Windows Server Rollen

Übersicht der wichtigsten Serverrollen mit Ports, Befehlen und Best Practices.

← Zurück zum Wiki
DNS DHCP AD DS Gruppenrichtlinien Dateiserver

DNS-Server

Namensauflösung im Netzwerk. In AD-Umgebungen eng mit dem Domain Controller verknüpft – ohne DNS geht nichts.

Wofür wird es gebraucht?

DNS übersetzt Hostnamen in IP-Adressen und umgekehrt. In einer Active-Directory-Umgebung ist DNS zwingend erforderlich: Clients finden darüber die Domain Controller, Dienste wie Kerberos und LDAP werden über SRV-Records lokalisiert. Fällt der DNS aus, steht das gesamte AD still.

Ports: TCP/UDP 53

DNS-Rolle installieren

Install-WindowsFeature DNS -IncludeManagementTools

Alle DNS-Zonen anzeigen

Get-DnsServerZone

DNS-Cache leeren

Clear-DnsServerCache Clear-DnsClientCache

Alle A-Records einer Zone auflisten

Get-DnsServerResourceRecord -ZoneName "domain.local" -RRType A

DHCP-Server

Automatische IP-Adressvergabe für Clients im Netzwerk.

Wofür wird es gebraucht?

DHCP verteilt IP-Adressen, Subnetzmasken, Gateways und DNS-Server automatisch an Clients. Ohne DHCP müsste jeder Rechner manuell konfiguriert werden – bei mehr als einer Handvoll Geräten nicht mehr praktikabel. In Kombination mit AD kann DHCP auch dynamische DNS-Updates auslösen.

Ports: UDP 67 UDP 68

DHCP-Rolle installieren

Install-WindowsFeature DHCP -IncludeManagementTools

Alle DHCP-Scopes anzeigen

Get-DhcpServerv4Scope

Aktive Leases anzeigen

Get-DhcpServerv4Lease -ScopeId 192.168.1.0 | Select-Object IPAddress, HostName, ClientId, LeaseExpiryTime

Reservierung erstellen

Add-DhcpServerv4Reservation -ScopeId 192.168.1.0 -IPAddress 192.168.1.50 -ClientId "AA-BB-CC-DD-EE-FF" -Name "Drucker-EG"

Active Directory Domain Services

Das Herzstück jeder Windows-Domäne – Authentifizierung, Autorisierung und zentrale Verwaltung.

Wofür wird es gebraucht?

AD DS stellt die zentrale Benutzerverwaltung bereit: Anmeldung an Domänenrechnern, Berechtigungen auf Freigaben, Gruppenrichtlinien und vieles mehr läuft darüber. Jede Windows-Server-Umgebung mit mehr als ein paar Rechnern profitiert von einer Domäne.

Ports: TCP 389 (LDAP) TCP 636 (LDAPS) TCP 88 (Kerberos) TCP 445 (SMB) TCP 3268 (GC) TCP/UDP 53 (DNS)

AD DS installieren & Domäne einrichten

# Rolle installieren Install-WindowsFeature AD-Domain-Services -IncludeManagementTools # Neue Gesamtstruktur erstellen Install-ADDSForest -DomainName "firma.local" -DomainNetbiosName "FIRMA" -InstallDns:$true

Domänen-Funktionsebene prüfen

(Get-ADDomain).DomainMode (Get-ADForest).ForestMode

Gruppenrichtlinien (GPO)

Zentrale Konfiguration von Benutzern und Computern über die Domäne.

Wofür wird es gebraucht?

GPOs steuern alles von der Passwort-Richtlinie über Softwareverteilung bis zum Desktop-Hintergrund. Sie werden auf OUs, Domänen oder Standorte verknüpft und beim Anmelden bzw. alle 90 Minuten automatisch angewendet. Gut strukturierte GPOs sind das Rückgrat jeder sauberen AD-Umgebung.

Alle GPOs auflisten

Get-GPO -All | Select-Object DisplayName, GpoStatus, CreationTime, ModificationTime

GPO-Ergebnis für einen Benutzer/Computer prüfen

# Auf dem Zielrechner ausführen: gpresult /r # Detaillierten HTML-Report erstellen: gpresult /h C:\Temp\gpo-report.html /f

Gruppenrichtlinien sofort aktualisieren

gpupdate /force

GPO-Report als HTML exportieren

Get-GPOReport -All -ReportType HTML -Path "C:\Temp\alle-gpos.html"

Dateiserver & Freigaben

Zentrale Dateiablage mit Berechtigungssteuerung über AD-Gruppen.

Wofür wird es gebraucht?

Ein Dateiserver stellt SMB-Freigaben bereit, auf die Benutzer über das Netzwerk zugreifen. Die Berechtigungen werden über AD-Sicherheitsgruppen gesteuert – so lässt sich präzise festlegen, wer welche Ordner sehen und bearbeiten darf.

Ports: TCP 445 (SMB) TCP 135 (RPC)

Alle SMB-Freigaben anzeigen

Get-SmbShare | Select-Object Name, Path, Description

Neue Freigabe erstellen

New-SmbShare -Name "Projekte" -Path "D:\Daten\Projekte" -FullAccess "FIRMA\IT-Team" -ReadAccess "FIRMA\Alle-Mitarbeiter"

Aktive Verbindungen anzeigen

Get-SmbSession | Select-Object ClientComputerName, ClientUserName, NumOpens
💡
Best Practice: Berechtigungen immer über AD-Gruppen steuern, nie direkt auf einzelne Benutzer. So bleibt die Struktur wartbar, auch wenn Mitarbeiter die Abteilung wechseln oder das Unternehmen verlassen.