Umbenennen des Computers
netdom renamecomputer %computername% /newname:Core01
netdom renamecomputer "Desktop 12" /NewName:"Client 12" /User0 localAdmin /Password0 *
/UserD DomainAdmin /PasswordD * /SecurePasswordPrompt /REBoot
Änderung des Passwortes vom Administrator
net user Administrator *
Das neue Passwort kann man am Prompt eingeben.
TCP/IP-Konfiguration (IPv4) anzeigen
netsh
int
ipv4
show int
Konfiguration der IP-Adresse (feste IP + primärer DNS-Server)
netsh interface ipv4 set address "LAN-Verbindung" static 192.168.1.12
mask=255.255.255.0 gateway=192.168.1.254
netsh int ip set dns "LAN-Verbindung" static 192.168.1.10 primary
System-Neustart
shutdown -r -t 0
oder mit <Strg>+<Alt>+<Entf>
Kontrolle der Einstellungen TCP/IP
ipconfig -all
Serverkonfiguration für den Core-Server
sconfig
Anzeige der Serverrollen und Features auf dem Core-Server
oclist
Installation der IIS-Serverrolle
start /w ocsetup IIS-WebServerRole
Hinzufügen von Rollendiensten:
Statischer Inhalt
Verzeichnissuche
ASP.NET
FTP-Server
Deinstallation der IIS-Serverrolle
start /w ocsetup IIS-WebServerRole /uninstall
Servermanager
servermanager.exe
servermanager.msc
(nicht bei einem Core-Server)
ServerManagerCmd.exe
(am Prompt)
Anzeige der installierten Rollen und Features
ServerManagerCmd.exe -query
Installation von Rollen und Features
ServerManagerCmd.exe -install Web-Server -resultPath installResult.xml
servermanagercmd -install Desktop-Experience
(für die Desktop-Darstellung bei einem Terminal-Server;
dafür muss man den englischen Begriff in eckiger Klammer verwenden;
siehe auch ocsetup)
PowerShell
Alle Programme, Zubehör, Windows PowerShell
Menü Verwaltung, PowerShell Modules oder
powershell
Datenträgerbereinigung
Ab Windows Server 2012 muss das Feature Desktopdarstellung installiert werden.
Explorer
Laufwerk C: mit der rechten Maustaste anklicken
Eigenschaften
Reiter Allgemein
Button Bereinigen
Desktop-Symbole anzeigen
Systemsteuerung
Das Wort Desktop in die Such-Leiste eingeben
Gemeinsame Symbole auf dem Desktop ein- oder ausblenden
das Fenster zur Auswahl erscheint
Automatisch anmelden
control userpasswords2
Haken entfernen bei:
Benutzer müssen beim Start des Computers Name und Kennwort eingeben
Sichere Anmeldung deaktivieren
Systemsteuerung
Verwaltung
Lokalen Sicherheitsrichtlinien
Lokale Richtlinien
Sicherheitsoptionen
Interaktive Anmeldung: Kein Strg+Alt+Entf erforderlich: aktivieren
regedit
Alle Einträge sind vom Typ Zeichenfolge REG_SZ.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
AutoAdminLogon: 1
DefaultUserName: Benutzer
DefaultPassword: Kennwort
DefaultDomainName: Domäne oder Rechner, bei einem lokalen Benutzer
oder mit dem Tool autologon.exe von Sysinternals
(Das Kennwort wird verschlüsselt.)
Windows Server 2008: MBR reparieren
(siehe auch Windows 10 Abschnitt Booten)
vom Windows-Installationsdatenträger booten
im Windows Setup mit <Shift>+<F10> zum Prompt
diskpart
list disk
select disk <disk number>
list partition
select partition <partition number>
active
exit
c:
bootrec.exe /fixmbr
bootsect.exe /nt60 all /force
bootrec.exe /rebuildbcd
Windows Server 2003: MBR reparieren
vom Windows-Installationsdatenträger booten
im Windows Setup mit <Shift>+<F10> zum Prompt
c:
fixmbr
fixboot
bootcfg /rebuild
Verstärkte Sicherheitskonfiguration abschalten
bei Windows Server 2012:
Servermanager
Eigenschaften
nach rechts scrollen
Verstärkte Sicherheitskonfiguration für IE konfigurieren
auf Aus
bei Windows Server 2008:
Servermanager
Übersicht
Sicherheitsinformationen
Verstärkte Sicherheitskonfiguration für IE konfigurieren
Administratoren auf Aus
bei Windows Server 2003:
Systemsteuerung
Software
Windows-Komponenten hinzufügen/entfernen
Deinstallation von Verstärkte Sicherheitskonfiguration für Internet Explorer
Windows-Firewall in allen Profilen abschalten
netsh advfirewall set allprofiles state off
Windows-Firewall in allen Profilen einschalten
netsh advfirewall set allprofiles state on
Aktive Regeln der Windows-Firewall anzeigen
netsh advfirewall firewall show rule name=all
Export der Einstellungen der Windows-Firewall
netsh advfirewall export "c:\ErwFirewallrichtlinie.wfw"
Import der Einstellungen der Windows-Firewall
netsh advfirewall import "c:\ErwFirewallrichtlinie.wfw"
Aktivierung des Antwortens auf ICMP-Anforderungen
(Internet Control Message Protocol; Protokoll für ping usw.)
netsh advfirewall firewall add rule name="ICMP Allow incoming V4 echo request"
protocol=icmpv4:8,any dir=in action=allow
Abfrage vom Lizenzstatus
cd %Systemroot%\System32
start /w slmgr.vbs -dli
Eingeben des Lizenzkeys
cd %Systemroot%\System32
cscript SLmgr.vbs -ipk Produktschlüssel mit Bindestrichen
Produktaktivierung
cd %Systemroot%\System32
start /w slmgr.vbs -ato
(setzt eine Internetverbindung voraus)
DISM /online /Set-Edition:ServerStandard /ProductKey:xxxxx-xxxxx-xxxxx-xxxxx-xxxxx /AcceptEula
(Edition und Produkt-Key anpassen)
Neustart
Systemsteuerung
System
Aktivieren über das Internet
Test-Zeitraum verlängern
cd %Systemroot%\System32
start /w slmgr.vbs -rearm
Hilfe zu Lizenz-Script
cd %Systemroot%\System32
slmgr.vbs -?
APIPA deaktivieren
APIPA (Automatic Private IP Adressing) 169.254.x.x
CMD als Admin öffnen und den Befehl
netsh interface ipv4 show inter
eingeben.
Jetzt bekommt man eine Liste angezeigt,
wo alle Netzwerkinterfaces des Geräts aufgeführt sind.
Idx Met MTU State Name
1 50 4294967295 connected Loopback Pseudo-Interface 1
15 20 1500 connected LAN-Verbindung
Wichtig hier ist die idx-Nummer der NW-Karte im Bespiel 15.
Nun muss man den Counter der karte noch zurücksetzen:
netsh interface ipv4 set interface 15 dadtransmits=0 store=persistent
Danach den Server neu starten.
Die APIPA-Adresse wird mit ipconfig /all nicht mehr angezeigt und
der Server ist wieder unter seiner fest eingetragenen IP-adresse erreichbar.
Installation der DHCP-Serverrolle
start /w ocsetup DHCPServerCore
manuelles Starten des DHCP-Dienstes
net start dhcpserver
Automatisches Starten des DHCP-Dienstes
sc config dhcpserver start= auto
(Achtung: mit einem Leerzeichen vor auto)
Core-Server als DHCP-Client
netsh interface ipv4 set address "LAN-Verbindung" dhcp
netsh int ip set dnsserver "LAN-Verbindung" dhcp
(ist Standard)
Aktivierung der statusbehafteten Ipv6-Konfiguration beim DHCP-Server
(Der Client erhält seine Adresse nicht mehr vom Router wie im statusfreien Modus.)
netsh interface ipv6 set address "LAN-Verbindung" managedaddress=enabled
Aktivierung der "anderen statusbehafteten" Ipv6-Konfiguration beim DHCP-Server
(Der Client erhält weitere Konfigurations-Optionen wie DNS, Gateway.)
netsh interface ipv6 set address "LAN-Verbindung" otherstateful=enabled
DHCP-Datenbank komprimieren
cd %systemroot%\system32\dhcp
net stop dhcpserver
jetpack dhcp.mdb tmp.mdb
net start dhcpserver
TCP/IP-Konfiguration (IPv6)
netsh int ipv6 set address "LAN-Verbindung" fec0:0:0:fffe::2
netsh int ipv6 add dnsserver "LAN-Verbindung" fec0:0:0:fffe::1
netsh int ipv6 6to4
netsh int ipv6 isatap
netsh int ipv6 add v6v4tunnel
Anzeige der Hosts im lokalen IPv6-Subnetz
netsh int ipv6 show neighbors
Anzeige der IPv6-Adressen des eigenen Clients
netsh int ipv6 show address
Anzeige der IPv6-Standort-Kennungen
netsh int ipv6 show address level=verbose
Anzeige des IPv6-Ziel-Caches
netsh int ipv6 show destinationcache
Löschen des IPv6-Ziel-Caches
netsh int ipv6 delete destinationcache
Anzeige der IPv6-Routen
netsh int ipv6 show route
netsh int ipv6 set route
netsh int ipv6 add route
netsh int ipv6 delete route
(siehe auch DNS)
Deaktivierung von TCP/IPv6
regedit mittels neuem QWORD-Wert (32-Bit):
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\DisabledComponents:FF
Anzeige des Status des Zeitdienstes
w32tm /query /status
Anzeigen der Zeitquelle
w32tm /query /source
Neustart des Zeitdienstes
net stop w32time
net start w32time
Zeit auf dem PDC-Emulator mit externer Zeitquelle synchronisieren
w32tm /config /syncfromflags:manual
/manualpeerlist:ptbtime1.ptb.de oder IP-Nummer /reliable:YES
w32tm /config /update /manualpeerlist:"0.pool.ntp.org,0x8 1.pool.ntp.org,0x8 2.pool.ntp.org,0x8
3.pool.ntp.org,0x8" /syncfromflags:MANUAL
w32tm /config /update
net stop w32time && net start w32time
w32tm /resync /rediscover
oder
net time \\Server01 /setsntp:Zeitquelle
(Den Zeitdienst neu starten.)
Zeitquelle auf Local CMOS Clock zurücksetzen
w32tm /config /syncfromflags:DOMHIER /manualpeerlist:server01 /reliable:YES
w32tm /config /update
(Den Zeitdienst neu starten.
regedit: HKLM\SYSTEM\CurrentControlSet\services\W32Time\Parameters\NTPServer)
Anzeigen der Konfiguration des Zeit-Servers
w32tm /query /configuration
(Standard: PDC-Emulator)
Anzeigen der Zeitzone
w32tm /tz
Zurücksetzen der Einstellungen
net stop w32time
w32tm /unregister
w32tm /register
net start w32time
Stoppen / Starten des Anmelde-Dienstes
sc stop netlogon
sc start netlogon
Aktivieren der Remote-Desktop-Verbindung
cd %Systemroot%\System32
cscript scregedit.wsf /ar 0
(für mstsc vom anderen Rechner)
Remote-Shell aktivieren
winrm quickconfig
WinRM-Dienst starten: y
Änderungen an Firewall durchführen: y
Remote-Shell auf entfernten Rechner ausführen
winrs -r:Rechnername dir
winrs -r:192.168.1.12 command
winrs -r:192.168.1.12 dir c:\windows
Remotesitzung in der Firewall freischalten
netsh advfirewall firewall
set rule group="Remoteverwaltung" new enable=yes
(Anzeigen: show rule all)
oder über
sconfig bei Core-Server
Verwaltung auf einem anderen Computer
mmc
Menü Datei, Snap-In hinzufügen: Computerverwaltung
Anderer Computer
Authentifizierungsdaten für einen anderen Rechner hinterlegen
cmdkey /add:192.168.1.12 /user:test\Administrator /pass:
cmdkey /add:Core01 /user:test\Administrator /pass:
Administrative Verwaltungstools
Adminpak.msi bei Windows Server 2003
Microsoft Remoteserver-Verwaltungstools (RSAT) bei Windows Server 2008
Remote Anmeldung als Administrator-User
mstsc.exe /admin /v:Servername oder IP
Automatische Updates einrichten
cd %Systemroot%\System32
cscript scregedit.wsf /AU 4
Einstellungen für automatische Updates überprüfen
cd %Systemroot%\System32
cscript scregedit.wsf /AU /v
(Wert 4 ist an.)
Updates vom Windows Server Update Services (WSUS) Server sofort holen
wuauclt /detectnow
(wuauclt.exe /a)
WSUS-Client sofort auf einem neu zugewiesenen WSUS-Server angezeigen
wuauclt /resetauthorization /detectnow
WSUS-Server Metadaten (keinen Inhalt) exportieren
wsusutil export
WSUS-Server Prüfen auf fehlende oder defekte Updatedateien
wsusutil reset
Client-Dienst für Windows Update stoppen
sc stop wuauserv
Client-Dienst für Windows Update starten
sc start wuauserv
WinSxS-Ordner verkleinern
Task
Aufgabenplanung
Aufgabenplanungsbibliothek (links)
Microsoft
Windows
Servicing
StartComponentCleaning (Mitte)
rechte Maustaste Ausführen
Konfiguration des Branch-Caches anzeigen
(ist Zwischenspeicher für Dateien z.B. in den Zweigstellen)
netsh branchcache show status detail=all
Branch-Cache-Server im Modus für gehostete Cacheserver
netsh branchcache Set Service Mode=HostedServer
Cache eines BranchCache-Clients oder BranchCache-Servers leeren
netsh branchcache flush
Netzwerkdrucker installieren (ab Win 2012 R2)
printmanagement.msc
Neuen Anschluss erstellen
Standard TCP/IP Port
den Drucker hinzufügen
mit vorhandenem Anschluss
den Treiber installieren oder den vorhandenen verwenden.
Spooler-Dienst neu starten
net stop spooler
evtl. alle Druckdateien in C:\Windows\System32\spool\PRINTERS löschen.
net start spooler
Drucker-Tools
(in %Systemroot%\system32\Printing_Admin_Scripts\de-DE\)
PrnMngr.vbs (Hinzufügen und Löschen von Druckern)
PrnCnfg.vbs (Konfiguration von Druckern: Name, Berechtigungen)
PrnDrvr.vbs (Drucker-Treiber)
PrnJobs.vbs (Druck-Aufträge)
PrnPort.vbs (Drucker-Anschlüsse)
PrnQctl.vbs (Drucker-Warteschlange)
PubPrn.vbs (Drucker in AD)
cscript pubprn.vbs Server1 "LDAP://ou=AlleDrucker,dc=test,dc=global"
Druckserver-Migration am Prompt mit Export in eine Datei
cd %windir%\System32\Spool\Tools
Printbrm -s \\Server -b -f Server.printerExport
Druckserver-Migration am Prompt mit Import aus einer Datei
cd %windir%\System32\Spool\Tools
Printbrm -s \\Server -r -f Server.printerExport
Druckserver-Migration
(Für Windows 2003 von Windows 2008 aus.)
Start-Button, Verwaltung, Druckverwaltung
rechte Maustaste auf Druckverwaltung
Server hinzufügen/entfernen
Den Server mit den zu exportierenden Druckern hinzufügen
rechte Maustaste auf diesen Server unter dem Punkt Druckerserver
Drucker in Datei exportieren
Die Export-Datei Server.printerExport mit dem Assistent erzeugen.
Diese Datei auf dem Ziel-Server auf die gleiche Art und Weise importieren.
Meldungen zu Druckaufträgen abschalten
Systemsteuerung
Geräte und Drucker
Drucker auswählen
in der Menüzeile Druckerservereigenschaften
Erweitert
Informative Benachrichtigungen für Netzwerkdrucker anzeigen: Aus
Alle Drucker im Explorer anzeigen
Explorer
Einfügen in Menüleiste
Druckerliste.{2227A280-3AEA-1069-A2DE-08002B30309D}
Erzeugen einer Antwort-Datei für die automatisierte Installation
Windows System Image Manager (WIM)
ist im Windows Automated Installation Kit (WAIK) enthalten.
(separater Download)
Automatisierte Installation
setup /unattend:x:\autounattended.xml
Zeit bis ein gelöschtes Objekt endgültig aus dem AD entfernt wird
(mit ADSIEdit):
tombstoneLifetime-Attribut
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=test,DC=global
(Die Tombstone Lifetime gilt für den ganzen Forest und
kann nicht für jede Domäne separat eingestellt werden.
Entscheidend ist, wie der erste Domänen-Controller eines Forests installiert wurde.)
Installationsmedium für Domänencontroller erstellen
ntdsutil
activate instance ntds
create full C:\InstallationMedium
oder
create Sysvol full C:\InstallationMedium
bei RODC:
create rodc C:\InstallationMedium
oder
create Sysvol rodc C:\InstallationMedium
(/ReplicationSourcePath-Parameters bei einer unbeaufsichtigten Installation)
Windows-Bereitstellungsdienste
wdsutil
(ist eine Rolle zur Bereitstellung von Win2008, Win2008R2, Win7, Vista auf einem Client.
Auf einem Mitgliedsserver installieren.
Ein DHCP-Server muss vorhanden sein.
Wenn der Dienst auf einem DHCP-Server installiert ist:
im Register DHCP:
Einschalten von Port 67 nicht abhören.
Die DHCP-Option 60 konfigurieren.)
Installation der Server-Rolle Active Directory-Domänendienste
start /w ocsetup DirectoryServices-DomainController-ServerFoundation
(nicht bei einem Core-Server; wird durch dcpromo gemacht)
dcpromo mit Export der Einstellungen in eine Text-Datei,
dabei den Domänen-Namen mit der Endung: .global oder .local; nicht .de festlegen.
bei einem vorbereiteten Computer-Konto z.B. für RODC:
AD Benutzer und Computer;
rechte Maustaste auf Domain Controllers;
Konto für schreibgeschützten Domänencontroller vorbereiten
dcpromo /useexistingaccount:attach
mit der Erstellung eines Computerkontos für einen schreibgeschützten Domänencontroller:
dcpromo /CreateDCAccount
Installieren vom Active Directory auf einem Core-Server
mit der angepassten Antwort-Datei des ersten Domänen-Controllers;
bei einem RODC: ReplicaOrNewDomain=ReadOnlyReplica
dcpromo /unattend:c:\core01.txt
Update des AD von einer alten Version (Windows Server 2000 oder 2003)
Die 64-bit Version von adprep ist auf der Windows Server 2008 R2-DVD im Pfad \support\adprep.
(32-bit Version: adprep32.exe)
Die DVD in den alten Domänen-Controller einlegen.
Am Dos-Prompt:
cd LW:\support\adprep:
adprep mit entsprechendem Parameter ausführen:
Erster Domänen-Controller unter Windows Server 2008 in Gesamtstruktur
(von Windows Server 2000 und 2003):
adprep /forestprep
(auf dem Schemamaster der Gesamtstruktur)
Erster Domänen-Controller unter Windows Server 2008 in Domäne (von Windows Server 2000) nach /forestprep:
adprep /domainprep /gpprep
Erster Domänen-Controller unter Windows Server 2008 in Domäne (von Windows Server 2003) nach /forestprep:
adprep /domainprep
(auf dem Infrastrukturmaster der Domäne)
nur bei der Verwendung von RODCs:
adprep /rodcprep
(Gesamtstruktur mindestens Windows Server 2003; ein DC mindestens Windows Server 2008)
Danach die Replikation zu den anderen alten Domänen-Controllern abwarten oder erzwingen.
Danach Windows Server 2008 Server mit Updates als Upgrade installieren.
(auch bei einer Migration von Windows Server 2008 nach Windows Server 2008 R2)
Deinstallieren eines Domänen-Controllers
dcpromo /unattend /AdministratorPasswort:Passwort
(Das Passwort von der Installation, nicht des Domänen-Admins verwenden.
Auf die Betriebsmaster-Funktionen achten.)
Active Directory deinstallieren
dcpromo /forceremoval
Tool
netdom
Einer Domäne beitreten
netdom join <Computername> /Domain:<NetBIOS-Domänen-Namen>
/UserD:<Domäne>\<Benutzernamen> /passwordd:
(Achtung: ZWEI d)
netdom join Core01 /Domain:test.global [/OU:"ou=Server,dc=test,dc=global"]
/UserD:test\Administrator
/passwordd: * /REBoot
(für die Eingabe eines Passwortes)
Offline-Domänen-Beitritt (Offline Domain Join, ODJ)
auf einem Member-Server 2008 R2 oder für Win7 in der Domäne:
djoin /provision /domain test.global /machine ComputerName
/machineOU "ou=Desktops,dc=test,dc=global"
/savefile C:\ComputerName.txt
(Die Datei ist keine Text-Datei; sondern eine verschlüsselte Blob-Datei.)
Diese Datei auf den Computer,
der beitreten soll und auf dem Win7 oder Server bereits installiert ist,
kopieren z.B. nach C:\
auf dem Ziel-Computer:
djoin /requestODJ /loadfile C:\ComputerName.txt /windowspath %SystemRoot% /localos
(windowspath kann auch Pfad zu Offline-Maschine sein z.B. D:\Windows,
wenn die virtuelle Maschine im Laufwerk D: läuft.)
AD-Objekte aus anderen Domänen übernehmen
Active Directory Migrations Tool 3.2 (separater Download)
admt.exe
(um Domänen aufzulösen; ab Windows Server 2008 R2, nicht auf RODC oder Core-Server)
Vertrauensstellung von Domänen überprüfen
netdom trust VertrauendeDomäne /domain:VertrauteDomäne /verify
(Die vertrauende Domäne stellt Ressourcen für Anwender aus vertrauter Domäne zur Verfügung.)
Domänen-Controller aus der automatischen Standort-Abdeckung herausnehmen
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Neuer DWORD-Eintrag: AutoSiteCoverage
Wert: 0
Offline-Defragmentierung, Komprimieren der AD-Datenbank
(c:\windows\NTDS\ntds.dit)
net stop ntds
(Stoppen des AD-Domänendienstes)
ntdsutil
Activate Instance ntds
files
Compact to C:\temp
(Das Verzeichnis wird bei Nichtvorhandensein erstellt.)
quit
quit
copy C:\temp\ntds.dit C:\Windows\NTDS\
del C:\Windows\NTDS\*.log
(Integritäts-Check im Pfad C:\Windows\NTDS\ durchführen:)
ntdsutil
Activate Instance ntds
files
integrity
quit
quit
net start ntds
Verschieben der AD-Datenbank und der Logs
net stop ntds
ntdsutil
Activate Instance ntds
files
Move DB to d:\NTDS
Move logs to d:\NTDS
info
integrity (am neuen Ort)
quit
quit
net start ntds
Administrative Rollen-Trennung
(auf einem Domänen-Controller oder RODC)
dsmgmt
local roles
list roles
add Maier Administratoren
show Role Administratoren
(Benutzer der Domäne wird lokaler Administrator; zum Updates installieren)
AD-Snap-In Schema für die mmc registrieren
regsvr32 schmmgmt.dll
AD-Schema anzeigen
mmc
Snap-In hinzufügen: Active Directory-Schema
auch für AD LDS
Betriebsmaster-Funktionen
Gesamtstruktur:
Domänennamen-Master
Schema-Master
(sollten auf dem gleichen DC liegen)
Domäne:
Relative Identifier-Master (RID-Master vergibt SIDs.)
Infrastruktur-Master
PDC-Emulator
(RID-Master und PDC-Emulator sollten auf dem gleichen DC liegen.
Der Infrastruktur-Master darf bei mehreren DCs nicht mit dem Global Katalog zusammen liegen,
wenn nicht alle DCs den Global Katalog besitzen.)
Anzeigen der Betriebsmaster-Funktionen
mmc
Snap-In: Schema
rechte Maustaste auf DC
Betriebsmaster
oder
ntdsutil
Roles
connections
Connect to server Server01.global.test
quit
select operation target
list roles for connected server
quit
quit
quit
oder
dcdiag /test:knowsofroleholders /v
oder
netdom query fsmo
Ändern der Betriebsmaster-Funktionen
ntdsutil
Roles
connections
Connect to server Server02.global.test
quit
Seize schema master
(Der Server02 wird Schema-Master.
Nur dort können Änderungen am AD-Schema vorgenommen werden.)
Seize domain naming master
Seize RID master
Seize PDC
Seize infrastructure master
quit
quit
Danach den alten DC vom Netzwerk entfernen
AD Deinstallieren: dcpromo /forceremoval
danach Meta-Daten im AD löschen:
ntdsutil
Metadata cleanup
connections
Connect to server Server01.global.test
quit
Select operation target
List domains
(Die Nummern der Domänen werden ausgegeben.)
Select domain 0
List sites
(Die Nummern der Standorte werden ausgegeben.)
Select site 0
List servers in site
(Die Nummern der Server werden ausgegeben.)
Select site 1
(Der Server mit der Nummer 1 wird aus dem AD entfernt.)
quit
Remove selected server
quit
quit
(Der Server wird auch aus der AD-Zone im DNS entfernt.)
Schemamaster ändern
nfdsutil
roles
connections
connect to server Server01
quit
?
Seize ..
quit
(nur wenn kein Restore des DC möglich ist)
Remote-Diagnose eines Domänen-Controllers
dcdiag /s:Server1
Ausführliche Diagnose des Domänen-Controllers
dcdiag /v
Diagnose des Domänen-Controllers (nur Fehler)
dcdiag /q
Diagnose aller Domänen-Controller am Standort
dcdiag /a
Diagnose aller Domänen-Controller in der Gesamtstruktur
dcdiag /e
Fehlerbehebung beim Domänen-Controller
dcdiag /RecreateMachineAccount
dcdiag /FixMachineAccount
dcdiag /fix
Tool zur Diagnose der Replikation
AD Replication Status
(separater Download)
Anzeige aller Replikationsvorgänge
repadmin /showreps
Replikation des AD vom anderen Domänen-Controller erzwingen
repadmin /syncall andererDC
repadmin /syncall /A /e
oder
mit Konsole: Standorte und Dienste
Replikation einer Partition erzwingen
repadmin /replicate Ziel-DC Quell-DC NamePartition
Testen der Replikation am Domänen-Controller für alle Server
dcdiag /test:replications /a
(Weitere Tests: FrsEvent, DFSREvent, Intersite, KccEvent, Topology, VerifyReplicas)
Testen der Datei-Replikation am Domänen-Controller
dcdiag /test:FrsEvent /a
Infos über die Replikation
repadmin /replsummary
Anzeigen der Verbindungsobjekte des Domänen-Controllers
repadmin /showconn
Anzeigen der Replikations-Partner mit Status der Replikation
repadmin /showrepl Server02.test.global
repadmin /showrepl *
Anzeigen der Replikations-Zeiten zwischen den Standorten
repadmin /latency
Anzeigen der Brückenköpfe zwischen den Standorten
repadmin /bridgeheads
Neuberechnung der Replikations-Topologie
repadmin /kcc
Liste der Benutzerkonten,
die auf einem RODC authentifiziert wurden
repadmin /prp view rodc1.test.global reveal
Leeren der Liste der Benutzerkonten,
die auf einem RODC authentifiziert wurden
repadmin /prp delete rodc1.test.global /all
Überwachen der FRS-Replikation (File Replication Service)
ntfrsutl
ntfrsutl version
ntfrsutl ds
ntfrsutl forcerepl
ntfrsutl pull
(für ältere Windows-Versionen; der Dateireplikations-Dienst muss laufen.)
Migrieren der SYSVOL-Replikation (FRS) zu DFS-R
dfsrmig
(auf dem Domänencontroller mit der Betriebsmasterrolle PDC-Emulator;
für Domänen ab der Funktionsebene Windows Server 2008)
Hinzufügen eines A-Records für einen Rechner als static
dnscmd DNS-Server /RecordAdd Domäne Rechnername A TCP/IP-Nummer
Installation der DNS-Serverrolle auf einem Core-Server
start /w ocsetup DNS-Server-Core-Role
(Die Dienste werden automatisch gestartet.
Im DNS-Manager die Ansicht Erweitert einschalten.)
Eigene IP-Nummer als primärer DNS-Server auf die Netzwerk-Karte
netsh int ip set dns "LAN-Verbindung" static 192.168.1.12 primary
(Auf einem Domain-Controller: Verwaltung DNS; mit anderen DNS-Server verbinden;
evtl. Firewall anpassen)
DNS-Server-Cache löschen
dnscmd Server01 /clearcache
Stoppen / Starten des DNS-Client-Dienstes
sc stop dnscache
sc start dnscache
Stoppen / Starten des DNS-Server-Dienstes
net stop dns
net start dns
Neue primäre Zone
dnscmd /ZoneAdd test2.global /primary
(Datei *.dns)
Neue im Active Directory integrierte Zone
dnscmd /ZoneAdd test.global /dsprimary
Zonen auflisten
dnscmd /EnumZones
Infos über den DNS-Server
dnscmd /info
Infos über die Zone
dnscmd Server01 /ZoneInfo test.global
Änderungen an DNS-Server oder Zonen
dnscmd /config
Abrufen von Betriebs-Statistiken
dnscmd /statistics
Aktuellen Zeitpunkt als Zeitstempel für alle Einträge festlegen
dnscmd /AgeAllRecords
(Auch statische Einträge erhalten damit einen Zeitstempel.
Standard ist dann 7 Tage für den Aufräum-Vorgang.)
Starten des Aufräum-Vorgangs
dnscmd /StartScavenging
Exportieren einer AD-integrierten Zone
Dnscmd.exe /ZoneExport test.global TestGlobal.txt
(Die Datei wird in %systemroot%\system32 erzeugt.)
Exportieren der Konfiguration
dnscmd /exportsettings
Testen der DNS am Domänen-Controller
dcdiag /test:DNS
Diagnose bei DNS-Problemen
(separater Download)
dnslint /d (allgemein und bei einer langsamen Delegierung)
dnslint /ql (für benutzerdefinierte DNS-Datensätze auf mehreren DNS-Servern)
dnslint /ad (DNS für die Active Directory-Replikation)
Aktualisierung der sekundären Zone auf dem lokalen Server vom Master-Server
dnscmd Server02 /ZoneRefresh sekundaer.global
Aktualisierung der Zone auf dem Server mit den Zonen-Daten aus dem AD
dnscmd Server01 /ZoneUpdateFromDS test.global
Sekundäre Zone in eine Active Directory-integrierte Zone ändern
dnscmd Server02 /ZoneResetType test.global /Dsprimary
Änderung der Zonenreplikation auf allen Domänencontrollern der Domäne,
die auch als DNS-Server konfiguriert sind
dnscmd Server01 /ZoneChangeDirectoryPartition test.global /domain
Änderung der Zonenreplikation auf allen Domänencontrollern der Gesamtstruktur,
die auch als DNS-Server konfiguriert sind
dnscmd Server01 /ZoneChangeDirectoryPartition test.global /forest
Listen aller Einträge einer Zone auf einem Server
dnscmd Server01 /EnumRecords test.global @
Anzeige der IPv6-DNS-Server
netsh int ipv6 show dnsservers
Hinzufügen eines IPv6-DNS-Servers
netsh int ipv6 add dnsservers
Aktivierung der GlobalNames-Zone auf allen DNS-Servern der Gesamtstruktur
dnscmd Server01 /config /EnableGlobalNamessupport 1
dnscmd . /config /EnableGlobalNamessupport 1
Neustart des DNS-Serverdienstes
Erstellung der GlobalNames-Zone auf allen DNS-Servern der Gesamtstruktur
dnscmd Server01 /ZoneAdd GlobalNames /DsPrimary /DP /Forest
Erstellung der GlobalNames-Zone auf allen DNS-Servern der Domäne
dnscmd Server01 /ZoneAdd GlobalNames /DsPrimary /DP /Domain
Alias in die GlobalNames-Zone eintragen
dnscmd Server01 /recordadd globalnames Server05 cname Server05.test.global
A-Record für Server06 in eine Zone eintragen
dnscmd Server01 /recordadd test.global Server06 A 192.168.1.17
A-Record für Server06 in einer Zone ohne Nachfrage löschen
dnscmd Server01 /recorddelete test.global Server06 A 192.168.1.17 /f
Zeiger-Eintrag für IP-Nummer IP-Adresse 10.3.2.240 löschen
dnscmd /RecordDelete 2.3.10.in-addr.arpa 240 PTR
Einbinden der AD-Partitionen auf einem weiteren Domänen-Controller
dnscmd Server02 /enlistdirectorypartition DomainDNSZones.test.global
Einbinden der AD-Gesamtstruktur auf einem weiteren Domänen-Controller
dnscmd Server02 /enlistdirectorypartition ForrestDNSZones.test.global
Erstellen einer DNS-Anwendungsverzeichnis-Partition
auf dem Domänen-Controller:
dnscmd Server01 /createdirectorypartition subnet.test.global
(Zonenübertragung zulassen bei Nicht-AD)
oder im AD auch
ntdsutil
Activate Instance ntds
Partition Management
Create nc dc=AppPartition,dc=test,dc=global Server01.test.global
quit
quit
oder im AD auch
dsmgmt
Einbinden einer DNS-Anwendungsverzeichnis-Partition
auf einem weiteren Domänen-Controller
dnscmd Server02 /enlistdirectorypartition subnet.test.global
Erstellen der standardmäßigen DNS-Anwendungsverzeichnis-Partitionen des AD
dnscmd Server01 /CreateBuiltinDirectoryPartitions /Domain oder /Forest oder /AllDomains
beim Hinzufügen von weiteren DNS-Servern
Infos über die Partitionen
dnscmd Server01 /directorypartitioninfo test.global
Anzeigen der globalen Abfragensperrliste
dnscmd Server01 /info /globalqueryblocklist
Konfiguration der globalen Abfragensperrliste
dnscmd Server01 /config /globalqueryblocklist wpad isatap neuereintrag
(Die Einträge wpad und isatap sind bereits vorhanden.
Sie müssen wieder angegeben werden.)
Konfiguration der DNS-Cachesperrung
dnscmd Server01 /config /CacheLockingPercent nn
Anzeigen aller Service-Records der Domäne (Zone)
(Die Zonen-Übertragung am DNS-Server muss eingeschaltet sein.)
nslookup
ls -t srv test.global
ls -t srv test.global > srvrecords.txt
(Die Angabe eines Laufwerks ist hier nicht möglich.)
Anzeige der SOA-Einträge
nslookup
set type=SOA
test.global
mit der Ausgabe der Serial Number der Zone
Anzeige der Service-Records
nslookup
set type=SRV
_ldap._tcp.test.global
Anzeige des Global-Katalogs
nslookup
set type=SRV
_gc._tcp.test.global
Registrierung aller Dienstidentifizierungseinträge (SRV) im DNS erzwingen
net stop netlogon
net start netlogon
(Neustart des Anmelde-Dienstes)
Backup
ist ein Feature; mit der Option PowerShell installieren;
interaktiv mit der System-Wiederherstellung und vollständiger VSS-Sicherung
Installation von Backup auf einem Core-Server
ocsetup WindowsServerBackup
Backup von C: nach L:
wbadmin start backup -backupTarget:L: -include:C: -quiet
wbadmin start backup -backupTarget:\\Server01\Freigabe -include:C:,F:,G:
-user:Benutzer -password:Kennwort (für die Anmeldung auf dem Ziel-Server)
wbadmin start backup -backupTarget:L: -vssfull -include:C: -quiet
Backup zeitgesteuert
wbadmin enable backup -addtarget:e: -include:c:,d: -schedule:08:00,12:00,17:00
wbadmin enable backup -addtarget:{757d66ca-0000-0000-0000-000000000000}
-include:c:,d: -schedule:08:00,12:00,17:00
(Mit der ID wird der Sicherungsdatenträger erzeugt.
Dieser wird bei jeder Sicherung formatiert.
Der Laufwerks-Buchstabe ist bei geplanter Sicherung im Explorer nicht mehr zu sehen.)
Anzeige der verfügbaren Sicherungen
wbadmin get versions
wbadmin get versions -backupTarget:e: -machine:Server01
Anzeige der in der Sicherung enthaltenen Elemente
wbadmin get items
Restore eines Pfades
wbadmin start recovery -Version:10/29/2012-09:00
-ItemType:File -Items:D:\Pfad -Overwrite -Recursive -Quiet
Vollständige Systemsicherung
wbadmin start backup -allcritical -backuptarget:e: -quiet
Backup des Systemstatus (AD)
wbadmin start systemstatebackup -backupTarget:e:
wbadmin start backup -backupTarget:e: -SystemState
Zurücksetzen des Passworts für den Verzeichnisdienste-Wiederherstellungsmodus
(Directory Services Recovery Mode, DSRM)
ntdsutil
set dsrm password
reset password on server Server01 (oder null für aktuellen Server)
Passwort eingeben
quit
quit
Notfall-Wiederherstellung
wbadmin start sysrecovery
(ab Windows Server 2008 R2)
Restore vom Systemstatus
wbadmin Start SystemStateRecovery -version:04/30/2005-09:00 -backupTarget:L:
Löschen des Sicherungs-Katalogs
wbadmin delete catalog
Wiederherstellen des Sicherungs-Katalogs
wbadmin restore catalog -backupTarget:L:
Restore vom Systemstatus (AD)
Start des DC im Verzeichnisdienst-Wiederherstellungsmodus:
bcdedit /set safeboot dsrepair
wbadmin start systemstaterecovery -version:04/30/2005-09:00
-backupTarget:c: -machine:Server01 -quiet
Normaler Start des DC
bcdedit /deletevalue safeboot
Restore des kompletten Systems
Booten von der Installations-DVD
Computer reparieren
Systemwiederherstellungsoptionen
Eingabeaufforderung
diskpart
list vol
(für die Anzeige der LW-Buchstaben)
wbadmin get versions -backupTarget:e: -machine:Server01
wbadmin start sysrecovery -version:04/30/2005-09:00
-backupTarget:c: -machine:server01 -quiet
Ermitteln der ID einer Platte
wbadmin get disks > hdid.txt
Inhalt der hdid.txt eines virtuellen Servers
wbadmin 1.0 - Sicherungs-Befehlszeilentool
(C) Copyright 2004 Microsoft Corp.
Datenträgername: VMware, VMware Virtual S SCSI Disk Device
Datenträgernummer: 0
Datenträger-ID: {757d66ca-0000-0000-0000-000000000000}
Gesamter Speicher: 40.00 GB
Verwendeter Speicher: 17.50 GB
Volumes: <nicht bereitgestellt>[System-reserviert],C:[(ohne Volumebezeichnung)]
Datenträgername: VMware, VMware Virtual S SCSI Disk Device
Datenträgernummer: 1
Datenträger-ID: {00000000-0001-0000-0000-000000000000}
Gesamter Speicher: 40.00 GB
Verwendeter Speicher: 0 bytes
Volumes: Auf dem Datenträger befinden sich keine Volumes, oder es konnten keine
Volumeinformationen abgerufen werden.
Autorisierte Wiederherstellung
gelöschte Objekte im AD wiederherstellen; autorisiert wegen der Replikation
Boot-Menü anpassen für Verzeichnisdienst-Wiederherstellung (oder <F8> beim Systemstart):
bcdedit /set safeboot dsrepair
Neustart: shutdown -r -t 0
Anmelden mit lokalen Benutzer: .\Administrator
wbadmin get versions -backupTarget:e: -machine:Server01
(Die Versions-IDs werden angezeigt.)
wbadmin start systemstaterecovery -version:04/30/2005-09:00
(kein Neustart wegen der Autorisierung)
Autorisierung:
ntdsutil
Activate Instance ntds
Authoritative restore
für gelöschte OU:
Restore subtree "ou=Stuttgart, dc=test,dc=global"
oder für gelöschtes Objekt (User)
restore object "cn=Hermann Maier,cn=Users,dc=test,dc=global"
für alle Daten:
restore object database
quit
quit
Boot-Menü des Servers wieder auf normalen Start umstellen:
bcdedit /deletevalue safeboot
Neustart: shutdown -r -t 0
repadmin /syncall Server01 /a /d /A /P /q
cd \Users\Administrator.Server01
dir
Eine ldf-Datei wurde erstellt und muss importiert werden.
Der Import muss in jeder Domäne erfolgen,
wo das wiederhergestellte Objekt in einer GPO enthalten ist:
ldifde -i -k -f *.ldf
Snapshot der AD-Datenbank erstellen
ntdsutil
Snapshot
Activate Instance ntds
list all
(Die Nummern der Snapshots werden gelistet, auch die der Sicherungen.)
Create
(Ein neuer Snapshot wird erzeugt.)
list all
Mount 1
(Der Mount-Pfad wird angezeigt: C:\$SNAP_YYYYMMDDHHMM_VOLUMEC$)
Offline-Browser der AD-Datenbank
dsamain -dbpath C:\$SNAP_YYYYMMDDHHMM_VOLUMEC$\Windows\NTDS\ntds.dit
-ldapport 51389
Das Fenster muss für nachfolgende Schritte offen bleiben.
Konsole: Active Directory-Benutzer und Computer
oder
ldp (ist LDAP Reader mit Auswahl der SSL-Verschlüsselung):
Domänen-Controller ändern
Verzeichnisservername:Port hier eingeben
Server01.test.global:51389
lpd
Menü Remotedesktopverbindung
Verbinden
Gebunden
Menü Optionen
Steuerelemente
Vordefiniert laden
Return deleted objects
Menü Ansicht
Struktur
Doppelklick auf gelöschte Objekte
Objekt suchen
rechte Maustaste: Ändern
Attribut: isdeleted
Vorgang: Löschen
Attribut: distinguishedName
Werte: aus Snapshot Atttribut-Editor übernehmen
Vorgang: Ersetzen
Synchron und Erweitert
Ausführen
VSS-Dienst neu starten
net stop vss
net start vss
Status der Writer anzeigen
vssadmin list writers
Schattenkopien anzeigen
vssadmin list shadows
Schattenkopie vom Laufwerk C: erzeugen
vssadmin create shadow /For=C:
Alle Schattenkopien löschen
vssadmin delete shadows /all
Fortschritt der Wiederherstellungsaktionen anzeigen
vssadmin Query Reverts
Überwachung von Verzeichnisdienst-Änderungen
auditpol
Anzeige der Kategorien der Überwachungungsrichtlinien
auditpol /list /category
Anzeige der Einstellungen der Kategorien und Unterkategorien
auditpol /get /category:*
auditpol /get /category:Objektzugriff
(Es ist die Überwachung für den Fehlerfall eingestellt.)
auditpol /get /category:"An-/Abmeldung"
Umstellen der Überwachung des Objektzugriffs auf Erfolg und Fehler
auditpol /set /category:Objektzugriff /success:enable
(alle Unterkategorien werden geändert.)
Aktivieren der Überwachung von Verzeichnisdienst-Änderungen
auditpol /set /subcategory:Verzeichnisdienständerungen /success:enable
auditpol /set /subcategory:dateisystem /failure:disable
(nur bei Erfolg)
DFS-Stamm
dfsutil
dfscmd (Volumes)
dfsdiag
dfsrdiag (für die Diagnose der Replikation)
dfsradmin.exe Health (zur Überwachung der Replikation in die Aufgaben-Planung eintragen)
Installation von Datei-Server, DFS, Windows-Suche und Sicherungs-Feature
servermanagercmd -install FS-Fileserver FS-DFS FS-Search-Service backup-features
Neuanlegen des Namespaces
dfsutil root adddom \\server\namespace v2
Namespace in eine Datei exportieren
z.B. bei der Migration der alter Version
dfsutil root export \\domain\namespace path\filename.xml
Namespace aus der Exportdatei importieren
dfsutil root import merge path\filename.xml \\domain\namespace
Hinzufügen aller verbleibenden Namespace-Server zum Namespace
dfsutil target add \\server\share
Namespace löschen
dfsutil root remove \\domain\namespace
Aktivieren der zugriffsbasierten Auflistung für einen Namespace
dfsutil property abe enable \\<namespace_root>
(Nur die Pfade mit Berechtigung des Users werden angezeigt.)
Abfrage von Konfigurationsänderungen vom primären Replikationsserver
dfsrdiag PollAD /Member:DOMAIN\Server01
Active Directory-Benutzer und -Computer
Dsa.msc
Attribute von AD-Objekten
Menü Verwaltung; ADSI-Editor
oder
adsiedit.msc
Objekte im AD suchen
rundll32 dsquery,OpenQueryWindow
dsquery user
dsquery user -name "Herb*"
dsquery user "ou=Administratoren,dc=test,dc=global" -name "Lin*"
dsquery computer
dsquery group
dsquery ou
Anzeige der Informationen eines Benutzers
net user Benutzer /domain
letzte Anmeldung, Anmelde-Skript, Profil, Basisverzeichnis, Gruppen
Anzeige der SID des angemeldeten Benutzers und der Informationen zu den Gruppen
whoami /all
Anzeige des Servers des aktuell angemeldeten Benutzers
hostname
Liste der neu erstellten Benutzer
dsquery * "cn=Users,dc=test,dc=global"
-filter "(&(objectClass=User)(objectCategory=Person)(whenCreated>=20120716000000.0Z))"
-attr distinguishedName displayName sAMAccountName whenCreated -Limit 0
> D:\NeueBenutzer.txt
Suchen der Benutzer mit anpassbaren Filter
dsquery * domainroot -filter "(&(Objectcategory=Person)(ObjectClass=User))"
dsquery * domainroot -filter "(&(ObjectClass=User)(department=Einkauf)"
Anzeige der gesperrten Benutzer
ldifde -f c:\gesperrteUser.txt -r "(BadPWDCount>=1)"
(Anmeldeversuche falsch; in Datei auch als Batch)
Anzeige der Berechtigungen der OU Users
dsacls "cn=Users,dc=test,dc=global"
Zurücksetzen der Berechtigungen der OU auf Schema-Standard
dsacls "cn=Users,dc=test,dc=global" /resetDefaultDACL
Standard-OU für neue Benutzer festlegen
redirusr "ou=AlleAnwender,dc=test,dc=global"
Neuanlage eines Benutzers
dsadd user "cn=Hermann Maier,cn=Users,dc=test,dc=global"
-samid Hermann.Maier -fn Herrman -ln Maier -display "Hermann Maier"
-pwd * oder Passwort -mustchpwd yes -email Herrmann.Maier@test.global
-company Test -desc "Leiter IT" -profile xxxx
Löschen eines Benutzers
dsrm user "cn=Hermann Maier,cn=Users,dc=test,dc=global"
Ändern eines Attributs des Benutzers
dsmod user "cn=Hermann Maier,cn=Users,dc=test,dc=global" -office="Stuttgart"
Zurücksetzen des Passwortes eines Benutzers
dsmod user "cn=Hermann Maier,cn=Users,dc=test,dc=global"
-pwd neuesPasswort -mustchpwd yes
Aktivierung eines Benutzer-Kontos
dsmod user "cn=Hermann Maier,cn=Users,dc=test,dc=global" -disabled yes
Verschieben eines Benutzer-Kontos
dsmod "cn=Hermann Maier,cn=Users,dc=test,dc=global"
-newparent "ou=Stuttgart,cn=Users,dc=test,dc=global"
(ohne den Parameter user)
Neue Kennwortrichtlinie für einzelne Benutzer oder Gruppen
Kennworteinstellungsobjekt (PSO) mit ADSI-Editor neu erstellen:
"cn=Password Settings Container,cn=System,dc= dc=test,dc=global"
Neu Objekt
msDS-PasswordSettings
abschließend Benutzer oder Gruppen hinzufügen:
Attribut msDS-PSOAppliesTo
oder
ldifde
Zuweisen der Benutzer-Verzeichnisse für mehrere Benutzer
dsquery user "cn=Users,dc=test,dc=global" |
dsmod user -hmdir "\\Server01\users\$username$\documents" -hmdriv "U:"
(Achtung: nicht %UserName%; Der Parameter -hmdir ist nicht bei dsadd möglich.)
Exportieren der Domänen-Objekte in eine csv-Datei
csvde -f dom.csv
Exportieren der Domänen-Objekte in eine ldf-Datei
(LDAP Data Interchange Format Directory Exchange: ldifde.exe)
ldifde -f c:\domain.ldf
ldifde -f anton.ldf -r "(Name=Anton Atom)"
ldifde -f zwei.ldf -r "(|(Name=Anton Atom)(Name=Herrmann Maier))"
(andere Attribute: GivenName, displayName)
Exportieren einer LDAP-Instanz in eine ldf-Datei
ldifde -f c:\ldap.ldf -s Server03:31389 -m -b Administrator Domäne * oder Passwort
Importieren von Benutzern aus csv-Datei
csvde -i -k -f benutzer.csv
(Es sind keine Änderungen an bestehenden Konten möglich.)
Importieren von Benutzern aus ldf-Datei
ldifde -i -f benutzer.ldf
(Es sind Änderungen an bestehenden Konten möglich.)
Importieren einer LDAP-Instanz aus ldf-Datei
ldifde -i -f c:\ldap.ldf -s Server03:31389 -m -b Administrator Domäne * oder Passwort
Anzeige der Gruppen-Mitgliedschaft eines Benutzers
dsget user "cn=Hermann Maier,cn=Users,dc=test,dc=global" -memberof -expand
Neuanlage einer globalen Sicherheits-Gruppe
dsadd group "cn=GG S Personal,ou=Gruppen,ou=Stuttgart,dc=test,dc=global"
-secgrp yes -scope g -samid "GG S Personal" -desc "Personalabteilung Stuttgart"
-members Mitglieder
-memberof Gruppe ist Mitglied in
(Der Löschschutz wird nicht gesetzt nur in der graphischen Oberfläche oder mit PowerShell.)
Umwandlung des Typs einer Gruppe
dsmod group "cn=GG S Personal,ou=Gruppen,ou=Stuttgart,dc=test,dc=global"
-secgrp yes oder no -scope g oder l oder u
(Auf Konflikte bei den Mitgliedern achten.)
Anzeigen der Mitglieder einer Gruppe
dsget group "cn=GG S Personal,ou=Gruppen,ou=Stuttgart,dc=test,dc=global"
-members -expand
Hinzufügen eines Mitglieds zu einer Gruppe
dsmod group "cn=GG S Personal,ou=Gruppen,ou=Stuttgart,dc=test,dc=global"
-addmbr "cn=Hermann Maier,cn=Users,dc=test,dc=global"
Hinzufügen von Mitgliedern aus verschiedenen OUs zu einer Gruppe
dsquery * domainroot -filter "(&(ObjectClass=User)(department=Einkauf)" |
dsmod group "cn=GG ZenralEinkauf,ou=Gruppen,dc=test,dc=global" -addmbr
Löschen eines Mitglieds aus einer Gruppe
dsmod group "cn=GG S Personal,ou=Gruppen,ou=Stuttgart,dc=test,dc=global"
-rmmbr "cn=Hermann Maier,cn=Users,dc=test,dc=global"
Verschieben und Umbenennen einer Gruppe
dsmove "cn=GG S Personal,ou=Gruppen,ou=Stuttgart,dc=test,dc=global"
-newname NeuerName -newparent NeuesZiel
Löschen einer Gruppe
dsrm "cn=GG S Personal,ou=Gruppen,ou=Stuttgart,dc=test,dc=global"
[-subtree -exclude -noprompt -c]
Erstellen einer Organizational Unit (OU)
dsadd ou "ou=Frankfurt,dc=test,dc=global"
dsadd ou " ou=Gruppen,ou=Frankfurt,dc=test,dc=global"
(Der Löschschutz wird nicht gesetzt nur in der graphischen Oberfläche.)
Erstellen einer Organizational Unit mit vbscript
Set objDom = GetObject ("LDAP://dc=test,dc=global")
Set objOU = objDom.Create("OrganizationalUnit",ou="Berlin")
objOU.SetInfo
Standard-OU für neue PCs festlegen
redircmp "ou=Desktops,dc=test,dc=global"
Erstellen eines Computer-Kontos
dsadd computer "CN=Desktop12,ou=Desktops,dc=test,dc=global"
-samid "Desktop12" -desc "PC Nummer 12" -loc "Stuttgart"
oder
netdom add "Desktop12" /domain test.global /ou: ou=Desktops,dc=test,dc=global
Verschieben eines Computer-Kontos
dsmove "CN=Desktop12,ou=Desktops,dc=test,dc=global"
-newparent "ou=Clients,dc=test,dc=global"
Zurücksetzen eines Computer-Kontos
dsmod computer "CN=Desktop12,ou=Desktops,dc=test,dc=global" -reset
(Auch bei Austausch der Hardware mit gleichen Computernamen bleibt die SID erhalten.)
Sicheren Kanal nach Domäne auf Client abfragen
nltest /SC_QUERY:test.global
Zurücksetzen des sicheren Kanals
(Wenn der Computer längere Zeit nicht in der Domäne angemeldet war.
Die SID des Computers bleibt erhalten.)
netdom reset "Desktop12" /domain test.global /User0 localAdmin /Password0 *
oder
nltest /Server:"Desktop12" /SC_Reset:test\Server01
(Der Client muss online sein.)
De-/Aktivieren eines Computer-Kontos
dsmod computer "CN=Desktop12,ou=Desktops,dc=test,dc=global" -disabled yes oder no
Löschen eines Computer-Kontos
dsrm "CN=Desktop12,ou=Desktops,dc=test,dc=global"
Installation vom Active Directory Lightweight-Verzeichnisdienst auf einem Core-Server
start /w ocsetup DirectoryServices-ADAM-ServerCore
Verwaltungstool für den Active Directory Lightweight-Verzeichnisdienst
DSDBUtil
(ntfsutil ist für AD auf einem DC; sollte aber nicht bei AD LDS verwendet werden.)
Unbeaufsichtigte Installation einer AD LDS Instanz
%systemroot%\ADAM\adaminstall.exe /answer:C:\temp\Antwortdatei.txt
Aktivieren des Papierkorbs im Active Directory Lightweight-Verzeichnisdienst
cd %SystemRoot%\ADAM
ldifde -i -f MS-ADAM-Upgrade-2.kdf -s Server:Port -b Administrator Domäne *
(ist Aktualisierung des Schemas; unmittelbar nach Installation der Rolle)
Import ist vor dem Bearbeiten des Active Directory Lightweight-Verzeichnisdienstes
in der Konsole AD-Standorte und Dienste notwendig:
cd %SystemRoot%\ADAM
ldifde -i -f MS-ADLDS-DisplaySpecifiers.ldf -s Server:Port -b Administrator Domäne *
Recht zu einer OU einer Gruppe zuweisen bei AD LDS
dsacls \\Server03:31389\OU=Anwendung1,DC=ACME,DC=Local
/G "CN=UserVerwalten,CN=Roles,OU=Anwendung1,DC=ACME,DC=Local":GR
(/G ist Gewähren; GR ist Leserecht)
dsacls \\Server03:31389\CN=Users,OU=Anwendung1,DC=ACME,DC=Local
/G "CN=UserVerwalten,CN=Roles,OU=Anwendung1,DC=ACME,DC=Local":GA
(GA ist Vollzugriff)
Schema-Anpassung für Synchronisierung der AD LDS unter Windows Server 2008:
cd %SystemRoot%\ADAM
ldifde -i -u -f ms-adamschemaw2k8.ldf -s Server01:31389 -j . -c "cn=Configuration,dc=X"
ldifde -i -f MS-AdamSyncMetadata.LDF -s Server01:31389 -b username domain password
-j . -c "cn=Configuration,dc=X"
(Den Container "cn=Configuration,dc=X" nicht anpassen.)
Für die Synchronisation von AD LDS zu AD
Anpassen der Datei MS-AdamSyncConf.XML:
Ersetzen von dc=fabrikam,dc=com durch dc=test,dc=global
<source-ad-name>test.global</source-ad-name>
<source-ad-partition>dc=test,dc=global</source-ad-partition>
<source-ad-account>Administrator</source-ad-account>
<account-domain> test.global </account-domain>
<target-dn>ou=Anwendung1,dc=test,dc=local</target-dn>
<query>
<base-dn>ou=Sync,dc=test,dc=global</base-dn>
Speichern unter Sync.XML
(Die OU Sync im AD wird später unter der OU Anwendung1 im AD LDS synchronisiert.)
adamsync /install Server01:31389 .\Sync.XML
adamsync /sync Server01:31389 ou=Anwendung1,dc=test,dc=local /log SyncLog.txt
Sicherung einer Instanz vom AD LDS
Die Instanzen liegen unter "%ProgramFiles%\Microsoft ADAM" in separaten Pfaden.
dsbdutil
Activate Instance InstanzName
IFM
Create Full C:\LDSBackup\InstanzName
quit
quit
Rücksicherung einer kompletten Instanz vom AD LDS
net stop adam_InstanzName
copy C:\LDSBackup\InstanzName\adamntds.dit
"%ProgramFiles%\Microsoft ADAM\InstanzName\data"
net start adam_InstanzName
Autorisierte Wiederherstellung von Objekten des AD LDS
wegen der Replikation
net stop adam_InstanzName
copy C:\LDSBackup\InstanzName\adamntds.dit
"%ProgramFiles%\Microsoft ADAM\InstanzName\data"
dsbdutil
Activate Instance InstanzName
Authoritative restore
für die gelöschte OU:
Restore subtree "ou=Stuttgart, dc=test,dc=local"
oder für gelöschtes Objekt (User)
restore object "cn=Hermann Maier,cn=Users,dc=test,dc=local"
quit
quit
net start adam_InstanzName
Snapshot der AD LDS erstellen
Der Dienst Volumeschattenkopie muss mindestens auf Manuell starten eingerichtet sein.
Replikation einer AD LDS-Instanz auf einen Testcomputer
Rolle AD LDS installieren
Menü Verwaltung
Setup-Assistent für Active Directory Lightweight Directory
Setupoptionen: Ein Replikat einer vorhandenen Instanz installieren
Hinzufügen einer weiteren Anwendungsverzeichnispartition
zu einer vorhandenen AD LDS-Instanz
ldp
Verbindung und eine Bindung mit einer AD LDS-Instanz
Menü Durchsuchen
Untergeordnetes Objekt hinzufügen
Definierter Name: Name für die Anwendungspartition
Eingabe bearbeiten:
im Feld Attribut das Attribut ObjectClass und
im Feld Werte den Wert Container
auf Eingabe klicken
auf Ausführen klicken
Unter Eingabe bearbeiten im Feld Attribut das Attribut instanceType eingeben,
im Feld Werte den Wert 5 eingeben und
auf Eingabe klicken
Entfernen einer AD LDS-Instanz
Systemsteuerung
Programme und Funktionen
Gruppenrichtlinien-Verwaltung
gpedit.msc (ab Windows Server 2008)
gpmc.msc (bis Windows Server 2003)
Geänderte Gruppenrichtlinien sofort anwenden
gpupdate /force
gpupdate /Target:Computer oder User /force /Logoff oder /Boot
(Benutzer werden nur abgemeldet bzw. Computer neu gestartet,
wenn das für die Anwendung der GPO notwendig ist.)
Gruppenrichtlinien-Ergebnis-Assistent
gpresult /R
gpresult /Z
gpresult /Scope Computer /H C:\Bericht.html
gpresult /S Computer /USER Benutzer
/scope computer oder user /Z
/X:Dateiname oder /H:"%UserProfile%\Documents\RSOP.html
(für das XML- oder HTML-Format; evtl. die Firewall des Ziels anpassen.)
Gruppenrichtlinien-Ergebnissatz
rsop
Gruppenrichtlinien auf Standard zurücksetzen
dcgpofix /target:Domain (für die Default Domain Policy)
dcgpofix /target:DC (für die Default Domain Controllers Policy)
dcgpofix /target:Both
Gruppen-Richtlinien-Vorlagen
ADM, ADL, ADMX, ADML zum Beispiel für MS Office downloadbar
auf den DC (PDC-Emulator) kopieren:
copy %systemroot%\PolicyDefinitions\*
%logonserver%\Sysvol\%userdnsdomain%\policies\Policydefinitions\
Auch noch die Sprachunterverzeichnisse wie de-DE kopieren.
Die Variable %userdnsdomain% enthält den Domänen-Namen mit Endung.
ADMX-Migrator
zur Migration von ADM nach ADMX; separater Download
Gruppenrichtlinienobjekt WMI-Filter für Computer mit der Zeitzone MEZ
Root\cimv2 ; Select * from win32_timezone where bias = 60
WMI-Filter für das Betriebssystem Windows XP SP2
SELECT Version FROM Win32_OperatingSystem WHERE Version = "5.1.2600"
Überprüfen von GPOs
gpotool
(separater Download)
Sicherheitskonfiguration
secedit
Konfiguration eines Computers mit eigener Vorlage Basis
cd %userprofile%\Security\Templates
secedit /configure /db Basis.sdb /cfg Basis.inf /log Basis.log /overwrite
inf-Datei: mmc; Snap-In: Sicherheitsvorlagen;
Kontrolle: mmc; Snap-In: Sicherheitskonfiguration und -analyse
Erstellen einer Rollbackvorlage für die Vorlage Basis
cd %userprofile%\Security\Templates
secedit /generaterollback /cfg Basis.inf /rbk BasisRollback.inf /log BasisRollback.log
(Vorlage zum Zurücksetzen der durch die Richtlinie gemachten Änderungen
außer Regkey, NTFS usw.)
Anwenden der Rollbackvorlage
secedit /configure /db Basis.sdb /cfg BasisRollback.inf /log BasisRollback.log /overwrite
Sicherheitskonfigurations-Assistent
scwcmd (am Prompt)
scw (hat eine graphische Oberfläche; auch im Menü Verwaltung)
(XML-Datei im Pfad %SystemRoot%\Security\Msscw\Policies)
Anzeigen der XML-Datei
cd %SystemRoot%\Security\Msscw\policies
scwcmd view /x:Sicherheit.xml
Umwandlung einer Sicherheitsrichtlinie in ein GPO
scwcmd transform /p:"Sicherheit.xml" /g:"Sicherheits-GPO"
(wird in der Gruppenrichtlinienverwaltung aktiviert, muss noch zugewiesen werden.)
Zentralisieren der Konfigurations-Datenbank
Dateien aus %SystemRoot%\Security\Msscw\Kbs auf ein Netzwerk-LW: kopieren
Diesen Ordner freigeben als scwkb
scw /kb \\Server01\scwkb
(Die Konfigurations-Datenbank ist nicht die Sicherheitskonfigurations-Datenbank.)
Zertifikate verwalten
certutil.exe
Zertifikate unter Computerkonto, Vertrauenswürdige Stammzertifizierungsstellen
anzeigen
certutil -store root
Zertifikat unter Computerkonto, Vertrauenswürdige Stammzertifizierungsstellen
importieren mit Überschreiben
C:\Windows\System32\Certutil.exe -f -addstore root "LW:\Pfad\Zertifikat.cer"
PKI-Verwaltung (am Prompt)
pkiview
Automatische Registrierung für die Benutzerzertifikate des Clients
certutil -pulse
Gültigkeits-Prüfung für ein Zertifikat
certutil -verify
(auch für eine Zertifikats-Sperrliste (CRL) oder eine Zertifizierungsstellenkette)
Überschneidungszeitraum für die Zertifikats-Sperrliste (24 Stunden)
certutil -setreg ca\CRLOverlapUnits 24
certutil -setreg ca\CRLOverlapPeriod hours
(Der Dienst muss neu gestartet werden.)
Überschneidungszeitraum für die Delta-Zertifikats-Sperrliste (12 Stunden)
certutil -setreg ca\CRLDeltaOverlapUnits 12
certutil -setreg ca\CRLDeltaOverlapPeriod hours
(Der Dienst muss neu gestartet werden.)
Veröffentlichen einer neuen Zertifikats-Sperrliste (CRL) oder
einer Delta-Zertifikats-Sperrliste
certutil -CRL
Veröffentlichen eines Zertifikats oder einer Zertifikats-Sperrliste
im Active Directory
certutil -dsPublish
Zertifikat inklusive des privaten Schlüssels als PFX-Datei
mit einem Kennwortschutz exportieren
certutil.exe -privatekey -p Passwort -exportpfx [CN-Name] Zertifikat1.pfx
Sicherung der Zertifizierungsstelle in einen Pfad
certutil -backup -p Passwort c:\Backup
Sicherung der Datenbank der Active Directory-Zertifikatdienste
certutil -backupDB
Wiederherstellung eines Zertifikates auf dem CA-DC
Der Administrator braucht dort ein Schlüssel-Wiederherstellungs-Zertifikat.
certutil -getkey SeriennummerZertifikat outputblob
(outputblob ist der Dateiname.)
certutil -recoverkey outputblob Name.pfx
Erneutes Einlesen der verfügbaren Zertifikatvorlagen
beim Zertifikatregistrierungs-Webdienst
iisreset.exe /restart
(Neustart der Internetinformationsdienste)
Registrierungsdienst für Netzwerkgeräte den Hashalgorithmus ändern
regedit:
HKLM\Software\Microsoft\Cryptography\MSCEP\HashAlgorithm\HashAlgorithm
Installation von AD FS (AD Verbunddienste) 2.0
adfssetup /quiet
(separater Download)
Konfiguration einer Datenbank für AD FS im SQL-Server
fsconfig
Active Directory-Verbunddienste (AD FS) 2.0-Konfigurationsassistent
fsconfigwizard
(für die Konfiguration der internen Windows Datenbank)
Kontrolle von AD FS im Ereignis-Anzeige Anwendungsprotokoll
Ereignis 674: Alles ohne Fehler
Ereignis 684: Fehler mit dem Zertifikat der Verbunddienste-Website
Active Directory-Rechteverwaltungsdienste-Client
AD RMS-Client unter WinXP, Vista
vor dem Abschluss der Installation den temporären Installations-Ordner sichern
für weitere Installationen oder Software-Verteilung per GPO: *.msi
(separater Download)
AD RMS Lizenzserver auf einem Client mit MS Office 2007 eintragen
regedit:
HKLM\Software\Microsoft\Office\12.0\Common\DRM
Neuer Schlüssel
Zeichenkette:
CorpLicenseServer
Wert:
https://rms.test.global/_WMCS/licensing
AD RMS für die Kerberos-Authentifizierung konfigurieren
cd %windir%\system32\inetsrv
appcmd.exe set config -section:system.webServer/security/authentication
/windowsAuthentication -useAppPoolCredentials:true
setspn -a HTTP/[Servername] [Dienstkontodomäne]\[Dienstkonto]
(wobei [Servername] der Name des Servers,
[Dienstkontodomäne] der Name der Domäne mit dem AD RMS-Dienstkonto und
[Dienstkonto] der Name des AD RMS-Dienstkontos ist)
setspn -a HTTP/[ServerFQDN] [Dienstkontodomäne]\[Dienstkonto]
(wobei [ServerFQDN] der vollqualifizierte Domänenname (FQDN) des Servers ist)
setspn -a HTTP/[Clustername] [Dienstkontodomäne]\[Dienstkonto]
(wobei [Clustername] der Name des AD RMS-Clusters ist)
setspn -a HTTP/[ClusterFQDN] [Dienstkontodomäne]\[Dienstkonto]
(wobei [ClusterFQDN] der vollqualifizierte Domänenname (FQDN) des Clusters ist)
Datenträger-Kontingente
dirquota quota add /Path:C:\Shared /Limit:100MB /Type:Hard
dirquota quota add /Path:C:\Shared /SourceTemplate:"200 MB-Grenze mit Bericht an Benutzer"
Datei-Prüfung
FileScrn
Windows-Leistungsüberwachung
perfmon.exe /Report
(Systemdienste, Autostartprogramme, Hardwarekonfiguration,
aktuelle Auslastung für CPU, Netzwerk, Datenträger und RAM)
Zuverlässigkeits-Überwachung
perfmon.exe /rel
Ressourcenmonitor
resmon.exe
Überwachung der TCP/IP-Verbindungen
TCPView
(separater Download bei Sysinternals)
Microsoft Network Monitor
nmcap
(Konfigurieren von Sammlungsfiltern; separater Download)
Aus der erzeugten Datei die DNS-Daten in eine neue Datei exportieren
nmcap.exe /inputcapture data.cap /capture DNS /file DNSdata.cap
LDAP bezogenen Datenverkehr für 11 Stunden in Datei speichern
nmcap.exe /networks * /capture LDAP /file e:\Data.cap /stopwhen /timeafter 11hours
Erzeugen eines Ereignisses vom Typ Fehler
eventcreate /t error /id 100 /l application /d "Ereignis in Anwendungsprotokoll erstellen"
Installieren des Features SNMP-Dienst und
Ermöglichen des Sendens von Ereignismeldungen
dism /online /enable-feature /featurename:snmp-sc
Erstellen und Verwalten von Abonnements für Ereignisse
(Der eigene Computer sammelt Ereignisse von einem Quell-Computer.)
wecutil qc
auf dem Quell-Computer: Eigenes Computer-Konto in die lokale Gruppe der Administratoren einfügen.
oder
net localgroup "Ereignisprotokollleser" Client01$@test.global /add
(Die Gruppe "Ereignisprotokollleser" ist eine builtin-Group.)
auf dem Quell-Computer: winrm quickconfig
(Die Firewall wird für eingehende Pakete angepasst.)
Abonnement des Windows Event Collectors
Windows Sammlungsdienst
mit einer vorher erzeugten Konfigurationsdatei:
wecutil cs subscription.xml
Optimierung der Ereignisübermittlung
wecutil /cm:Custom
Anzeigen und Verwalten von Ereignisprotokollen auf dem Sammlungs-Computer
wevtutil.exe
Exportieren von einem Ereignisprotokoll in eine Datei
wevtutil epl LogName FileName.evtx
(Zur Ansicht der archivierten Datei ist diese in die Konsole Ereignisanzeige zu laden.)
Erstellen eines Leistungs-Sammlungssatzes
logman create counter perf_log -c "\Processor(_Total)\% Processor Time"
Starten eines Sammlungssatzes
logman start perf_log
Stoppen eines Sammlungssatzes
logman stop perf_log
Anzeigen eines Sammlungssatzes
logman query perf_log
Löschen eines Sammlungssatzes
logman delete perf_log
Erstellen einer Ereignisablaufverfolgungs-Sammlung
logman create trace trace_log -o c:\trace_log_file
Erstellen einer Konfigurations-Sammlung
logman create cfg cfg_log
Erstellen einer Warnungs-Sammlung
logman create alert meine_warnung -th "\Processor(_Total)\% Processor Time>90"
(bei einer Prozessor-Auslastung über 90 Prozent)
Remote-Überwachung des Anlegens von Benutzern im AD
Gruppen-Richtlinienverwaltung auf Remote-Computer (DC)
Gesamtstruktur
Domäne
Domain Controller
Default Domain Controller Policy
Bearbeiten
Computerkonfiguration
Richtlinien
Windows-Einstellungen
Sicherheitseinstellungen
Lokale Richtlinien
Überwachung
Kontenverwaltung überwachen
Diese Richtlinie bearbeiten: Erfolgreich + Fehlgeschlagen
gpupdate /force
winrm quickconfig
Neuen User anlegen
Ereignisanzeige
Windows-Protokolle
Sicherheit
auf Sammel-Computer:
Ereignisanzeige
Abonnements
Windows-Ereignissammlungsdienst starten und automatisch starten: Ja
rechte Maustaste auf Abonnements
Abonnements erstellen
Aboname
Beschreibung
Zielprotokoll: Weitergeleitete Ereignisse
Sammlungsinitiiert
Computer auswählen
Ereignisse auswählen:
Protokolliert: Jederzeit
Ereignisebene: Informationen
Protokoll: Windows-Protokolle; Sicherheit
Ereignis-ID: 4720-4729
Aufnahme eines RAS-Servers in die Sicherheitsgruppe RAS- und IAS-Server
netsh ras add registeredserver
Zurücksetzen der Konfiguration eines RAS-Servers
netsh ras set conf confstate=disabled
net stop "Routing und RAS"
NAP-Status des Clientcomputers
netsh NAP Client Show State
Direct Access: URL des Netzwerk-Adressenservers anzeigen
netsh Namespace Show Policy
Cluster-Verwaltung
Failovercluster-Manager
Clustermigrationstool
cluster.exe
clusprep.exe
Cluster-Knoten anhalten
cluster TEST-CLUSTER node SERVER01 /pause
Cluster-Knoten fortsetzen
cluster TEST-CLUSTER node SERVER01 /resume
Installation
die Rolle Remotedesktopdienst hinzufügen
gpedit.msc
Computer Konfiguration
Administrative Vorlagen
Windows Komponenten
Remotedesktopdienste
Remotedesktopsitzungs-Host
Lizenzierung
Angegebenen Remotedesktop-Lizenzserver verwenden
Aktiviert
zu verwendende Lizenzserver: Servername
Remotedesktop Lizenzierungsmodus
Aktiviert
Pro Gerät
Installations-Modus des Terminal-Servers anzeigen
change user /query
Installations-Modus des Terminal-Servers aktivieren
change user /install
Installations-Modus des Terminal-Servers wieder deaktivieren
change user /execute
Anmelde-Status bei einem Terminal-Server anzeigen
change logon /query
Anmeldungen am Terminal-Server deaktivieren
change logon /disable
neue Anmeldungen am Terminal-Server deaktivieren
Verbindungen auf vorhandene Sitzungen sind möglich.
change logon /drain
neue Anmeldungen am Terminal-Server bis zum Neustart deaktivieren
Verbindungen auf vorhandene Sitzungen sind möglich.
change logon /drainuntilrestart
Anmeldungen am Terminal-Server aktivieren
change logon /enable
Remote-Sitzungen anzeigen
qwinsta /Server:Servername
query user * /server:Servername
Remote-Sitzung beenden
logoff Session-Id /server:Servername
Session-Id anzeigen
taskmgr im Fenster: Benutzer
Auf eine Benutzer-Sitzung schalten
shadow.exe session-id /server:Server05
Geöffnete Dateien der Benutzer schließen
Start
Verwaltung
Freigabe- und Speicherverwaltung
Geöffnete Dateien verwalten
Hyper-V Autorisierungs-Manager
AzMan.msc
Verknüpfung zu einer Freigabe auf einem Windows 2003 Server
auf dem Windows 10-Client
Systemsteuerung
Programme und Features
Windows Features
Unterstützung für die SMB 1.0/CICS-Dateifreigabe:
SMB 1.0/CICS automatisch entfernen: ein
SMB 1.0/CICS-Client: ein
Aktivierung einer Klassen-ID auf dem Client
Der Client erhält spezielle Konfigurations-Optionen wie WINS, DNS, Gateway.
ipconfig /setclassid "LAN-Verbindung" SampleID
Globale TCP-Parameter anzeigen
netsh int tcp show global
TCP direkten Cache aktivieren
netsh int tcp set global dca=enabled
(auch ab Windows 7 möglich)
TCP NetDMA aktivieren
netsh int tcp set global netdma=enabled
(auch ab Windows 7 möglich)
TCP IPv6-Autotuning deaktivieren
netsh int tcp set global autotuning level=disabled
(wenn IPv6 nicht verwendet wird, IPv4 wird schneller;
auch ab Windows 7 möglich)
Neue statische Route
route -p add IP des Ziel-Netzwerks mask des Ziel-Netzwerks IP des eigenen Routers
route -p add 10.2.2.0 mask 255.255.255.0 192.168.1.15
(nicht für das Standard-Gateway; Anzeigen mit route print)