none
Allg. Fragen zu GPO und Domänen RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Miteinander

    Ich habe einige grundlegende Fragen zu Server 2012.
    Erstmal mein Netzwerk:

    Server:
    Windows Server 2012 Standard
    2x Netzwerkkarte, 1x an Cable-Modem, 1x an Switch/internes Netzwerk
    DNS "cooperhome.local", eingerichtet und funktioniert
    DHCP-Server, eingerichtet und funktioniert
    NAT, eingerichtet und funktioniert
    Hyper-V, vorläufig 1x Win8Pro mit Gameserver

    Haupt-Client: Win8Pro, Benutzer angemeldet an MS-Konto

    XBMC-Clients (3x): Win8Pro

    Gast-Clients (Freundin und andere): Win7Pro

    Ich möchte folgendes erreichen:
    - Server soll einige Gameserver in Hyper-V hosten, als Firewall und NAT dienen
    - Haupt-Client soll mit MS-Konto in Domäne integriert werden, Netzlaufwerke sollen automatisch gemappt werden
    - XBMC-Clients sollen alle den gleichen Stand und Einstellungen haben (Netzlaufwerke, Registry-Änderungen für XBMC, XML-Configfiles für XBMC im User\Appdata-Ordner)
    - Gast-Clients sollen einige Netzlaufwerke gemappt und der Drucker automatisch installiert haben

    Folgende IP's sind fix eingestellt bzw. reserviert:
    - Server extern dynamisch
    - Server intern 192.168.20.1
    - WLan Router, Drucker & andere Hardware 192.168.20.2 - 192.168.20.9
    - Haupt-Client 192.168.20.10 & 192.168.20.11
    - XBMC-Clients 192.168.20.20 - 192.168.20.29
    - Gameserver in Hyper-V 192.168.20.30 - 192.168.20.39
    - Gast/Freunde dynamisch 192.168.20.50 - 192.168.20.200

    Nun zu meinen Fragen:

    1. Wenn ich per NAT eine Weiterleitung auf einen anderen Rechner mache wird die Firewall vom Server umgangen bzw. muss nichts eingestellt werden? Trifft dies auch auf die Systeme in Hyper-V zu?
    Mir kommt es vor als wäre es teilweise nötig eine Rule zu erstellen, teilweise nicht.

    2. Wie integriere ich mein MS-Konto in die Domäne? Muss ich da als Benutzername/Kennwort meine E-Mail und das MS-Passwort eintragen?

    3. Die Vorlagen bzw. Einstellungen möchte ich per GPO erstellen. Ich checke aber noch nicht ganz wie ich die einzelnen Gruppen in ADS, UO und GPD einstellen muss.
    Ich dachte mir für den Anfang benötige ich folgende Gruppen:
    - Manager (das wäre vorläufig mal mein MS-Konto)
    - XBMC intern
    - XBMC extern (Nachbar, ohne Schreibrechte auf den Netzlaufwerken und anderen XML-Settings, grösstenteils aber wie XBMC intern)
    - Freunde (vorläufig nur meine Freundin, später solche die immer wieder vorbei kommen)

    Wo muss ich jetzt diese Benutzer und Benutzergruppen erstellen? In ADS unter "User" oder in ADS jeweils eine neue OU erstellen und die einzelnen Benutzer dort erstellen?
    Falls neue OU: Für jede Gruppe (Manager, XBMC intern, XBMC extern, Freunde) eine OU erstellen?

    Müssen die Benutzer z.B. XBMC immer Mitglieder von "Domänen-Benutzer" oder reicht die Gruppe "XBMCClients"?

    Ich habe ja 3 Rechner (Computernamen "XBMC-WZ", "XBMC-SZ" und "XBMC-AZ") mit dem selben Nutzer "XBMC". GPO Updates kann ich ja nur machen wenn jeder Rechner in der OU ist, der Benutzername allein reicht da nicht, oder?

    4. Gibt es eine Möglichkeit bei neuen Rechner/Benutzern beim erstmaligen Anmelden an der Domäne die gewünschte Gruppe auszuwählen (über den Admin-Account)? Oder muss das immer erst am Server vorbereitet werden?





    Mittwoch, 29. Mai 2013 17:39
    |

Alle Antworten

  • Discussion
    Anmelden
    0
    Anmelden

    Zu viele Fragen für einen einzelnen Post - und auch eher privater Natur, da sehe ich kein Unternehmensnetzwerk dahinter. Bitte besser in answers.microsoft.com versuchen.

    mfg Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

    Donnerstag, 30. Mai 2013 20:23
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Ja das stimmt, ist momentan eher privat. Ich möchte irgendwann das ganze aber später im Betrieb einsetzen. Zum Testen und ein wenig Erfahrung sammeln sind praktische Fälle für mich eher verständlich.

    Im übrigen hat ich das mit der GPD mittlerweile kapiert und auch erfolgreich in Betrieb genommen, die Probleme von Oben sind fast alle behoben.

    Das einzige was ich nicht verstehe ist die Firewall auf dem Server...
    Ich kann z.B. mit FileZilla auf meinem Rechner in der Domäne keinen externen Server connecten. Wenn ich die FW auf dem Server und meinem PC deaktiviere gehts (teilweise). Vieleicht können Sie mir dazu etwas sagen oder kennen ein gutes Tutorial? Wie gesagt, ich verstehe noch nicht wann die FW auf dem Server durchlaufen wird.

    Donnerstag, 30. Mai 2013 20:30
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Was hat die FW auf nem Server mit einer Applikation auf nem Client zu tun? (Außer der Server wäre auch TMG/ISA, also Internet-Router...) FTP ist immer schwierig wegen active FTP (die eigentliche Verbindung wird von remote initiiert auf nem anderen Port - "passive" sagt Dir was?).

    Und normalerweise duzen wir uns hier ;*)

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

    Donnerstag, 30. Mai 2013 20:37
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Ja, der Server ist auch Router. Ich habe 2 Netzwerkkarten eingebaut, an einer hängt das Cable-Modem, an der anderen der Switch für das restliche Netzwerk. Der Server ist DHCP und NAT (Routing und RAS). Ich hatte erst eine Fritzbox als Router, der DHCP-Server ist aber sehr mühsam einzustellen und ändert auch ständig die eigentlich fixen IP's im Netz.

    Ich denke ich weiss was Du meinst: FileZilla baut die Verbindung zum Server auf (Willkommen kommt mal an), der Server benutzt dann aber irgend einen Port um die Verbindung aufzubauen (?).

    Donnerstag, 30. Mai 2013 20:43
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Nimm den Router als Router und lass den Windows Server Server sein... Routing und andere Dienste gleichzeitig (speziell AD und Hyper-V) vertragen sich nicht.

    Den DHCP-Dienst auf dem Router kannst Du ja deaktivieren, wenn Du den nicht magst und mit dem Windows DHCP-Dienst besser zurecht kommst.

    Mein Tipp: Auf die Hardware kommt direkt der Hypervisor und vielleicht noch DHCP. Alle andere Dienst kommen in VMs. Macht es sauber, stabiler und einfacher zu händeln.

    2 NICs in einem Domain Controller willst Du nicht.... nein, frag nicht! :)

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Donnerstag, 30. Mai 2013 21:09
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    Hyper-V host ist NIEMALS gleichzeitig ein DC und ein DC nutzt niemals mehr als eine Netzwerkkarte(so genanntes Multi-homing resultiert in Problemen die Du NICHT willst).

    Ein Hyper-V Host macht NICHTS anderes als virtuelle Maschinen HOSTEN. Domänenmitgliedschaft ist nicht erforderlich.

    Ein Router routet und ein Server stellt Rollen/Dienste und Applikationen zur Verfügung. DHCP sollte besser auf einem Windows Server laufen, wesentlich mehr Funktionalität und Integration in die Domäne sind der Vorteil.

    Konto-Verknüpfung mit einer Domäne: http://windows.microsoft.com/de-de/windows-8/connect-microsoft-domain-account

    Im AD richtet man sich seine eigene Struktur mit Organisationseinheiten nach eigener Planung ein. Das ist immer individuell und erleichtert die Konfiguration OHNE alles auf Domänen-Level mit GPOs zu konfigurieren. Die vorgegebenen OUs lässt man normalerweise außen vor. Dienste-Kontos können dort kreiert werden um sicher zu sein das nicht eigene GPOs zuschlagen die man darauf nicht angewendet haben möchte.

    Es gibt Computer UND Benutzer Richtlinien und entsprechend sollten die Kontos in der OU sein wo die Richtlinie verlinkt ist.

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Samstag, 1. Juni 2013 12:35
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Wie würdest Du denn das Netzwerk einrichten? Ich habe ja nicht unbegrenzt Hardware zur Verfügung...

    Ich besitze:

    Server:
    i7 mit 16GB RAM
    Windows Server 2012 Standard (vorerst 01x Dreamspark Lizenz/Uni)
    750GB HD als Systemfestplatte
    RAID6 Controller mit 10 HD's
    01x NIC OnBoard
    01x NIC separate Karte

    Arbeitsrechner:
    - mein Benutzeraccount mit Adminrechten
    - weiterer Benutzeraccount für die Freundin

    Gästerechner:
    - hier soll sich meine Freundin und weitere Freunde die öffters mal hier sind einloggen können

    XBMC Clients:
    03x Windows 8 Pro
    01x RaspberryPi

    XBMC Client Nachbar:
    01x Windows 8 Pro

    Rechner der Freundin:
    Dell Notebook

    - Cablemodem von Cablecom (nur Modem, ohne Router)

    - Fritzbox mit WLAN und Routerfunktion/NAS

    - 16 Port Switch von ZyXel

    - 1500 Watt USV (am Server, Modem und Switch)

    - Netzwerkdrucker

    - 01x WLAN AP im 2. Stock


    Ich möchte:
    - Server als DC nutzen
    - Server als DHCP Server nutzen, da die Fritzbox hierbei unzuverlässig ist
    - Server als Hyper-V nutzen für mehrere Game- und TeamSpeak-Server (momentan alle VM's Windows 8 Pro)
    - Server als Datenschleuder (Filme & Serien) für alle XBMC-Clients
    - Server als Datenschleuder (Filme & Serien) für den XBMC-Client des Nachbars
    - Server als MySQL Server für alle XBMC-Clients


    Ich möchte GPO vor allem nutzen um:
    - Netzlaufwerke automatisch einzubinden (je nach Benutzer)
    - geänderte Settings für XBMC-Clients beim Booten vom Server zu holen (so sind immer alle Clients auf dem gleichen Stand und ich muss nicht immer beim Nachbarn manuell nachhelfen)
    - geänderte Settings für Gameserver beim Booten vom Server holen


    Die GPO's hab ich schon recht gut verstanden (es funktioniert mal).

    OU Gameserver (z.Zt. nur Arma3):
    ----- OU Arma3Server
    ----- ----- Benutzer arma3
    ----- ----- Computer ARMA3SERVER
    ----- OU Left4DeadServer
    ----- ----- Benutzer left4dead
    ----- ----- Computer LEFT4DEADSERVER

    ----- OU XBMC intern
    ----- ----- OU Benutzer
    ----- ----- ----- Benutzer xbmc (verwende ich bei allen XBMC-Clients)
    ----- ----- OU Computer
    ----- ----- ----- Computer HTPC-WZ
    ----- ----- ----- Computer HTPC-SZ
    ----- ----- ----- Computer HTPC-AZ

    Was ich noch nicht ganz verstanden habe ist die Aufteilung von Benutzer und Computer in eigene OU's, zumindest in meinem Fall sehe ich noch keinen Vorteil bei bestender Struktur. Ich könnte ja auch bei den Gameservern einen gemeinsamen Benutzer GameServer verwenden und mir somit separate Autologins ersparen (dieses Objekt würde ich dann direkt im OU Gameserver ablegen).

    Hier ein Screenshot (kann den leider nicht einbetten): i39.tinypic.com/ea2o7b.jpg

    Wie schon erwähnt, ich soll irgendwann einen Windows Server 2012 Standard/Essentials im Büro einrichten, möchte aber zuerst alles zu Hause testen.

    Samstag, 1. Juni 2013 14:43
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    Hyper-V installieren auf der Hardware, das wars.

    Darauf mind. 2 VMs:

    1 x DC/DNS/GC

    1 x DHCP/Data/ggf.Druckserver

    Clients wie Du sie brauchst. Und die GameVMs solltest Du besser da lassen wo sie sind. Die CPU Belastung wird denke ich recht hoch sein und der Server mag damit nicht klar kommen oder aber Du testet es ausführlich mit einer GameVM nach der anderen.

    Netzwerkübersicht wäre für mich so aufgeteilt:

    Internet > Modem/Fritzbox(Rotuer) > Switch > ALLE Computer die im LAN laufen sollen. Den Server NICHT über WLAN anbinden sondern mit Kabel.

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Samstag, 1. Juni 2013 15:11
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    ist die Thematik abgeklärt? Wenn ja, bitte auch die Antworten markieren, die Dir geholfen haben.

    Gruss,
    Raul

    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Montag, 3. Juni 2013 10:23
    |