Windows Server Windows Server
Level-500-Referenz für Active Directory, Group Policy, DNS, DHCP, AD CS, AD FS, Hyper-V, Failover Clustering, Dateidienste, WSUS, RDS und Windows Admin Center. Level 500 reference for Active Directory, Group Policy, DNS, DHCP, AD CS, AD FS, Hyper-V, failover clustering, file services, WSUS, RDS, and Windows Admin Center.
AD DS
AD DS
Forest-, Domain- und Trust-Topologien
Forest, domain, and trust topologies
DNS/DHCP
DNS/DHCP
Namensauflösung und Adressvergabe
Name resolution and address allocation
PKI
PKI
AD CS, OCSP und Zertifikatvorlagen
AD CS, OCSP, and certificate templates
Hyper-V
Hyper-V
Virtualisierung und Cluster
Virtualization and clustering
🛑 Windows Server bleibt ein Verbundsystem
🛑 Windows Server remains a system of systems
Active Directory, DNS, DHCP, PKI, Gruppenrichtlinien und Virtualisierung wirken direkt aufeinander. Änderungen an Replikation, Schema, Zertifikatsketten oder Namensauflösung müssen immer in einem Abhängigkeitsmodell betrachtet werden. Active Directory, DNS, DHCP, PKI, Group Policy, and virtualization directly affect each other. Changes to replication, schema, certificate chains, or name resolution must always be evaluated in a dependency model.
AD DS und GPO
AD DS and GPO
Forest, Replikation, LSDOU Forest, replication, LSDOU
DNS und DHCP
DNS and DHCP
Zones, Records, Failover Zones, records, failover
AD CS und AD FS
AD CS and AD FS
PKI, Federation, Claims PKI, federation, claims
Hyper-V und Cluster
Hyper-V and cluster
Replica, CSV, S2D Replica, CSV, S2D
Datei, RDS, WSUS, WAC
File, RDS, WSUS, WAC
Weitere Kernrollen Additional core roles
Active Directory Domain Services und Group Policy Active Directory Domain Services and Group Policy
AD DS definiert Forest-Grenzen, Domänenidentitäten, Vertrauensstellungen, Replikation, SYSVOL-Verteilung und die Verarbeitung von Gruppenrichtlinien. Level-500-Betrieb heißt hier: Topologie, Sicherheitshärtung, Delegation, Namensräume und Wiederherstellung als Gesamtbild zu steuern. AD DS defines forest boundaries, domain identities, trusts, replication, SYSVOL distribution, and Group Policy processing. Level 500 operations mean governing topology, hardening, delegation, namespaces, and recovery as one whole.
| AD-DS-Thema AD DS topic | Kerninhalt Core content | Warum wichtig Why it matters | Praxisnotiz Practical note |
|---|---|---|---|
| Forest Forest | Oberste Sicherheits- und Schema-Grenze Top security and schema boundary | Schema, Global Catalog und Trusts werden hier verankert Schema, global catalog, and trusts anchor here | Forest-Neuanlage ist teuer, daher langfristig designen Forest redesign is expensive, so design for the long term |
| Domain Domain | Grenze für Authentifizierung, Richtlinien und Namensraum Boundary for authentication, policy, and namespace | Kerberos und Administrationsmodelle hängen daran Kerberos and admin models depend on it | Domänensplits nur bei klarer Notwendigkeit Split domains only with clear justification |
| Trust Trust | Vertrauensstellung zwischen Domänen oder Forests Trust between domains or forests | B2B, Migration, Ressourcen-Zugriff B2B, migration, resource access | Selective Authentication und SID Filtering bewerten Evaluate selective authentication and SID filtering |
| Sites and Subnets Sites and subnets | Ordnen Clients und DCs nach Netzsegmenten Map clients and DCs by network segment | Steuert Replikation und Locator-Verhalten Controls replication and locator behavior | Fehlende Subnetze führen zu falscher DC-Wahl Missing subnets lead to wrong DC selection |
| OUs OUs | Delegation und GPO-Zielstruktur Delegation and GPO targeting structure | Administrative Verantwortlichkeiten abbilden Represent administrative responsibilities | Nicht als rein organisatorischen Ordner missbrauchen Do not misuse as a mere organizational folder |
| SYSVOL SYSVOL | Replizierte Policy- und Script-Ablage Replicated policy and script store | GPO-Funktion hängt daran GPO function depends on it | FRS ablösen; DFSR-Status regelmäßig prüfen Retire FRS; review DFSR status regularly |
| Schema Schema | Definiert Klassen und Attribute Defines classes and attributes | Erweiterungen wirken forestweit Extensions affect the forest globally | Schema-Änderungen nur über CAB und Lab validieren Validate schema changes only through CAB and lab |
| Functional Level Functional level | Schaltet neuere AD-Funktionen frei Enables newer AD features | Recycle Bin, Auth- und Replikationsfeatures Recycle bin, auth, and replication features | Vor Anhebung DC- und App-Kompatibilität prüfen Check DC and app compatibility before raising |
| RODC RODC | Read-only Domain Controller für Außenstellen Read-only domain controller for branch offices | Reduziert Risiko an ungesicherten Standorten Reduces risk at unsecured sites | Password Replication Policy bewusst definieren Define password replication policy intentionally |
| Fine-Grained Password Policies Fine-grained password policies | Passwortregeln pro Gruppe oder Benutzer Password rules per group or user | Sensible Konten anders behandeln Treat sensitive accounts differently | PSOs und Resultant Policy dokumentieren Document PSOs and resultant policy |
| gMSA gMSA | Group Managed Service Accounts Group Managed Service Accounts | Sichere Dienstkontenrotation Secure service account rotation | KDS Root Key und Hostgruppen sauber pflegen Maintain KDS root key and host groups cleanly |
| LAPS LAPS | Lokale Administratorkennwörter rotieren Rotate local administrator passwords | Schützt gegen Laterale Bewegung Protects against lateral movement | Windows LAPS und Legacy LAPS nicht verwechseln Do not confuse Windows LAPS with legacy LAPS |
| AD Recycle Bin AD Recycle Bin | Wiederherstellung gelöschter Objekte Recovery of deleted objects | Senkt RTO bei Fehlbedienung Lowers RTO for accidental deletion | Aktivierung ist forestweit und irreversibel Activation is forest-wide and irreversible |
| GPO CSE / Mechanismus GPO CSE / mechanism | Zweck Purpose | Beispiele Examples | Hinweis Note |
|---|---|---|---|
| Administrative Templates Administrative templates | Registry-basierte Policies Registry-based policies | Windows Components, Edge, Defender Windows Components, Edge, Defender | ADMX/ADML-Versionen zentral pflegen Maintain ADMX/ADML versions centrally |
| Security Settings Security settings | Konten, Rechte, Audit, Firewall Accounts, rights, audit, firewall | User Rights Assignment User rights assignment | Mit Security Baselines abgleichen Compare with security baselines |
| Scripts Scripts | Logon, startup, shutdown automation Logon, startup, shutdown automation | PowerShell startup hardening PowerShell startup hardening | Ausführungszeit und Signierung beachten Observe runtime and signing |
| Software Installation Software installation | MSI-basierte Softwareverteilung MSI-based software deployment | Legacy package assignment Legacy package assignment | Heute meist durch Intune/ConfigMgr ersetzt Often replaced today by Intune/ConfigMgr |
| Folder Redirection Folder redirection | Benutzerprofile auf Netzpfade umlenken Redirect user profile data to network paths | Desktop/Documents Desktop/Documents | Offline Files und Ransomware-Risiko bewerten Evaluate Offline Files and ransomware risk |
| Preferences Preferences | Nicht erzwingende Konfiguration Non-enforced configuration | Drive maps, registry, files, printers Drive maps, registry, files, printers | Tattooing-Effekt verstehen Understand tattooing behavior |
| Loopback Processing Loopback processing | Benutzerpolicies nach Computerstandort anwenden Apply user policies based on computer location | Kiosk, RDS, Shared PCs Kiosk, RDS, shared PCs | Merge versus Replace bewusst wählen Choose merge versus replace intentionally |
| WMI Filters WMI filters | GPO nur für passende Geräte anwenden Apply GPO only to matching devices | OS version, chassis, role OS version, chassis, role | WMI-Filter können Verarbeitung deutlich verlangsamen WMI filters can slow processing significantly |
PowerShell
PowerShell
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Import-Module ADDSDeployment
Install-ADDSForest `
-DomainName "corp.contoso.com" `
-DomainNetbiosName "CONTOSO" `
-InstallDns `
-ForestMode WinThreshold `
-DomainMode WinThreshold
DNS Server, DHCP Server und Namens-/Adressdienste DNS Server, DHCP Server, and name/address services
| DNS-Element DNS element | Beschreibung Description | Wann relevant When relevant | Hinweis Note |
|---|---|---|---|
| Primary Zone Primary zone | Beschreibbare autoritative Zone Writable authoritative zone | AD-integriert oder dateibasiert AD-integrated or file-based | AD-integriert für DC-nahe Kernzonen bevorzugen Prefer AD-integrated for core zones near DCs |
| Secondary Zone Secondary zone | Schreibgeschützte Kopie Read-only copy | Redundanz oder Legacy-Interop Redundancy or legacy interoperability | Zone Transfers absichern Secure zone transfers |
| Stub Zone Stub zone | Nur SOA/NS/A-Glue-Infos Only SOA/NS/A glue information | Cross-forest-Delegation Cross-forest delegation | Hilft bei gezielter Auflösung ohne Vollkopie Helps targeted resolution without a full copy |
| Conditional Forwarder Conditional forwarder | Leitet Anfragen an definierte Nameserver Forwards queries to defined name servers | Partner- oder Child-Domain-Namensräume Partner or child-domain namespaces | Einfacher als Stub Zones bei klaren Pfaden Simpler than stub zones for clear paths |
| A/AAAA A/AAAA | IPv4/IPv6 Host-Records IPv4/IPv6 host records | Server, Clients, Services Servers, clients, services | Scavenging und dynamische Registrierung abstimmen Align scavenging and dynamic registration |
| CNAME CNAME | Alias auf kanonischen Namen Alias to a canonical name | Service-Abstraktion Service abstraction | Nicht für Zonenapex verwenden Do not use for zone apex |
| MX/TXT MX/TXT | Mailrouting und Text-Policies Mail routing and text policies | SPF, DKIM, MTA SPF, DKIM, MTA | Änderungen mit Mail-Team koordinieren Coordinate changes with the mail team |
| SRV SRV | Dienstlokalisierung Service location | Kerberos, LDAP, SIP Kerberos, LDAP, SIP | AD-Health hängt von korrekten SRV-Einträgen ab AD health depends on correct SRV records |
| DNSSEC DNSSEC | Signiert DNS-Antworten kryptografisch Cryptographically signs DNS answers | Hochsichere interne oder externe Zonen High-security internal or external zones | Schlüsselrollover und Validierung operationalisieren Operationalize key rollover and validation |
| Aging/Scavenging Aging/scavenging | Bereinigt veraltete dynamische Einträge Cleans up stale dynamic records | DHCP-Umgebungen DHCP environments | Intervall mit Lease-Dauer abstimmen Align interval with lease duration |
| DHCP-Thema DHCP topic | Bedeutung Meaning | Beispiel Example | Hinweis Note |
|---|---|---|---|
| Scope Scope | Adresspool pro Netzsegment Address pool per subnet | 10.10.20.0/24 10.10.20.0/24 | Exclusions und Reservations sauber dokumentieren Document exclusions and reservations cleanly |
| Reservation Reservation | Feste IP per MAC Fixed IP by MAC | Drucker, Appliances Printers, appliances | Für Server meist statische IP bevorzugen Prefer static IPs for servers |
| Option 003/006/015 Option 003/006/015 | Gateway, DNS, Suffix Gateway, DNS, suffix | Basisoptionen Base options | Falsche Optionen wirken mandantenweit im Scope Wrong options affect the whole scope |
| Policies Policies | Optionen anhand Bedingungen variieren Vary options by conditions | Vendor class, MAC prefix Vendor class, MAC prefix | Nützlich für IP Phones oder spezielle Clients Useful for IP phones or special clients |
| Failover Hot Standby Failover hot standby | Primär/Sekundär-Betrieb Primary/secondary operation | Branch office Branch office | MCLT und Kommunikationsstatus überwachen Monitor MCLT and communication state |
| Failover Load Balance Failover load balance | Aktive Lastverteilung Active load balancing | Datacenter scopes Datacenter scopes | Beide Server gleich pflegen Maintain both servers equally |
| MAC Filtering MAC filtering | Allow- oder Deny-Listen Allow or deny lists | Spezialgeräte Special devices | Kein Ersatz für NAC Not a replacement for NAC |
| DNS Registration DNS registration | DHCP registriert A/PTR-Einträge DHCP registers A/PTR records | Nicht domänengebundene Clients Non-domain-joined clients | Credentials für sichere Updates schützen Protect credentials for secure updates |
AD CS, Zertifikatsdienste und AD FS AD CS, certificate services, and AD FS
| PKI-/Federation-Baustein PKI/federation building block | Rolle Role | Typischer Nutzen Typical value | Hinweis Note |
|---|---|---|---|
| Offline Root CA Offline root CA | Vertrauensanker Trust anchor | Oberste Signaturinstanz Top-level signing authority | Physisch und administrativ stark isolieren Isolate physically and administratively |
| Issuing CA Issuing CA | Stellt Zertifikate aus Issues certificates | Benutzer-, Computer- und Webserver-Zertifikate User, computer, and web server certificates | HSM, Backup und CRL-Plan definieren Define HSM, backup, and CRL strategy |
| Certificate Template Certificate template | Steuert EKUs, Key Usage und Enrollment Controls EKUs, key usage, and enrollment | Computer, User, Smartcard Logon, WebServer Computer, User, Smartcard Logon, WebServer | Versionierung und minimale Rechte beachten Observe versioning and minimum rights |
| Autoenrollment Autoenrollment | Automatische Zertifikatbereitstellung per GPO Automatic certificate enrollment via GPO | Computer und Benutzer Computers and users | Mit Template-Security und Renewal-Intervallen abstimmen Align with template security and renewal intervals |
| CRL / Delta CRL CRL / delta CRL | Widerrufslisten Revocation lists | Gültigkeitsprüfung Validity checking | URLs extern und intern zuverlässig bereitstellen Publish URLs reliably internally and externally |
| OCSP OCSP | Online-Widerrufsprüfung Online revocation checking | Schnellere Zertifikatsvalidierung Faster certificate validation | Responder-Zertifikate und HA planen Plan responder certificates and HA |
| NDES NDES | SCEP-Bridge für Geräte SCEP bridge for devices | Netzwerkgeräte, MDM-Szenarien Network devices, MDM scenarios | Hoch privilegiert; besonders härten Highly privileged; harden carefully |
| Key Recovery Key recovery | Wiederherstellung archivierter Schlüssel Recovery of archived keys | EFS oder sensible Nutzerzertifikate EFS or sensitive user certificates | Auditing und Dual Control einführen Introduce auditing and dual control |
| AD FS Relying Party Trust AD FS relying party trust | Vertrauensbeziehung zu Anwendung Trust relationship to an application | WS-Fed/SAML-Applikationen WS-Fed/SAML applications | Claims Rules und Token Signatures dokumentieren Document claims rules and token signatures |
| Web Application Proxy Web Application Proxy | Externe Veröffentlichung von AD-FS-geschützten Apps External publication of AD FS-protected apps | Pre-auth für Legacy-Apps Pre-auth for legacy apps | Cloud-Migration zu Entra ID prüfen Evaluate cloud migration to Entra ID |
Hyper-V, Failover Clustering und Storage Hyper-V, failover clustering, and storage
| Technologie Technology | Kernfunktion Core function | Beispiel Example | Hinweis Note |
|---|---|---|---|
| Hyper-V Virtual Switch Hyper-V virtual switch | Extern, intern oder privat External, internal, or private | Tenant isolation, lab, workload uplink Tenant isolation, lab, workload uplink | NIC-Team und VLAN-Design abstimmen Align NIC teaming and VLAN design |
| Checkpoints Checkpoints | Crash-consistent oder production-consistent Snapshots Crash-consistent or production-consistent snapshots | Test und Patchfenster Testing and patch windows | Nicht als langfristiges Backup missbrauchen Do not misuse as long-term backup |
| Live Migration Live migration | VMs ohne Downtime verschieben Move VMs without downtime | Cluster und Standalone Hosts Clusters and standalone hosts | Authentifizierung und SMB-Bandbreite planen Plan authentication and SMB bandwidth |
| Hyper-V Replica Hyper-V Replica | Asynchrone VM-Replikation Asynchronous VM replication | DR-Szenarien DR scenarios | RPO und Failback-Prozess testen Test RPO and failback process |
| Shielded VMs Shielded VMs | Schützt VM vor Host-Admins Protects VMs from host admins | Hochsensible Workloads Highly sensitive workloads | Host Guardian Service erforderlich Requires Host Guardian Service |
| Quorum Quorum | Bestimmt Cluster-Mehrheit Determines cluster majority | Node Majority, Cloud Witness Node majority, cloud witness | Quorum-Modell an Knotenanzahl anpassen Fit quorum mode to node count |
| CSV CSV | Gemeinsame Volumes für Clusterrollen Shared volumes for cluster roles | Hyper-V over SMB / CSV Hyper-V over SMB / CSV | CSV-Ownership und Backup-Verhalten verstehen Understand CSV ownership and backup behavior |
| S2D S2D | Storage Spaces Direct Storage Spaces Direct | HCI-Cluster HCI clusters | Firmware- und HCL-Konformität zwingend Firmware and HCL conformity are mandatory |
| Stretch Cluster Stretch cluster | Cluster über zwei Standorte Cluster across two sites | Standortredundante Services Site-resilient services | Latenz, Witness und Storage-Design sind kritisch Latency, witness, and storage design are critical |
Dateidienste, DFS, RDS, WSUS, Windows Admin Center und Server Core File services, DFS, RDS, WSUS, Windows Admin Center, and Server Core
| Rolle/Feature Role/feature | Wofür What for | Best Practice Best practice | Hinweis Note |
|---|---|---|---|
| SMB File Server SMB file server | Dateifreigaben und NTFS-ACLs File shares and NTFS ACLs | SMB Signing/Encryption nach Bedarf aktivieren Enable SMB signing/encryption as needed | NAS und Windows-Berechtigungsmodell sauber abstimmen Align NAS and Windows permissions carefully |
| DFS Namespaces DFS namespaces | Abstrakte Pfade für Freigaben Abstract paths for shares | Logischen Namespace vor physischer Ablage definieren Define logical namespace before physical storage | Referrals und Site Awareness testen Test referrals and site awareness |
| DFS Replication DFS replication | Dateireplikation zwischen Servern File replication between servers | Branch office content staging Branch office content staging | Keine großen Datenbanken in DFSR replizieren Do not replicate large databases in DFSR |
| FSRM FSRM | Quota, Dateiprüfung und Reports Quotas, file screening, and reports | File hygiene and governance File hygiene and governance | Mit Business-Verantwortlichen abstimmen Align with business stakeholders |
| BranchCache BranchCache | WAN-Optimierung für Zweigstellen WAN optimization for branch offices | Verteilte Dateidienste Distributed file services | Hosted versus distributed mode prüfen Review hosted versus distributed mode |
| Work Folders Work Folders | Dateisynchronisierung ähnlich OneDrive on-premises File sync similar to on-premises OneDrive | Spezielle Compliance-Szenarien Special compliance scenarios | Heute meist durch M365-Dienste ersetzt Often replaced today by M365 services |
| iSCSI Target iSCSI target | Blockstorage aus Windows heraus bereitstellen Present block storage from Windows | Lab und kleinere Infrastruktur Lab and smaller infrastructure | MPIO und Backup-Konzept einplanen Plan for MPIO and backup |
| RDS Session Host RDS session host | Sitzungsbasierte Remotedesktops Session-based remote desktops | Shared application access Shared application access | Profile, GPO und Lizenzierung koordinieren Coordinate profiles, GPO, and licensing |
| RDS Gateway RDS gateway | Externer sicherer Zugriff External secure access | HTTPS tunnel for RDP HTTPS tunnel for RDP | MFA und Conditional Access naheliegend MFA and conditional access are natural companions |
| WSUS WSUS | Lokale Update-Verwaltung Local update management | Computer groups, approvals, downstream servers Computer groups, approvals, downstream servers | WUfB ersetzt WSUS nicht in jedem Szenario WUfB does not replace WSUS in every scenario |
| Windows Admin Center Windows Admin Center | Browserbasierte Verwaltung Browser-based management | Server, Cluster, Hyper-V, Azure bridge Servers, clusters, Hyper-V, Azure bridge | Extensions und RBAC bewusst freigeben Enable extensions and RBAC deliberately |
| Server Core Server Core | Minimale GUI-loses Serverinstallation Minimal server installation without GUI | Angriffsfläche und Patchbedarf senken Reduce attack surface and patching | Remote Management und Skripting standardisieren Standardize remote management and scripting |
| Nano Server Nano Server | Container- und Spezial-Image Container and specialty image | Modern image-based scenarios Modern image-based scenarios | Nicht mit klassischem Server Core verwechseln Do not confuse with classic Server Core |