Windows Server 2016

Bewertung: 0 / 5

Stern inaktivStern inaktivStern inaktivStern inaktivStern inaktiv

Windows Server 2016 macht wie jeder Server bei einer Upgrade Installation einen Compliance Check. Erst wenn, dabei keine Fehler gemeldet werden kann das Upgrade gestartet werden.

Ich hatte bei einem Server das Problem, dass der Complicence Check imer meldete, dass "Unix" Komponenten installiert sind. Das war aber definitiv nicht der Fall.

Deshalb schaltete ich den Compliance Check einfach aus:

ISO Datei Server 2016 entpacken

sources\compliance.ini: Löschen  oder auskommentieren der Zeile mit dem Wert  “IDMUUpgradeComplianceCheck”.

compliance 02

compliance 01

setup starten

Bewertung: 5 / 5

Stern aktivStern aktivStern aktivStern aktivStern aktiv

Im Artikel "Migration Active Directory Domäne 2012 R2 nach 2016" habe ich den Transfer der FSMO Rollen mit Hilfe von Powershell beschrieben.

Hier nun die alt bewährte Methode mit Hilfe des Kommandozeilen Tools NTDSUTIL.

Am neu hinzugefügten DC 2016 eine administrative Kommandozeile öffnen und folgende Befehle eingeben:

netdom query fsmo -->enter

Migrate DC 2016 02 

ntdsutil  -->enter

roles  -->enter

connections -->enter

connect to server fab-dc02 -->enter

help -->enter

ntdsutil 01

Nun die einzelnen Rollen die der Parameter help anzeigt markieren, kopieren und einfügen und mit enter bestätigen

ntdsutil 02

Bestätigen mit JA

ntdsutil 03

Der obige Schritt wird nun weitere 4x für die anderen Rollen wiederholt und jedesmal mit JA bestätigt.

Transfer naming master

Transfer PDC

Transfer RID master

Transfer schema master

Nach dem Transfer kann man überprüfen, ob die rollen übertragen wurden.

netdom query fsmo

ntdsutil 04

 

 

 

Bewertung: 0 / 5

Stern inaktivStern inaktivStern inaktivStern inaktivStern inaktiv

Ausgangslage:

Netzwerk: 192.168.50.0/24

VM mit Windows Server 2012 R2 Standard  als Domänencontroller der Domäne fabuloso.intern.

Name: fab-DC01.fabuloso.intern, IP-Adresse 192.168.50.200

AD Schema Version abfragen über Powershell oder aus Registry auslesen: Get-ADObject (Get-ADRootDSE).schemaNamingContext -Property objectVersion

AD Server 2012 R2 = 69

Migrate DC 2016 01

FSMO Rollen abfragen: (diese werden später auf den neuen DC übertragen)

Migrate DC 2016 02

 

Vorbereiten:

VM mit Windows Server 2016 Standard, inkl. aller Patches

Name: fab-DC02.fabuloso.intern, IP-Adresse 192.168.50.201, DNS 192.168.50.200

ServerManager, Rollen hinzufügen: Active Directory-Domänendienste

Migrate DC 2016 03

Migrate DC 2016 04

Migrate DC 2016 05

Migrate DC 2016 06

Migrate DC 2016 07

Nach der Installation der Rolle und ihren Abhängigkeiten: Konfiguration durchführen

Migrate DC 2016 08

Weiterlesen: Migration Active Directory Domäne 2012 R2 nach 2016

Bewertung: 0 / 5

Stern inaktivStern inaktivStern inaktivStern inaktivStern inaktiv

Gerade in Testumgebungen braucht oft schnell eine VM mit einem Server Betriebssystem oder einem Windows Client System.

Mit Hilfe des Powershell Scripts "Convert-WindowsImage" (ist die Weiterentwicklung des Scripts WIM2VHD) kann einfach eine WIM-Datei in eine vhdx Datei konvertiert werden.

Das Script, das auf der  Technet Gallery angeboten wird funktioniert leider nicht wirklich. Stattdessen holt man sich das Script direkt aus dem Installationsmedium "Windows Server 2016". Das Script befindet sich im Ordner "NanoServer\NanoServerImageGenerator"

Convert Wim 02

Um das Script nutzen zu können, muss es zuerst per Dot Sourcing in den globalen Workspace der Powershell Sitzung geladen werden, da das Script nur eine Powershell Funktion enthält.

Convert Wim 03

 Convert Wim 01

Convert-WindowsImage

-SourcePath

-Edition

-VHDPath

-UnattendPath

-SizeBytes

-VHDFormat

-DiskLayout

 

 

Bewertung: 0 / 5

Stern inaktivStern inaktivStern inaktivStern inaktivStern inaktiv

Microsoft rät prinzipiell von einem in-place upgrade eines Server 2012/R2 auf Server 2016 ab. Sollte der Server auch noch Domänencontroller sein, sind einige Fehler bereits vorprogrammiert, wenn mittels eines in-place upgrades auf Server 2016 gewechselt wird.

Betroffen davon ist auch der Zeitserverdienst. Dieser ist nach einem in-place upgrade nicht mehr funktionstüchtig.

Der DC verliert die Verbindung zum externen Zeitserver und steht im Domänen Netzwerk auch nicht mehr als Zeit Server zur Verfügung, woraufhin alle Clients und Server auf time.windows.com zurückgreifen werden.

Microsoft hat in einem Support Artikel "Windows Time Service settings are not preserved during an in-place upgrade to Windows Server 2016 or Windows 10 Version 1607"  drei mögliche Methoden zur Problemlösung beschrieben.

Bewertung: 5 / 5

Stern aktivStern aktivStern aktivStern aktivStern aktiv

Aktivieren der Überwachung am Domänen Controller und protokollierem im Eventlog.

Folgende Schritte ausführen, um bestimmte Ereignisse zu überwachen:

  1. Gruppenrichtlinien Management Console starten (Start-Process $env:systemdrive:\windows\system32\gpmc.msc)
  2. Default Domain Controllers Policy wählen
  3. Rechts Klick Bearbeiten
  4. Navigiere zu Computerkonfiguration --> Richtlinien --> Windows Einstellungen --> Sicherheitseinstellungen --> Lokale Richtlinien -->Überwachungsrichtlinie
  5. Überwachungsrichtlinie doppelklicken und im rechten Fenster die gewünschten Einstellungen auswählen und konfigurieren
  6. Domänen Controller neu starten

User Account audit 01

Ereignis IDS bei der Kontoverwaltungsüberwachung: (S=Success, F=Fail)

4720 (S): A user account was created.
4722( S): A user account was enabled.
4723 (S, F): An attempt was made to change an account's password.
4724 (S, F): An attempt was made to reset an account's password.
4725 (S): A user account was disabled.
4726 ( S): A user account was deleted.
4738 ( S): A user account was changed.
4740 ( S): A user account was locked out.
4765 (S): SID History was added to an account.
4766 ( F): An attempt to add SID History to an account failed.
4767 (S): A user account was unlocked.
4780 (S): The ACL was set on accounts which are members of administrators groups.
4781 (S): The name of an account was changed.
4794 (S, F): An attempt was made to set the Directory Services Restore Mode administrator password.
4798 (S): A user's local group membership was enumerated.
5376 (S): Credential Manager credentials were backed up.
5377 (S): Credential Manager credentials were restored from a backup.

 

Quellen: https://docs.microsoft.com/en-us/windows/device-security/auditing/audit-user-account-management

Bewertung: 0 / 5

Stern inaktivStern inaktivStern inaktivStern inaktivStern inaktiv

In Windows Server 2016 ist SMB Version 1.0 standardmäßig aus Kompatibilitätsgründen aktivert. Sollte SMB v1 in einem Netzwerk nicht mehr gebraucht werden (kein Windows XP, Server 2003), dann sollte dieses Protokoll deaktiviert bzw. entfernt werden.

Manchmal verwenden auch noch ältere Drucker/Kopierer bzw. NAS Systeme dieses Protokoll, deshalb vorher vergewissern, dass es im Netzwerk nicht mehr gebraucht wird.

Um eine etwaige Verwendung zu überprüfen, kann man sich in der Ereignisanzeige die Überwachung für SMB v1 einschalten:

Powershell: Set-SmbServerConfiguration -AuditSmb1Access $true

SMBv1 01

Log Datei anschauen:

Powershell:  Get-WinEvent -Logname Microsoft-Windows-SMBServer/Audit

SMBv1 02

oder

Ereignisanzeige --> Anwendungs- und Dienstprotokolle --> Microsoft --> Windows --> SMBServer -->Audit

 

SBM Version 1.0 auf der Server Seite dekativieren

Powershell: Get-SmbServerConfiguration

SMBv1 03

SMBv1 043

SMBv1 05

SMB Version 1.0 auf der Server Seite entfernen

Powershell: Remove-WindowsFeature FS-SMB1

 

 

Altaro

Silver 164

Bücher

jarz Windows 10 klein
 

Copyright © winxperts4all.com. All Rights Reserved.