Active Directory-Domänendienste in Windows Server 2019
Aktualisiert Marsch 2023: Erhalten Sie keine Fehlermeldungen mehr und verlangsamen Sie Ihr System mit unserem Optimierungstool. Holen Sie es sich jetzt unter - > diesem Link
- Downloaden und installieren Sie das Reparaturtool hier.
- Lassen Sie Ihren Computer scannen.
- Das Tool wird dann deinen Computer reparieren.
Windows Server 2019 ist das neue Engagement von Microsoft für das gesamte breite Unternehmenssegment, das beschlossen hat, diesem innovativen und stets zuverlässigen Betriebssystem sein Vertrauen und seine Dienste zu schenken. Das neue Die Windows Server-Version 2019 basiert auf vier Grundpfeilern:
- Hybrid
- Sicherheit
- Anwendungsplattform
- Hyperconvergence Infrastructure
Dies garantiert uns ein skalierbares, sicheres und zuverlässiges System, in dem die Verwaltungsoptionen viel umfassender sind.
Bei der Verwaltung von Windows Server spielen eine Reihe von Rollen und Diensten eine Rolle Eine wichtige Rolle bei der gesamten Leistung auf Struktur- und Organisationsebene und eine der wichtigsten sind die Active Directory-Domänendienste. Aus diesem Grund wird AdminGuides eine vollständige Analyse dessen durchführen, was diese Dienste sind und woraus sie bestehen ein globales Verständnis aller Auswirkungen, die sie auf das System und die Objekte haben beim Erstellen und sollte verwaltet werden.
1. Active Directory-Domänendienste in Windows Server 2019
Besser bekannt als AD DS (Active Directory-Domänendienste) ) wurden eingerichtet, um die am besten geeigneten Methoden zum Speichern von Verzeichnisdaten anzubieten und um zu ermöglichen, dass diese Daten Benutzern und Netzwerkadministratoren immer zur Verfügung stehen, nur um eine Vorstellung davon zu haben, was der AD DS speichert Informationen, die Benutzerkonten mit Details wie Namen, Kennwörtern, Telefonnummern usw. zugeordnet sind und anderen autorisierten Benutzern in der Domäne den Zugriff auf diese Informationen ermöglichen.
Wichtige Hinweise:
Mit diesem Tool können Sie PC-Problemen vorbeugen und sich beispielsweise vor Dateiverlust und Malware schützen. Außerdem ist es eine großartige Möglichkeit, Ihren Computer für maximale Leistung zu optimieren. Das Programm behebt häufige Fehler, die auf Windows-Systemen auftreten können, mit Leichtigkeit - Sie brauchen keine stundenlange Fehlersuche, wenn Sie die perfekte Lösung zur Hand haben:
- Schritt 1: Laden Sie das PC Repair & Optimizer Tool herunter (Windows 11, 10, 8, 7, XP, Vista - Microsoft Gold-zertifiziert).
- Schritt 2: Klicken Sie auf "Scan starten", um Probleme in der Windows-Registrierung zu finden, die zu PC-Problemen führen könnten.
- Schritt 3: Klicken Sie auf "Alles reparieren", um alle Probleme zu beheben.
Beachten Sie, dass Active Directory ein strukturiertes Data Warehouse verwendet, um dies zu tun Die Verzeichnisinformationen sind logisch und hierarchisch organisiert. Bei diesen Objekten handelt es sich normalerweise um gemeinsam genutzte Ressourcen wie Server, Volumes, Drucker und Benutzerkonten.
In Windows Server 2019 wurden Active Directory-Domänendienste eingerichtet, um die Fähigkeit von zu verbessern jeder Administrator zu p Rotieren Sie Active Directory-Umgebungen, indem Sie die Option zur Migration auf Hybrid- und Cloud-Bereitstellungen zulassen. Dies ist ein Trend, der einen hohen Stellenwert hat, da viele Anwendungen und Dienste in der Cloud gehostet werden.
Die Verbesserungen, die wir in der Domäne sehen werden Folgende Dienste in Windows Server 2019 sind verfügbar:
Einige seiner Vorteile sind:
- Neue Prozesse in MIM, um Administratorrechte anzufordern
- Eine neue Rolle der Active Directory-Gesamtstruktur, die von MIM generiert wird.
- Neue Sicherheitsprinzipien (Gruppen)
- Die ablaufenden Links sind in verfügbar Alle Attribute, die mit den
- KDC-Verbesserungen verknüpft sind, wurden in Active Directory-Domänencontroller integriert, um die Lebensdauer des Kerberos-Tickets auf den niedrigstmöglichen Wert für die Lebensdauer (TTL)
- Neue Überwachungsfunktionen zum Erweitern der Ergebnisse von Verwaltungsaufgaben.
- zu beschränken
- Verfügbarkeit moderner Einstellungen auf Windows-Geräten auf Organisationsebene
- Roaming- oder Personalisierungsdienste, neue Eingabehilfeneinstellungen und Verbesserungen der Anmeldeinformationen
- Zugriff auf den Microsoft Store mit einem Arbeitskonto
- Auf die Ressourcen des Unternehmens kann jetzt auf Mobilgeräten zugegriffen werden, die nicht mit einer Windows-Unternehmensdomäne verbunden werden können.
- Einmaliges Anmelden in Office 365 und anderen Anwendungen
- Auf BYOD-Geräten kann einer Person ein Arbeitskonto hinzugefügt werden, das entweder eine lokale Domäne oder Azure AD verwendet Gerät und nutzen Sie daher SSO-Ressourcen
- Unterstützung ‚Kiosk‘ -Modus
Wenn wir diese Methode verwenden, meldet sich der Benutzer mit einer biometrischen Anmeldeinformation oder PIN, die mit einem Zertifikat oder einem asymmetrischen Schlüsselpaar verknüpft ist, am Gerät an. Daher validieren Identitätsanbieter (IDPs) den Benutzer, der sich anmeldet Das Zuweisen des öffentlichen Schlüssels des Benutzers zu IDLocker und damit die Anmeldeinformationen werden mithilfe der OTP-Methode (One Time Password) oder eines anderen Benachrichtigungsmechanismus abgerufen.
2. Entwerfen und Planen von Active Directory-Domänendiensten in Windows Server 2019
Wenn wir uns für die Implementierung von Active Directory-Domänendiensten unter Windows Server 2019 entschieden haben, können Sie auf ein vollständiges zentrales Verwaltungsmodell zugreifen und das Einzelzeichen erhalten -on (SSO) -Funktion, die von AD DS generiert wird.
- Vereinfachen Sie die Verwaltung von Ressourcen und Benutzern
- Erstellen Sie skalierbare, secu re und einfache Verwaltungsinfrastruktur.
- Verwalten der Netzwerkinfrastruktur, einschließlich Objekte, Microsoft Exchange Server und Umgebungen mit mehreren Domänen.
- Entwurfsphase, in der der Entwurf für die logische Struktur von AD DS erstellt wird
- In der Implementierungsphase testet das Implementierungsteam das Design in einer Laborumgebung und implementiert es dann in der Produktionsumgebung, um die optimale Leistung der Services und Prozesse nicht zu beeinträchtigen.
- In der Betriebsphase sind wir für die Verwaltung und Aufrechterhaltung des Verzeichnisdienstes im optimalen Betrieb verantwortlich.
- Entwerfen Sie die logische Struktur von Active Directory unter Berücksichtigung Die Anzahl der Gesamtstrukturen, die verwendet werden sollen, um die erforderlichen Designs für die Domänen, die DNS-Infrastruktur (Domain Name System) und die Organisationseinheiten (OU) zu erstellen.
- Entwerfen Sie die zu verwendende Topologie Eine logische Darstellung des verfügbaren physischen Netzwerks
- Definieren Sie die Kapazität des Domänencontrollers, bestimmen Sie die geeignete Anzahl von Domänencontrollern für jeden Standort und überprüfen Sie, ob diese die Hardwareanforderungen für Windows Server 2019 erfüllen
- Aktivieren der erweiterten Funktionen von AD DS in Windows Server 2019.
- Vereinfachte Verwaltung von Microsoft Windows-basierten Netzwerken, in denen eine große Anzahl von Objekten enthalten ist.
- Möglichkeit, die administrative Kontrolle zu delegieren Ressourcen
- Eine starke Domänenstruktur und reduzierte Verwaltungskosten
- Reduzierte Auswirkungen auf netwo Steigerung der Leistung der gesamten Bandbreite im gesamten Unternehmen
- Vereinfachte gemeinsame Nutzung von Ressourcen
- Optimale Suchleistung
3. Bereitstellen von Active Directory-Domänendiensten unter Windows Server 2019
Nachdem wir detailliert definiert haben, wie die Domänendienste von Active Directory verwendet werden sollen, fahren wir mit deren Installation fort Wir haben mehrere Alternativen, die die traditionellste Grafikform sind.
Dazu gehen wir zum Serveradministrator und wählen die Option ‚Rollen und Funktionen hinzufügen‘. Wir gehen zum Abschnitt ‚Active Directory Domain Services‘. Befolgen Sie die Schritte des Assistenten für die Konfiguration der Domäne und der Gesamtstruktur:
Weitere Informationen finden Sie unter folgendem Link:
Wir können Führen Sie diesen Prozess auch über Windows PowerShell aus. Dazu müssen Sie Folgendes ausführen: Fügen Sie die Rolle hinzu, mit der die AD DS-Serverrolle installiert wird, und installieren Sie die Verwaltungstools für AD DS- und AD LDS-Server, einschließlich GUI-basierter Tools wie Active Directory-Benutzer und -Computer Mit den Befehlszeilentools führen wir Folgendes aus:
Install-windowsfeature -name AD-Domain-Services -IncludeManagementTools
Nun führen wir den folgenden Befehl aus, um die verfügbaren anzuzeigen Cmdlets im ADDSDeployment-Modul:
Get-Command -Module ADDSDeployment
Wenn die Liste der Argumente angezeigt werden soll, die für ein bestimmtes Cmdlet angegeben werden können, führen wir Folgendes aus Syntax:
Get-Help u0026 lt; Cmdlet u0026 gt;
Nachdem wir AD DS konfiguriert und installiert haben, können wir eines der Test-Cmdlets ausführen, um unsere Installation zu überprüfen. Global sind dies die Optionen auf der Ebene der AD DS-Implementierung in Windows Server 2019. Unter dem oben genannten Link finden Sie den Weg, eine neue Gesamtstruktur oder Domäne hinzuzufügen.
4. Betrieb von Active Directory-Domänendiensten in Windows Server 2019
Sobald unsere Active Directory-Dienste funktionieren Administratoren Wir müssen ihre Sicherheit und Gesamtleistung für diesen Zweck gewährleisten. Eine Reihe nützlicher Tipps sind:
- Reduzieren Sie die Angriffsfläche von Active Directory, da alle Objekte (Benutzer und Computer) anfällig sein können
- Implementieren Sie Verwaltungsmodelle mit Mindestberechtigungen, um mehr Sicherheit zu schaffen.
- Implementieren Sie sichere Verwaltungshosts
- Sichere Domänencontroller gegen verschiedene Arten von Angriffen
- Ständige Überwachung von Active Directory auf Alarme, die seine Integrität gefährden.
- Neue Überwachungsrichtlinien erstellen
Schritt 2Eine der einfachsten, aber am Gleichzeitig können Sie mithilfe der ‚Ereignisanzeige‘ mehr integrierte Methoden anzeigen, um alles zu sehen, was mit unseren AD DS-Diensten geschieht:
Schritt 3Dort gibt es eine Reihe von Ereignis-IDs, die für die Verwaltung nützlich sind, z as:
- 4618: Ein überwachtes Sicherheitsereignis ist aufgetreten.
- 4649: Ein Wiederholungsangriff wurde erkannt. Aufgrund eines falschen Konfigurationsfehlers kann es sich um ein harmloses falsches Positiv handeln.
- 4719: Die Systemüberwachungsrichtlinie wurde geändert.
- 4765: Ein hoher SID-Verlauf wurde zu einem hinzugefügt account
- 4766: Der Versuch, den SID-Verlauf einem Konto hinzuzufügen, ist fehlgeschlagen.
- 4794: Es wurde versucht, den Wiederherstellungsmodus für den Verzeichnisdienst festzulegen.
- 4897: High Role Separation aktiviert
- 4964: Spezielle Gruppen wurden einem neuen Login zugewiesen.
- 5124: A. Die Sicherheitskonfiguration wurde im OCSP-Antwortdienst aktualisiert.
- 550: Möglicher Denial-of-Service-Angriff (DoS)
- 1102: Das Überwachungsprotokoll wurde gelöscht
- 4621: Mittlerer Administrator hat das CrashOnAuditFail-System wiederhergestellt. Benutzer, die keine Administratoren sind
- Sie können sich jetzt anmelden. Einige überprüfbare Aktivitäten wurden möglicherweise nicht aufgezeichnet.
- 4692: Es wurde kein Versuch unternommen, die durchschnittliche Sicherungskopie des Datenschutzmasters zu erstellen Schlüssel.
- 4693: Die durchschnittliche Wiederherstellung des Datenschutz-Hauptschlüssels wurde versucht.
- 4706: Für eine Domäne wurde eine neue Vertrauensstellung erstellt.
- 4713: Die Kerberos Media-Richtlinie wurde geändert.
- 4714: Die Richtlinie zur Wiederherstellung verschlüsselter Daten wurde geändert.
- 4715: Die Die Überwachungsrichtlinie (SACL) für ein Objekt wurde geändert.
- 4764: Eine Gruppe mit deaktivierter Sicherheit wurde gelöscht.
- 4764: Der Typ einer Gruppe wurde geändert
- 4780: Die ACL wurde in Konten eingerichtet, die Mitglieder von Administratorgruppen sind.
- Dsadd-Computer: Neues Gerät hinzufügen
- Dsadd-Kontakt: Neuen Kontakt hinzufügen
- Dsadd-Benutzer: Neuen Benutzer hinzufügen
- Dsadd-Gruppe: Neue Gruppe erstellen
- Dsadd ou: Erstellen einer neuen Organisationseinheit
- Dsget-Computer
- Dsget-Benutzer
- Dsget-Gruppe
- Dsget oder
Schritt 4Um alle möglichen Ereignis-IDs im Detail zu kennen Gehen Sie zum folgenden offiziellen Microsoft-Link. Mit diesen Ereignis-IDs können wir eine Reihe von Verwaltungsaufgaben ausführen, um viele mit AD DS verbundene Probleme zu beheben, sodass es auf die richtige und erwartete Weise funktioniert.
Windows Server-Ereignis-IDs5. Befehle zum Verwalten von AD DS in Windows Server 2019
Es gibt Einige nützliche Befehle in Windows Server, mit denen wir Informationen abrufen und Objekte viel vollständiger verwalten können. Einige davon sind:
AdprepEs ist für die Erweiterung von verantwortlich Active Directory-Schema und Aktualisieren der Berechtigungen zum Vorbereiten einer Gesamtstruktur und Domäne für einen Domänencontroller, auf dem das Betriebssystem Windows Server 2019 ausgeführt wird.CsvdeImportieren und exportieren Sie Active Directory-Daten mit Dateien, in denen Daten im CSV-Format (Comma Separated Values) gespeichert sind.DcdiagEs ist für die Analyse des Status von Domänencontrollern in a verantwortlich Wald, um Probleme zu bestimmen .DaddFügen Sie dem Verzeichnis bestimmte Objekttypen hinzu. Wir können folgende Parameter verwenden:DsdbutilGeneriert AD LDS-Datenbankdienstprogramme (Active Directory Lightweight Directory Services)DsgetZeigt die ausgewählten Eigenschaften eines bestimmten Objekts im Verzeichnis an. Einige der verfügbaren Optionen sind:DsmgmtBietet die Verwaltungsfunktionen von Active Directory Lightweight Directory Services (AD LDS).DsmodErmöglicht das Ändern eines vorhandenen Objekts eines bestimmten Typs im Verzeichnis.DsmoveEs ist dafür verantwortlich, ein Objekt in einer Domäne von seinem aktuellen Speicherort im Verzeichnis an einen neuen Speicherort zu verschieben oder ein einzelnes Objekt umzubenennen, ohne es in der Verzeichnisstruktur zu verschieben.NET-ComputerHinzufügen oder Entfernen eines Computers zu einer Domänendatenbank.NET-GruppeHinzufügen, Anzeigen oder Ändern globaler Gruppen in Domänen.NET-BenutzerHinzufügen oder Ändern von Benutzerkonten oder Anzeigen der Kontoinformationen eines Benutzers.NtdsutilBietet AD DS-VerwaltungsfunktionenRepadminAdministratoren können Active Directory-Replikationsprobleme zwischen Domänencontrollern mit Windows-Betriebssystemen diagnostizieren.Active Directory-Domänendienste sind eine davon der Basiskomponenten, mit denen Sie Windows Server optimal nutzen und somit Adm ausführen können Inistrierungsaufgaben viel vollständiger.
- 4719: Die Systemüberwachungsrichtlinie wurde geändert.
