Local Area Network in Hyper-V met Windows Server 2012 R2

Handleiding van Bas Wagenaar Februari 2019

Server 1: 8 GB RAM, 120GB SSD, 2 x NIC

Server 2: 16GB RAM, 250GB SSD

Omdat het uitmaakt in welke volgorde je software installeert moet je de stappen in volgorde uitvoeren. Doe je dit niet dan gaat het wellicht niet zoals hieronder beschreven.

Stappen:

1: Maak een IP plan.

2: Installatie Server 2012 R2 (of hoger) op Server 1

3: Installatie 2 Virtual Machines op Server 1

4: Installatie Domein Controller 1 in Hyper-V op Server 1

5: Installatie Domein Controller 2 in Hyper-V op Server 1

6: Installatie Routing en Remote Access op Server 1

7: Installatie DHCP Server op DC2 in Hyper-V op Server 1

8. Installatie SQL Server op Server 2

9: Installatie WSUS Server op Server 2

10: Installatie Deployment server op Server 2

11: Installatie VPN en Direct Access

12: Installatie WebServer

1: Maak een IP plan.

Bedenk welke IP adressen en namen je gaat geven aan je computers. Servers hebben een vast IP adres en nóg belangrijker: een vaste naam. Die wil je achteraf niet meer wijzigen want dat is vragen om problemen.

Bijvoorbeeld:

192.168.1.1 = Router

192.168.1.2 = Hyper-V Server

Naam: basserver

192.168.1.3 = RRAS Server externe netwerk

192.168.100.1 = Domain Controller 1

Naam: dc1

192.168.100.2 = Domain Controller 2 + DHCP Server

Naam: dc2

192.168.100.3 = RRAS Server interne netwerk

Naam: rras

192.168.100.4 = SQL Server, Deployment Server en Update Server

Naam: sql

192.168.100.100 192.168.100.200 = DHCP Clients (werkstations, laptops, tablets, telefoons)

192.168.100.50 51 etc. Printers, scanners en andere devices die bij voorkeur een vast IP en een unieke naam hebben.

2: Installatie Server 2012 R2 op Server 1 (20 min)

Boot en installeer de gratis evaluatie DVD en selecteer location.

Geef Administrator wachtwoord op.

Verander de Computernaam.

Installeer Hyper-V

Kopieer een Server 2012 R2 ISO naar C:\install

Maak 2 machines aan elk met 2 cores.

Ik geef ze 2048 MB starting RAM dynamic en 30 GB schijfruimte.

Zet de schermresolutie van de HYPER-V server zo hoog mogelijk. Dit is ook bepalend voor de hoogste resolutie van de Virtual Machines. Die wil je ook zo hoog mogelijk hebben staan anders heb je geen overzicht.

Later gaat de videokaart er helemaal uit en ook de muis en het toetsenbord en gaan we alles met remote management doen.

3: Installatie Virtual Machine (1 uur) 2 x

Installeer Server 2012 R2 in Hyper-V met een ISO bestand

Geeft administrator wachtwoord op.

Verander de Computernaam en geef vast IP adres volgens plan.

4: Installeer Domein Controller 1 op een Hyper-V Virtual Machine

Gebruik hiervoor de VM met naam dc1

Geef vast IP, Subnet, Gateway en DNS op.

Volgens IP plan:

IP 192.168.100.1

Subnet 255.255.255.0

!! Gateway 192.168.100.3 (is er nog niet)

!! DNS1 192.168.100.2 (is er nog niet)

DNS2 192.168.100.1

Disable IPv6, LMHOST lookup en NetBios.

Lees Issue 3 over autoconfiguration ipv4 (er staat namelijk een 169.254.x.x adres bij netwerk details)

Controleer of de computer de juiste naam heeft.

Installeer Active Directory Domain Services.

Promoveer tot domein controller

Add a new forest en geef een Root Domain name. Zoals: baslan.local

geef een DSRM wachtwoord op.

Laat je niet afleiden door meldingen over parent zone en delegation van authorative parent.

Dit is een lokaal domein geen internet domein.

KB Article 942564 Linkid=104751

5: Installeer Domein Controller 2 op een Hyper-V Virtual Machine

Gebruik hiervoor de VM met naam dc2

Volgens IP plan:

IP 192.168.100.2

Subnet 255.255.255.0

!! Gateway 192.168.100.3 (is er nog niet)

DNS 1 = 192.168.100.1

!! DNS 2 = 192.168.100.2 nog even niet want dat snapt ie niet totdat je klaar bent.

Controleer of de computer de juiste naam heeft. Reboot.

Maak de server lid van het domein. Reboot en log in op het domein.

Installeer Active Directory Domain Services.

Promoveer tot domein controller in existing domain

Geef domain name en admin credentials

Vink Global Catalog aan en geef DSRM wachtwoord op.

Replicate from: dc1.baslan.local

Laat je wederom niet afleiden door delegation en authorative parents.

Na de reboot controleer je of de replicatie werkt. In console:


repadmin /replsummary


repadmin /queue


repadmin /showrepl

Check for updates.

Controleer de logboeken of alles goed gaat.

6: Installatie Routing en Remote Access server

Controleer of de computer de juiste naam en de IP adressen volgens het IP plan heeft.

Maak server lid van het domein.

Installeer Routing & Remote Access.

Geef je inet nic externe ipconfig en je lan nic interne ipconfig.

Kijk of inet Private Network en lan Domain Network heeft.

Check of alles up en running is.

7: Installatie DHCP server op DC2 in Hyper-V op Server 1

Installeer DHCP Server op een van de servers.

Ik kies voor DC2 omdat die het minst te doen heeft.

Start DHCP Manager

Configureer DHCP server, vul scope en server options in.

Configureer DNS Servers, Time Server en Router.

Disable het MAC adres van de externe nic van RRAS in je DHCP server als DHCP client

Controleer of de instellingen werken.

Controleer de logboeken of alles goed gaat.

8: Installatie WSUS Server op Server 2

Installeer Server 2012 R2.

Geef IP volgens plan, verander Computernaam.

Maak lid van het domein, reboot en log in op het domein.

Lees Issue 1!!

Installeer alle updates en installeer daarna pas SQL Server 2017 Developer anders krijg je een foutmelding.

Download en installeer de SQL Server 2017 Developer

https://go.microsoft.com/fwlink/?linkid=853016

Kies voor de Custom Install.

Let op!: Collation: SQL_Latin1_General_CP1_CI_AI

Installeer SQL Server Management Studio 17.9.1 (SSMS)

https://go.microsoft.com/fwlink/?linkid=2043154

Geef SQL Database engine minimaal 8 GB RAM

Installeer Windows Server Update Services (WSUS)

Kies voor Database in plaats van Windows Internal Database (WID)

Kies DB instance = Computernaam (in dit geval sql)

Check Connection

Launch Post-Installation tasks.

Start WSUS.

Configureer en Start Connecting..

Wacht 30 minuten, hij gaat 1000 MB downloaden en iets met de database doen.

Kies Taal alleen Engels, Kies Product alleen Server 2012 R2. Classifications: Alleen Critical en Security.

Begin initial Synchronization now. Wacht het af.

Configureer WSUS.

Let op! Je wil zeker niet alle updates die Microsoft aanbiedt downloaden naar je WSUS Server. Dit is echt véél te veel.

Dus in dit geval alleen de updates voor Server 2012 R2 en in dit geval alleen in het Engels. En alleen critical en security.

Installeer de updates op de WSUS clients. Ineens ga je zien dat ie een update van 700 MB in 5 seconden binnen heeft! Goed teken! WSUS werkt!

Doe het gewoon lekker makkelijk op domain policy niveau. En doe een enforced policy.

Of maak groepen en doe onderstaande per groep.

Start group policy management:

(domain policy of per groep) > rechtermuis > edit > computer configuration > policies > Administrative templates > Windows Components > Windows Update > configureer alle settings.

En denk gewoon effe logisch na bij het instellen omdat hij soms vraagt of je iets NIET wil doen en dan is het dus soms Disable.

De intranetserver is de wsus server dus in dit geval http://sql:8530 Ik heb er voor gekozen om clients altijd de mogelijkheid te geven om te updaten via Windows Update.

Is prima. De rest krijgen ze van WSUS. Die we nog gaan uitbreiden, beveiligen en downstreamen.



C:\gpupdate


C:\wuauclt /reportnow /updatenow

Maak de Automatic Approval Rule.

Use SSL (later)

Sychronize now.

Wacht tot alle updates zijn gedownload.

Run Automatic Approval Rule

Wacht en check de status van de computers.

Assign computers to groups. Niks te zien? Lees bijlage 2.

Wacht tot alle computers een groen vinkje geven bij installation status.

Weet je niet waar? Rechtermuisklik op de balk. Welke balk? Ok vooruit screendump.

En dan dus net zolang tot ie dit laat zien:

Doe een WSUS Database cleanup:

Decline 1000+ updates die Installed or Not applicable zijn.

Restart de WSUS Server.

Voor de check:

Windows Update Log (Checking Errors/Process Status): %WINDIR%\WindowsUpdate.log

Cleanup all cached files and force detection:


net stop wuauserv


rmdir /S /Q
C:\winnt\softwaredistribution


net start wuauserv


wuauclt.exe /resetauthorization /detectnow

Delete winhttpproxy settings:

proxycfg -d


wuauclt /detectnow /register /reportnow /updatenow

Alles op groen? Good! You re good! NEXT!

9: Installatie Deployment Server en ADK (LiteTouch)

Installeer Windows Deployment Services

Installeer Windows Assessment and Deployment Kit for Windows 10 1809

https://go.microsoft.com/fwlink/?linkid=2026036

Installeer Windows Assessment and Deployment Kit Windows Preinstallation Environment

http://download.microsoft.com/download/D/7/E/D7E22261-D0B3-4ED6-8151-5E002C7F823D/adkwinpeaddons/adkwinpesetup.exe

Installeer Microsoft Deployment Toolkit

https://www.microsoft.com/en-us/download/confirmation.aspx?id=54259&6B49FDFB-8E5B-4B07-BC31-15695C5A2143=1

Download Windows Media Creation Tool 1809 https://go.microsoft.com/fwlink/?LinkId=691209

Converteer INSTALL.ESD naar INSTALL.WIM

Create a folder (c:\Win10USB).

Go to the sources directory on your installation media.

Copy the install.esd file to the Win10USB folder.

Open Command Prompt as Administrator: cd c:\Win10USB

Let op gebruik dism versie 10 niet versie 6.

Show the available images within the install.esd file.

dism /Get-WimInfo /WimFile:install.esd

Determine the Index number to modify (in this example we are modifying Index 2)

Export the image to a WIM file.

dism /export-image /SourceImageFile:install.esd /SourceIndex:2 /DestinationImageFile:install.wim /Compress:max
/CheckIntegrity

Voeg de boot images en install images toe aan de Deployment Server

Geef rechten op de Deployment Share

Maak een paar tasksequences en installeer een reference server en een reference client

Installeer alle updates, drivers en programma s en doe een SYSPREP (C:\Windows\system32\sysprep\)

Capture the reference image en heef hem een zinvolle naam.

Voor de toekomst onderstaande loop:

Deploy > Update & install > Clean image > Capture > Deploy >

Een Capture doen vanuit Windows gaat zo:

Maak verbinding met de netwerkshare:\\server\deploy$

Your final updated and configured Server or Client OS image is ready for deployment. Good!? You re good!

11: Configureer VPN

Met het huidige IP plan kan er geen VPN verbinding gemaakt worden van buiten het lokale netwerk.

Om dit wel mogelijk te maken moet de internet netwerkkaart van de RRAS een internet IP adres hebben.

Dit kan met de bridgemode of met een exposed host op de router.

Een andere mogelijkheid is om externe clients een VPN verbinding met de router te laten maken en dan dus met een lokaal IP adres verbinding met het netwerk hebben.

Het is vrijwel hetzelfde idee. Bij deze oplossing heb je de RRAS server helemaal niet meer nodig.

Voor VPN op de RRAS doe je dit:

Zet op je externe nic IPv6 aan voor IPv4 transition.

Stel de DHCP Relay Agent in op wijzend naar je DHCP server.

Zet bij IGMP je externe nic op Proxy en je interne nic op Router.

Enable IPv4 Router voor LAN en IPv4 RAS.

Vink IKEv2 aan.

Enable IPv4 forwarding , enable broadcast name resolution.

Disable externe nic MAC adres in je DHCP server als DHCP client.

Zet op je externe nic IPv6 aan voor IPv4 transition.

Stel de DHCP Relay Agent in op wijzend naar je DHCP server.

Zet bij IGMP je externe nic op Proxy en je interne nic op Router.

Enable IPv4 Router voor LAN en IPv4 RAS.

Vink IKEv2 aan.

Enable IPv4 forwarding, enable broadcast name resolution.

Disable externe nic MAC adres in je DHCP server als DHCP client.

Issues

1. Hoe krijg ik Windows Updates werkend op Server 2012 R2 anno 2019?

2. Hoe wis ik snel alle logbestanden in Windows?

3. Hoe disable ik Autoconfiguration IPv4?

Issue 1:

Windows Updates Januari 2019:

Windows Update: Automatic Updates staat standaard niet aan.

Als je kiest voor Automatic Updates aan (recommended) dan krijg je:

We couldn't complete the updates UNDOING CHANGES! En dat duurt héél lang!

Let op! In Januari 2019 krijg je met het updaten van een kale 2012 R2 installatie 138+ updates ter grootte van 2100+ MB en die gaat ie in één keer installeren maar doe dit niet want dan komt ie met de melding: We couldn't complete the updates UNDOING CHANGES! En dat duurt héél lang! Ik hoop dat deze waarschuwing zo duidelijk genoeg is. :)

Oplossing:

Kies voor de optie Check but download and install later.

Eerst KB2919355 dan de security rollup , de nieuwste .net en .net rollup. Check

Dan alles behalve KB3000850. Check. Dan KB3000850. Check for Updates en.. Done!!

Om de eventuele troep op te ruimen en te kijken of alles goed is aangekomen:

in CMD Admin



C:\Dism /Online /Cleanup-Image /RestoreHealth


C:\sfc /scannow

All good?

Good! You re good!

Final solution:

Install WSUS, clone a fully updated Server 2012 R2 and add it to your Deployment server! And never ever install 100+ updates again!

En dat is nou precies waar deze handleiding over gaat! Hoe fijn is dat!?

Issue 2:

Als je nog niet helemaal klaar bent met het configureren en updaten van je netwerk lopen je logboeken vol met foutmeldingen. Maar hoe kan je die nou snel verwijderen?

Hoe wis ik alle logbestanden in Windows?

Sla onderstaande regel op als clearlog.ps1:



wevtutil el | Foreach-Object
{Write-Host "Clearing $_"; wevtutil cl
"$_"}

Sla onderstaande regel op als clearlog.bat en voor uit als administrator:



PowerShell.exe -NoProfile -Command "& {Start-Process
PowerShell.exe -ArgumentList '-NoProfile
-ExecutionPolicy Bypass -File
""%~dpn0.ps1""' -verb RunAs}"

Issue 3:

Het kan gebeuren dat op de eerste domeincontroller je netwerkkaart een 169.x.x.x adres krijgt van Autoconfiguration IPv4. Dit wil je niet want dan gaan er dingen fout. Maar hoe kom je ervan af?

How to disable autoconfiguration IPv4??

In de console:



C:\>netsh interface ipv4 show inter

Enter> Hij zegt..




Idx Met MTU State Name


--- ---------- ---------- ------------
---------------------------


1 50 4294967295 connected Loopback
Pseudo-Interface 1


12 10 1500 connected Local Area Connection

12: <= Let op hier kan ook iets anders staan.

Dan deze:



C:\>netsh interface ipv4 set interface 12 dadtransmits=0 store=persistent

Enter> Hij zegt Ok.

Run > services.msc > disable DHCP Client

Disable en enable netwerk adapter.

Fixed? Run > services.msc > enable DHCP Client

Reboot. Still fixed? Good! You re good!

Foutmeldingen en waarschuwingen:

Standaard waarschuwingen bij het herstarten van een van de domein controllers:

Event 5014, DFSR: Replication service is stopping comunication with partner for replication.

Klopt! Hij is aan het herstarten.

Standaard foutmelding bij het herstarten van een van de domein controllers:

Event 5002, DFSR: Replication service encountered an error comunicating with partner for replication.

Klopt! Hij is aan het herstarten.

Standaard melding bij het maken van een rdp verbinding naar een server.

Event 20499 TerminalServices RemoteConnectionManager

Remote Desktop Services has taken too long to load the user configuration from server \\basdc1.baslan.local for user Administrator.

Om van deze melding af te komen zit er niets anders op dan het event uit te schakelen.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-TerminalServices-RemoteConnectionManager/Admin

Verander het Enabled DWORD van 1 naar 0

Standaard melding na het uitschakelen van verbindingen met de Microsoft Store

Event 512 Store-Licensing failed

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-WS-Licensing/Admin

Verander het Enabled DWORD van 1 naar 0

Event ID 2974:

The attribute value provided is not unique in the forest or partition. Attribute: servicePrincipalName Value=MSSQLSvc/BasSQL.basnet.local

CN=BASSQL,CN=Computers,DC=basnet,DC=local Winerror: 8647

See http://go.microsoft.com/fwlink/?LinkID=279782 for more details on this policy.

Doe dit:



setspn BasSQL
-r

Performance Counters:

In Server Manager:

Stop Performance counters. Alles word nu gereset en de logbestanden worden leeg gemaakt. Als de server is uit gerammeld start je de performance counters weer en is alles weer mooi groen.

Event 1008 perflib wmiaprpl

Open a CMD via run as admin




C:\Windows\system32\lodctr.exe /R


C:\Windows\SysWOW64\lodctr.exe /R


C:\Windows\System32\wbem\winmgmt.exe /RESYNCPERF


C:\Windows\SysWOW64\wbem\winmgmt.exe /RESYNCPERF

Event 2002 source Microsoft-Windows-IIS-W3SVC-PerfCounters cannot be found.




cd c:\Windows\Inf\W3SVC


lodctr .\0409\w3ctrs.ini

Event 2001 usbperf

Unable to read the "First Counter" value under the usbperf\Performance Key. Status codes returned in data.

In admin CMD:



WINMGMT.EXE /RESYNCPERF

Dir C:\Windows\winsxs\amd64_microsoft-windows-usbperf* -->You will see 3 folders

Try installing the usbperf.ini from each folder using: "Lodctr usbperf.ini"

When it is successful, you will see the following entry in the application log.

Log Name: Application

Source: Microsoft-Windows-LoadPerf

Event ID: 1000

Level: Information

Description:

Performance counters for the ..... service were loaded successfully. ....

REBOOT

EventID 6038 LsaSrv:

Microsoft Windows Server has detected that NTLM authentication is presently being used between clients and this server. This event occurs once per boot of the server on the first time a client uses NTLM with this server.

Doe dit:

Use NTLMv2:

To force systems to use NTLMv2 rather than NTLM and reject any computer that attempts lower-level authentication, you can open Group Policy Management Console (GPMC), select a Group Policy Object (GPO) that's applied to all the computers on your network, navigate to

Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options

Network security: LAN Manager authentication level field:

Stel in op:

Send NTLMv2 response only. Refuse LM & NTLM.

EventID 6038:

Je kan ook dit doen als je wilt weten of er nog clients zijn die NTLM v1 nodig hebben. Windows NT bijvoorbeeld. J

Microsoft Windows Server has detected that NTLM authentication is presently being used between clients and this server.

This event occurs once per boot of the server on the first time a client uses NTLM with this server.

NTLM is a weaker authentication mechanism. Please check:

Which applications are using NTLM authentication?

Are there configuration issues preventing the use of stronger authentication such as Kerberos authentication?

If NTLM must be supported, is Extended Protection configured?

Details on how to complete these checks can be found at http://go.microsoft.com/fwlink/?LinkId=225699.

Enabling DC NTLM Auditing Group Policy

First create a New Group Policy Object in your domain. This policy should be linked to your Domain Controllers by OU or Security Filtering.

These policy settings will report what is using NTLM without blocking anything:

Computer Configuration->Policies->Windows Settings-> Security Settings-> Local Policies>Security Options->Network security: Restrict NTLM: Audit NTLM authentication in this domain. Policy Setting: Audit All

Computer Configuration->Policies->Windows Settings->Security Settings-> Local Policies>Security Options->Network security: Restrict NTLM: Audit Incoming NTLM Traffic. Policy Setting: Enable auditing for all accounts

Computer Configuration->Policies->Windows Settings->Security Settings-> Local Policies>Security Options->Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers. Policy Setting: Audit all

After enabling these policies, Event ID 8001, 8002, 8003, and 8004 will be recorded in Event Viewer under Applications and Services Logs->Microsoft->Windows->NTLM->Operational.

Event 1001 Source: IISInfoCtrs

Reload performance counters:

In admin CMD:




unlodctr w3svc


(unlodctr msftpsvc)


(unlodctr asp)


(unlodctr inetinfo)


lodctr w3ctrs.ini


lodctr ftpctrs.ini


lodctr axperf.ini


lodctr infoctrs.ini

Bijlage 1:

Weet je niet hoe je een server moet aanmelden bij een domein?

Doe dit:

Rechtermuis op de startknop.

Klik links: system > change settings > change > vink member of domain aan.

Typ de hele domeinnaam en klik op ok. In dit geval baslan.local

Zorg ervoor dat de netwerk adapter staat ingesteld volgens het IP plan.

En dus in dezelfde range zit als de domeincontroller.

En geef het wachtwoord op.

Reboot en log in op het domein.

Bijlage 2:

WSUS client computers niet zichtbaar? Geef ze een schop!

wuauclt /detectnow /reportnow

Force Detection of Updates and Report to the WSUS Server:

wuauclt.exe /detectnow /reportnow

Bijlage 3: Internet doet het niet.

Is je RRAS server up en running?

Zo niet.. zorg dat RRAS draait. Of..

DNS3 8.8.8.8 of de DNS van je provider (tot RRAS draait)

DNS4 8.8.4.4 of de DNS van je provider (tot RRAS draait)

Bijlage 4: PXE-boot werkt niet

Enable PXE-boot op je netwerkkaart in de BIOS

Bijlage 5: Hoe krijg ik mijn netwerk opgestart?

Opstartvolgorde van servers:

Uiteraard eerst de Hyper-V Server. Dan een van de domeincontrollers. Wacht tot de server volledig opgestart is.

Start dan de tweede domeincontroller. Wacht tot de server volledig opgestart is, reboot dan de eerste. Wacht tot de server volledig opgestart is, reboot dan de tweede.

Start de RRAS server. Wacht tot de server volledig opgestart is inclusief RRAS! Start de rest. Uitzetten gaat andersom. Behalve als je remote werkt.

Dan RRAS als laatste maar dan kan je ook de Hyper-V Server niet meer rebooten. Dus die moet local of met een ping, hearthbeat or whatever.

Maak eigenlijk kan je de Hyper-V server gewoon rebooten als je de VM s pauzeerd.

Overige settings Server 2012 R2:

Server Manager: Do not start server manager at logon.

Control Panel : show large icons.

Power Options: Display never sleeps! Anders moet je steeds je wachtwoord weer intikken.

Taskbar and Navigation: Tab Navigation > Corner navigation. Charms uitvinken.

Helpt niet voor de Charms rechtsonder helaas.

Verdere tips:

Open resource monitor in taskmanager > performance.

Veel meer details over de belasting van de schijf, het geheugen en de processor.

Vooral handig als je denkt dat ie niet reageert. Vaak issie gewoon bezig. En dan zie je het tenminste!

A: Issues

Issue 1. Hoe krijg ik Windows Updates werkend op Server 2012 R2 anno 2019?

Issue 2. Hoe wis ik snel alle logbestanden in Windows?

Issue 3. Hoe disable ik Autoconfiguration IPv4?

Issue 4. Hoe converteer ik install.esd naar install.wim

B: Waarschuwingen en foutmeldingen

Event 5014, DFSR

Event 5002, DFSR

C: Bijlagen..

Bijlage 1: Ik kan de server niet aanmelden.

Bijlage 2: Ik zie de WSUS clients niet.

Bijlage 3: Het Internet doet het niet.

Bijlage 4: PXE boot werkt niet.

En verder..

Logboeken

Richt je domein in met alles erop en eraan.

Maak een Tasksequence

Deploy een server

Installeer je VPN en RAS Server

Overige settings

Installeer OpenSSH Server:

To install OpenSSH using PowerShell, first launch PowerShell as an Administrator. To make sure that the OpenSSH features are available for install:

PowerShell:




Get-WindowsCapability -Online | ? Name -like 'OpenSSH*'


# This should return the following output:


Name : OpenSSH.Client~~~~0.0.1.0


State : NotPresent


Name : OpenSSH.Server~~~~0.0.1.0


State : NotPresent

Then, install the server and/or client features:

PowerShell



# Install the OpenSSH Client


Add-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0


# Install the OpenSSH Server


Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0


# Both of these should return the following output:


Path :


Online : True


RestartNeeded : False


Start-Service sshd


# OPTIONAL but recommended:


Set-Service -Name sshd -StartupType 'Automatic'


# Confirm the Firewall rule is configured. It should be created automatically by setup.


Get-NetFirewallRule -Name *ssh*


# There should be a firewall rule named "OpenSSH-Server-In-TCP", which should be enabled

In ADMIN PowerShell




PS C:\Windows\system32> Get-WindowsCapability
-Online | ? Name -like 'OpenSSH*'


PS C:\Windows\system32> Add-WindowsCapability
-Online -Name OpenSSH.Server~~~~0.0.1.0


PS C:\Windows\system32> Start-Service sshd


PS C:\Windows\system32> Set-Service -Name sshd -StartupType 'Automatic'


PS C:\Windows\system32> Get-NetFirewallRule
-Name *ssh*

Portforwarding op de router:

Forward port 80 op de router naar je server voor HTTP

Forward port 443 op de router naar je server voor HTTPS

Forward port 22 op de router naar je server voor SSH of een andere poort die je wil gebruiken

RDP over internet:

Om RDP veiliger te maken voor een verbinding over internet moet je een SSH tunnel maken naar je server.

Dit kan je doen met Putty for Windows. In Putty maak je een SSH tunnel met local port 1234 en destination localhost:3389 voor RDP

Je snapt dat die 1234 elke poort kan zijn die je maar wil gebruiken en dat de firewall niet hoeft open te staan op die poort. Dat komt omdat het door de SSH tunnel gaat en die zit op poort 22.

Je gebruikt dus een poort naar je localhost die wordt doorgestuurd door je SSH tunnel naar je server.. bizar h ?

Je gelooft het niet maar het werkt echt zolang de SSH tunnel open is met het juiste poortnummer.

In RDP log je in met 127.0.0.1:1234 en servernaam\user

easy toch? ;)

10: Installatie SCCM (Zero-Touch)

Installeer prerequisites WSUS, SQL, ADK, IIS en SMSS:

Create the recommended disk drives for Configuration Manager - https://youtu.be/amrg_mlFvuk?t=69

Install IIS, RDC, BITS - https://youtu.be/amrg_mlFvuk?t=380

Install and configure Microsoft SQL Server 2017 - https://youtu.be/amrg_mlFvuk?t=418

Open SQL Server Configuration Management.

Expand SQL Server Network Configuration , and click the Protocols for MSSQLSERVER .

Enable both TCP/IP and Named Pipes protocols. And then restart the SQL Server service

Let op!: Collation: SQL_Latin1_General_CP1_CI_AS

Install and configure WSUS - https://youtu.be/amrg_mlFvuk?t=1036

Install latest Windows 10 ADK - https://youtu.be/amrg_mlFvuk?t=1392

Extend the Active Directory schema for SCCM - https://youtu.be/amrg_mlFvuk?t=1439

Create the System Management container in Active Directory - https://youtu.be/amrg_mlFvuk?t=1529

Pre-create the SCCM database in SQL so we can set the location, size, and number of files - https://youtu.be/amrg_mlFvuk?t=1695

Install Microsoft SCCM Current Branch 1802 https://youtu.be/amrg_mlFvuk?t=2029

Scripts: Powershell script to install IIS, BITS, and RDC:



Install-WindowsFeature
Web-Static-Content,Web-Default-Doc,Web-Dir-Browsing,Web-Http-Errors,Web-Http-Redirect,Web-Net-Ext,Web-ISAPI-Ext,Web-Http-Logging,Web-Log-Libraries,Web-Request-Monitor,Web-Http-Tracing,Web-Windows-Auth,Web-Filtering,Web-Stat-Compression,Web-Mgmt-Tools,Web-Mgmt-Compat,Web-Metabase,Web-WMI,BITS,RDC

Web-Net-Ext failes als tie geen pad voor installatie kan vinden. Installeer .Net 3.5 met server manager add roles.

Download Microsoft System Center Configuration Manager and Endpoint Product (Current Branch) Evaluation

https://www.microsoft.com/en-us/evalcenter/evaluate-system-center-configuration-manager-and-endpoint-protection

Download Microsoft SQL Server Management Studio (SSMS)

https://docs.microsoft.com/en-us/sql/ssms/download-sql-server-management-studio-ssms?view=sql-server-2017

Download Microsoft SQL Server 2017 Reporting Services

https://www.microsoft.com/en-us/download/details.aspx?id=55252

Download Windows 10 ADK https://docs.microsoft.com/en-us/windows-hardware/get-started/adk-install

Screenshots:

Microsoft Docs for Topics in this Guide:

Baseline and update versions

https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates#bkmk_Baselines

Client numbers for sites and hierarchies

https://docs.microsoft.com/en-us/sccm/core/plan-design/configs/size-and-scale-numbers#bkmk_clientnumbers

Configuration Manager Perf and Scale Guidance Whitepaper - Preview

https://gallery.technet.microsoft.com/Configuration-Manager-ba55428e

Prepare Active Directory for site publishing

https://docs.microsoft.com/en-us/sccm/core/plan-design/network/extend-the-active-directory-schema

Recommended hardware for System Center Configuration Manager

https://docs.microsoft.com/en-us/sccm/core/plan-design/configs/recommended-hardware

Site and site system prerequisites for System Center Configuration Manager

https://docs.microsoft.com/en-us/sccm/core/plan-design/configs/site-and-site-system-prerequisites

Size and scale numbers for System Center Configuration Manager

https://docs.microsoft.com/en-us/sccm/core/plan-design/configs/size-and-scale-numbers

Supported Active Directory domains for System Center Configuration Manager

https://docs.microsoft.com/en-us/sccm/core/plan-design/configs/support-for-active-directory-domains

Supported SQL Server versions for System Center Configuration Manager

https://docs.microsoft.com/en-us/sccm/core/plan-design/configs/support-for-sql-server-versions

The content library in System Center Configuration Manager (no_sms_on_drive.sms file)

https://docs.microsoft.com/en-us/sccm/core/plan-design/hierarchy/the-content-library

Lees deze handleiding (en andere) op mijn forumpagina hier:

https://forum.computerbas.nl/viewtopic.php?id=12

Laatst gewijzigd op 14/11/2022

Deze server draait Debian 12.1 en Apache 2.4.57

Deze website is gemaakt om je te helpen met het maken van een veilige website en veilige verbindingen met die website. Verder heb ik geprobeerd om maximaal te scoren bij SSL en SEO checkers. Die SEO checkers kijken naar allerlei onzinnige dingetjes die je niet als je naar m'website kijkt maar een internet browser leest dat allemaal heel anders. En daar ga je dan enorm op zitten studeren hoeveel characters je pagina titel mag hebben bijvoorbeeld. En wat de ideale hoeveelheid content ik op een webpagina. Zoals je hier kunt lezen moet je vooral niet te weinig content hebben anders gaat vooral die nibbler.silktide.com zeiken. Maar hij heeft gelijk want hij kijkt naar wat een search engine zoals Google gewoon graag wil zien. En dan doen we dat zo. Of je dat nou leuk vind of niet dat maakt eigenlijk verder helemaal niks uit. Zo moet het PUNT! Kijk gerust in de broncode van mijn HTML pagina's hoe ik het een en ander gedaan heb. Ik heb geprobeerd om te voldoen aal alle security richtlijnen die er maar zo ongeveer zijn op internet. En ik ben op zoek gegaan naar het randje van waar beveiliging ophoud en het grote hacken gaat beginnen. In ben echt heel benieuwd hoe moeilijk ze het vinden om mijn website te hacken aangezien ik zo ongeveer alles gedaan heb om hem veilig te maken. Zonder dat ik daarmee lager in Google kom te staan bijvoorbeeld. Succes ermee!! Geef me een like op Facebook als je er iets aan hebt gehad. Hier komt meer over waar ik deze website voor heb gemaakt. Deze regels staan er vooral om meer content te krijgen. Dat is nodig volgens nibbler.silktide.com. Stom dat ik niet nog twaalf woorden extra heb getypt want dan had ik er precies 1000. Deze website is gemaakt om je te helpen met het maken van een veilige website en veilige verbindingen met die website. Verder heb ik geprobeerd om maximaal te scoren bij SSL en SEO checkers. Die SEO checkers kijken naar allerlei onzinnige dingetjes die je niet als je naar m'website kijkt maar een internet browser leest dat allemaal heel anders. En daar ga je dan enorm op zitten studeren hoeveel characters je pagina titel mag hebben bijvoorbeeld. En wat de ideale hoeveelheid content ik op een webpagina. Zoals je hier kunt lezen moet je vooral niet te weinig content hebben anders gaat vooral die nibbler.silktide.com zeiken. Maar hij heeft gelijk want hij kijkt naar wat een search engine zoals Google gewoon graag wil zien. En dan doen we dat zo. Of je dat nou leuk vind of niet dat maakt eigenlijk verder helemaal niks uit. Zo moet het PUNT! Kijk gerust in de broncode van mijn HTML pagina's hoe ik het een en ander gedaan heb. Ik heb geprobeerd om te voldoen aal alle security richtlijnen die er maar zo ongeveer zijn op internet. En ik ben op zoek gegaan naar het randje van waar beveiliging ophoud en het grote hacken gaat beginnen. In ben echt heel benieuwd hoe moeilijk ze het vinden om mijn website te hacken aangezien ik zo ongeveer alles gedaan heb om hem veilig te maken. Zonder dat ik daarmee lager in Google kom te staan bijvoorbeeld. Succes ermee!! Geef me een like op Facebook als je er iets aan hebt gehad. Hier komt meer over waar ik deze website voor heb gemaakt. Deze regels staan er vooral om meer content te krijgen. Dat is nodig volgens nibbler.silktide.com. Stom dat ik niet nog twaalf woorden extra heb getypt want dan had ik er precies 1000. Deze website is gemaakt om je te helpen met het maken van een veilige website en veilige verbindingen met die website. Verder heb ik geprobeerd om maximaal te scoren bij SSL en SEO checkers. Die SEO checkers kijken naar allerlei onzinnige dingetjes die je niet als je naar m'website kijkt maar een internet browser leest dat allemaal heel anders. En daar ga je dan enorm op zitten studeren hoeveel characters je pagina titel mag hebben bijvoorbeeld. En wat de ideale hoeveelheid content ik op een webpagina. Zoals je hier kunt lezen moet je vooral niet te weinig content hebben anders gaat vooral die nibbler.silktide.com zeiken. Maar hij heeft gelijk want hij kijkt naar wat een search engine zoals Google gewoon graag wil zien. En dan doen we dat zo. Of je dat nou leuk vind of niet dat maakt eigenlijk verder helemaal niks uit. Zo moet het PUNT! Kijk gerust in de broncode van mijn HTML pagina's hoe ik het een en ander gedaan heb. Ik heb geprobeerd om te voldoen aal alle security richtlijnen die er maar zo ongeveer zijn op internet. En ik ben op zoek gegaan naar het randje van waar beveiliging ophoud en het grote hacken gaat beginnen. In ben echt heel benieuwd hoe moeilijk ze het vinden om mijn website te hacken aangezien ik zo ongeveer alles gedaan heb om hem veilig te maken. Zonder dat ik daarmee lager in Google kom te staan bijvoorbeeld. Succes ermee!! Geef me een like op Facebook als je er iets aan hebt gehad. Hier komt meer over waar ik deze website voor heb gemaakt. Deze regels staan er vooral om meer content te krijgen. Dat is nodig volgens nibbler.silktide.com. Stom dat ik niet nog twaalf woorden extra heb getypt want dan had ik er precies 1000. Deze website is gemaakt om je te helpen met het maken van een veilige website en veilige verbindingen met die website. Verder heb ik geprobeerd om maximaal te scoren bij SSL en SEO checkers. Die SEO checkers kijken naar allerlei onzinnige dingetjes die je niet als je naar m'website kijkt maar een internet browser leest dat allemaal heel anders. En daar ga je dan enorm op zitten studeren hoeveel characters je pagina titel mag hebben bijvoorbeeld. En wat de ideale hoeveelheid content ik op een webpagina. Zoals je hier kunt lezen moet je vooral niet te weinig content hebben anders gaat vooral die nibbler.silktide.com zeiken. Maar hij heeft gelijk want hij kijkt naar wat een search engine zoals Google gewoon graag wil zien. En dan doen we dat zo. Of je dat nou leuk vind of niet dat maakt eigenlijk verder helemaal niks uit. Zo moet het PUNT! Kijk gerust in de broncode van mijn HTML pagina's hoe ik het een en ander gedaan heb. Ik heb geprobeerd om te voldoen aal alle security richtlijnen die er maar zo ongeveer zijn op internet. En ik ben op zoek gegaan naar het randje van waar beveiliging ophoud en het grote hacken gaat beginnen. In ben echt heel benieuwd hoe moeilijk ze het vinden om mijn website te hacken aangezien ik zo ongeveer alles gedaan heb om hem veilig te maken. Zonder dat ik daarmee lager in Google kom te staan bijvoorbeeld. Succes ermee!! Geef me een like op Facebook als je er iets aan hebt gehad. Hier komt meer over waar ik deze website voor heb gemaakt. Deze regels staan er vooral om meer content te krijgen. Dat is nodig volgens nibbler.silktide.com. Stom dat ik niet nog twaalf woorden extra heb getypt want dan had ik er precies 1000.