abstracktersystemimperator
Goto Top

"Crashkurs" Hyper-V: Windows Server 2019 - Testumgebung inkl. Windows Client aufsetzen

Guten Tag zusammen,

ich, der "Held in Ausbildung", hat folgendes Problem: Mir fehlt zu 90% das Wissen von Hyper-V bzw. wie ich einen Windows Server aufsetze und richtig konfiguriere.

Wir haben in der Berufsschule die Aufgabe bekommen, per Hyper-V die neuen Server aufzusetzen. Innerhalb meiner Gruppe, bin ich jedoch der einzige, der das noch nie wirklich gemacht hat. Ebenso in meiner betrieblichen Ausbildung wurde es mir bis dato noch nicht wirklich gezeigt. Zwar hat meine Gruppe alles soweit fertig ink. Dokumentation, jedoch bringt es mir nicht wirklich viel, da ich nicht verstehe, was die dort gemacht haben.

Daher habe ich mich entschlossen, auf meinem Gerät selbst einen Hyper-V Server aufzusetzen und selbst ebenso eine Testumgebung in dem der Client via Netzwerkzugriff, auch auf dem Server zugreifen kann.

Mittlerweile bin ich nach 20x Windows Server aufsetzen soweit gekommen, dass der Server läuft, ein "paar" Freigaben bzw. Gruppenrichtilinien im AD erstellt habe und der Client via RDP Zugriff zum Server hat.

Technische Daten von meinem Gerät: Laptop

Prozessor: Intel Core i7-6700HQ CPU @ 2,60GHz
RAM: 16,0 GB DDR3L SODIMM 1600 CL11 KVR
Grafikkarte:
Intel HD Graphics 530
Dedizierte: NVIDIA GeForce GTX 960M

Darauf läuft logisch via Hyper-V:
-Windows Server 2019 Datacenter als AD,DHCP und DNS Server. Wobei ich noch DHCP konfigurieren muss.
-Windows 10 Pro Client. (Mit nur einem User als Admin)

Da ich nun einerseits keinen wirklichen Server zu Hause habe und mein Gerät auch gewisse Grenzen an Leistung / Speicherkapazität hat, habe ich mir folgendes dabei gedacht:

Mein Szenario, welches ich gerne weiterbearbeiten möchte, sieht so aus: Im Standort XY wird der neue Server hingestellt + ein Client.

Als Domennetzwerk habe ich "praxis.local" gewählt. Praxis.local wegen der Umsetzung in die Praxis.

Der virtuelle Windows 10 Client heißt "Anmeldung01" und befindet sich ebenso bereits in der Domäne "praxis.local".

Ich möchte neben dem Administrator, der auch nur Vollzugriff auf alle Systeme haben darf, zwei weitere User anlegen. Z.B:
->User 2: Britta Meier, die eine Empfangsdame ist
->User 3: Hanna Schmidt, die auch eine Empfangsdame ist, aber die mehr als nur Büroarbeiten machen darf.

User 2, also Britta Meier, soll ihr eigenes Verzeichnes "_DATEN" bekommen bzw. es ist bereits ein Verzeichnis _"DATEN" vorhanden und innerhalb dieses Verzeichnisses darf die Britta nur ihre eignen Daten ablegen. Zugriff auf die anderen soll sie nicht bekommen.

User3, Hanna Schmdit, darf wiederum Zugriff auf alle Daten haben, aber nur ihre eigenen Daten bearbeiten. Bei den anderen Daten, soll Sie nur Leserechte bekommen.

Da es bei mir bereits bei der Anlegung der User "scheitert", erstelle ich die User / Benutzerkonten auf dem Clientsystem oder am Server und teile dann dort die Gruppenrichtlinien fest?

Bei den Gruppenrichtlinien klicke ich mich gerade nur durch "Try and Error" und versuche das irgendwie umzusetzen.

Ich wäre euch dankbar, wenn ihr mir ein paar Denkanstöße liefern könntet.

PS: Um das "System" so, wie es jetzt ist, umzusetzen habe ich ca. 16 Stunden gebraucht.. wurde mitten ins Kalte Wasser geworfen, aber das Gefühl am Ende, war echt unglaublich...^^

LG

Content-ID: 508943

Url: https://administrator.de/contentid/508943

Printed on: December 12, 2024 at 20:12 o'clock

aqui
aqui Oct 26, 2019 updated at 11:10:27 (UTC)
Goto Top
Als Domennetzwerk habe ich "praxis.local" gewählt.
Schon tödlich und mal wieder der erste Kardinalsfehler !
Als Netzwerkheld, der hier im Forum vor Kurzem ja schon durch die Netzwerk Feuertaufe gelaufen ist, solltest du eigentlich wissen das .local als Root Domain absolut TABU ist !!
Warum:
Weltweit ist das durch die IANA fest dem mDNS Dienst zugewiesen:
https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
Das wird dir also früher oder später in deinem Winblows Netz Probleme bereiten.
Wie man es richtig und intelligent macht kannst du hier nachlesen:
https://www.heise.de/select/ct/2017/26/1513540412603853
Sinnvoll ist also sowas wie held.home.arpa wenn du ganz vorschriftsmäßig sein willst.
Für dein Basteldesign reicht aber auch .test, .intern oder .lokal. Niemals aber .local !!!
NordicMike
NordicMike Oct 26, 2019 at 13:46:49 (UTC)
Goto Top
Die User werden auf dem AD angelegt unter „Active Directory Benutzer und Computer“. Sobald sie dort angelegt sind, können sie sich auf allen Clients anmelden, die zur Domäne Praxis.local hinzugefügt wurden. Auf dem Client wirst Du unter den BenutzerEinstellungen sehen dass die Gruppe Domänen-Benutzer bereis Zugriff auf den Client hat. Jeder Benutzer, den Du im AD anlegst, ist automatisch Mitglied dieser Gruppe, deswegen muss der Benutzer nicht mehr auf dem Client angelegt werden.

Ja, .local ist reserviert, aber für einen Testversuch kannst Du es lassen. Aber in der Ausbildung musst Du Dir einen anderen Namen ausdenken.

Hyper-V hat den Vorteil von Snapshots. Wenn Du nach der Grundinstallation sofort einen Snapshot machst, kannst Du jederzeit zu diesem Snapshot zurück kehren und musst nicht neu installieren.

Für einen Testaufbau würde ich für jede Aufgabe eine eigene VM mit eigenem Server erzeugen. Ein Server als Domänen Controller, auf dem sollte nichts anderes eingestellt oder installiert werden, als die Domäne, und der DHCP (DHCP erst später). Der DNS Server installiert sich automatisch auch dahin. Eine weiterer Server als Fileserver, dort werden die Shares eingerichtet.
Später ein Server als Druckerserver. Und später noch eine VM als Router und Firewall.

Die Gruppenrichtlnien sind dafür da Einstellungen automatisch zuzuweisen für die Gruppe (Orgsnizationseinheit), in der sich der Benutzer oder Computer befindet. Dafür muss man aber schon wissen welche Einstellungen man benötigt. Zum lernen würde ich die Gruppenrichtlinien erst einmal weg lassen, damit Du erkennst wie man wo was einstellt. Sobald es zur Routine wird, kannst Du es als Gruppenrichtlinie deklarieren und sich nicht mehr darum kümmern.
AbstrackterSystemimperator
AbstrackterSystemimperator Oct 26, 2019 at 14:29:08 (UTC)
Goto Top
Guten Tag,
vielen Dank für deine ausführliche Erklärung! face-smile

Zitat von @NordicMike:

Die User werden auf dem AD angelegt unter „Active Directory Benutzer und Computer“. Sobald sie dort angelegt sind, können sie sich auf allen Clients anmelden, die zur Domäne Praxis.local hinzugefügt wurden. Auf dem Client wirst Du unter den BenutzerEinstellungen sehen dass die Gruppe Domänen-Benutzer bereis Zugriff auf den Client hat. Jeder Benutzer, den Du im AD anlegst, ist automatisch Mitglied dieser Gruppe, deswegen muss der Benutzer nicht mehr auf dem Client angelegt werden.

Alles klar, das verstehe ich soweit!


Hyper-V hat den Vorteil von Snapshots. Wenn Du nach der Grundinstallation sofort einen Snapshot machst, kannst Du jederzeit zu diesem Snapshot zurück kehren und musst nicht neu installieren.

Ah, okey. Dann werde ich als erstes, gerade dann, wenn ich mir nicht sicher bin, einen Snapshot anlegen face-smile


Für einen Testaufbau würde ich für jede Aufgabe eine eigene VM mit eigenem Server erzeugen. Ein Server als Domänen Controller, auf dem sollte nichts anderes eingestellt oder installiert werden, als die Domäne, und der DHCP (DHCP erst später). Der DNS Server installiert sich automatisch auch dahin. Eine weiterer Server als Fileserver, dort werden die Shares eingerichtet.
Später ein Server als Druckerserver. Und später noch eine VM als Router und Firewall.

So, bis auf den Router und der Firewall, besteht auch unser Gruppenaufbau in der Schule. Da haben wir auch den physischen Server stehen, worauf die VM läuft inkl. der virtualisierten Server und Clients.

Dieses Format 1:1 nachzubauen, kann ich zu Hause leider nicht. Ich habe weder einen physischen Server daheim, noch würde das mein Laptop mitmachen. Mein Laptop dient aktuell als "physischer Server" bzw. ich "missbrauche" mein Notebook, damit ich überhaupt die Möglichkeit habe, mich eigenständig fortzubilden. Aus diesem Grund ist mein virtueller Server aktuell für "alle" Dienste zuständig.


Die Gruppenrichtlnien sind dafür da Einstellungen automatisch zuzuweisen für die Gruppe (Orgsnizationseinheit), in der sich der Benutzer oder Computer befindet. Dafür muss man aber schon wissen welche Einstellungen man benötigt. Zum lernen würde ich die Gruppenrichtlinien erst einmal weg lassen, damit Du erkennst wie man wo was einstellt. Sobald es zur Routine wird, kannst Du es als Gruppenrichtlinie deklarieren und sich nicht mehr darum kümmern.

Ah okey. Also könnte es mir, wenn ich nicht weiß was ich da eigentlich mache, das System zerschießen?

LG
Meandor
Meandor Oct 26, 2019 at 16:51:47 (UTC)
Goto Top
Dein Notebook ist für Experimente ausreichend. Mein Testrechner hat auch nur 16GB und bedient bis zu acht HyperV VMs gleichzeitig.

Lass die VM mit 2048 MB RAM starten und stell sie auf dynamisch 1024 bis 4096.

Gerade DC, DNS, DHCP brauchen eigentlich nur RAM wenn jemand auf dem Desktop arbeitet.
NordicMike
NordicMike Oct 26, 2019 at 18:39:17 (UTC)
Goto Top
Zerschiessen kann man sich immer was, aber zum lernen kannst Du die Gruppenrichtlinien weg lassen. Du musst kennen lernen wo man welche Einstellungen macht.
mayho33
mayho33 Oct 27, 2019 at 09:44:54 (UTC)
Goto Top
mayho33
mayho33 Oct 27, 2019 at 09:47:12 (UTC)
Goto Top
Cool @aqui Das mit. local wusste ich nicht.

Danke!
AbstrackterSystemimperator
AbstrackterSystemimperator Oct 31, 2019 at 10:57:32 (UTC)
Goto Top
Zitat von @Meandor:

Dein Notebook ist für Experimente ausreichend. Mein Testrechner hat auch nur 16GB und bedient bis zu acht HyperV VMs gleichzeitig.

Lass die VM mit 2048 MB RAM starten und stell sie auf dynamisch 1024 bis 4096.

Gerade DC, DNS, DHCP brauchen eigentlich nur RAM wenn jemand auf dem Desktop arbeitet.


Guten Morgen,

das hätte ich so gar nicht gedacht, dass das tatsächlich klappt. Mittlerweile "laufen" aktuell 5x VM's.
2x Windows Server 2019 Datacenter
1x Windows Server 2019 Essentials
2x Windows 10 Pro Clients

Wobei ich die Datacenter und Essentialsversionen nur nutze, da wir von der Schule einen Zugang zu Azure haben und da von MS die Lizenzen bekommen. Daher sind auch nur jeweils ein Server und ein Client aktiviert, aber das sollte zur Testzwecken ja kein Problem sein oder?

Was ich nur aktuell nicht verstehe; Ich erhalte immer wieder diese Fehlermeldung "
Auf das angegebene Gerät bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen ggf. nicht über ausreichende Berechtigungen , um auf das Element zugreifen zu können" Rundll32.exe

Als erstes dachte ich, ich hätte mal wieder die Installation vergeigt, aber trotz mehrmaliger frischen Installation und prüfung, das ich tatsächlich der Admin bin, erhalte ich immer im Hyper-V die Fehlermeldung. Nur z.b bei dem Windows Server, der nicht aktiviert ist. Gehe ich über Umwege ->Start - Systemsteuerung - Netzwerk, klappt es. Jedoch nicht, wenn ich über die Taskleiste direkt die Netzwerkadapter aufrufen möchte.

Wisst ihr vielleicht eine Lösung?

LG
fehlermeldungen
NordicMike
Solution NordicMike Oct 31, 2019 at 11:00:58 (UTC)
Goto Top
Das ist ein schon lange bekannter Fehler, ich mach auch immer den Umweg.
AbstrackterSystemimperator
AbstrackterSystemimperator Oct 31, 2019 updated at 11:49:07 (UTC)
Goto Top
Alles klar.
Das ist vielleicht eine sau blöde Frage, aber wie kann ich auf Umwege, wie bei Win7 damals unter Anzeige, die Desktopsymbole hinzufügen?

Edit: Zweite blöde Frage:

Wenn ich meine neuen Server, Fileserver und Druckserver, in die Domain heben möchte, brauche ich auf den beiden Servern auch die AD?
Dachte das ginge auch so, wie bei den Clients..
NordicMike
NordicMike Oct 31, 2019 at 11:59:01 (UTC)
Goto Top
Welche Desktopsymbole meinst Du?

Die Memberserver fügst Du einfach nur zur Domain hinzu, wie die Clients.
AbstrackterSystemimperator
AbstrackterSystemimperator Oct 31, 2019 at 13:45:56 (UTC)
Goto Top
Zitat von @NordicMike:

Welche Desktopsymbole meinst Du?

Die vom Arbeitsplatz z.b. Eben dass das Icon auf dem Desktop ist face-smile

Die Memberserver fügst Du einfach nur zur Domain hinzu, wie die Clients.

Ja, das hatte ich mir eigentlich auch so gedacht, nur klappt das nicht so ganz. Siehe die Screenshots.
Dabei wollte ich den "SVR003" in die Domäne "praxis.local" heben.

Mein SVR001, der eigentlich tatsächlich nur der einzige sein soll, der DHCP,DNS, AD kann, ist bei den anderen Servern jeweils als DNS Server eingetragen. Anpingbar kann ich jeweils beide.

Nach dem ich den SVR002 ebenfalls alle Rollenfeatures (DNS, DHCP etc) gegeben habe, konnte ich den auch in die Domäne heben. Nur meinen SVR003 nicht.

Aber da fällt mir auch auf, dass ich bereits beim SVR002 etwas falsch gemacht habe, denn wenn ich mit die CMD aufrufe erscheint dort "Administrator.PRAXIS" als Name, wiederum bei den anderen Servern eben nur "Administrator".

Ich weiß, dass ich von dieser Sache absolut kein blassen schimmer habe, daher auch so viele "blöde" Fragen... face-smile

LG
error1
error2
NordicMike
NordicMike Oct 31, 2019 at 14:13:01 (UTC)
Goto Top
Zitat von @AbstrackterSystemimperator:
Welche Desktopsymbole meinst Du?
Die vom Arbeitsplatz z.b. Eben dass das Icon auf dem Desktop ist face-smile
Die gibt es nur bei Desktops, auf dem Server wird ja nicht gearbeitet, also auch kein Arbeitsplatz ;)

Ja, das hatte ich mir eigentlich auch so gedacht, nur klappt das nicht so ganz. Siehe die Screenshots.
Dabei wollte ich den "SVR003" in die Domäne "praxis.local" heben.
Überprüfe ob der Derver die Domäne pingen kann.
Ping Praxis.local

Mein SVR001, der eigentlich tatsächlich nur der einzige sein soll, der DHCP,DNS, AD kann,
Nach dem ich den SVR002 ebenfalls alle Rollenfeatures (DNS, DHCP etc) gegeben habe
Es darf im Netzwerk nur einen DHCP Server geben, das wird der Fehler sein. Was ist mit Deinem Internet Router, macht er auch DHCP? Also: Max 1x.

DNS darf es mehrere geben, in Deinem Fall macht nur einer Sinn. Das ist der Domain Controller selbst. Die anderen Betriebssysteme sollen sich DNS nur beim Domain Controller abholen.

wenn ich mit die CMD aufrufe erscheint dort "Administrator.PRAXIS" als Name, wiederum bei den anderen Servern eben nur "Administrator".
Wenn man sich an einem Rechner mit einem Usernamen anmeldet, wird ein Profil erzeugt. Das Profil heißt, wie der Username: administrator. Jetzt ist der Rechner in die Domäne gekommen, dort gibt es auch einen administrator. Um ihm auch ein Profil geben zu können (sobald er sich einmal angemeldet hat), hat der Rechner den Domänennamen dazu gehängt. Es können ja nicht beide Administratoren das selbe Profil benutzen. Das ist also OK, solange die anderen Server noch nicht in der Domäne sind.

Ich weiß, dass ich von dieser Sache absolut kein blassen schimmer habe, daher auch so viele "blöde" Fragen... face-smile
Das ist in diesem Forum sehr gefährlich, da sich eigentlich nur Administratoren untereinander unterhalten. Lass Dich durch blöde Kommentare nicht entmutigen.

Also, bring das mit dem doppelten DHCP in Ordnung und ließ Dich ein bisschen in die Aufgaben des jeweiligen Dienstes ein, das wird schon...

Grüße,

Der Mike
mayho33
Solution mayho33 Oct 31, 2019 at 22:06:04 (UTC)
Goto Top
Zitat von @AbstrackterSystemimperator:

wie kann ich auf Umwege, wie bei Win7 damals unter Anzeige, die Desktopsymbole hinzufügen?


Verknüpfungen per Machine?
Ganz ohne Umwege hier: c:\Users\Public\Desktop

Wenn ich meine neuen Server, Fileserver und Druckserver, in die Domain heben möchte, brauche ich auf den beiden Servern auch die AD?
Dachte das ginge auch so, wie bei den Clients..

Der DC hat das AD. File- und - Drucker er müssen Mitglieder der Domain sein.
NordicMike
Solution NordicMike Nov 01, 2019 at 00:45:32 (UTC)
Goto Top
Übrigens, .local Domains solltest Du nicht verwenden.
AbstrackterSystemimperator
AbstrackterSystemimperator Nov 01, 2019 at 10:15:33 (UTC)
Goto Top
Zitat von @NordicMike:

Zitat von @AbstrackterSystemimperator:
Welche Desktopsymbole meinst Du?
Die vom Arbeitsplatz z.b. Eben dass das Icon auf dem Desktop ist face-smile
Die gibt es nur bei Desktops, auf dem Server wird ja nicht gearbeitet, also auch kein Arbeitsplatz ;)


Si, aus Macht der Gewohnheit steuere ich alles über den Desktop. Aber das ist ja nur ein Schönheitsfaktor.
Nein, das ist wohl wahr. Wobei ich in der Realität schon Sachen vorgefunden habe, da kann man nur den Kopfschütteln...


Ja, das hatte ich mir eigentlich auch so gedacht, nur klappt das nicht so ganz. Siehe die Screenshots.
Dabei wollte ich den "SVR003" in die Domäne "praxis.local" heben.
Überprüfe ob der Derver die Domäne pingen kann.
Ping Praxis.local

Nein, kann er leider nicht. Für ihn ist der Zielhost nicht erreichbar.


Mein SVR001, der eigentlich tatsächlich nur der einzige sein soll, der DHCP,DNS, AD kann,
Nach dem ich den SVR002 ebenfalls alle Rollenfeatures (DNS, DHCP etc) gegeben habe
Es darf im Netzwerk nur einen DHCP Server geben, das wird der Fehler sein. Was ist mit Deinem Internet Router, macht er auch DHCP? Also: Max 1x.

Mein Router ist einzig und alleine für das DHCP zuständig. Bei den jeweiligen Servern habe ich nur die Rollen aktiviert, aber nichts konfiguriert.


Ich weiß, dass ich von dieser Sache absolut kein blassen schimmer habe, daher auch so viele "blöde" Fragen... face-smile
Das ist in diesem Forum sehr gefährlich, da sich eigentlich nur Administratoren untereinander unterhalten. Lass Dich durch blöde Kommentare nicht entmutigen.


Ich sage mir immer wieder, das noch kein Meister vom Himmel gefallen ist face-smile. Versuch macht Klug face-smile.
NordicMike
Solution NordicMike Nov 01, 2019 at 10:53:40 (UTC)
Goto Top
Zitat von @AbstrackterSystemimperator:, kann er leider nicht. Für ihn ist der Zielhost nicht erreichbar.
Das muss er. Der DNS von SRV003 muss auf den Domain Controller eingestellt sein. Wenn der Server noch auf DHCP stehen sollte, musst Du ihm eine feste IP vergeben, den DNS auf die IP vom Domain Controller einstellen und Gateway auf die IP vom Router.

Ich sage mir immer wieder, das noch kein Meister vom Himmel gefallen ist . Versuch macht Klug .
normalerweise, ja. Solange es bei einem Testaufbau bleibt. Für ein gewerblich betreibendes Netzwerk benötigst Du eine Ausbildung oder einen professionellen Dienstleister. Fehler, wie z.B. .local Domänen lassen sich später nur mit erheblichem teuer bezahlten Aufwand korrigieren.
AbstrackterSystemimperator
AbstrackterSystemimperator Nov 01, 2019 updated at 12:00:29 (UTC)
Goto Top
Zitat von @NordicMike:

Ich sage mir immer wieder, das noch kein Meister vom Himmel gefallen ist . Versuch macht Klug .
normalerweise, ja. Solange es bei einem Testaufbau bleibt. Für ein gewerblich betreibendes Netzwerk benötigst Du eine Ausbildung oder einen professionellen Dienstleister. Fehler, wie z.B. .local Domänen lassen sich später nur mit erheblichem teuer bezahlten Aufwand korrigieren.

Ich bin in der Ausbildung zum FISI. 3. Lehrjahr face-smile


Nachtrag:

Vielen Dank für die Hinweise und Ratschläge, Tipps und Tricks.
Ich werde das Ding einstampfen und in die Schublade legen. Folglich erhalte ich eine Schulung und eine komplette 1:1 Umsetzung mit unseren Profis. Mein erster "Versuchsaufbau" hat technisch gar keinen Sinn ergeben. Das war selbst für unsere Profis ein Rätsel, dass das Ding überhaupt läuft. :D

War eine nette Idee, aber da bringt es wohl nichts, wenn man sich das "eigenständig" beibringen möchte :D