1 Windows Server 2025

31

1.1 What’s new?

32

1.2 Die verschiedenen Editionen

36

1.2.1 Windows Server Standard

36

1.2.2 Windows Server Datacenter

37

1.3 Lizenzierung

37

1.3.1 Verschiedene Lizenzierungsarten

37

1.3.2 Lizenzprogramme (KMS und MAK)

37

1.3.3 Active Directory Based Activation (ADBA)

41

1.3.4 VM-Based Activation

41

1.4 Systemanforderungen

41

1.5 Installation von Windows Server 2025

42

1.5.1 Installation mit grafischer Oberfläche

43

1.5.2 Windows Server Core

49

1.5.3 Nach der Installation

50

1.6 Die Installation automatisieren

52

1.6.1 Windows Assessment and Deployment Kit (ADK)

52

1.6.2 Abbildverwaltung (Deployment Image Servicing and Management)

55

1.6.3 Sysprep

57

1.7 Update-Strategie

61

2 Rollen und Features

63

2.1 Rollen und Rollendienste

63

2.2 Die Rollen im Überblick

65

2.2.1 Active Directory Lightweight Directory Services

65

2.2.2 Active Directory-Domänendienste

67

2.2.3 Active Directory-Rechteverwaltungsdienste

69

2.2.4 Active Directory-Verbunddienste

71

2.2.5 Active Directory-Zertifikatdienste

73

2.2.6 Datei-/Speicherdienste

76

2.2.7 Dateiserver

77

2.2.8 Arbeitsordner

79

2.2.9 BranchCache für Netzwerkdateien

79

2.2.10 Dateiserver-VSS-Agent-Dienst

81

2.2.11 Datendeduplizierung

81

2.2.12 DFS-Namespaces

82

2.2.13 DFS-Replikation

84

2.2.14 iSCSI-Zielserver

85

2.2.15 iSCSI-Zielspeicheranbieter

86

2.2.16 Ressourcen-Manager für Dateiserver

86

2.2.17 Server für NFS

86

2.2.18 Speicherdienste

87

2.2.19 Device Health Attestation

87

2.2.20 DHCP-Server

89

2.2.21 DNS-Server

91

2.2.22 Druck- und Dokumentendienste

92

2.2.23 Faxserver

93

2.2.24 Host Guardian-Dienst

95

2.2.25 Hyper-V

96

2.2.26 Netzwerkcontroller

97

2.2.27 Netzwerkrichtlinien- und Zugriffsdienste

98

2.2.28 Remotedesktopdienste

99

2.2.29 Remotezugriff

101

2.2.30 Volumenaktivierungsdienste

103

2.2.31 Webserver (IIS)

104

2.2.32 Windows Server Update Services (WSUS)

107

2.2.33 Windows-Bereitstellungsdienste

110

2.3 Features

112

2.3.1 .NET Framework 3.5-Funktionen

113

2.3.2 .NET Framework 4.8-Features

114

2.3.3 BitLocker-Laufwerkverschlüsselung

115

2.3.4 BitLocker-Netzwerkentsperrung

115

2.3.5 BranchCache

115

2.3.6 Client für NFS

116

2.3.7 Container

116

2.3.8 Data Center Bridging

116

2.3.9 DirectPlay

116

2.3.10 E/A-QoS

116

2.3.11 Erweitertes Speichern

117

2.3.12 Failoverclustering

117

2.3.13 Gruppenrichtlinienverwaltung

117

2.3.14 Hostfähiger Webkern für Internetinformationsdienste

117

2.3.15 Hyper-V-Unterstützung durch Host Guardian

118

2.3.16 IIS-Erweiterung für OData Services for Management

118

2.3.17 Intelligenter Hintergrundübertragungsdienst (BITS)

118

2.3.18 Interne Windows-Datenbank

118

2.3.19 Internetdruckclient

119

2.3.20 IP-Adressverwaltungsserver (IPAM-Server)

119

2.3.21 iSNS-Serverdienst

119

2.3.22 LPR-Portmonitor

120

2.3.23 Media Foundation

120

2.3.24 Message Queuing

120

2.3.25 Multipfad-E/A

121

2.3.26 MultiPoint Connector

121

2.3.27 Netzwerklastenausgleich

121

2.3.28 Netzwerkvirtualisierung

122

2.3.29 Peer Name Resolution-Protokoll (PNRP)

122

2.3.30 RAS-Verbindungs-Manager-Verwaltungskit (CMAK)

122

2.3.31 Remotedifferenzialkomprimierung

122

2.3.32 Remoteserver-Verwaltungstools (RSAT)

122

2.3.33 Remoteunterstützung

123

2.3.34 RPC-über-HTTP-Proxy

124

2.3.35 Sammlung von Setup- und Startereignissen

124

2.3.36 Simple TCP/IP Services

124

2.3.37 SMB 1.0/CIFS File Sharing Support

124

2.3.38 SMB-Bandbreitengrenzwert

125

2.3.39 SMTP-Server

125

2.3.40 SNMP-Dienst

125

2.3.41 Software Load Balancer

125

2.3.42 Speicherreplikat

126

2.3.43 Standardbasierte Windows-Speicherverwaltung

126

2.3.44 Storage Migration Service

126

2.3.45 Storage Migration Service Proxy

126

2.3.46 System Data Archiver

127

2.3.47 System Insights

127

2.3.48 Telnet-Client

127

2.3.49 TFTP-Client

127

2.3.50 Verbessertes Windows-Audio/Video-Streaming

128

2.3.51 VM-Abschirmungstools für die Fabricverwaltung

128

2.3.52 WebDAV-Redirector

128

2.3.53 Windows Defender Antivirus

128

2.3.54 Windows Identity Foundation 3.5

129

2.3.55 Windows PowerShell

129

2.3.56 Windows Search

130

2.3.57 Windows Server-Migrationstools

130

2.3.58 Windows Server-Sicherung

130

2.3.59 Windows TIFF IFilter

130

2.3.60 Windows-Biometrieframework

131

2.3.61 Windows-Prozessaktivierungsdienst

131

2.3.62 Windows-Subsystem für Linux

131

2.3.63 WinRM-IIS-Erweiterung

131

2.3.64 WINS-Server

132

2.3.65 WLAN-Dienst

132

2.3.66 WoW64-Unterstützung

132

2.3.67 XPS Viewer

132

2.4 Editionen und ihre Möglichkeiten

133

2.4.1 Windows Server SAC

133

2.4.2 Windows Server 2019 LTSC – Essentials

134

2.4.3 Windows Server 2025 LTSC – Standard oder Datacenter, Core oder Desktop

135

2.4.4 Vergleichen Sie die Editionen

137

2.5 Was wurde in den letzten Versionen entfernt?

139

2.6 Server- bzw. Rollen-Platzierung

140

3 Netzwerkgrundlagen und -Topologien

141

3.1 Was ist ein Netzwerk? Diese Begriffe sollten Sie kennen

141

3.2 Welche Topologien gibt es und welche werden heute in der Praxis noch genutzt?

143

3.2.1 Bus-Topologie

143

3.2.2 Ring-Topolgie

144

3.2.3 Stern-Topologie

144

3.2.4 Hierarchische Topologie

145

3.2.5 Vermaschte Topologie

146

3.3 Referenzmodelle

147

3.3.1 Das ISO-OSI-Referenzmodell

148

3.3.2 Das TCP/IP-Referenzmodell

158

3.3.3 Gegenüberstellung der beiden Modelle

159

3.4 Übertragungsmethoden

160

3.4.1 Unicast

160

3.4.2 Multicast

160

3.4.3 Broadcast

160

4 IP-Adressmanagement

161

4.1 Was ist eine MAC-Adresse?

161

4.2 Was ist TCP/IP?

163

4.3 Das IP-Protokoll genauer erklärt

164

4.3.1 IP Version 4 (IPv4)

165

4.3.2 ARP

172

4.3.3 Subnetting

175

4.3.4 IP Version 6 (IPv6)

176

4.3.5 Aufbau eines IP-Pakets

184

4.4 Wie kommuniziert ein Computer mit einem Netzwerk?

188

4.4.1 Kabelverbindungen

189

4.4.2 WLAN und Mobilfunk

189

4.5 Netzwerkkonfiguration unter Windows

191

4.6 Namensauflösung

197

4.6.1 DNS-Namensauflösung

197

4.6.2 NetBIOS

206

4.7 DHCP

207

4.7.1 Was ist DHCP?

207

4.7.2 IP-Adressen vergeben und erneuern

208

4.7.3 Automatische Vergabe von privaten IP-Adressen (APIPA)

209

4.7.4 Aufbau eines DHCP-Datenpakets

209

4.7.5 Installation eines DHCP-Servers unter Windows Server

210

4.7.6 Konfiguration eines DHCP-Servers nach der Installation der Rolle

215

4.7.7 Konfiguration eines DHCP-Failovers

227

4.8 IPAM

228

4.8.1 Vorteile des IPAM

229

4.8.2 Installation des IPAM

229

4.8.3 Konfiguration des IPAM-Servers

230

4.8.4 Mögliche Anpassungen des IPAM-Servers und Hinweise für den Betrieb

233

5 Authentifizierungsprotokolle

235

5.1 Domänenauthentifizierungsprotokolle

235

5.1.1 LanManager (LM)

236

5.1.2 NTLM

237

5.1.3 Kerberos

237

5.1.4 Ansprüche (Claims) und Armoring

253

5.1.5 Sicherheitsrichtlinien

256

5.1.6 Protected Users und Encryption Types

257

5.2 Remotezugriffsprotokolle

261

5.2.1 MS-CHAP

261

5.2.2 Password Authentication Protocol (PAP)

261

5.2.3 Extensible Authentication Protocol (EAP)

262

5.3 Webzugriffsprotokolle

262

6 Active Directory

263

6.1 Die Geschichte von Active Directory

263

6.2 Was ist neu im Active Directory?

264

6.2.1 Neuerungen im Windows Server 2019

264

6.2.2 Die neue Funktionsebene in Windows Server 2025

265

6.3 Die Datenbank von Active Directory

267

6.4 Die Komponenten von Active Directory

269

6.4.1 Logischer Aufbau

269

6.4.2 Physischer Aufbau

272

6.4.3 Globaler Katalog

272

6.4.4 FSMO (Flexible Single Master Operations) bzw. Betriebsmaster

273

6.4.5 Standorte

275

6.4.6 Distinguished Name

275

6.4.7 Canonical Name

275

6.4.8 Common Name

275

6.5 LDAP

276

6.6 Schema

276

6.7 Replikation

277

6.7.1 Steuerung der AD-Replikation

277

6.7.2 Das Tool für die Überprüfung des Replikationsstatus

280

6.8 Read-Only-Domänencontroller (RODC)

280

6.8.1 Voraussetzungen für den Einsatz eines RODC

281

6.8.2 Funktionalität

282

6.8.3 RODC-Attributsatzfilter

282

6.8.4 Wie funktioniert eine RODC-Anmeldung?

283

6.8.5 Einen schreibgeschützten Domänencontroller installieren

283

6.9 Vertrauensstellungen

290

6.9.1 Eigenschaften der Domänenvertrauensstellungen

291

6.9.2 Vertrauensstellungstypen

293

6.9.3 Vertrauensstellungen in Windows-Domänen ab Windows Server 2003

293

6.9.4 Authentifizierungsvarianten in Vertrauensstellungen ab Windows Server 2003

294

6.9.5 Fehlerhafte Vertrauensstellungen

295

6.9.6 Eine Gesamtstrukturvertrauensstellung einrichten

296

6.10 Offline-Domänenbeitritt

304

6.11 Der Papierkorb im Active Directory

304

6.12 Weitere optionale AD-Funktionen

307

6.13 Der Wiederherstellungsmodus von Active Directory

308

6.13.1 Nicht-autorisierende Wiederherstellung

309

6.13.2 Autorisierende Wiederherstellung

309

6.13.3 Garbage Collection

310

6.13.4 Active Directory Database Mounting Tool

310

6.14 Active Directory-Verbunddienste (AD FS)

311

6.14.1 Die Komponenten des AD FS

311

6.14.2 Was ist eine Verbundvertrauensstellung?

312

6.15 Active Directory installieren

313

6.15.1 Den ersten DC in einer Domäne installieren

313

6.15.2 Einen weiteren DC in einer Domäne installieren

323

6.15.3 Installation des ersten DCs in einer Subdomäne der Gesamtstruktur

326

6.15.4 Einen DC aus einer Domäne entfernen

328

6.15.5 Einen defekten oder nicht mehr erreichbaren DC aus einer Domäne entfernen

330

6.15.6 Die Domäne entfernen

334

6.16 Wartungsaufgaben innerhalb des Active Directorys

337

6.16.1 Übertragen oder Übernehmen der FSMO

337

6.16.2 Wartung der AD-Datenbank

338

6.16.3 IFM-Datenträger

339

7 Benutzer, Gruppen & Co im Active Directory

343

7.1 Container

343

7.1.1 Administrative Konten und Sicherheitsgruppen im Container »Builtin«

345

7.1.2 Administrative Konten und Sicherheitsgruppen aus dem Container »Users«

348

7.2 Organisationseinheiten

350

7.2.1 Objektverwaltung delegieren

351

7.3 Benutzer

353

7.4 Computer

354

7.4.1 Sicherheitseinstellungen für den Domänenbeitritt von neuen Computern

355

7.5 Gruppen

357

7.5.1 Arten von Sicherheitsgruppen

358

7.5.2 Protected Users Group

359

7.6 MSA und gMSA

360

7.6.1 Managed Service Account (MSA)

360

7.6.2 Group Managed Service Account (gMSA)

360

7.7 Password Settings Objects (PSOs)

364

7.7.1 Voraussetzungen für das Anwenden der PSOs

365

7.7.2 PSOs erstellen

365

7.8 Gruppenrichtlinienobjekte (GPOs)

367

7.8.1 Allgemeines zu Gruppenrichtlinien

370

7.8.2 Bestandteile einer GPO und die Ablageorte

371

7.8.3 Aktualisierungsintervalle von GPOs

372

7.8.4 GPOs erstellen und löschen

373

7.8.5 Sicherheitsfilter der GPOs

374

7.8.6 Administrative Vorlagen und Central Store

375

7.8.7 Der Central Store

376

7.8.8 Clientseitige Erweiterungen

377

7.8.9 Softwareinstallation über GPOs

378

7.8.10 Sicherheitseinstellungen innerhalb der GPOs

379

7.9 msDS-ShadowPrincipal

383

7.9.1 msDS-ShadowPrincipalContainer

383

7.9.2 Die Klasse msDS-ShadowPrincipal

383

7.9.3 Die msDS-ShadowPrincipalSID

384

7.9.4 Shadow Principals nutzen

384

7.10 Freigegebene Ordner

384

7.11 Freigegebene Drucker

385

8 Virtualisierung

387

8.1 Hypervisoren

387

8.1.1 Hypervisor-Typen

388

8.1.2 Hypervisor-Design

389

8.2 Hyper-V

390

8.2.1 Hyper-V-Hypervisor

391

8.2.2 Die Hyper-V-Architektur

402

8.2.3 Hyper-V-Anforderungen

405

8.3 Das ist neu in Windows Server 2025

413

8.3.1 GPU-Partitionierung

413

8.3.2 GPU-Pooling

414

8.3.3 Live-Migration in Hyper-V-Clustern

415

8.3.4 Dynamische Prozessor-Kompatibilität

418

8.3.5 Re-FS-Deduplizierung für Hyper-V

418

8.4 Virtual Desktop Infrastructure (VDI)

418

8.4.1 Virtual-Desktop-Typen

419

8.4.2 Infrastruktur

420

8.5 Container

421

8.5.1 Windows-Container

422

8.5.2 Hyper-V-Container

423

8.6 Azure Stack

423

8.6.1 Hardware für Azure Stack

425

8.6.2 Anwendungsbeispiel

427

8.6.3 Azure Stack HCI (hyperkonvergente Infrastruktur)

428

9 Dateiserver

433

9.1 Grundlagen des Dateisystems

433

9.1.1 Datenträger und Volumes

434

9.1.2 iSCSI

441

9.1.3 Schattenkopien

444

9.1.4 Freigaben

447

9.1.5 NTFS und Freigaben-Berechtigungen

452

9.1.6 Offlinedateien

458

9.1.7 Datendeduplizierung

461

9.2 Neues mit Server Windows 2025

463

9.2.1 SMB über QUIC

464

9.2.2 Verbesserte Verwaltung der SMB-Dialektkontrolle

464

9.2.3 NTLM für SMB deaktivieren

465

9.2.4 SMB-Authentifizierungsraten begrenzen

465

9.2.5 SMB-Signierung als Standardeinstellung aktivieren

466

9.2.6 Härtung der SMB-Firewall-Regeln

466

9.3 Distributed File System (DFS)

467

9.3.1 DFS-N (Distributed File System Namespace)

467

9.3.2 DFS-R (Distributed File System Replication)

472

9.4 Hochverfügbarkeit (HA-Anforderungen)

476

9.4.1 Dateiserver für den allgemeinen Gebrauch

476

9.4.2 Scale-Out-Dateiserver

477

9.5 Server Storage Migration Service

478

9.6 Azure Files

479

9.6.1 Einsatzgebiete für Azure Files

480

9.6.2 Azure-Dateifreigabeprotokolle

481

9.6.3 Kosten

488

10 Verwaltung

493

10.1 Windows Admin Center (WAC)

493

10.1.1 Bereitstellungsszenarien

494

10.1.2 Voraussetzungen

496

10.1.3 Die Installation des Windows Admin Centers vorbereiten

497

10.1.4 Windows Admin Center installieren

500

10.1.5 Für Hochverfügbarkeit sorgen

503

10.1.6 Einstellungen des Windows Admin Centers

506

10.1.7 Berechtigungen konfigurieren

509

10.1.8 Erweiterungen

512

10.1.9 Systeme verwalten

515

10.2 Server-Manager

532

10.2.1 Lokalen Server verwalten

532

10.2.2 Servergruppen erstellen

534

10.2.3 Remote-Server verwalten

536

10.3 Remote Server Administration Tools (RSAT)

537

10.3.1 Installation unter Windows 11

538

10.4 PowerShell

542

10.4.1 Anforderungen

543

10.4.2 Beispiele für die Verwaltung

544

10.5 WinRM und WinRS

545

10.5.1 Windows Remote Management (WinRM)

546

10.5.2 Windows Remote Shell (WinRS)

547

10.6 Windows Server-Sicherung

548

10.6.1 Die Windows Server-Sicherung installieren

548

10.6.2 Backup-Jobs erstellen

549

10.6.3 Windows Server-Sicherung auf Remote-Servern

554

10.6.4 Einzelne Dateien wiederherstellen

556

10.6.5 Recovery-Medium nutzen

559

10.7 Azure Arc

562

10.7.1 Einstellungen

565

10.7.2 Vorgänge

567

10.7.3 Windows-Verwaltung

568

10.7.4 Überwachung

569

10.7.5 Automatisierung

570

11 Windows PowerShell

571

11.1 Windows PowerShell und PowerShell Core

571

11.2 Grundlagen zur PowerShell

583

11.2.1 Aufbau der PowerShell-Cmdlets

584

11.2.2 Skripte ausführen

586

11.2.3 Offline-Aktualisierung der PowerShell und der Hilfedateien

588

11.3 Sicherheit rund um die PowerShell

589

11.3.1 Ausführungsrichtlinien (Execution Policys)

589

11.3.2 Die PowerShell remote ausführen

592

11.3.3 Überwachung der PowerShell

594

11.4 Beispiele für die Automatisierung

596

11.5 Just Enough Administration (JEA)

600

11.5.1 Einsatzszenarien

600

11.5.2 Konfiguration und Verwendung

601

11.6 Windows PowerShell Web Access

605

11.7 Visual Studio Code und VSCodium

607

12 Migration verschiedener Serverdienste auf Windows Server 2025

611

12.1 In-Place Upgrade eines Domänencontrollers von Windows Server 2022 auf Windows Server 2025

611

12.1.1 Der Forestprep und der Domainprep

616

12.1.2 Exkurs: Notwendige Schritte bei einer Preview-Version

620

12.1.3 Fehlende Zertifikate in der Preview-Version

620

12.1.4 Aktivierung des Flightings

624

12.2 Heraufstufen der Gesamtstruktur- und Domänenfunktionsebene

625

12.2.1 Heraufstufen der Domänenfunktionsebene

625

12.2.2 Heraufstufen der Gesamtstrukturfunktionsebene

627

12.3 Löschen eines Read-only-Domain-Controllers (RODC)

628

12.3.1 Einen produktiven und erreichbaren RODC aus der Domäne entfernen

628

12.3.2 Einen RODC entfernen, der kompromittiert wurde bzw. einer Gefahr ausgesetzt war

629

12.4 Migration von AD-Objekten aus einem Active Directory in ein anderes Active Directory

631

12.4.1 Installation von ADMT auf einem Windows Server 2012 R2

632

12.4.2 ADMT für die Nutzermigration verwenden

632

12.5 Migration eines DHCP-Servers

640

12.5.1 Migration des DHCP-Servers auf klassische Weise

640

12.5.2 Migration des DHCP-Servers mithilfe des Failover-Features

641

12.6 Migration eines Druckerservers

647

12.6.1 Migration der vorhandenen Drucker vom alten Druckerserver mithilfe des Assistenten

648

12.6.2 Migration der gesicherten Drucker auf den neuen Druckerserver mithilfe des Assistenten

650

12.6.3 Anpassung einer eventuell vorhandenen GPO für die Druckerzuweisung

652

12.7 Migration eines Dateiservers

655

12.7.1 Vorbereitungen für die Migration des Dateiservers

655

12.7.2 Daten mithilfe von robocopy auf einen neuen Dateiserver migrieren

657

12.7.3 Daten zwischen virtuellen Dateiservern migrieren

657

12.7.4 Weitere Schritte nach der Migration der Daten

658

12.7.5 Einen Dateiserver über die Domänen hinaus migrieren

658

12.7.6 Dateiserver mit dem Storage Migration Service auf Server 2025 umziehen

658

12.8 Migration eines Hyper-V-Servers

671

12.8.1 Migration einer virtuellen Maschine durch Exportieren und Importieren

672

12.8.2 Migration einer virtuellen Maschine mithilfe der PowerShell

677

12.8.3 Migration eines Failoverclusters

679

13 Hyper-V

691

13.1 Bereitstellung von Hyper-V

691

13.1.1 Hyper-V installieren

691

13.1.2 Das Hyper-V-Netzwerk konfigurieren

693

13.1.3 Hyper-V konfigurieren

703

13.1.4 Virtuelle Maschinen bereitstellen

708

13.2 Hochverfügbarkeit herstellen

713

13.2.1 Installation des Failoverclusters

713

13.2.2 Den Cluster erstellen

713

13.2.3 Cluster-Storage

718

13.2.4 Das Quorum konfigurieren

719

13.2.5 Das Cluster-Netzwerk konfigurieren

722

13.2.6 Hochverfügbare virtuelle Maschinen erstellen

723

13.3 Replikation für Hyper-V

725

13.3.1 Den Replikatserver konfigurieren

726

13.3.2 Replikation für virtuelle Maschinen starten

728

13.3.3 Die Konfiguration der virtuellen Maschine anpassen

730

13.3.4 Testfailover

731

13.3.5 Geplante Failovers

732

13.3.6 Desasterfall

733

14 Dateidienste

735

14.1 Die Dateiserver-Rolle installieren

735

14.1.1 Installation mit dem Server-Manager

735

14.1.2 Dateifreigaben anlegen

736

14.2 DFS-Namespaces

738

14.2.1 DFS installieren

738

14.2.2 Basiskonfiguration

739

14.2.3 DFS-Ordnerziele erstellen

742

14.2.4 Redundanzen der Namespaceserver

743

14.3 DFS-Replikation

745

14.3.1 DFS-R installieren

745

14.3.2 Die Replikation einrichten und konfigurieren

746

14.4 Ressourcen-Manager für Dateiserver

748

14.4.1 Installation des Ressourcen-Managers für Dateiserver

750

14.4.2 Kontingente

751

14.4.3 Die Dateiprüfungsverwaltung verwenden

756

14.5 Dynamische Zugriffssteuerung (Dynamic Access Control, DAC)

760

14.6 Hochverfügbare Dateiserver

769

14.6.1 Bereitstellung über einen Failovercluster

775

14.6.2 Ein Speicherreplikat einrichten

783

14.6.3 »Direkte Speicherplätze« einrichten (Storage Spaces Direct, S2D)

789

15 Internetinformationsdienste-Server (IIS)

797

15.1 Installation der IIS-Rolle

797

15.1.1 Installation auf einem Client

797

15.1.2 Installation auf einem Serverbetriebssystem

799

15.1.3 Remoteverwaltung des IIS

809

15.2 Konfiguration des IIS

815

15.2.1 Websites und virtuelle Verzeichnisse erstellen

820

15.3 Absichern des Webservers

824

15.3.1 Authentifizierungsprotokolle

825

15.3.2 Einsatz von SSL

826

15.3.3 Überwachung und Auditing

830

15.4 Sichern und Wiederherstellen

831

15.5 Hochverfügbarkeit

833

16 PKI und Zertifizierungsstellen

837

16.1 Was ist eine PKI?

837

16.1.1 Zertifikate

838

16.1.2 Verschlüsselung und Signatur

838

16.2 Aufbau einer CA-Infrastruktur

844

16.2.1 Installation der Rolle

851

16.2.2 Alleinstehende »Offline« Root-CA

856

16.2.3 Untergeordnete Zertifizierungsstelle als »Online«-Sub-CA

872

16.3 Zertifikate verteilen und verwenden

878

16.3.1 Zertifikate an Clients verteilen

879

16.3.2 Remotedesktopdienste

881

16.3.3 Webserver

883

16.3.4 Clients

887

16.3.5 Codesignatur

888

16.4 Überwachung und Troubleshooting der Zertifikatdienste

892

17 Patchmanagement für Windows Server

899

17.1 Einführung

899

17.1.1 Patching in der Windows-Welt

899

17.1.2 Die Geschichte von WSUS

900

17.1.3 Patch Tuesday

900

17.1.4 Best Practices für das Patching

901

17.1.5 Begriffe im Microsoft Update-Umfeld

904

17.2 Eine WSUS-Installation planen

906

17.2.1 Systemvoraussetzungen

906

17.2.2 Bereitstellungsoptionen

907

17.2.3 Installationsoptionen

910

17.3 Installation und Konfiguration von WSUS-Server

910

17.3.1 Konfigurationsassistent

914

17.3.2 Den Abruf von Updates über WSUS konfigurieren

921

17.3.3 Reporting-Funktionalität aktivieren

924

17.4 Die Administration des WSUS-Servers

924

17.4.1 Die WSUS-Konfigurationskonsole

924

17.4.2 Der WSUS-Webservice

934

17.4.3 Updates freigeben

935

17.4.4 Computer-Reports

936

17.4.5 Erstellen von zeitgesteuerten Update-Phasen

938

17.4.6 Vom Netzwerk getrennte WSUS-Server

942

17.4.7 Verschieben des WSUS-Repositorys

943

17.5 Automatisierung

944

17.5.1 E-Mail-Benachrichtigungen

944

17.5.2 Installation und Konfiguration mit der PowerShell

944

17.5.3 WSUS-Automatisierung mit der Kommandozeile

947

17.6 Azure Update Manager

951

17.6.1 Integration von On-Premises-Systemen in die Azure Arc-Verwaltung

951

17.6.2 Wartungskonfiguration im Azure Update Manager

954

17.6.3 Designentscheidungen

956

18 Remotedesktopdienste

959

18.1 Remotedesktopdienste vs. RemoteAdminMode

960

18.1.1 Remotedesktop aktivieren

965

18.1.2 Die einzelnen Rollendienste installieren

969

18.1.3 Eine Remotedesktop-Umgebung bereitstellen

971

18.2 Eine Sammlung von Anwendungen bereitstellen

980

18.2.1 Eine RD-Sammlung erstellen

980

18.2.2 RemoteApps verwenden

985

18.2.3 Den HTML5-Webclient verwenden

992

18.3 Absichern einer Remotedesktop-Umgebung

996

18.3.1 Einsatz von Zertifikaten

996

18.3.2 Verwaltung der Umgebung mithilfe von Gruppenrichtlinien

1001

18.3.3 Ein RD-Gateway verwenden

1005

18.3.4 Überwachung und Troubleshooting

1012

18.3.5 Restricted Admin Mode

1014

18.3.6 Remote Credential Guard

1014

18.3.7 Single Sign-on für Remotedesktopdienste

1016

18.3.8 Multifaktor-Authentifizierung für den Zugriff auf die Remotedesktopdienste

1018

18.4 Sonstige Konfigurationen

1019

18.4.1 Einen RD-Lizenzserver implementieren

1019

18.4.2 Die Kennwortwechselfunktion aktivieren

1024

19 Virtuelles privates Netzwerk und Netzwerkrichtlinienserver

1027

19.1 VPN-Zugang

1028

19.1.1 VPN-Protokolle

1048

19.1.2 Konfiguration des VPN-Servers

1052

19.1.3 Konfiguration der Clientverbindungen

1053

19.1.4 Troubleshooting

1056

19.2 DirectAccess einrichten

1057

19.2.1 Bereitstellen der Infrastruktur

1059

19.2.2 Tunnelprotokolle für DirectAccess

1062

19.3 NAT einrichten

1062

19.4 Netzwerkrichtlinienserver

1066

19.4.1 Einrichtung und Protokolle

1068

19.4.2 RADIUS-Proxy-Server

1075

19.4.3 Das Regelwerk für den Zugriff einrichten

1077

19.4.4 Protokollierung und Überwachung

1081

19.5 Den Netzwerkzugriff absichern

1085

19.5.1 Konfiguration der Clients

1086

19.5.2 Konfiguration der Switches

1090

19.5.3 Konfiguration des NPS

1094

19.5.4 Protokollierung und Troubleshooting

1099

19.6 Absichern des Zugriffs auf Netzwerkgeräte über das RADIUS-Protokoll

1102

19.6.1 RADIUS-Server für die Authentifizierung konfigurieren

1102

19.6.2 Definition des RADIUS-Clients

1105

19.6.3 Sicherheitsgruppen erstellen

1109

20 Integration in Azure

1115

20.1 Hybride Szenarien

1115

20.2 Entra ID

1116

20.2.1 Microsoft Entra Domain Services

1117

20.2.2 Was unterscheidet das Active Directory in Windows Server von Entra ID?

1119

20.2.3 Systemvoraussetzungen für Entra ID

1120

20.2.4 Entra ID initial konfigurieren

1121

20.2.5 Entra ID anpassen

1124

20.2.6 Zugriff für hybride Identitäten

1129

20.3 Microsoft Entra ID mit einem On-Premises-Active Directory verknüpfen

1136

20.3.1 Entra ID Connect oder EntraID Connect Cloud Sync einsetzen

1136

20.3.2 Microsoft Entra Connect installieren

1136

20.3.3 Express-Installation von Microsoft Entra Connect

1138

20.3.4 Entra Cloud Sync: Voraussetzungen und Betrieb

1145

20.3.5 Cloud-Monitoring

1145

20.4 Ausblick: Datacenter-Erweiterung und Azure Arc

1146

21 Troubleshooting im Windows Server

1149

21.1 Die Windows-Ereignisanzeige

1149

21.1.1 Konfiguration der Log-Eigenschaften

1156

21.1.2 Eine Überwachung einrichten

1160

21.1.3 Verwenden des Windows Admin Centers

1165

21.2 Die Leistungsüberwachung

1166

21.2.1 Ressourcenmonitor

1171

21.2.2 Leistungsindikatoren und die »üblichen Verdächtigen«

1173

21.2.3 CPU

1176

21.2.4 Arbeitsspeicher

1177

21.2.5 Datenträger

1178

21.2.6 Netzwerk

1179

21.2.7 Datensammlersätze

1180

21.3 Einen Startvorgang erstellen und auswerten

1182

21.4 Einen Netzwerktrace erstellen und lesen

1186

21.4.1 Microsoft Network Monitor 3.4

1186

21.4.2 Microsoft Message Analyzer

1188

21.4.3 Wireshark

1189

21.4.4 Eine IP-Adresskonfiguration beziehen

1190

21.4.5 Anmeldung eines Benutzers an einem System

1192

21.4.6 Zugriff auf einen Webdienst

1194

21.5 Debugging

1195

21.5.1 Aktivieren der zusätzlichen Protokollierungsoptionen

1196

21.5.2 Memory-Dumps erzeugen und prüfen

1198

22 Security in und mit Windows Server

1203

22.1 Sicherheitsprinzipien

1203

22.1.1 Protect, Detect, Respond

1203

22.1.2 Das Least-Privilege-Prinzip

1204

22.1.3 Berechtigungssysteme innerhalb von Windows

1205

22.1.4 Stellenwert von Identitäten

1206

22.1.5 Härtung von Systemeinstellungen und Anwendungen

1208

22.1.6 Das Clean-Source-Prinzip

1209

22.1.7 Trusted Platform Modules, UEFI Secure Boot und virtualisierungsbasierte Sicherheit

1211

22.2 Das Tier-Modell und das Enterprise Access Model

1214

22.2.1 Pass the Hash und Pass the Ticket

1215

22.2.2 Schutz von privilegierten Usern durch ein Ebenenmodell

1215

22.2.3 Enterprise Access Model

1220

22.2.4 Logon-Beschränkungen

1221

22.2.5 Security Baselines anwenden

1225

22.2.6 Protected Users

1230

22.2.7 Organisationseinheiten (OUs) und Delegationen erstellen

1232

22.3 Praxisbeispiele, mit denen Sie die Sicherheit in Windows Server 2025 erhöhen

1235

22.3.1 Windows LAPS

1236

22.3.2 Windows Event Forwarding zur Zentralisierung von Log-Informationen

1244

22.3.3 Die Verwendung von Standardgruppen einschränken

1253

22.3.4 Gruppenverwaltete Dienstkonten

1255

22.3.5 Security Center in Windows Server 2025

1257

22.3.6 Windows Defender Application Control

1260

22.4 Erweiterte Maßnahmen zum Schutz von Windows-Umgebungen

1262

22.4.1 Sicherer Zugriff auf Windows Server 2025 durch Privilege Access Workstations

1262

22.4.2 Authentication Policys und Silos

1264

22.4.3 Defender for Identity

1269

22.4.4 Ausblick auf Red Forest

1274