- Drucker
- Dateien / Ordner
- etc.
- Leistungsfähigkeit wird gemessen an:
- Anzahl der verwaltbaren Objekte
- Sicherheitsanforderungen
- Erweiterbarkeit
- Performance
- Flexibilität
- Verfügbarkkeit
- Unterstützung von internationalen Standards
- Berücksichtigung von verschiedenen Infrastrukturen & Netzwerken
## Active Directory
- Verzeichnisdienst von Microsoft
- Existiert seit *Windows Server 2000*
- Hierarchische Datenbank; basiert auf *X.500*-Standard für Datenbanken
### Sicherheitsfunktionen
- Support für SmartCard Login
- *BitLocker*
- EFS -> Encryptedd File System
- Verschlüsselt ganze Laufwerke
- Passwortanforderungen
### Verwaltungsfunktionen
**Windows Deployment Service**
- Windows via Netzwerk installieren
- Effizienter als jedes Gerät einzeln installieren
**Gruppenrichtlinien**
- Regelungen domänenweit festlegen
- Kompatible mit allen MS-Apps (built-in)
- Windows 10 kann "vorkonfiguriert" werden
**Microsoft Management Console**
- Programme wie *Computerverwaltung*, *Disk Management*, etc.
**PowerShell**
- Eigene Shell für Windows
- Mittlerweile komplett Open Source
- Auf Windows-Systemen sehr mächtig
**Windows Admin Center**
- Kann alle Windows-Geräte einer Domäne verwalten
- Unterstützt neben *Windows 10* auch *Windows Server 2019* (und ältere), *Windows Server Core*
## Essentielle Netzwerkdienste
### DHCP
- Unterstützt IPv4 und IPv6
- Kann mehrere Zonen gleichzeitig verwalten
### DNS
- Voraussetzung für *Active Directory*
# Kapitel 3: Installation
## Hardware-Anforderungen
| Hardware | Minimale Ausstattung |
| -------- | -------------------- |
| CPU | 64 Bit; 1.4 GHz |
| RAM | 2 GB |
| Storage | 64 GB |
| Netzwerk | 1 Gbit |
## Vorbereitung
Diese Informationen sollten vor der Installation bereits festgelegt werden, und im Nahchinein nur noch angepasst werden: *Hostname* und *IP-Adresse*
## Upgrade zur Vollversion
```powershell
Dism /Online /Set-Edition:[Server-Datacenter|Server-Standard] /AcceptEULA /Productkey:XXXXX-XXXXX-XXXXX-XXXXX-XXXX
```
Danach neu starten
# Kapitel 4: Bedienung und Neuerungen
## Tastenkombinationen in Windows Server 2019
| Tastenkombination | Aktion |
|-------------------|------------------------------------------|
| Win + I | Einstellungen öffnen |
| Alt + Tab | Applikation wechseln |
| Alt + F4 | Fenster schliessen |
| Win + P | Bildschirmeinstellungen |
| Win + X | Windows-Kontextmenu |
| Win + K | Mit Gerät verbinden |
| Win + S | Windows-Suche |
| Win + Q | Windows-Suche |
| Win + D | Desktop anzeigen |
| Win + PrtSc | Bildschirmaufnahme in .\Bilder speichern |
| Win + Pause | Systeminfo anzeigen |
| Win + R | "Run" Dialog |
| Win + E | Explorer öffnen |
| Win + Tab | Desktops verwalten |
| Win + Crtl + <- | Zum Desktop links wechseln |
| Win + Crtl + -> | Zum Desktop rechts wechseln |
| Crtl + Tab | Tab wechseln |
| Win + L | Bildschirm sperren |
| Win + A | Benachrichtigungen anzeigen |
| Win + Alt + D | Datum / Uhr anzeigen |
| Win + V | Clipboard history |
| Win + U | Erleichterte Bedienung |
| Win + NumPlus | Zoom in |
| Win + NumMinus | Zoom out |
| Win + Space | Tastaturlayout ändern |
# Kapitel 5: Hyper-V Testumgebung
## Prüfpunkte
- "Safe States"
- Können zwischengespeichert werden
- Kann darauf zurückgepspielt werden
- Speziell gut für Testumgebungen
## Live-Migration
- VM kann während laufendem Zustand verschoben werden
- Kann nicht zwischen AMD/Intel gewechselt werden
# Kapitel 6: Active Directory
## Struktur
![Struktur](/png/127_ch-6_struktur.drawio.png)
## Gesamtstruktur
![Gesamtstruktur](/png/127_ch-6_gesamtstruktur.drawio.png)
## Vertrauensstellungen
- Hierarchie-Untergenordnete und -Übgeordnete
- Beziehung zwischen 2 Domains
- Wird mit Pfeilen dargestellt
- Beispiel: Domain 1 "vertraut" Domain 2 => Domain 1 hat Zugriff auf Inhalte von Domain 2, ist aber eine eigene Domain
## Funktionsebenen
- "Rolle" eines Objektes im AD => z.B. *Domain Controller*, etc.
### Domain Controller (DC)
- Sollten immer mehrere vorhanden sein (=> Ausfallsicherheit)
- AD repliziert automatisch von DC1 auf alle Anderen
**Read-only Domain Controller**
- *Windows Server 2008* oder neuer
- Für kleinere Betriebe ohne sicheren Serverräume
- Kann nicht verändert werden, nur Replika
### Betriebsmaster (FSMO)
- "Flexible Single Master Operation"
- Wenn nur 1 DC vorhanden, automatisch FSMO
- Wird für AD benötigt
- Hat 5 Rollen (können auf mehrere DC verteilt werden):
| Rolle | Beschreibung |
|----------------------|-------------------------------------------------------------------------------------------|
| Schema-Master | Veränderungen am Schema (Datenbank) |
| DNS-Master | Handhabt die "Verknüpfung" von DNS und AD |
| Infrastruktur-Master | Korrekte Zuordnung con domänenübergreifenden Gruppenmitgliedschaften |
| RID-Master | Handhabt die RID (Relative IDentifier) von allen Domänenmitglieder (jede ist einzigartig) |
| PDC-Emulator | PDC = Primary Domain Controller => handhabt Logins, Passwörter, Replikation, etc. |
### Organisationseinheit (OU)
- Objekt in Domain
- Kann wie Ordner genutzt werden
- Struktur des AD => OUs
## Standorte im AD
- Erst wichtig wenn viele Standorte in echt
## Globaler Katalog
- Domänenübergreifende Suchfunktione für AD-Objekte
- Sollte auf allen DCs installiert sein
# Kapitel 7: Active Directory installieren
## Struktur
- Möglichst wenig individuelle Domains
- Sehr teuer
- Verwaltung sollte als dedizierter Administrator-Account erfolgen, sodass Berechtigungen konsistent bleiben
## Voraussetzungen
- Pro Domain min. 1 Server
- Statische IP-Adressen
- Ein DNS-Server pro Domain
# Kapitel 8: DNS
## Was ist es?
- Datenbank
- Speichert IP-Adressen und Hostnamen
## Hostnames
- FQDN => Fully Qualified Domain Name
- **Hostname**.**Domain**.**Top-Level Domain**
## Funktionsweise
DNS speichert verschieden "Records". Records sind (sehr simpel) Text-Files, welche Informationen über Domänen und Hosts beinhalten, zum Beispiel, wem die Domäne gehört, welche IP-Adresse welchem Host gehört, etc. Dies sind alles verschiedene Records.
Inhalte wie Name/IP werden dann zwischengespeichert, sobald sie das erste mal abgefragt wurden, damit bei der nächsten Abfrage Zeit gespart werden kann.
## Dynamisches DNS (DynDNS)
- Erweiterte Funktion
- Arbeitet mir DHCP zusammen
## Zonen
- Viele DC mit einzelnen DBs anstelle eines einzelnen Servers
- Was kann in eine Zone?
- Domain
- Sub-Domain
- Teile von Domains
![Zonen](/png/127_ch-8_zonen.drawio.png)
- Top-Level-Domain nicht in eigener Zone
## Nameserver
- Enthält *A* Records und *AAAA* Records
- Mindestens 1 Zone pro NS
![Nameserver](/png/127_ch-8_nameserver.drawio.png)
## Records
| Objekt | Kürzel | Beschreibung/Inhalt |
|---------------------|--------|-----------------------------------------|
| Autoritäts-Ursprung | SOA | Ressourcen für Root-Nameserver der Zone |
| Nameserver | NS | Alle DNS-Server der Zone |
| Host | A | IPv4 Forward-Lookup |
| Host | AAAA | IPv6 Forward-Lookup |
| Zeiger | PTR | Reverse-Lookup |
| Dienst | SRV | Netzwerkdienste von Clients |
| Alias | CNAME | Alternaive Namen |
| Mail Exchange | MX | Der Mail-Server der Domäne |
| Hostinfo | HINFO | OS & CPU des Host |
# Kapitel 9: DNS-Dienst einrichten und konfigurieren
## IP-Wahl
- Für interne Netze besser IPv4
- Für WAN IPv6 (z.B. Webserver)
- Server alle static IP
# Kapitel 10: DHCP - Dynamische IP-Konfiguration
## TCP/IP
- Protokoll-Stack
- Ansammlung von Protokollen wie *TCP*, *IP*, *ARP*, *ICMP*, etc.
- IPv4
- 32-Bit
- 4x8 Bits (4 Bytes; auch "Oktette")
- Wird üblicherweise in Dezimal oder Binär verwendet
- IPv6
- 128-Bit
- 8x2 Bytes
- Wird üblicherweise in Hexadezimal verwendet
### Subnetzmaske
- Gibt Netzwerk an
- Wird üblicherweise nach der IPv4-Adresse angegeben (`192.168.170.1/24`) => "CIDR-Notation"
- 3 Klassen:
| Klasse | Subnetz (DEC) | Subnetz (BIN) |
|--------|---------------|-------------------------------------|
| A | 255.255.255.0 | 11111111.11111111.11111111.00000000 |
| B | 255.255.0.0 | 11111111.11111111.00000000.00000000 |
| C | 255.0.0.0 | 11111111.00000000.00000000.00000000 |
### Private IP-Adressen
| Start-IP | End-IP | Subnetz (DEC) | Subnetz (CIDR-Notation) |
|-------------|-----------------|---------------|-------------------------|
| 10.0.0.0 | 10.255.255.255 | 255.0.0.0 | /8 |
| 172.16.0.0 | 172.31.255.255 | 255.127.0.0 | /12 |
| 192.168.0.0 | 192.168.255.255 | 255.255.0.0 | /16 |
### Netzwerkadresse und Broadcastadresse
Netzwerkadresse = Erste Adresse in einem Netzwerk <br />
Broadcastadresse = Letzte Adresse in einem Netzwerk
## DHCP
- *"Dynamic Host Configuration Protocol"*
- Vergibt IP-Adresse, Standard-Gateway, Subnetzmaske, DNS-Server und weitere Informationen
## APIPA
- *"Automatic Private IP Adressing"*
- Passiert auf Host wenn kein DHCP Response kommt
- Gibt IPv4-Adresse im Bereich `169.254.0.0/16`
## Static IP
- Nur für spezielle Geräte, auf welche man immer Zugriff haben soll
- Server
- Drucker
- Überwachungskameras
- etc.
- Kann entweder in DHCP-Settings oder auf Host eingerichtet werden
## DNS & DHCP
- DHCP gibt Änderungen direkt an DNS weiter
### WINS
- DNS für NetBIOS-Namen
- Nur Windows
- Veraltet
## Ablauf der Adressvergabe mit DHCP
1. DHCP-Client: Schickt *DHCP-Discover-Broadcast*
2. DHCP-Server: Antowrtet mit *DHCP-Offer*
3. DHCP-Client: Bestätigt Angebot *DHCP-Request*
4. DHCP-Server: Bestätigt Anfrage mit *DHCP-ACK* oder lehnt ab mit *DHCP-NACK*
# Kapitel 11: Physische Struktur von AD
## Standorte und Standortplanung
- Balance zwischen Faktoren finden:
- Kosten
- Geschwindigkeit
- Verlässlichkeit
- Vertrauenswürdigkeit / Integrität
## Replikation
Kopie des AD von einem DC auf einen Anderen
### Replikation innerhalb eines Standorts
Üblicherweise 1 Replikation pro Stunde
### Standortübergreifende Replikation
Üblicherweise alle 3h
# Kapitel 12: AD-Objekte verwalten
Alles ist in Container (=> Ordner) gepseichert
## Planung einer Domäne
Alles mit OUs machen wenn möglich
## Konten
- Berechtigungen an Gruppen vergeben und Nutzer in Gruppen einteilen
- Konto per Datum oder manuell deaktivieren wenn Mitarbeiter Unternehmen verlässt
- Usernames mit System und einheitlich gestalten
# Kapitel 13: Benutzer & Gruppen
## Benutzer
- Virtuelle Personen
- Meist 1 normales Konto pro Person, ev. 1 zusätzliches Admin-Konto
## Kontakte
- Personen ohne AD-Login
- Wenige Eigenschaften
## ACL
- *"Access Control List*
- Liste von Berechtigungen und welcher Person/Gruppe diese zugeordnet sind
## Verteilergruppen
- Für Emails
- Kann Benutzer & Kontakte enthalten
- Nicht wie Gruppen verwenden (nicht Berechtigungen anknüfen, lieber separate Gruppe erstellen)
# Kapitel 14: Gruppen verwalten
- Gruppen nach Standort und Abteilung sortieren
- Alle Berechtigungen an Gruppen knüpfen
- Mit *PowerShell* arbeiten (=> Effizienter)
# Kapitel 15: Rechte und Berechtigungen
Erlaubnis oder Verbot, Aktionen durchzuführen. An AD-Objekte gekoppelt
Verbote gewinnen immer über Erlaubnisse: Verbote nur einsetzen wenn absolut notwendig!
# Kapitel 16: AD-Berechtigungen verwalten
Mit *Microsoft Management Console*
# Kapitel 17: Berechtigungen anpassen
## NTFS-Berechtigungen
- Dateien/Ordner haben Berechtigungen
- Berechtigungen können an Nutzer und Gruppen vergeben werden
- Wenn möglich immer an Nutzer vergeben
- Nur Zugriff erlauben wo notwendig
- Zugriff nicht verweigern (=> Dateien können unbearbeitbar und unlöschbar werden)
## Freigabeberechtigungen
Verwalten unter *Computerverwaltung* -> *System* -> *Freigegebene Ordner*
## Berechtigungen für Drucker
3 Mögliche Berechtigungen:
- Drucken
- Drucker verwalten
- Dokumente (Druckwarteschlange) verwalten
# Kapitel 18: Dateidienste
## Ordner-Freigaben
Essentiell für Zusammenarbeit, vor allem bei grösseren Unternehmen. Kann alles im Server-Manager verwaltet werden
# Kapitel 19: Dateidienste planen
## Planung der Struktur
Wichtige Faktoren/Ziele beachten:
- Gemeinsame Verwendung von Dokumenten
- Datenaustausch
- Archivierung
- Datenschutz
- Verfügbarkeit
- Kosten
### Gemeinsame Verwendung von Dokumenten
- Gleiche Formatvorlagen für alle Mitarbeitende
- Einmalige Speicherung von Daten (exkl. Backup)
- Schneller Zugriff soll gewährleistet sein
- Struktur soll konsequent eingehalten werden
- Regelmässiges Aufräumen ist von Vorteil
### Datenaustausch
- Temporärer Ordner für Datenaustausch (z.B. grösser als per Mail möglich)
### Archivierung
- Version/Datum immer kennzeichnen
- Backups automatisch
### Datenschutz
- Daten von Abteilung A nur in Abteilung A sichtbar
- Verschlüsselung verwenden (*BitLocker*, verschlüsselter Datenverkehr)
### Verfügbarkeit
- Kontrollierte Redundanz (=> RAID, Backups)
### Kosten
- Mehrfachspeicherung nur wenn notwendig
# Kapitel 20: Gruppenrichtlinien
## Definition
Gruppen von Richtlinien. Auch *GPOs* genannt
## Vorteile
- Unerwünschte Funktionen können global deaktiviert werden
- Weniger Aufwand => weniger Kosten
## Einsatzgebiete
**Registry**
Festlegen, dass nur Administratoren Zugriff auf die Registry haben. Sinvolle Einträge (z.B. kein Windows Store) global festlegen
**Domainsicherheit**
Minimale Passwortkomplexität, automatische Kontosperrung auf Zeit (z.B. 6 Monate), Gültigkeitsdauer von Passwörtern, etc.
**Skripts**
Login-Scripts (z.B. Netzlaufwerke)
**Softwareinstallation**
Von Admins zur Verfügung gestellte Installer können genutzt werden, keine eigenen / aus dem Internet
**Internet Explorer / Microsoft Edge**
Einstellungen wie Passwort-Safe sperren, sodass alle Nutzer die gleichen haben
## Reihenfolge bei Verarbeitung von Gruppenrichtlinien
1. Der Computer startet
2. Lokale Gruppenrichtlinien
3. Start-Scripts
4. Liste der GPOs, welche nach dem Start ablaufen sollen
5. Nutzer loggt sich ein
6. Benutzerprofil wird geladen
7. Liste der GPOs, welche nach dem Login ablaufen sollen
8. Anmeldeskripts
9. GUI erscheint
# Kapitel 21: Sicherheitsrichtlinie einsetzen
Mit *Group Policy Management Console* (gpmc.msc) verwalten. Automatisch auf DC installiert
# Kapitel 22: Gruppenrichtlinien verwalten
Beispiele:
- Bildschirmschoner
- Laufwerke
- Passwörter
- Desktophintergrund
- Sperrbildschirmhintergrund
# Kapitel 23: Notfallsicherung
## Mögliche Massnahmen
- AD-Replikation
- Automatische Backup-Lösungen
- RAID
- AD-Papierkorb
# Quelle
<https://shop.herdt.com/de/product/W2019N>