Local Area Network in Hyper-V met Windows Server 2012 R2
Handleiding van Bas Wagenaar Februari 2019
Server 1: 8 GB RAM, 120GB SSD, 2 x NIC
Server 2: 16GB RAM, 250GB SSD
Omdat het uitmaakt in welke volgorde je software installeert moet je de stappen in volgorde uitvoeren. Doe je dit niet dan gaat het wellicht niet zoals hieronder beschreven.
Stappen:
1: Maak een IP plan.
2: Installatie Server 2012 R2 (of hoger) op Server 1
3: Installatie 2 Virtual Machines op Server 1
4: Installatie Domein Controller 1 in Hyper-V op Server 1
5: Installatie Domein Controller 2 in Hyper-V op Server 1
6: Installatie Routing en Remote Access op Server 1
7: Installatie DHCP Server op DC2 in Hyper-V op Server 1
8. Installatie SQL Server op Server 2
9: Installatie WSUS Server op Server 2
10: Installatie Deployment server op Server 2
11: Installatie VPN en Direct Access
1: Maak een IP plan.
Bedenk welke IP adressen en namen je gaat geven aan je computers. Servers hebben een vast IP adres en nog belangrijker: een vaste naam. Die wil je achteraf niet meer wijzigen want dat is vragen om problemen.
Bijvoorbeeld:
192.168.1.1 = Router
192.168.1.2 = Hyper-V Server
Naam: basserver
192.168.1.3 = RRAS Server externe netwerk
192.168.100.1 = Domain Controller 1
Naam: dc1
192.168.100.2 = Domain Controller 2 + DHCP Server
Naam: dc2
192.168.100.3 = RRAS Server interne netwerk
Naam: rras
192.168.100.4 = SQL Server, Deployment Server en Update Server
Naam: sql
192.168.100.100 192.168.100.200 = DHCP Clients (werkstations, laptops, tablets, telefoons)
192.168.100.50 51 etc. Printers, scanners en andere devices die bij voorkeur een vast IP en een unieke naam hebben.
2: Installatie Server 2012 R2 op Server 1 (20 min)
Boot en installeer de gratis evaluatie DVD en selecteer location.
Geef Administrator wachtwoord op.
Verander de Computernaam.
Installeer Hyper-V
Kopieer een Server 2012 R2 ISO naar C:\install
Maak 2 machines aan elk met 2 cores.
Ik geef ze 2048 MB starting RAM dynamic en 30 GB schijfruimte.
Zet de schermresolutie van de HYPER-V server zo hoog mogelijk. Dit is ook bepalend voor de hoogste resolutie van de Virtual Machines. Die wil je ook zo hoog mogelijk hebben staan anders heb je geen overzicht.
Later gaat de videokaart er helemaal uit en ook de muis en het toetsenbord en gaan we alles met remote management doen.
3: Installatie Virtual Machine (1 uur) 2 x
Installeer Server 2012 R2 in Hyper-V met een ISO bestand
Geeft administrator wachtwoord op.
Verander de Computernaam en geef vast IP adres volgens plan.
4: Installeer Domein Controller 1 op een Hyper-V Virtual Machine
Gebruik hiervoor de VM met naam dc1
Geef vast IP, Subnet, Gateway en DNS op.
Volgens IP plan:
IP 192.168.100.1
Subnet 255.255.255.0
!! Gateway 192.168.100.3 (is er nog niet)
!! DNS1 192.168.100.2 (is er nog niet)
DNS2 192.168.100.1
Disable IPv6, LMHOST lookup en NetBios.
Lees Issue 3 over autoconfiguration ipv4 (er staat namelijk een 169.254.x.x adres bij netwerk details)
Controleer of de computer de juiste naam heeft.
Installeer Active Directory Domain Services.
Promoveer tot domein controller
Add a new forest en geef een Root Domain name. Zoals: baslan.local
geef een DSRM wachtwoord op.
Laat je niet afleiden door meldingen over parent zone en delegation van authorative parent.
Dit is een lokaal domein geen internet domein.
KB Article 942564 Linkid=104751
5: Installeer Domein Controller 2 op een Hyper-V Virtual Machine
Gebruik hiervoor de VM met naam dc2
Volgens IP plan:
IP 192.168.100.2
Subnet 255.255.255.0
!! Gateway 192.168.100.3 (is er nog niet)
DNS 1 = 192.168.100.1
!! DNS 2 = 192.168.100.2 nog even niet want dat snapt ie niet totdat je klaar bent.
Controleer of de computer de juiste naam heeft. Reboot.
Maak de server lid van het domein. Reboot en log in op het domein.
Installeer Active Directory Domain Services.
Promoveer tot domein controller in existing domain
Geef domain name en admin credentials
Vink Global Catalog aan en geef DSRM wachtwoord op.
Replicate from: dc1.baslan.local
Laat je wederom niet afleiden door delegation en authorative parents.
Na de reboot controleer je of de replicatie werkt. In console:
repadmin /replsummary
repadmin /queue
repadmin /showrepl
Check for updates.
Controleer de logboeken of alles goed gaat.
6: Installatie Routing en Remote Access server
Controleer of de computer de juiste naam en de IP adressen volgens het IP plan heeft.
Maak server lid van het domein.
Installeer Routing & Remote Access.
Geef je inet nic externe ipconfig en je lan nic interne ipconfig.
Kijk of inet Private Network en lan Domain Network heeft.
Check of alles up en running is.
7: Installatie DHCP server op DC2 in Hyper-V op Server 1
Installeer DHCP Server op een van de servers.
Ik kies voor dc2 omdat die het minst te doen heeft.
Start DHCP Manager
Configureer DHCP server, vul scope en server options in.
Configureer DNS Servers, Time Server en Router.
Disable het MAC adres van de externe nic van RRAS in je DHCP server als DHCP client
Controleer of de instellingen werken.
Controleer de logboeken of alles goed gaat.
8: Installatie WSUS Server op Server 2
Installeer Server 2012 R2.
Geef IP volgens plan, verander Computernaam.
Maak lid van het domein, reboot en log in op het domein.
Lees Issue 1!!
Installeer alle updates en installeer daarna pas SQL Server 2017 Developer anders krijg je een foutmelding.
Download en installeer de SQL Server 2017 Developer
https://go.microsoft.com/fwlink/?linkid=853016
Kies voor de Custom Install.
Let op!: Collation: SQL_Latin1_General_CP1_CI_AI
Installeer SQL Server Management Studio 17.9.1 (SSMS)
https://go.microsoft.com/fwlink/?linkid=2043154
Geef SQL Database engine minimaal 8 GB RAM
Installeer Windows Server Update Services (WSUS)
Kies voor Database in plaats van Windows Internal Database (WID)
Kies DB instance = Computernaam (in dit geval sql)
Check Connection
Launch Post-Installation tasks.
Start WSUS.
Configureer en Start Connecting..
Wacht 30 minuten, hij gaat 1000 MB downloaden en iets met de database doen.
Kies Taal alleen Engels, Kies Product alleen Server 2012 R2. Classifications: Alleen Critical en Security.
Begin initial Synchronization now. Wacht het af.
Configureer WSUS.
Let op! Je wil zeker niet alle updates die Microsoft aanbiedt downloaden naar je WSUS Server. Dit is echt veel en veels te veel. Dus in dit geval alleen de updates voor Server 2012 R2 en in dit geval alleen in het Engels. En alleen critical en security. Later gaan we daar meer aan toevoegen.
Installeer de updates op de WSUS clients. Ineens ga je zien dat ie een update van 700 MB in 5 seconden binnen heeft! Goed teken! WSUS werkt!
Doe het gewoon lekker makkelijk op domain policy niveau. En doe een enforced policy.
Of maak groepen en doe onderstaande per groep.
Start group policy management:
(domain policy of per groep) > rechtermuis > edit > computer configuration > policies > Administrative templates > Windows Components > Windows Update > configureer alle settings.
En denk gewoon effe logisch na bij het instellen omdat hij soms vraagt of je iets NIET wil doen en dan is het dus soms Disable. De intranetserver is de wsus server dus in dit geval http://sql:8530 Ik heb er voor gekozen om clients altijd de mogelijkheid te geven om te updaten via Windows Update. Is prima. De rest krijgen ze van WSUS. Die we nog gaan uitbreiden, beveiligen en downstreamen.
C:\gpupdate
C:\wuauclt /reportnow /updatenow
Maak de Automatic Approval Rule.
Use SSL (later)
Sychronize now.
Wacht tot alle updates zijn gedownload.
Run Automatic Approval Rule
Wacht en check de status van de computers.
Assign computers to groups. Niks te zien? Lees bijlage 2.
Wacht tot alle computers een groen vinkje geven bij installation status.
Weet je niet waar? Rechtermuisklik op de balk. Welke balk? Ok vooruit screendump.
En dan dus net zolang tot ie dit laat zien:
Doe een WSUS Database cleanup:
Decline 1000+ updates die Installed or Not applicable zijn.
Restart de WSUS Server.
Voor de check:
Windows Update Log (Checking Errors/Process Status): %WINDIR%\WindowsUpdate.log
Cleanup all cached files and force detection:
net stop wuauserv
rmdir /S /Q C:\winnt\softwaredistribution
net start wuauserv
wuauclt.exe /resetauthorization /detectnow
Delete winhttpproxy settings: proxycfg -d
wuauclt /detectnow /register /reportnow /updatenow
Alles op groen? Good! You re good! NEXT!
9: Installatie Deployment Server en ADK (LiteTouch)
Installeer Windows Deployment Services
Installeer Windows Assessment and Deployment Kit for Windows 10 1809
https://go.microsoft.com/fwlink/?linkid=2026036
Installeer Windows Assessment and Deployment Kit Windows Preinstallation Environment
http://download.microsoft.com/download/D/7/E/D7E22261-D0B3-4ED6-8151-5E002C7F823D/adkwinpeaddons/adkwinpesetup.exe
Installeer Microsoft Deployment Toolkit
Download Windows Media Creation Tool 1809 https://go.microsoft.com/fwlink/?LinkId=691209
Converteer INSTALL.ESD naar INSTALL.WIM
Create a folder (c:\Win10USB).
Go to the sources directory on your installation media.
Copy the install.esd file to the Win10USB folder.
Open Command Prompt as Administrator: cd c:\Win10USB
Let op gebruik dism versie 10 niet versie 6.
Show the available images within the install.esd file.
dism /Get-WimInfo /WimFile:install.esd
Determine the Index number to modify (in this example we are modifying Index 2)
Export the image to a WIM file.
dism /export-image /SourceImageFile:install.esd /SourceIndex:2 /DestinationImageFile:install.wim /Compress:max /CheckIntegrity
Voeg de boot images en install images toe aan de Deployment Server
Geef rechten op de Deployment Share
Maak een paar tasksequences en installeer een reference server en een reference client
Installeer alle updates, drivers en programma s en doe een SYSPREP (C:\Windows\system32\sysprep\)
Capture the reference image en heef hem een zinvolle naam.
Voor de toekomst onderstaande loop:
Deploy > Update & install > Clean image > Capture > Deploy >
Een Capture doen vanuit Windows gaat zo:
Maak verbinding met de netwerkshare:\\server\deploy$
Log in en ga naar Scripts en run litetouch.vbs
Your final updated and configured Server or Client OS image is ready for deployment. Good!? You re good!
11: Configureer VPN
Met het huidige IP plan kan er geen VPN verbinding gemaakt worden van buiten het lokale netwerk. Om dit wel mogelijk te maken moet de internet netwerkkaart van de RRAS een internet IP adres hebben.
Dit kan met de bridgemode of met een exposed host op de router.
Een andere mogelijkheid is om externe clients een VPN verbinding met de router te laten maken en dan dus met een lokaal IP adres verbinding met het netwerk hebben. Het is vrijwel hetzelfde idee. Bij deze oplossing heb je de RRAS helemaal niet meer nodig.
Voor VPN op de RRAS doe je dit:
Zet op je externe nic IPv6 aan voor IPv4 transition.
Stel de DHCP Relay Agent in op wijzend naar je DHCP server.
Zet bij IGMP je externe nic op Proxy en je interne nic op Router.
Enable IPv4 Router voor LAN en IPv4 RAS.
Vink IKEv2 aan.
Enable IPv4 forwarding , enable broadcast name resolution.
Disable externe nic MAC adres in je DHCP server als DHCP client.
Zet op je externe nic IPv6 aan voor IPv4 transition.
Stel de DHCP Relay Agent in op wijzend naar je DHCP server.
Zet bij IGMP je externe nic op Proxy en je interne nic op Router.
Enable IPv4 Router voor LAN en IPv4 RAS.
Vink IKEv2 aan.
Enable IPv4 forwarding , enable broadcast name resolution.
Disable externe nic MAC adres in je DHCP server als DHCP client.
Issues
1. Hoe krijg ik Windows Updates werkend op Server 2012 R2 anno 2019?
2. Hoe wis ik snel alle logbestanden in Windows?
3. Hoe disable ik Autoconfiguration IPv4?
Issue 1:
Windows Updates Januari 2019:
Windows Update: Automatic Updates staat standaard niet aan.
Als je kiest voor Automatic Updates aan (recommended) dan krijg je:
We couldn t complete the updates UNDOING CHANGES! En dat duurt h l lang!
Let op! In Januari 2019 krijg je met het updaten van een kale 2012 R2 installatie 138+ updates ter grootte van 2100+ MB en die gaat ie in n keer installeren maar doe dit niet want dan komt ie met de melding: We couldn t complete the updates UNDOING CHANGES! En dat duurt h l lang! Ik hoop dat deze waarschuwing zo duidelijk genoeg is.
Oplossing:
Kies voor de optie Check but download and install later.
Eerst KB2919355 dan de security rollup , de nieuwste .net en .net rollup. Check
Dan alles behalve KB3000850. Check. Dan KB3000850. Check for Updates en.. Done!!
Om de eventuele troep op te ruimen en te kijken of alles goed is aangekomen:
in CMD Admin
C:\Dism /Online /Cleanup-Image /RestoreHealth
C:\sfc /scannow
All good? Good! You re good!
Final solution:
Install WSUS, clone a fully updated Server 2012 R2 and add it to your Deployment server! And never ever install 100+ updates again!
En dat is nou precies waar deze handleiding
over gaat! Hoe fijn is dat!?
Issue 2:
Als je nog niet helemaal klaar bent met het configureren en updaten van je netwerk lopen je logboeken vol met foutmeldingen. Maar hoe kan je die nou snel verwijderen?
Hoe wis ik alle logbestanden in Windows?
Sla onderstaande regel op als clearlog.ps1:
wevtutil el | Foreach-Object {Write-Host "Clearing $_"; wevtutil cl "$_"}
Sla onderstaande regel op als clearlog.bat en voor uit als administrator:
PowerShell.exe -NoProfile -Command "& {Start-Process PowerShell.exe -ArgumentList '-NoProfile -ExecutionPolicy Bypass -File ""%~dpn0.ps1""' -verb RunAs}"
Issue 3:
Het kan gebeuren dat op de eerste domeincontroller je netwerkkaart een 169.x.x.x adres krijgt van Autoconfiguration IPv4. Dit wil je niet want dan gaan er dingen fout. Maar hoe kom je ervan af?
How to disable autoconfiguration IPv4??
In de console:
C:\>netsh interface ipv4 show inter
Enter> Hij zegt..
Idx Met MTU State Name
--- ---------- ---------- ------------ ---------------------------
1 50 4294967295 connected Loopback Pseudo-Interface 1
12 10 1500 connected Local Area Connection
12: <= Let op hier kan ook iets anders staan.
Dan deze:
C:\>netsh interface ipv4 set interface 12 dadtransmits=0 store=persistent
Enter> Hij zegt Ok.
Run > services.msc > disable DHCP Client
Disable en enable netwerk adapter.
Fixed? Run > services.msc > enable DHCP Client
Reboot. Still fixed? Good! You re good!
Foutmeldingen en waarschuwingen:
Standaard waarschuwingen bij het herstarten van een van de domein controllers:
Event 5014, DFSR: Replication service is stopping comunication with partner for replication.
Klopt! Hij is aan het herstarten.
Standaard foutmelding bij het herstarten van een van de domein controllers:
Event 5002, DFSR: Replication service encountered an error comunicating with partner for replication.
Klopt! Hij is aan het herstarten.
Standaard melding bij het maken van een rdp verbinding naar een server.
Event 20499 TerminalServices RemoteConnectionManager
Remote Desktop Services has taken too long to load the user configuration from server \\basdc1.baslan.local for user Administrator.
Melding is echt gelul want het gaat allemaal supersnel. Om van deze melding af te komen zit er niets anders op dan het event uit te schakelen.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-TerminalServices-RemoteConnectionManager/Admin
Verander het Enabled DWORD van 1 naar 0
Standaard melding na het uitschakelen van verbindingen met de Microsoft Store
Event 512 Store-Licensing failed
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-WS-Licensing/Admin
Verander het Enabled DWORD van 1 naar 0
Event ID 2974:
The attribute value provided is not unique in the forest or partition. Attribute: servicePrincipalName Value=MSSQLSvc/BasSQL.basnet.local
CN=BASSQL,CN=Computers,DC=basnet,DC=local Winerror: 8647
See http://go.microsoft.com/fwlink/?LinkID=279782 for more details on this policy.
Doe dit:
setspn BasSQL -r
Performance Counters:
In Server Manager:
Stop Performance counters. Alles word nu gereset en de logbestanden worden leeg gemaakt. Als de server is uit gerammeld start je de performance counters weer en is alles weer mooi groen.
Event 1008 perflib wmiaprpl
Open a CMD via run as admin
C:\Windows\system32\lodctr.exe /R
C:\Windows\SysWOW64\lodctr.exe /R
C:\Windows\System32\wbem\winmgmt.exe /RESYNCPERF
C:\Windows\SysWOW64\wbem\winmgmt.exe /RESYNCPERF
Event 2002 source Microsoft-Windows-IIS-W3SVC-PerfCounters cannot be found.
cd c:\Windows\Inf\W3SVC
lodctr .\0409\w3ctrs.ini
Event 2001 usbperf
Unable to read the "First Counter" value under the usbperf\Performance Key. Status codes returned in data.
In admin CMD:
WINMGMT.EXE /RESYNCPERF
Dir C:\Windows\winsxs\amd64_microsoft-windows-usbperf* -->You will see 3 folders
Try installing the usbperf.ini from each folder using: "Lodctr usbperf.ini"
When it is successful, you will see the following entry in the application log.
Log Name: Application
Source: Microsoft-Windows-LoadPerf
Event ID: 1000
Level: Information
Description:
Performance counters for the ..... service were loaded successfully. ....
REBOOT
EventID 6038 LsaSrv:
Microsoft Windows Server has detected that NTLM authentication is presently being used between clients and this server. This event occurs once per boot of the server on the first time a client uses NTLM with this server.
Doe dit:
Use NTLMv2:
To force systems to use NTLMv2 rather than NTLM and reject any computer that attempts lower-level authentication, you can open Group Policy Management Console (GPMC), select a Group Policy Object (GPO) that's applied to all the computers on your network, navigate to
Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options
Network security: LAN Manager authentication level field:
Stel in op:
Send NTLMv2 response only. Refuse LM & NTLM.
EventID 6038:
Je kan ook dit doen als je wilt weten of er nog clients zijn die NTLM v1 nodig hebben. Windows NT bijvoorbeeld. (lol)
Microsoft Windows Server has detected that NTLM authentication is presently being used between clients and this server. This event occurs once per boot of the server on the first time a client uses NTLM with this server.
NTLM is a weaker authentication mechanism. Please check:
Which applications are using NTLM authentication?
Are there configuration issues preventing the use of stronger authentication such as Kerberos authentication?
If NTLM must be supported, is Extended Protection configured?
Details on how to complete these checks can be found at http://go.microsoft.com/fwlink/?LinkId=225699.
Enabling DC NTLM Auditing Group Policy
First create a New Group Policy Object in your domain. This policy should be linked to your Domain Controllers by OU or Security Filtering.
These policy settings will report what is using NTLM without blocking anything:
Computer Configuration->Policies->Windows Settings-> Security Settings-> Local Policies>Security Options->Network security: Restrict NTLM: Audit NTLM authentication in this domain. Policy Setting: Audit All
Computer Configuration->Policies->Windows Settings->Security Settings-> Local Policies>Security Options->Network security: Restrict NTLM: Audit Incoming NTLM Traffic. Policy Setting: Enable auditing for all accounts
Computer Configuration->Policies->Windows Settings->Security Settings-> Local Policies>Security Options->Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers. Policy Setting: Audit all
After enabling these policies, Event ID 8001, 8002, 8003, and 8004 will be recorded in Event Viewer under Applications and Services Logs->Microsoft->Windows->NTLM->Operational.
Event 1001 Source: IISInfoCtrs
Reload performance counters:
In admin CMD:
unlodctr w3svc
(unlodctr msftpsvc)
(unlodctr asp)
(unlodctr inetinfo)
lodctr w3ctrs.ini
lodctr ftpctrs.ini
lodctr axperf.ini
lodctr infoctrs.ini
Bijlage 1:
Weet je niet hoe je een server moet aanmelden bij een domein?
Doe dit:
Rechtermuis op de startknop.
Klik links: system > change settings > change > vink member of domain aan.
Typ de hele domeinnaam en klik op ok. In dit geval baslan.local
Zorg ervoor dat de netwerk adapter staat ingesteld volgens het IP plan.
En dus in dezelfde range zit als de domeincontroller.
Log in met username in dit geval: baslan\administrator
En geef het wachtwoord op.
Reboot en log in op het domein.
Bijlage 2:
WSUS client computers niet zichtbaar? Geef ze een schop!
wuauclt /detectnow /reportnow
Force Detection of Updates and Report to the WSUS Server:
wuauclt.exe /detectnow /reportnow
Bijlage 3: Internet doet het niet.
Is je RRAS server up en running?
Zo niet.. zorg dat RRAS draait. Of..
DNS3 8.8.8.8 of de DNS van je provider (tot RRAS draait)
DNS4 8.8.4.4 of de DNS van je provider (tot RRAS draait)
Bijlage 4: PXE-boot werkt niet
Enable PXE-boot op je netwerkkaart in de BIOS
Bijlage 5: Hoe krijg ik mijn netwerk opgestart?
Opstartvolgorde van servers:
Uiteraard eerst de Hyper-V Server. Dan een van de domeincontrollers. Wacht tot de server volledig opgestart is. Start dan de tweede domeincontroller. Wacht tot de server volledig opgestart is, reboot dan de eerste. Wacht tot de server volledig opgestart is, reboot dan de tweede. Start de RRAS server. Wacht tot de server volledig opgestart is inclusief RRAS! Start de rest. Uitzetten gaat andersom. Behalve als je remote werkt. Dan RRAS als laatste maar dan kan je ook de Hyper-V Server niet meer rebooten. Dus die moet local of met een ping, hearthbeat or whatever. Maak eigenlijk kan je de Hyper-V server gewoon rebooten als de VMs uit staan op de RRAS na. Die moet toch ook weer rebooten als je het netwerk weer opstart. Doe ook een logoff/logon op de Hyper-v Server zodat die ook weer netjes is aangemeld op het netwerk.
Overige settings Server 2012 R2:
Server Manager: Do not start server manager at logon.
Control Panel : show large icons.
Power Options: Display never sleeps! Anders moet je steeds je wachtwoord weer intikken.
Taskbar and Navigation: Tab Navigation > Corner navigation. Charms uitvinken.
Helpt niet voor de Charms rechtsonder helaas.
Verdere tips:
Open resource monitor in taskmanager > performance.
Veel meer details over de belasting van de schijf, het geheugen en de processor.
Vooral handig als je denkt dat ie niet reageert. Vaak issie gewoon bezig. En dan zie je het tenminste!
A: Issues
Issue 1. Hoe krijg ik Windows Updates werkend op Server 2012 R2 anno 2019?
Issue 2. Hoe wis ik snel alle logbestanden in Windows?
Issue 3. Hoe disable ik Autoconfiguration IPv4?
Issue 4. Hoe converteer ik install.esd naar install.wim
B: Waarschuwingen en foutmeldingen
Event 5014, DFSR
Event 5002, DFSR
C: Bijlagen..
Bijlage 1: Ik kan de server niet aanmelden.
Bijlage 2: Ik zie de WSUS clients niet.
Bijlage 3: Het Internet doet het niet.
Bijlage 4: PXE boot werkt niet.
En verder..
Logboeken
Richt je domein in met alles erop en eraan.
Maak een Tasksequence
Deploy een server
Installeer je VPN en RAS Server
Overige settings
Installeer OpenSSH Server:
Installing OpenSSH with PowerShell
To install OpenSSH using PowerShell, first launch PowerShell as an Administrator. To make sure that the OpenSSH features are available for install:
PowerShell
Get-WindowsCapability -Online | ? Name -like 'OpenSSH*'
# This should return the following output:
Name : OpenSSH.Client~~~~0.0.1.0
State : NotPresent
Name : OpenSSH.Server~~~~0.0.1.0
State : NotPresent
Then, install the server and/or client features:
PowerShell
# Install the OpenSSH Client
Add-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0
# Install the OpenSSH Server
Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0
# Both of these should return the following output:
Path :
Online : True
RestartNeeded : False
Start-Service sshd
# OPTIONAL but recommended:
Set-Service -Name sshd -StartupType 'Automatic'
# Confirm the Firewall rule is configured. It should be created automatically by setup.
Get-NetFirewallRule -Name *ssh*
# There should be a firewall rule named "OpenSSH-Server-In-TCP", which should be enabled
In ADMIN PowerShell
PS C:\Windows\system32> Get-WindowsCapability -Online | ? Name -like 'OpenSSH*'
PS C:\Windows\system32> Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0
PS C:\Windows\system32> Start-Service sshd
PS C:\Windows\system32> Set-Service -Name sshd -StartupType 'Automatic'
PS C:\Windows\system32> Get-NetFirewallRule -Name *ssh*
Portforwarding op de router:
Forward port 80 op de router naar je server voor HTTP
Forward port 443 op de router naar je server voor HTTPS
Forward port 22 op de router naar je server voor SSH
RDP over internet:
Om RDP veiliger te maken voor een verbinding over internet moet je een SSH tunnel maken naar je server.
Dit kan je doen met Putty for Windows. In Putty maak je een SSH tunnel met local port 1234 en destination localhost:3389 voor RDP
Je snapt dat die 1234 elke poort kan zijn die je maar wil gebruiken en dat de firewall niet hoeft open te staan op die poort. Dat komt omdat het door de SSH tunnel gaat en die zit op poort 22.
Je gebruikt dus een poort naar je localhost die wordt doorgestuurd door je SSH tunnel naar je server.. bizar he?
Je gelooft het niet maar het werkt echt zolang de SSH tunnel open is met het juiste poortnummer.
In RDP log je in met 127.0.0.1:1234 en servernaam\user
easy toch? ;)
10: Installatie SCCM (Zero-Touch)
Installeer prerequisites WSUS, SQL, ADK, IIS en SMSS:
Create the recommended disk drives for Configuration Manager - https://youtu.be/amrg_mlFvuk?t=69
Install IIS, RDC, BITS - https://youtu.be/amrg_mlFvuk?t=380
Install and configure Microsoft SQL Server 2017 - https://youtu.be/amrg_mlFvuk?t=418
Open SQL Server Configuration Management.
Expand SQL Server Network Configuration , and click the Protocols for MSSQLSERVER .
Enable both TCP/IP and Named Pipes protocols. And then restart the SQL Server service
Let op!: Collation: SQL_Latin1_General_CP1_CI_AS
Install and configure WSUS - https://youtu.be/amrg_mlFvuk?t=1036
Install latest Windows 10 ADK - https://youtu.be/amrg_mlFvuk?t=1392
Extend the Active Directory schema for SCCM - https://youtu.be/amrg_mlFvuk?t=1439
Create the System Management container in Active Directory - https://youtu.be/amrg_mlFvuk?t=1529
Pre-create the SCCM database in SQL so we can set the location, size, and number of files - https://youtu.be/amrg_mlFvuk?t=1695
Install Microsoft SCCM Current Branch 1802 https://youtu.be/amrg_mlFvuk?t=2029
Scripts: Powershell script to install IIS, BITS, and RDC:
Install-WindowsFeature Web-Static-Content,Web-Default-Doc,Web-Dir-Browsing,Web-Http-Errors,Web-Http-Redirect,Web-Net-Ext,Web-ISAPI-Ext,Web-Http-Logging,Web-Log-Libraries,Web-Request-Monitor,Web-Http-Tracing,Web-Windows-Auth,Web-Filtering,Web-Stat-Compression,Web-Mgmt-Tools,Web-Mgmt-Compat,Web-Metabase,Web-WMI,BITS,RDC
Web-Net-Ext failes als tie geen pad voor installatie kan vinden. Installeer .Net 3.5 met server manager add roles.
Download Microsoft System Center Configuration Manager and Endpoint Product (Current Branch) Evaluation
Download Microsoft SQL Server Management Studio (SSMS)
Download Microsoft SQL Server 2017 Reporting Services
https://www.microsoft.com/en-us/download/details.aspx?id=55252
Download Windows 10 ADK https://docs.microsoft.com/en-us/windows-hardware/get-started/adk-install
Screenshots:
Microsoft Docs for Topics in this Guide:
Baseline and update versions
https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates#bkmk_Baselines
Client numbers for sites and hierarchies
Configuration Manager Perf and Scale Guidance Whitepaper - Preview
https://gallery.technet.microsoft.com/Configuration-Manager-ba55428e
Prepare Active Directory for site publishing
https://docs.microsoft.com/en-us/sccm/core/plan-design/network/extend-the-active-directory-schema
Recommended hardware for System Center Configuration Manager
https://docs.microsoft.com/en-us/sccm/core/plan-design/configs/recommended-hardware
Site and site system prerequisites for System Center Configuration Manager
https://docs.microsoft.com/en-us/sccm/core/plan-design/configs/site-and-site-system-prerequisites
Size and scale numbers for System Center Configuration Manager
https://docs.microsoft.com/en-us/sccm/core/plan-design/configs/size-and-scale-numbers
Supported Active Directory domains for System Center Configuration Manager
https://docs.microsoft.com/en-us/sccm/core/plan-design/configs/support-for-active-directory-domains
Supported SQL Server versions for System Center Configuration Manager
https://docs.microsoft.com/en-us/sccm/core/plan-design/configs/support-for-sql-server-versions
The content library in System Center Configuration Manager (no_sms_on_drive.sms file)
https://docs.microsoft.com/en-us/sccm/core/plan-design/hierarchy/the-content-library