Windows Server 2008 umfasst Verbesserungen bei den Active Directory-Domänendiensten, die die Verwaltung der Domänendienste vereinfachen und Administratoren mehr Flexibilität beim Erfüllen der Anforderungen von Filialen bieten. Dies sind einige der wichtigsten Verbesserungen bei der Verwaltung:

- Ein aktualisierter AD DS-Installationsassistent (Active Directory-Domänendienste)

- Änderungen an der Microsoft Management Console, die zum Verwalten von AD DS verwendet wird

- Neue Installationsoptionen für Domänencontroller

- Aktualisierter Installationsassistent, der die AD DS Installation vereinfacht

- Verbesserte Schnittstelle und Verwaltungsoptionen für AD DS

Beim neuen Installationsassistenten sind jetzt alle verwandten Funktionen zusammengefasst, sodass der Prozess rationalisiert und während der Bereitstellung Zeit gespart wird. Bei einer unbeaufsichtigten Installation in Windows Server 2008 ist eine Antwort des Benutzers auf Eingabeaufforderungen der Benutzeroberfläche nicht erforderlich, wodurch Remoteinstallationen noch weiter vereinfacht werden. Dies ermöglicht ausserdem die Installation von AD DS in einer Server Core-Installation. Um sicherzustellen, dass ein neu installierter DNS-Server ordnungsgemäss arbeitet, wird DNS automatisch für DNS-Clienteinstellungen, Weiterleitungen und Stammhinweise, sofern notwendig, auf der Basis der ausgewählten Installationsoptionen konfiguriert.

Diese in Windows Server 2008 angebotenen Verbesserungen bei der AD DS-Schnittstelle reduzieren die Zeit bei der IT-Administration, indem die anfängliche Bereitstellung rationalisiert wird, was die Verwaltung von Servern in Filialen vereinfacht.

 

Ein Read-Only-Domänencontroller (RODC) ist eine neue Art von Domänencontroller im Windows Server 2008-Betriebssystem, der hauptsächlich für die Bereitstellung in einer Umgebung mit Unternehmensniederlassungen entworfen wurde. Ein RODC kann die Risiken der Bereitstellung eines Domänencontrollers an Remotestandorten wie Filialen reduzieren, in denen die physische Sicherheit nicht garantiert werden kann.

Mit Ausnahme von Kontokennwörtern sind alle Microsoft AD DS-Objekte und Attribute (Active Directory-Domänendienste), die in einem beschreibbaren Domänencontroller enthalten sind, in einem RODC enthalten. Clients können jedoch Änderungen nicht direkt auf einen RODC schreiben. Da Änderungen nicht direkt auf den RODC geschrieben und daher nicht lokal durchgeführt werden, müssen schreibbare Domänencontroller, die Replikationspartner sind, keine Änderungen vom RODC abrufen. Die Administratorrollentrennung bestimmt, dass jeder beliebige Domänenbenutzer als lokaler Administrator eines RODC delegiert werden kann, ohne dass diesem Benutzer Benutzerrechte für die Domäne selbst oder andere Domänencontroller gewährt werden.

 

In einem Microsoft Windows-basierten Netzwerk können Administratoren Server- und Domänenressourcen logisch isolieren, um den Zugriff auf authentifizierte und autorisierte Computer zu isolieren. Ein logisches Netzwerk kann beispielsweise innerhalb des vorhandenen physischen Netzwerks erstellt werden, in dem Computer einen gemeinsamen Satz an Anforderungen für die sichere Kommunikation nutzen. Jeder Computer in diesem logisch isolierten Netzwerk muss anderen Computern Anmeldeinformationen zum Authentifizieren im isolierten Netzwerk bereitstellen, um eine Verbindung herzustellen.

Diese Isolierung hindert nicht autorisierte Computer und Programme daran, auf nicht ordnungsgemässe Weise auf Ressourcen zuzugreifen. Anforderungen von Computern, die nicht Teil des isolierten Netzwerks sind, werden ignoriert. Die Server- und Domänenisolierung kann dazu beitragen, bestimmte hochwertige Server und Daten sowie verwaltete Computer vor nicht verwalteten oder nicht autorisierten Computern und Benutzern zu schützen.

Zum Schutz eines Netzwerks können zwei Arten der Isolierung verwendet werden:

 

- Serverisolierung: In einem Serverisolierungsszenario werden bestimmte Server mithilfe der IPSec-Richtlinie so konfiguriert, dass nur authentifizierte Kommunikation von anderen Computern angenommen wird. Der Datenbankserver kann beispielsweise so konfiguriert werden, dass nur Verbindungen vom Webanwendungsserver angenommen werden.

 

Unternehmens-PKI (PKIView)
Beim Windows Server 2008- und Windows Vista-Betriebssystem gibt es eine Reihe von Verbesserungen bei der Infrastruktur für öffentliche Schlüssel (Public Key Infrastructure, PKI). Die Verwaltbarkeit bei allen Aspekten von Windows PKI wurde verbessert, die Sperrungsdienste wurden überarbeitet, und die Angriffsfläche bei der Registrierung wurde verringert. Die PKI-Verbesserungen umfassen folgende:

 

- Unternehmens-PKI (PKIView): PKIView war ursprünglich Teil des Microsoft Windows Server 2003 Ressource Kit und wurde als PKI Health-Tool bezeichnet. Heute ist es ein MMC-Snap-In (Microsoft Management Console) für Windows Server 2008 und dient zur Analyse des Zustands von Zertifizierungsstellen und zum Anzeigen der Einzelheiten von Zertifikaten, die in AD CS veröffentlicht wurden.

 

- Online Certificate Status-Protokoll (OCSP): Ein Onlineantwortdienst auf der Basis des Online Certificate Status-Protokolls (OCSP) kann zum Verwalten und Verteilen von Informationen zum Sperrstatus in Fällen verwendet werden, in denen die Verwendung von konventionellen CRLs keine ideale Lösung ist. Onlineantwortdienste können auf einem einzelnen Computer oder in einem Onlineresponderarray konfiguriert werden.

 

- Network Device Enrollment Service (NDES): In Windows Server 2008 ist der Network Device Enrollment Service (NDES) die Microsoft-Implementierung des Simple Certificate Enrollment-Protokolls (SCEP), eines Kommunikationsprotokolls, das die Ausführung von Software auf Netzwerkgeräten wie Routern und Switches ermöglicht, die andernfalls im Netzwerk nicht authentifiziert werden können, um X.509-Zertifikate von einer Zertifizierungsstelle zu registrieren.

 

- Webregistrierung: Die neue Webregistrierungssteuerung ist sicherer, die Skriptprogrammierung ist einfacher, und sie lässt sich leichter als vorherige Versionen aktualisieren.

 

- Gruppenrichtlinie und PKI: Mithilfe der Zertifikateinstellungen in der Gruppenrichtlinie können Administratoren Zertifikateinstellungen von einem zentralen Standort aus für alle Computer in der Domäne verwalten.

 

 

Dies ist das Aufbau-Seminar für Microsoft Windows Server 2008 System-Administratoren.

After completing this course, students will be able to:

Describe and configure server roles with Active Directory Services in Windows Server 2008.

Plan for and deploy Active Directory Domain Services.

Install, configure, and manage the Server Core role as a domain controller.

Manage accounts, subnets, Site-Links, Group Policy, and DNS configuration with Active Directory Domain Services.

Manage new Active Directory services, including Active Directory Federation Services, Active Directory Lightweight Directory Services, and Active Directory Rights Management Services.

Set up and manage Read-Only Domain Controllers (RODC).

Use auditing features in Active Directory Domain Services.

Manage credentials with Active Directory Certificate Services, including Credential Roaming.

This course is intended for IT Professionals experienced on the technologies included in Windows Server 2000 and Windows Server 2003, and who hold an MCSE or MCSA certification and/or equivalent knowledge.