IT-Administrator Sonderheft - Windwos Server Und Exchange 2019

ISSN 1614-2888
Sonderheft II/2019
€ 29,90
it-administrator.de
Windows Server 2019

und Exchange 2019
Administration, Sicherheit
und Cloudanbindung
«Relevante Daten im
Blick statt Datenberge
auf dem Fileserver»
EFFIZIENTES ARBEITEN MIT DEM FILESERVER
Transparenz durch Archivierung Folder

Analysetools neu gedacht Self Service

Mit Data Retention eine

bestimmen Exitstrategie für

Ihre Daten einführen
m i g Rave n.c o m/s t a r t e n

21 Tage kostenlos testen, wenn gewünscht inkl. Support
EDITORIAL Sichere Zukunft
IT-Verantwortliche haben zu Recht immer ein mulmiges Gefühl im Bauch,

wenn eine für das Unternehmen sehr wichtige Software in eine unsichere Zu-
kunft blickt. Schließlich soll beispielsweise die große Investition in eine neue
CAD-Software nicht nach einem Jahr zum Abschreibungsobjekt werden, weil
der Anbieter insolvent ist und keinen Support mehr leisten kann.
Spielten bei Produkten wie Windows Server oder Exchange solche Überlegungen
bislang kaum eine Rolle, macht sich bei Administratoren nun doch eine gewisse
Unsicherheit breit. Gewiss nicht, weil die Meinung um sich greift, Microsoft ver-
schwinde in absehbarer Zeit als Anbieter vom Markt. Vielmehr fragen sich IT-
Verantwortliche zunehmend, wie sich Redmond zukünftige Installationen seiner
beiden wichtigsten Serverprodukte vorstellt. Offensichtlich ist es das Bestreben
in Redmond, alles in Cloud zu bringen. Doch schon dort beginnt die Unsicherheit
vieler IT-Profis, die sich aktuell nicht in der Lage sehen, ihren kompletten Ap-
plikationszoo in die Cloud zu migrieren – sei es aus funktionalen oder aus recht-
lichen Gründen. Lokal weiter zu machen, wäre ja prinzipiell kein Problem, wenn
Microsoft die neuen On-Premises-Varianten seiner Server nicht so spärlich mit
neuen Features ausstatten würde. Nicht ohne Grund präsentieren wir Ihnen die
aktuellen Varianten von Windows Server und Exchange anders als in den ver-
gangenen Jahren diesmal in einem gemeinsamen Sonderheft.
Und so kommt die Frage nach der Zukunftssicherheit der Investition plötzlich
wieder auf den Tisch: Werden kommende Microsoft-Server die Anforderungen
des Unternehmens erfüllen, wenn weiter lokal IT betreiben werden soll? Oder
muss die IT-Organisation irgendwann auf ein anderes Betriebssystem umschu-
len? Diese Fragestellung wird auch nicht weniger komplex, wenn der Gang in
Cloud beschlossen wird. Denn selbst am Ende des zweiten Jahrzehnts des 21.
Jahrhunderts müssen sich Unternehmen in bestimmten Regionen trotz welt-
weitem 5G-Rollout fragen, wie performant und stabil ihre Internetverbindung
ist, über die sich dann jeden Morgen einige hundert oder tausend User bei
einem Azure-basierten Domaincontroller anmelden. Mag sich die Bandbreite
in absehbarer Zeit auch verbessern, bleiben neben der bekannten rechtlichen
Unsicherheit dennoch Fragen. Beispielsweise wie sich im Sinne von Industrie
4.0 lokal vernetzte Maschinen mit einer Cloud-IT verbinden lassen. Zukunfts-
sicher in Sachen Windows Server 2019 und Exchange Server 2019 macht Sie
auf jeden Fall dieses Sonderheft – viel Spaß beim Lesen wünschen
Daniel Richey John Pardey
Janek Müller Lars Nitsch
www.it-administrator.de Sonderheft II/2019 3

Inhalt Sonderheft Windows Server 2019 und Exchange 2019
WINDOWS SERVER 2019

8 Windows Server 2019 lizenzieren: Rechnungswesen
12 Windows Admin Center in der Praxis: Auf der Brücke
18 Active Directory unter Windows Server 2019: Verzeichnispflege
28 Cluster in Windows Server 2019: Einer für alle, alle für einen!
38 Mit Remotedesktopdiensten Anwendungen virtualisieren: Aufpolierter Klassiker
46 Sicherheit in Windows Server 2019: Mehrfachschutz
52 Leistungsüberwachung von Windows Server 2019: Bestwerte
57 Tools für Windows-Server-Troubleshooting: Detektivarbeit
62 Windows Subsystem for Linux: Pinguin an Bord
66 Windows Server 2019 mit Windows Server Systems Insights überwachen: Moderne Schaltzentrale
68 PowerShell in Windows Server 2019: Eine wahre Perle
Quelle: Monsit Jangariyawong – 123RF
VIRTUALISIERUNG
75 Hyper-V unter Windows Server 2019: Verschachtelt
89 Software-defined Networking für verschlüsselte Netzwerke und Virtual Network Peering:
In Verbindung
94 Windows 2019 hyperkonvergent betreiben: Alles unter einem Dach
96 Windows Server Container, Docker und Hyper-V-Container: Zu Gast
102 Snapshots von VMs erstellen: VM-Selfie
108 Security mit Shielded-VMs und Host Guardian Service: Abschirmung
4 Sonderheft II/2019 www.it-administrator.de

STORAGE
115 Replikation mit Storage Replica: Identisch
120 Storage Migration Services: Beweglich
EXCHANGE SERVER 2019
124 Exchange 2019 auf physischem Server einrichten: Handarbeit
132 Migration zu Exchange 2019: Umsteigen
137 Exchange 2019 Preferred Architecture: Gut geplant
141 Exchange Server virtualisieren: Stolperfallen vermeiden
144 Hochverfügbarkeit für Exchange Server 2019: Robust
147 E-Mail-Sicherheit in Exchange Server 2019: Ungebetene Gäste
150 Exchange 2019 MetaCache Database: Höhere Drehzahlen
153 Sicherheit im E-Mail-Verkehr: Genau geprüft
156 TLS 1.2 mit Exchange nutzen: Sicherer Transport
160 Migration zu Office 365: Neue Postfächer
164 Hybrid Agent für Exchange: Einfache Übung
168 Lokales Exchange mit Exchange Online Protection verbinden:

Schutzschild
171 E-Mail-Versand für Kopierer und Anwendungen über Office 365:

Zusatzqualifikation
174 Exchange mit der PowerShell: Abwesenheitsmanagement
RUBRIKEN
3 Editorial
4 Inhalt und Autoren
178 Vorschau, Impressum, Inserentenverzeichnis

Die Autoren dieses Sonderhefts
THOMAS JOOS
Thomas Joos beschäftigt sich sein ganzes Berufsleben mit der IT.
Nach dem Abitur und Informatik-Studium war er als IT-Administrator,
IT-Leiter und als selbständiger Consultant tätig. Mittlerweile arbeitet er
als Autor für IT-Themen für diverse Verlage, Zeitschriften und Online-
Portale. Neben Microsoft-Produkten und der Sicherheit in Netzwerken,
setzt er sich intensiv mit Smartphones und Tablets sowie verschiedenen
Cloud-Themen auseinander. Auch der parallele Betrieb von Microsoft-
Systemen mit Linux, macOS und Open-Source-Lösungen steht im
Zentrum seines Interesses, genauso wie die Virtualisierung mit vSphere.
CHRISTIAN SCHULENBURG
Christian Schulenburg ist seit über 15 Jahren in der IT tätig und
war langjähriger MVP für Exchange. Nach dem Start als Fachin-
formatiker für Systemintegration und einem Studium als Diplom-
Wirtschafts-informatiker (FH) war er unter anderem technischer
Leiter für die IT eines internationalen Pharmaunternehmens
sowie als IT-Referent beim DVZ Datenverarbeitungszentrum
Mecklenburg-Vorpommern GmbH für die interne IT verantwortlich.
Aktuell arbeitet er als CTO bei FERRO PHARMA in Hamburg, wo er die
internen Abläuft mit einer starken Cloudausrichtung digitalisiert. Seine
Tätigkeitsschwerpunkte liegen darüber hinaus bei Salesforce sowie bei
Microsoft-Technologien und dabei insbesondere auf Exchange.

Praxis-Know-how zum Vorbestellen:
Das IT-Administrator Sonderheft I/2020
Erfahren Sie auf 180 Seiten

alles rund um das Thema:
Clientmanagement
Stationäre und mobile Rechner
administrieren und absichern
Bestellen Sie jetzt zum Abonnenten-

Vorzugspreis* von nur 24,90 €!
Erhältlich
M ä r z 2 020
ab
Abo- und Leserservice
IT-Administrator
vertriebsunion meynen Tel: 06123/9238-251 * IT-Administrator Abonnenten erhalten das Sonderheft I/2020 für 24,90 €. Nichtabonnenten zahlen 29,90 €.
IT-Administrator All-Inclusive Abonnenten "zahlen" für Sonderhefte nur 16,00 € - diese sind im Abonnement
Herr Stephan Orgel Fax: 06123/9238-252
dann automatisch enthalten. Alle Preise verstehen sich inklusive Versandkosten und Mehrwertsteuer.
D-65341 Eltville leserservice@it-administrator.de
shop.heinemann-verlag.de
Windows Server 2019 lizenzieren
Rechnungs-
wesen
von Thomas Joos
Eines ändert sich auch mit Windows Server 2019 nicht: Die
Komplexität der Lizenzierung. Es gibt zahlreiche Verträge
und viele Möglichkeiten, das Serverbetriebssystem zu lizen-
zieren. IT-Verantwortliche müssen stets darüber informiert
sein, welche Lizenzverträge und Optionen es gibt. Generell
ist davon auszugehen, dass der Einsatz von Windows Ser-
ver 2019 teurer wird, auch wenn die CALs zum gleichen
Preis zu haben sind. Doch auch für KMUs wichtige Features
finden sich nur noch in den großen Lizenzen.
Quelle: Viktor Gladkov – 123RF
D ie erhältlichen Windows-Server-
Varianten bieten für Unternehmen
dows Server 2019 nur die Replikation ein-
zelner Volumes mit einzelnen Zielen auch
mehreren Prozessoren ein, ist pro Kern-
Paar eine Lizenz notwendig, egal welche
verschiedene Möglichkeiten und Aus- in der Standard-Edition. Auch Shielded Edition im Einsatz ist.
wahlkriterien. Die Editionen Standard Virtual Machines fehlen in der Standard-
und Datacenter verfügen fast über den Edition. Andere Funktionen wie zum Bei- Beispielsweise müssen Sie für jeden Ser-
gleichen Funktionsumfang wie die Vor- spiel die Container-Technologie und die ver mit acht Kernen mindestens vier Li-
gänger, eine Enterprise- oder Webserver- Nano-Images hat Microsoft auch in der zenzen erwerben. Setzen Sie einen Dual-
Edition gibt es nicht mehr. Standard-Edition integriert. Prozessor mit je acht Kernen ein, müssen
Sie also acht Lizenzen für diese 16 Kerne
Und leider beherrscht Windows Server Allerdings müssen Sie beim Einsatz der erwerben. Für jeden Kern mehr müssen
2019 Standard nicht alle Technologien, Hyper-V-Container darauf achten, dass Sie zudem ein Core-Pack kaufen, damit
die die Datacenter-Edition bietet. Daher eine Lizenz der Standard-Edition auch alle Kerne lizenziert sind. In Windows
müssen mit der neuen Windows-Version nur zwei Container zulässt, da nur zwei Server 2019 Standard dürfen Sie pro Li-
auch kleinere Unternehmen häufig auf VMs erlaubt sind. Die Lizenzierung erfolgt zenz zwei VMs installieren, Windows
die teurere Edition setzen, damit sie alle auf Basis der CPU-Kerne. In Hyper-V wer- Server 2019 Datacenter kennt kein Limit.
sinnvollen Funktionen nutzen können. den die logischen Prozessoren lizenziert, Hier müssen Sie lediglich alle Prozessor-
Erfreulich ist dagegen, dass die wichtigs- da diese das Pendant zu den physischen kerne des Servers lizenzieren. Die Lizen-
ten Neuerungen in Windows Server 2019 Prozessorkernen darstellen. Alle Unter- zen sind immer direkt an die physische
auch in der kleineren Standard-Edition scheide der Editionen sind auf der Web- Hardware gebunden.
enthalten sind. seite [1] zu finden.
Shielded Virtual Machines fehlen in der
Editionen und Beide Editionen decken immer nur zwei Standard-Edition. Das heißt, es lassen
Lizenzen im Vergleich Prozessorkerne des Hosts oder zwei lo- sich keine hochsicheren Virtualisierungs-
Microsoft hat mit Windows Server 2019 gische CPUs ab. Die erforderliche Min- infrastrukturen erstellen. Das Feature zur
Unterschiede in den Storage-Funktionen destanzahl von Betriebssystemlizenzen Host-Überwachungsunterstützung für
integriert. So unterstützt nur die Data- für jeden Server wird durch die Anzahl Hyper-V ist kein Bestandteil von Win-
center-Edition alle Möglichkeiten. In der der physischen Prozessorkerne des Hosts dows Server 2019 Standard. Wer im Netz-
Standard-Edition gibt es weder Storage sowie die Anzahl an virtuellen Servern werk auf Software-defined Networking
Spaces Direct noch alle Funktionen in bestimmt, die Sie auf dem Hyper-V-Host setzen will, kommt um den Einsatz der
Storage Replica, vielmehr erlaubt Win- installieren. Setzen Sie also Server mit Datacenter-Edition nicht herum. Leider

Windows Server 2019 lizenzieren Windows Server 2019
kennt die Standard-Edition die entspre-

chenden Funktionen nicht.
Nicht immer ist es notwendig, auf die

teure Datacenter-Lizenz von Windows
Server 2019 zu setzen. Auch im Rechen-
zentrum kann im Einzelfall die Stan-
dard-Edition ausreichen. Die Editionen
Standard und Datacenter verfügen über
fast den gleichen Funktionsumfang. Mi-
crosoft gibt als Open-NL-ERP-Preise für
die Datacenter-Edition 6155 US-Dollar,
für Standard 972 US-Dollar und für die
Essentials-Edition 500 US-Dollar an. Es
lohnt sich also zu vergleichen, ob immer
Datacenter zum Einsatz kommen soll.
Weiterhin gibt es die Essentials-Variante

des Servers. Windows Server 2019 Es-
sentials erlaubt die Anbindung von bis Bild 1: Auch Hyper-V und VMs müssen richtig lizenziert werden.
zu 25 Benutzern ohne CALs. Setzen Sie
noch Windows Server 2012 Foundation dar. Diese erscheinen in regelmäßigen in diesem Fall Windows Server 2019.
ein, bedingt eine Migration den Wechsel Abständen von zwei bis drei Jahren. Mit Updates für Windows Server 2019 ent-
zur Standard- oder zur Essentials-Edi- dem Semi-Annual Channel (SAC) bringt halten also keine neuen Features, son-
tion von Server 2019. Allerdings bietet Microsoft alle sechs Monate eine neue dern lediglich Sicherheits-, Leistungs-
Windows Server 2019 Essentials nicht Serverversion heraus, wie zum Beispiel sowie Stabilitätsverbesserungen. Erst der
mehr die gewohnte spezielle Oberfläche Windows Server 1809 oder 1903. SAC- Nachfolger von Windows Server 2019
(Dashboard). Versionen enthalten zwar neue Funktio- liefert die Neuerungen der SAC-Versio-
nen, verfügen aber über keine grafische nen aus.
Vertriebskanäle für Oberfläche.
Windows-Server verstehen Microsoft macht die Versionen aus den
Microsoft bietet seine Windows-Server- Die Neuerungen der Semi-Annual- Kanälen auch mit der Namensgebung
Systeme über zwei Kanäle an. Die Long Channel-Versionen baut Microsoft in kenntlich. Die LTSC-Versionen erhalten
Term Servicing Channel (LTSC) stellen die nächste Hauptversion ein, aber nicht als Namen die Jahreszahl der Erschei-
die Hauptversionen von Windows-Server in den Server, auf dem sie aufbauen – nung, also zum Beispiel Windows Ser-
ver 2016 oder 2019. Die SAC-Versionen
erhalten als Bezeichnung das Jahr der
Erscheinung sowie den Monat, also in
diesem Fall Windows Server 1809 oder
Windows Server 1903.
Mit dem Long Term Servicing Channel

erhalten Unternehmen fünf Jahre grund-
legenden und fünf Jahre erweiterten Sup-
port. Außerdem lassen sich optional zu-
sätzlich sechs Jahre Premium Assurance
dazu buchen. Neue Funktionen werden
in dieser Zeit aber nicht in die Serverver-
sion integriert. Semi-Annual-Channel-
Versionen bieten neue Funktionen und
werden zweimal pro Jahr aktualisiert. Mi-
crosoft plant als Veröffentlichung jeweils
das Frühjahr und den Herbst. SAC-Server
werden als Volumenlizenz zur Verfügung
Bild 2: Der Einsatz von Geräte- und Benutzerlizenzen ist nach individuellen gestellt, aber auch über Software Assu-
Bedürfnissen des Unternehmens abzuwägen. rance und Microsoft Azure stehen die

Windows Server 2019 Windows Server 2019 lizenzieren
Zwischenversionen zur Verfügung. An- tigen Sie für diesen Benutzer mehrere sich diese zum Beispiel PCs im Schicht-
dere Cloud-Hoster bieten diese Versionen Geräte-CALs, da dieser Benutzer mit betrieb teilen. Kommen neue PCs hinzu,
inzwischen ebenfalls an. mehreren PCs auf den Server zugreift. müssen Sie für diese PCs weitere Gerä-
Alternativ können Sie eine Benutzer- telizenzen kaufen.
Clientzugriffslizenzen CAL kaufen.
beachten Im nächsten Beispiel gehen wir von einer
Für die Editionen Standard und Datacen- Jeder Benutzer mit einer Benutzer-CAL IT-Firma aus, in der 40 Mitarbeiter be-
ter benötigen Sie weiterhin Clientzugriff- kann an beliebig vielen PCs eine Verbin- schäftigt sind. Von diesen 40 Mitarbei-
Lizenzen (CALs). Auch in Win-dows Ser- dung mit einem Server aufbauen. Die tern arbeiten 25 mit der Windows-Do-
ver 2019 können Sie diese benutzerbasiert CALs müssen eindeutig zugewiesen sein. mäne. Jeder dieser Mitarbeiter hat einen
oder pro Gerät erwerben, dürfen diese Sie können daher nicht nur so viele CALs PC und ein Notebook, mit denen er am
aber nicht aufsplitten. CALs und Remo- kaufen, wie gleichzeitig Benutzer arbeiten, Server arbeitet. Obwohl in diesem Un-
tedesktop-Clientzugrifflizenzen (RDCALs) sondern müssen die Gesamtzahl Ihrer ternehmen nur 40 Mitarbeiter beschäf-
sowie Lizenzen für die Active-Directory- Arbeitsstationen, Smartphones und sons- tigt sind, verbinden sich 50 PCs mit dem
Rechteverwaltung (ADRMS) sind auch tiger Geräte lizenzieren, wenn Sie Gerä- Server. Es müssen in diesem Beispiel da-
in Windows Server 2019 weiterhin not- telizenzen kaufen. her 50 Gerätelizenzen erworben werden.
wendig, aber nur in den Editionen Stan- Wenn das Unternehmen seine Lizenzen
dard und Datacenter. Auch hier gibt es Bei Benutzerlizenzen müssen diese genau jedoch als Benutzerlizenz erwirbt, wer-
zukünftig Gerätelizenzen oder Benutzer- der Anzahl der Benutzer zugewiesen werden lediglich 25 Lizenzen benötigt, da
lizenzen für den Zugriff. Sie müssen be- den, die insgesamt mit dem Server arbei- nur 25 Benutzer mit Server arbeiten.
reits vor der Bestellung Ihrer Lizenzen ten. Es ist nicht erlaubt auf einem Server
planen, welchen Windows-Server-Lizenz- Lizenzen von Standard und Datacenter Windows Server 2019
typ Sie einsetzen wollen. zu mischen. Sie dürfen eine Lizenz auch für kleine Unternehmen
nicht auf mehrere Server aufsplitten. Für kleine Unternehmen bietet Microsoft
Sie können die verschiedenen Lizenzen Windows Server 2019 Essentials an. Diese
miteinander mischen. Es ist jedoch nicht In Ihrem Unternehmen sind beispiels- Version erlaubt die Anbindung von ma-
erlaubt, die einzeln erhältlichen Lizenz- weise 100 Mitarbeiter beschäftigt, von ximal 25 Benutzern und 50 PCs sowie die
pakete in Geräte- und Benutzerlizenzen denen jedoch lediglich 63 mit PCs am Nutzung von maximal zwei CPUs. Zu den
aufzusplitten. Sie dürfen also ein 5er-Pa- Server arbeiten. Erwerben Sie Geräte- Geräten zählt aber auch der Zugriff mit
ket Gerätelizenzen und ein 5er-Paket Be- CALs, wird jede gekaufte Lizenz einem Smartphones und Tablets.
nutzerlizenzen für einen Server kaufen bestimmten PC zugeordnet. Mit diesen
und lizenzieren. Es ist aber nicht erlaubt, PCs können sich jetzt beliebig viele Mit- Sind mehr Geräte im Einsatz, müssen
diese Pakete aufzusplitten und zum Bei- arbeiter mit Servern verbinden, wenn Unternehmen auf die Standard-Lizenz
spiel als 2er-Gerätelizenz und wechseln. CALs sind für die
8er-Benutzerlizenz zu verwen- Benutzer in Essentials nicht
den. Auch ist nicht zulässig, notwendig. Mit Server 2019
mit CALs von Vorgängerver- hat Microsoft zudem die Op-
sionen auf Server mit Windows tion entfernt, die Essentials-
Server 2019 zuzugreifen. Funktionalitäten auch als Ser-
verdienst in den Editionen
Lizenzieren Sie mit Geräte- Datacenter und Standard zu
CALs, müssen Sie für jeden PC, installieren. Benötigt das Un-
der auf diesen Server zugreift, ternehmen Microsoft Ex-
eine Lizenz kaufen, unabhängig change, das früher mit dem
davon, wie viele Benutzer an SBS kam, muss es auf Office
diesem PC arbeiten. Betreiben 365 setzen oder Exchange auf
Sie zum Beispiel im Schichtbe- einer eigenen Servermaschine
trieb PCs, an denen zu unter- getrennt lizenzieren.
schiedlichen Zeiten unter-
schiedliche Benutzer arbeiten, Ebenfalls verschwunden ist das
benötigen Sie für diese PCs nur aus Windows Server 2016 Es-
jeweils eine Geräte-CAL. Im sentials bekannte Dashboard
umgekehrten Fall, wenn also zur zentralen Verwaltung von
ein Benutzer mit mehreren PCs, Clientcomputern und Benut-
Notebooks oder Smartphones zern auch ohne IT-Kenntnisse.
auf den Server zugreift, benö- Bild 3: Zwischen Editionen von Windows Server 2019 ist ein Wechsel möglich. Hier empfiehlt Microsoft den

Windows Server 2019 lizenzieren Windows Server 2019
Einsatz des Windows Admin Centers, Windows derzeit noch nicht einsetzen und Für die Verwaltung und die Abfrage von
das für alle Editionen kostenlos zur Ver- auf Linux-Server bauen. Da Hyper-V Ser- Lizenzinformationen auf Windows Ser-
fügung steht. ver 2019 auch dynamischen Arbeitsspei- ver 2019 stellt Microsoft ein Skript na-
cher und virtualisierte Linux-Gäste unter- mens "slmgr.vbs" bereit, das Sie über die
Funktional kommt 2019 Essentials mit stützt, lassen sich Linux-Server sehr gut Eingabeaufforderung oder das Dialogfeld
allen Neuerungen von Windows Server virtuell betreiben. "Ausführen" aufrufen. Auch in Windows
2019 Standard. Allerdings lässt sich Win- Server 2019 Essentials ist dieses Skript
dows Server 2019 Essentials nicht als Hyper-V-Server 2019 kann nicht nur verfügbar. Das Tool kennt verschiedene
Core-Server installieren, jede Installation Windows Server ab Version 2008 R2 vir- Optionen:
spielt automatisch die grafische Ober- tualisieren, sondern auch Linux und - /ato: Windows online aktivieren.
fläche ein. Unix. Das heißt, Unternehmen können - /dli: Zeigt die aktuellen Lizenzinforma-
weiterhin produktiv ihre aktuellen Server tionen an.
Kostenloser einsetzen, aber die neuen Technologien - /dlv: Zeigt noch mehr Lizenzdetails an.
Hyper-V-Server kostenlos nutzen. Verwalten können Sie - /dlv all: Zeigt detaillierte Infos für alle
Microsoft stellt auch mit Windows Server Hyper-V-Server 2019 über den Hyper-V- installierten Lizenzen an.
2019 die Hyper-V-Serverrolle als eigen- Manager von einer Arbeitsstation oder
ständigen Server kostenlos zum Downlo- einem anderen Server mit Windows Ser- Möchten Sie den Status der Aktivierung
ad bereit. Das Produkt verfügt über alle ver 2019. von Windows Server 2019 Essentials an-
Funktionen im Bereich Hyper-V, die auch zeigen, geben Sie in der Befehlszeile den
in Windows Server 2019 verfügbar sind. Auch die Verwaltung über die Power- Befehl slmgr.vbs /dli ein. Anschließend
Lohnenswert ist der Einsatz zum Beispiel Shell oder mit System Center Virtual sehen Sie auf dem Bildschirm die Namen
für Unternehmen, die Windows Server Machine Manager sowie mit System und die Beschreibung des Betriebssys-
2012/2012 R2 lizenziert haben und ein- Center Configuration Manager ist mög- tems, aber auch einen Teil des Product
setzen, aber nicht zu Windows Server lich. Das neue Windows Admin Center Keys und den Lizenzstatus.
2019 wechseln wollen. steht ebenfalls kostenlos zur Verfügung
und kann auch Server mit Hyper-V-Ser- Haben Sie den Produktschlüssel einge-
Durch den kostenlosen Server profitieren ver 2019 anbinden. tragen, führen Sie die Aktivierung über
Sie von allen Funktionen, die Server 2019 die beschriebenen Wege durch. Verfügt
im Bereich Hyper-V bietet, ohne zusätz- Server per Telefon der Computer über eine Internetverbin-
liche Lizenzen kaufen zu müssen. Noch oder Internet aktivieren dung, stößt der Assistent die Aktivierung
sinnvoller ist der Einsatz von Hyper-V Ser- Nach der Installation eines Windows- automatisch an, sobald der korrekte Pro-
ver 2019 in Unternehmen, die auf ältere Servers müssen Sie dessen Aktivierung duct Key eingegeben wurde. Sie können
Windows-Versionen setzen oder die durchführen. Das gilt für alle Editionen den Status der Aktivierung anschließend
von Windows Server 2019. Mehr Infor- direkt einsehen, indem Sie im Startmenü
Schneller Wechsel mationen erhalten Sie auch, wenn Sie im slui eingeben. Hier wird auch das Datum
Startmenü nach "slui" suchen. Sie können der Aktivierung angezeigt.
Um die aktuelle Windows-Server-2019-Editi- Windows Server 2019 entweder über das
on anzuzeigen, die auf dem Computer instal- Internet aktivieren oder per Telefon. Bei Fazit
liert ist, nutzen Sie in der Befehlszeile der Aktivierung per Telefon werden Sie Die korrekte Lizenzierung von Windows
dism /online /Get-CurrentEdition mit einem automatischen Telefonsystem Server 2019 ist nicht einfach. Das wird
Im Fenster erscheint die Edition und weitere verbunden. Sollten Sie Probleme bei der beim Einsatz von virtuellen Infrastruk-
Information zur Installation. Um herauszufin- Aktivierung bekommen, überprüfen Sie turen und hybriden Clouds deutlich: Mi-
die Uhrzeit und die Zeitzone Ihres Ser- crosoft bietet verschiedene Lizenzmodelle
den, zu welchen Editionen die installierte Ver-
vers. Sind die entsprechenden Einstellun- und -programme an, die sich auch mit-
sion aktualisiert werden kann, dient Ihnen
gen nicht korrekt, können Sie Windows einander kombinieren lassen. Es lohnt
der Befehl
nicht aktivieren. sich vor dem Kauf oder der Miete größe-
dism /online /Get-TargetEditions
rer Lizenzpakete einen Vergleich durch-
Um etwa die Aktualisierung von Standard zu Der Befehl slui 3 öffnet ein Dialogfeld, in zuführen und sich von Lizenzspezialisten
Datacenter durchzuführen tippen Sie dem Sie einen neuen Produktschlüssel genau beraten zu lassen. (jp)
dism /Online /Set-Edition:ServerDatacenter eingeben. Starten Sie das Tool über die
/AcceptEula /ProductKey:xxxxx-[…] Suchfunktion des Startmenüs mit Admi-
Link-Codes
ein. Als "ProductKey" ist die Seriennummer nistratorrechten über das Kontextmenü.
der Datacenter-Edition gefragt. Nach der In diesem Bereich aktivieren Sie Windows [1] Windows Server 2019
Aktualisierung muss der Server neu ge-
Server 2019 dann mit dem neuen Key. Editions Comparison
Der Befehl slui 4 öffnet die Auswahl der js2a9
startet werden.
Aktivierungshotlines.
Link-Codes eingeben auf www.it-administrator.de Sonderheft II/2019 11

Windows Admin Center in der Praxis
Quelle: Валерий Качаев – 123RF

Auf der
Brücke
von Thomas Joos
Das Windows Admin Center ist die neue Zentrale für Administratoren. Hier lassen sich webbasiert
Server und Clients lokal und in der Cloud verwalten. Zwar kann das Center den Server-Manager
aktuell noch nicht vollwertig ersetzen, doch Microsoft erweitert die Funktionen ständig.
Wir zeigen die Inbetriebnahme und Arbeit mit dem neuen Server-Kontrollraum.
WAC-Gateway installieren
D
as Windows Admin Center (WAC) jährlich eine neue Version zur Verfügung
funktioniert derzeit mit Google stellt. Diese ist schnell integriert, da le- und aktualisieren
Chrome und Microsoft Edge, andere diglich die MSI-Datei der aktuellsten Ver- Die Verbindung zwischen Windows Ad-
Browser unterstützen die Funktionen in sion auf dem Computer installiert werden min Center und einem Server erfolgt mit
der Verwaltungslösung derzeit noch nicht muss, auf dem das WAC-Gateway instal- einem Zwischenschritt über das Gateway.
ausreichend. Mit dem Internet Explorer liert ist. Das Gateway kann mit dieser Das heißt, alle Server kommunizieren mit
kann das Admin Center nicht genutzt wer- MSI-Datei natürlich auch jederzeit neu dem Gateway und die Administratoren
den. Das heißt, auf einem Server können installiert werden. über den Webbrowser ebenfalls mit dem
Sie das WAC nur dann direkt öffnen, wenn Gateway. Dieses kommuniziert wiederum
Chrome oder Edge installiert sind. Das ist Mit jeder neuen Version fügt Microsoft per WinRM, Remote-PowerShell oder
natürlich für den Gateway-Endpunkt nicht neue Funktionen hinzu, die meistens zu- WMI mit dem jeweiligen Server. Damit
notwendig, denn der Browser wird nur auf erst als Beta-Version über ein Plug-in ein- die Remoteverbindung zwischen den Ser-
dem zugreifenden Client benötigt. geführt werden und erst in einer späteren vern funktioniert, müssen die Remote-
Version komplett integriert sind. Um die verwaltungen auf den beteiligten Servern
Auch PowerShell-Sitzungen und Remote- neuen Funktionen zu nutzen, reicht es je- aktiviert sein.
desktopverbindungen lassen sich direkt weils aus, auf dem Server, der das WAC-
über das WAC aufrufen. Dazu kommen Gateway bereitstellt, die neue Version zu Das Gateway kann auf Servern mit gra-
Funktionen zur Verwaltung von Windows- installieren. Stellt Microsoft neue Funk- fischer Oberfläche, aber auch auf Core-
10-Arbeitsstationen, Clustern und Hyper- tionen über Erweiterungen zur Verfü- Servern installiert werden. Es läuft ab
converged-Clustern. Nicht zuletzt lassen gung, lassen sich diese innerhalb des Windows Server 2012 R2 und auf Ar-
sich VMs in Azure verwalten und mit lo- WAC aktualisieren. Dazu muss lediglich beitsstationen mit Windows 10 ab Version
kalen Rechnern synchronisieren. eine Verbindung zum Internet zur Ver- 1709. Die Installation des Gateways be-
fügung stehen. Welche WAC-Version in- steht aus der Bestätigung weniger Fenster,
Stetige Weiterentwicklung stalliert ist, bringen Sie nach der Verbin- in denen Sie unter anderem Zertifikate
Microsoft erweitert die Möglichkeiten des dung über das Fragezeichen-Symbol oben und Ports steuern. Erscheint eine neue
Windows Admin Centers, indem es halb- rechts in Erfahrung. WAC-Version, können Sie diese auf dem

Windows Admin Center Windows Server 2019
Gateway installieren. Dadurch wird die

alte Version aktualisiert und Sie können
die neuen Funktionen nutzen. Das WAC-
Gateway kann nicht auf Domänencon-
trollern installiert werden.
Im Rahmen der Installation legen Sie wie

gesagt auch einen Port und das Zertifikat
fest, das die Verbindung über SSL absi-
chert. Geben Sie bei der Installation kein
Zertifikat an, verwendet das WAC ein
selbstsigniertes Zertifikat. In diesem Fall
erhalten Administratoren bei der Anmel-
dung am Gateway eine Zertifikatwarnung.
Die Installation des WAC kann auch über

die Befehlszeile erfolgen. Das ist zum Bei-
spiel sinnvoll, wenn das Gateway auf ei-
nem Core-Server laufen soll. Die notwen-
digen Befehle lauten:
msiexec /i InstallerName.msi /qn Bild 1: Das Installieren des WAC-Gateways klappt mit einem selbstsignierten oder einem SSL-Zertifikat.
/L*v log.txt SME_PORT=Port
SSL_CERTIFICATE_OPTION=generate mit winrm quickconfig die Remotever- und unkompliziert möglich und erlaubt
waltung zu aktivieren. Nach erfolgreicher das Hinzufügen von Tags (Markierungen).
Mit einem selbstsignierten Zertifikat sieht Verbindung lässt sich der Server per WAC So lassen sich zum Beispiel alle Hyper-V-
das zum Beispiel so aus: verwalten. Das Hinzufügen von Servern Hosts mit dem Tag "Hyper-V-Host" mar-
erfolgt über den Link "Hinzufügen" und kieren. Notwendig ist noch, Namen und
msiexec /i WindowsAdminCenter1704. die anschließende Auswahl des entspre- Anmeldedaten des anzubindenden Servers
msi /qn /L*v log.txt SME_PORT=6516 chenden Objekts. zu hinterlegen. Windows Admin Center
SSL_CERTIFICATE_OPTION=generate ermöglicht also die Anbindung von ver-
Beim ersten Aufruf des WAC erscheinen schiedenen Servern mit unterschiedlichen
Läuft das WAC auf dem Core-Server, erfolgt diverse Hinweise zu dessen Funktionali- Berechtigungen.
auch hier der Zugriff über das Netzwerk tät. Ist die Einrichtung abgeschlossen,
mit einem Webbrowser. Um Core-Server zeigt der Browser das Startfenster des Server im WAC
wiederum mit dem WAC zu verwalten, Windows Admin Centers an und der Ser- verwalten
muss auf dem entsprechenden Server die ver, auf dem der Gateway-Endpunkt in- Durch einen Klick auf den Server, der im
Remoteverwaltung aktiviert sein. stalliert ist, wird automatisch hinzugefügt. WAC bereits verbunden ist, öffnet sich die
Um weitere Server anzubinden, etablieren Hauptseite des Admin Centers. Hier sehen
Server anbinden Sie zunächst über "Hinzufügen" im WAC- Sie auf der linken Seite zunächst die für
oder importieren Hauptfenster eine neue Serververbindung. alle Server verfügbaren Verwaltungsauf-
Sobald der Gateway-Endpunkt für das Anschließend legen Sie fest, ob ein her- gaben. Im oberen Bereich können Sie zwi-
Windows Admin Center installiert ist, kömmlicher Server ("Verbindung Server schen dem webbasierten Server-Manager,
ist es unter der URL "https://Gateway- hinzufügen"), ein PC ("Verbindung dem Failovercluster-Manager, dem Hyper-
Endpunkt:Port" erreichbar. Im Fenster Windows-PC hinzufügen", ein Cluster converged-Cluster-Manager und der Com-
zur Anmeldung müssen Sie Ihren Benut- ("Verbindung Failovercluster hinzufügen") puterverwaltung von PCs umschalten. Die
zernamen (als Administrator) eingeben. oder ein Hyperconverged-Cluster ("Ver- Mitte des Fensters zeigt weitere Befehle
Das Windows Admin Center nutzt zur bindung Hyperkonvergenter Cluster hin- und Informationen zum jeweiligen Server
Authentifizierung das Active Directory. zufügen") integriert werden soll. oder PC an. Hier sind im oberen Bereich
Im WAC lassen sich alle aktuellen Win- verschiedene Befehle zu sehen und im un-
dows-Server ab 2012 im Netzwerk an- Für die Anbindung weiterer Server, die mit teren Bereich Informationen und Optio-
binden sowie komplette Cluster und ein- Windows Admin Center verwaltet werden nen zum Server.
zelne Arbeitsstationen. sollen, können Sie im Fenster entweder den
Server-FQDN eingeben oder Sie impor- Klicken Sie einen Server im Fenster an,
Funktioniert eine Verbindung nicht, kann tieren eine Liste von Servern aus einer kom- wird eine Verbindung aufgebaut und der
es helfen, auf dem entsprechenden Server magetrennten Textdatei. Beides ist schnell Zeitpunkt des letzten Zugriffs im Win-

Windows Server 2019 Windows Admin Center
Einträgen in der Registry können Sie Ein-

träge exportieren und importieren und
natürlich Schlüssel und Werte bearbeiten
oder neu erstellen. Zusätzlich bietet Ihnen
"PowerShell" eine PowerShell-Sitzung im
Webbrowser, über die Sie Befehle auf dem
remotegesteuerten Server ausführen. Und
mit "Remotedesktop" bauen Sie Browser
eine Remotedesktopverbindung zum je-
weiligen Server auf.
Bild 2: Neue Objekte lassen sich per einfachen Klick ins Windows Admin Center integrieren.
Rollenbasierte
dows Admin Center angezeigt. In diesem Rollendienste lassen sich an dieser Stelle Zugriffsteuerung nutzen
Zusammenhang ist der Benachrichti- installieren oder deinstallieren. Um festzulegen, welche Administratoren
gungsbereich hilfreich, den Sie durch einen Zugriff auf das WAC erhalten und welche
Klick auf das Icon mit der Glocke oben Mit Markierungen arbeiten Server sie verwalten dürfen, steht die rol-
rechts öffnen und der Ihnen alle durch- und Objekte suchen lenbasierte Zugriffssteuerung zur Verfü-
geführten Aktionen und Infos dazu liefert. Sie können im Windows Admin Center gung. Die Rechtevergabe wird dabei über
Für die Administration eines Rechners den einzelnen Objekten und Servern wie eine Gruppenmitgliedschaft gesteuert.
können Sie über "Verwalten als" ein alter- erwähnt Markierungen (Tags) zuweisen. Die rollenbasierte Zugriffssteuerung er-
natives Benutzerkonto auswählen, mit dem Das geht beim Hinzufügen eines Servers, reichen Sie über "Active Directory-Be-
Sie zugreifen. Auch die Bearbeitung der aber auch jederzeit nachträglich. Markie- nutzer und -Gruppen". Generell unter-
Tags ist auf der WAC-Startseite möglich. rungen finden Sie in der Übersicht des scheidet das Windows Admin Center drei
WAC in der Spalte "Tags". Über den Me- Benutzertypen:
Nun stehen Ihnen zur Serveradministra- nüpunkt "Tags bearbeiten" weisen Sie Ser- - Windows Admin Center Administra-
tion die Befehle am linken Rand zur Ver- vern eine oder mehrere Markierungen tors: Erhalten umfassende Rechte.
fügung. Hier lassen sich Serverrollen zu, zum Beispiel "dc", "Dateiserver" oder - Windows Admin Center Hyper-V Ad-
installieren, die Windows-Firewall anpas- "Rechenzentrum1". ministrators: Dürfen virtuelle Compu-
sen, die Registry öffnen und vieles mehr. ter und Switches verwalten. Die ande-
Auf der Übersichtsseite können Sie den Auf der ganz rechten Seite können Sie ren Tools lassen sich zum Lesen nutzen,
Server neu starten oder herunterfahren. mehrere Server auf einmal markieren und erlauben aber keine Änderungen.
Auch das Ändern des Servernamens in- über "Tags bearbeiten" gleichzeitig ein - Windows Admin Center Readers: Dür-
klusive Domänenmitgliedschaft erfolgt Tag zuweisen. Einmal erstellte Tags zeigt fen Einstellungen anzeigen, aber nicht
dann über "Computer-ID bearbeiten" das WAC an und sie müssen nicht neu ändern.
Durch einen Klick auf einen Menüpunkt, eingetippt werden. Sie sehen die Tags
zum Beispiel "Rollen und Funktionen" nicht nur im WAC in der Spalte "Tags", Sobald Sie das Feature aktivieren, sind
oder "Firewall", erscheinen auf der rechten sondern können auch nach Markierungen die entsprechenden Rechten verfügbar,
Seite weitere Befehle und Informationen. im Suchfeld suchen. die Sie am besten über Gruppen im Acti-
Auf diesem Weg lassen sich über das Netz- ve Directory nutzen. Die rollenbasierte
werk zahlreiche Einstellungen auf Servern Tiefer Zugriff Zugriffsteuerung aktivieren Sie für die
vornehmen, bis hin zur Installation von auf entfernte Server einzelnen Server, wenn Sie sich mit die-
Serverrollen und der Verwaltung von Neben der Verwaltung von Serverrollen sen verbunden haben. Im unteren Be-
Windows-Updates. Für Hyper-V-Hosts las- und -einstellungen greifen Sie per WAC reich finden Sie den Menüpunkt "Ein-
sen sich über den Server-Manager auch auch auf das Dateisystem des Servers zu stellungen". Klicken Sie auf diesen,
die virtuellen Switches konfigurieren. Auch und führen Dateiaktionen auf dem jewei- erreichen Sie mit "Rollenbasierte Zu-
Warnungen und Fehler werden hier an- ligen Server durch. So lassen sich Dateien griffssteuerung" die Einrichtung der Be-
gezeigt und lassen sich korrigieren. von dem PC, der mit dem WAC verbunden rechtigungen für den jeweiligen Server.
ist, hoch- und herunterladen, Informatio- Hier können Sie zunächst die Berechti-
Um mit dem WAC Rollen zu installieren, nen zu Dateien anzeigen, Ordner erstellen gungen generell aktivieren, was Sie per
navigieren Sie zum Menüpunkt "Rollen sowie Daten löschen und umbenennen. Klick auf "Übernehmen" auf dem ent-
und Funktionen". Danach zeigt das Fens- Der webbasierte Datei-Explorer ist über sprechenden Server erledigen. Hierzu
ter in der Mitte alle verfügbaren Server- den Menüpunkt "Dateien" zu finden. werden auf dem Server auch neue Grup-
rollen und bei "Status", welche Rollen be- pen angelegt. Über die Mitgliedschaft in
reits installiert sind. Durch einen Klick Über den Menüpunkt "Registrierung" öff- diesen Gruppen steuern Sie anschlie-
auf eine Serverrolle installieren (oder nen Sie den webbasierten Registry-Editor ßend die WAC-Berechtigungen, die Ad-
deinstallieren) Sie diese. Auch einzelne auf dem Server. Neben dem Lesen von ministratoren auf dem Server erhalten.

Windows Admin Center Windows Server 2019
Zertifikate im WAC verwenden

Beim dauerhaft produktiven Einsatz des
WAC sollten Sie ein ordentliches Zertifi-
kat verwenden, wobei Sie auch die Acti-
ve-Directory-Zertifikatsdienste einsetzen
können. Grundsätzlich müssen Sie dem
Server, auf dem das WAC-Gateway läuft,
zunächst ein Zertifikat zuweisen. Dazu
rufen Sie certlm.msc auf, wo Sie die not-
wendigen Werkzeuge finden. Hier kann
beispielsweise das Abrufen von neuen
Zertifikaten erfolgen.
In den Eigenschaften eines Zertifikats ru-

fen Sie anschließend den Fingerabdruck
auf der Registerkarte "Details" ab. Diesen
hinterlegen Sie danach im Windows Ad-
min Center. Dazu öffnen Sie das Instal-
lationsprogramm und klicken die Option
"Ändern" an. Auch bei einer Neuinstal-
lation mit Zertifikat hinterlegen Sie üb-
rigens im entsprechenden Feld den Fin-
gerabdruck des Zertifikats. Anschließend
nutzt das Windows Admin Center das Bild 3: Die Übersichtsseite eines Servers im Windows Admin Center
Zertifikat in Zukunft für Verbindungen zeigt unter anderem die CPU-Auslastung.
der Administratoren.
Um das Windows Admin Center mit Mi- sen Sie noch die WAC-Berechtigungen
WAC erweiterm crosoft Azure zu verbinden, müssen Sie freischalten, was Sie im Windows Admin
Sie finden ganz oben rechts im Windows die entsprechende Konfiguration nur auf Center in den Einstellungen bei Azure
Admin Center dessen Optionen. Hier dem Server vornehmen, auf dem das mit "In Azure anzeigen" erledigen. Kli-
können Sie Erweiterungen installieren WAC-Gateway läuft. Sobald die Anbin- cken Sie im Azure-Portal bei der regis-
und die Verbindung zu Microsoft Azure dung einmal erfolgt ist, erhalten Admi- trierten App auf "Einstellungen", dann
herstellen. Mit diesen Erweiterungen in- nistratoren, die mit dem Browser auf das auf "Erforderliche Berechtigungen" und
tegrieren Angebote von Drittherstellern, Gateway zugreifen, auch Zugriff auf die schließlich "Berechtigungen erteilen".
aber auch erweiterte Funktionen von Win- Azure-Funktionen.
dows-Servern, wie zum Beispiel den "Win- Mit dem Menüpunkt "Speicherreplikat"
dows Server Storage Migration-Assistent" Zur Anbindung rufen Sie über das Zahn- steuern Sie die Replikatseinstellungen von
von Server 2019. radsymbol die Einstellungen auf. Über Windows-Servern in der Standard- und
den Menüpunkt "Azure" starten Sie mit Datacenter-Edition, sogar die Installation
Microsoft bietet auch eine API, mit der "Registrieren" den Vorgang. Danach er- der dazu notwendigen Serverrollen und
sich Erweiterungen für das WAC pro- scheint auf der rechten Seite ein Code, -Features ist vorgesehen. Über den Me-
grammieren lassen. Diese können direkt den Sie für die Anmeldung benötigen. nüpunkt "Sichern" binden Sie den Server
im Windows Admin Center hinzugefügt Kopieren Sie den Code in die Zwischen- an Azure Backup an. Hierüber lassen sich
werden. Dazu steht ein eigener Menü- ablage. Klicken Sie auf den Link "Gerä- Server in Azure sichern. Wenn auf einem
punkt zur Verfügung. teanmeldung", melden Sie sich mit Ihrem Server Hyper-V installiert ist, lässt sich
Azure-Konto an und fügen Sie den Code per WAC auch die Replikation von VMs
Azure-Funktionen im Fenster ein. Danach ist das Windows über Microsoft Azure verwalten.
im WAC nutzen Admin Center mit dem entsprechenden
Verbinden Sie das WAC mit Azure, kön- Azure-Abonnement verbunden. Wird das WAC lokal installiert und mit
nen Sie nicht nur Azure-VMs im WAC Microsoft Azure verbunden, können da-
verwalten, sondern darüber hinaus Server Als Nächstes müssen Sie im Azure-Portal mit nicht nur Azure-VMs verwaltet wer-
im lokalen Netzwerk mit Azure Backup die WAC-Berechtigungen steuern. Ist das den, auch eine Interaktion mit Azure-
sichern, VMs mit Azure Site Recovery in WAC in Azure registriert, erhalten Sie ei- Diensten im lokalen Rechenzentrum ist
Azure hochverfügbar replizieren und an- nen Überblick der entsprechenden Be- möglich. So lassen sich zum Beispiel Ser-
dere Funktionen von Microsoft Azure rechtigungen. Dort können Sie diese auch ver im lokalen Netzwerk mit Azure Back-
einsetzen. wieder entfernen. Im Azure-Portal müs- up in die Cloud sichern, VMs mit Azure

Windows Server 2019 Windows Admin Center
Benutzer verwalten und Kennwörter zu-

rücksetzen. Das ist vor allem für Support-
Abteilungen interessant.
Windows-Firewall im Griff
Über den Menüpunkt "Firewall" sehen
Sie bei "Übersicht" zunächst, für welche
Netzwerkprofile die Firewall aktiv ist und
was die Standardeinstellung für unbe-
kannten ein- und ausgehenden Verkehr
ist. Über die Menüpunkte "Regeln für ein-
gehende Verbindungen" und "Regeln für
ausgehende Verbindungen" lassen sich
die jeweils hinterlegten Firewallregeln an-
zeigen und bei Bedarf auch anpassen, lö-
Bild 4: Die Verwaltung von Hyper-V-Clustern erfolgt im Windows Admin Center. schen oder deaktivieren. Auch das Akti-
vieren von Firewallregeln ist an dieser
Site Recovery hochverfügbar replizieren Active Directory verwalten Stelle möglich.
und andere Azure-Funktionen nutzen. Seit der Version 1904 des Windows Ad-
min Center erlaubt dieses die Verwaltung Mit den beiden Menüpunkten "Prozesse"
Hyper-V mit von Active Directory, DNS und DHCP. und "Dienste" lassen sich die Prozesse
dem WAC verwalten Zur Installation müssen Sie über das und Systemdienste des Servers überwa-
Über das WAC können Sie auf einem Zahnradsymbol oben rechts die Einstel- chen, aber auch steuern. Mit "Spalten aus-
Windows-2019-Server Hyper-V installie- lungen aufrufen, wo Sie bei "Erweiterun- wählen" legen Sie im WAC fest, welche
ren und verwalten – wie gewohnt über gen" die zusätzlichen Funktionen sehen. Informationen erscheinen, wenn Sie Pro-
"Rollen und Funktionen". Hier sehen Sie Der Menüpunkt "Installierte Erweiterun- zesse verwalten.
zunächst, ob auf einem Server bereits Hy- gen" zeigt Ihnen die Erweiterungen, die
per-V installiert ist. Ist das nicht der Fall, bereits integriert sind. Über diesen Me- Fazit
kann die Installation über den Web- nüpunkt lassen sich die Erweiterungen Das Windows Admin Center bietet eine
browser erfolgen. auch aktualisieren. Dazu blendet WAC effektive Möglichkeit, verschiedene Ser-
einen Hinweis, wenn für eine Erweiterung ver im Netzwerk zu verwalten. Es lohnt
Nach der Installation sind auf dem Server eine neue Version zur Verfügung steht. sich für Unternehmen, das kostenlose
die beiden Menüpunkte "Virtuelle Com- Werkzeug zumindest zu testen. Da sich
puter" und "Virtuelle Switches" zu finden, Sind auf einem Server Active Directory mit dem Windows Admin Center auch
worüber Sie die entsprechenden Elemen- sowie DNS und DHCP installiert ist, ältere Windows-Server und deren Funk-
te auf dem ausgewählten Hyper-V-Host blendet das WAC den entsprechenden tionen über Webbrowser verwalten las-
administrieren. Mit dem Menüpunkt "In- Menüpunkt, zum Beispiel "Active Di- sen, bietet das kostenlose Tool einen ech-
ventar" erhalten Sie Zugriff auf die VMs rectory", ein. Aktuell lassen sich bereits ten Mehrwert. (jp)
des Servers und können diese über die
Option "Mehr" verwalten.
Über "Einstellungen" ganz unten links

lassen sich serverspezifische Einstellun-
gen im Windows Admin Center vorneh-
men, wie zum Beispiel die Hyper-V-Kon-
figuration eines Hosts.
Im Windows Admin Center ist auch die

neue Funktion "Windows Server System
Insights" über den Menüpunkt "System-
daten" integriert. Hier kann über einen
Assistenten zum maschinellen Lernen ein
Hyper-V-Host überwacht werden. Dazu
kann Insights auch Prognosen erstellen,
wann es zum Beispiel auf einem Server
zu Engpässen kommen kann. Bild 5: Das Windows Admin Center erlaubt die Verbindung zu Azure.

Kompetentes
Schnupperabo
sucht neugierige
Administratoren
Sie wissen, wie man Systeme
und Netzwerke am Laufen hält.
Und das Magazin IT-Administrator weiß,
wie es Sie dabei perfekt unterstützt:
Mit praxisnahen Workshops, aktuellen

Produkttests und nützlichen Tipps und
Tricks für den beruflichen Alltag.
Damit Sie sich Zeit,

Nerven und Kosten sparen.
e n S i e j e t z t
Test
A u s g a b e n zum
sechs i !
i s v o n d r e
Pre
Abo- und Leserservice IT-Administrator
vertriebsunion meynen Tel: 06123/9238-251
Herr Stephan Orgel Fax: 06123/9238-252
D-65341 Eltville leserservice@it-administrator.de
Active Directory unter Windows Server 2019
Quelle: senkaya – 123RF

Verzeichnispflege
von Thomas Joos
Das Active Directory ist der Dreh- und Angelpunkt in Windows-Netz-

werken. Daher sind der richtige Aufbau und die Pflege des Verzeich-
nisdienstes elementar, denn Fehler lassen sich später nicht immer
leicht korrigieren. Dieser Workshop zeigt die Installation, Verwal-
tung und Fehlerbehebung in Sachen Active Directory sowie der
zugehörigen Domaincontroller unter Windows Server 2019.
I
m Bereich Active Directory verhält nicht mehr im Assistenten zur Installation führung des Cmdlets Uninstall-ADDS-
sich Windows Server 2019 wie vorgeben. Auch Cmdlets, um die Instal- DomainController vor.
Windows Server 2016. In diesem Beitrag lation und Betrieb von Active Directory
geben wir einige Hinweise und Tipps zum zu überprüfen, hat Microsoft integriert. Mit Test-ADDSDomainInstallation be-
Umgang mit dem Active Directory in Dazu gibt es die neuen Befehle leuchten Sie die Voraussetzungen für die
Windows Server 2019. - Test-ADDSDomainControllerInstal- Installation einer neuen Domäne im Acti-
lation ve Directory, Test-ADDSForestInstallation
PowerShell für das AD - Test-ADDSDomainControllerUninstal- prüft das gleiche für eine neue Gesamt-
Natürlich lässt sich der Verzeichnisdienst lation struktur auf Basis von Windows Server
in Windows Server 2019 umfassend in der - Test-ADDSDomainInstallation 2019. Damit Sie die Tests ausführen kön-
PowerShell verwalten. Dazu hat Microsoft - Test-ADDSForestInstallation und nen, müssen Sie an verschiedenen Stellen
einige Cmdlets integriert. Mit dem Cmdlet - Test-ADDSReadOnlyDomainControl- noch Kennwörter eingeben. Diese akzep-
Install-ADDSDomainController installieren lerUninstallation. tiert das entsprechende Cmdlet aber nur
Sie in einer bestehenden Domäne zum - Test-ADDSReadOnlyDomainControl- als sichere Eingabe. Ein Beispiel für den
Beispiel einen neuen Domänencontroller. lerAccountCreation Befehl ist:
Mit Install-ADDSDomain installieren Sie
eine neue Domäne, mit Install-ADDSForest Das Cmdlet Test-ADDSDomainControl- Test-ADDSDomainControllerInstallation
eine neue Gesamtstruktur. lerInstallation ermöglicht das Abklopfen -DomainName DNS-Name der Domäne
der Voraussetzungen für die Installation -SafeModeAdministratorPassword
Um einen Domänencontroller herab- eines DCs. Die Voraussetzungen für (Read-Host -Prompt Kennwort
zustufen, verwenden Sie das Cmdlet Un- schreibgeschützte Domänencontroller -AsSecureString)
install-ADDSDomainController. Die überprüfen Sie mit Test-ADDSReadOn-
Cmdlets fragen alle notwendigen Optio- lyDomainControllerAccountCreation. Das Um AD-Objekte abzurufen, stellt Mi-
nen an und starten den Server neu. Kon- Cmdlet Test-ADDSDomainControllerUn- crosoft zahlreiche neue Cmdlets zur Ver-
figurationen wie DNS-Server und den installation testet die Voraussetzungen fügung. Eine Liste erhalten Sie über den
globalen Katalog nehmen Sie anschlie- für die Deinstallation eines Domänen- Befehl Get-Command Get-Ad*. Um neue
ßend vor. Diese Aufgaben müssen Sie controllers. Das Tool bereitet die Aus- Objekte zu erstellen, gibt es ebenfalls

Active Directory Windows Server 2019
darf nicht schreibgeschützt betrieben wer-

den. Daher sind die Optionen bereits vor-
gewählt und lassen sich nicht ändern.
Bestätigen Sie das nächste Fenster "DNS-

Optionen". Dieses besagt, dass noch kein
DNS-Server für die Gesamtstruktur vor-
handen ist und daher keine Delegierung
eingerichtet werden kann, da noch keine
DNS-Zone existiert. Geben Sie danach
den NetBIOS-Namen der Domäne an. Die
Bild 1: Das Starten der AD-Installation auf einem Server-Manager erfolgt via Assistent. nächsten Fenster müssen Sie nur bestäti-
gen. Auf der Seite "Optionen prüfen" kön-
zahlreiche neue Befehle. Die Liste dazu 2019 können Sie in bestehende Domä- nen Sie mit dem Punkt "Skript anzeigen"
erhalten Sie durch die Eingabe von Get- nen integrieren. die Befehle anzeigen lassen, um den glei-
Command New-Ad*. Eine Aufstellung chen Vorgang in der PowerShell durch-
mit Kommandos zum Löschen von Ob- Bei Migrationen können Sie Betriebs- zuführen. Bestätigen Sie die restlichen
jekten zeigt die PowerShell mit Get-Com- masterrollen von Vorgängerversionen Fenster und klicken Sie auf "Installieren".
mand Remove-Ad*. Änderungen an AD- auf die neuen Domänencontroller mit Der Einrichtungsassistent überprüft vor
Objekten nehmen Sie mit "Set"-Cmdlets Windows Server 2019 übernehmen. Die der Einrichtung des AD, ob Probleme
vor. Eine Liste dieser erhalten Sie über Vorgänge dazu sind identisch mit der beim Heraufstufen zu erwarten sind. Sie
Get-Command Set-Ad*. Übernahme in Windows Server 2008 R2 erhalten daraufhin Warnungen und Feh-
sowie Windows Server 2012 (R2). lerhinweise, bevor der Assistent startet.
In Remote-PowerShell-Sitzungen verwen-
den Sie übrigens die gleichen Cmdlets wie Neue Domäne installieren Nach der Installation finden Sie im Tools-
auf den lokalen Servern. Allerdings er- In diesem Abschnitt zeigen wir Ihnen, Menü des Server-Managers die verschie-
lauben nicht alle Cmdlets eine Remote- wie das AD grundsätzlich aufgebaut ist denen Verwaltungswerkzeuge für das
verwaltung. Sie sehen die kompatiblen und wie Sie eine Umgebung mit einer Active Directory aufgelistet, zum Beispiel
Cmdlets am schnellsten, indem Sie über- neuen Domäne installieren. Sie können das Active-Directory-Verwaltungscenter.
prüfen, ob das Cmdlet die Option "-Com- Domänencontroller mit Windows Server Im Bereich "AD DS" des Server-Managers
puterName" unterstützt. Mit dem Befehl 2019 auch in Gesamtstrukturen im Be- sind die Domänencontroller und deren
Get-Help * -Parameter ComputerName triebsmodus Windows Server 2012 (R2) Warnungen und Fehler zu sehen. Über
lassen Sie sich eine Liste all dieser Cmdlets oder 2016 betreiben. Wählen Sie die Rolle das Kontextmenü des Servers im Bereich
anzeigen. "Active Directory-Domänendienste" aus, AD DS sind ebenfalls die Befehle für das
um das AD zu installieren und bestätigen AD zu erreichen.
Migration auf Sie dann die Schaltfläche "Features hin-
Windows Server 2019 zufügen", um dem Server die notwendi- Um das Active Directory zu überprüfen,
Möchten Sie Domänencontroller auf gen Erweiterungen mitzugeben. Nach der starten Sie eine Eingabeaufforderung und
Windows Server 2019 aktualisieren, müs- Installation klicken Sie im Server-Mana- geben dcdiag ein. Mit nltest /dclist:Net-
sen Sie zunächst das Schema der Gesamt- ger auf "AD DS" und dann im oberen Be- BIOS-Domänennamen lassen Sie sich den
struktur erweitern. Dazu führen Sie den reich bei "Konfiguration ist für Active Namen des Domänencontrollers anzei-
Befehl adprep /forestprep auf einem DC Directory-Domänendienste […] erfor- gen, mit nslookup Vollständiger Name des
aus. Sie finden das Tool im Ordner "sup- derlich" auf den Link "Details". Wählen DC muss der Name und die IP-Adresse
port/adprep" auf der Windows-Server- Sie dort den Punkt "Server zu einem Do- verfügbar sein.
2019-DVD. Damit Sie das Schema erwei- mänencontroller heraufstufen".
tern können, bestätigen Sie zuvor noch Verwalten der
die Erweiterung mit "c". Aktivieren Sie dann die Option "Neue Betriebsmasterrollen von DCs
Gesamtstruktur hinzufügen" und geben Im Active Directory sind zunächst alle
Diese Maßnahmen lassen sich nicht Sie den DNS-Namen der Domäne an, DCs gleichberechtigt. Allerdings gibt es
mehr rückgängig machen. Nach der Ak- zum Beispiel "testdom.int". Auf der nächs- fünf unterschiedliche Rollen, die ein DC
tualisierung des Schemas sollten Sie mit ten Seite belassen Sie die Standardeinstel- annehmen kann und die dessen zentrale
adprep /domainprep noch die einzelnen lungen und legen die Funktionsebene für Aufgabe im AD steuern. Die verschiede-
Domänen aktualisieren. Installieren Sie Gesamtstruktur und Domäne fest. Geben nen Rollen werden als Flexible Single
neue Domänencontroller, lassen sich die- Sie ein Kennwort für den Wiederherstel- Master Operations (FSMOs) bezeichnet.
se problemlos ins AD aufnehmen. Auch lungsmodus ein. Der erste Domänencon- Jede dieser Rollen ist entweder einmalig
Mitgliedsserver mit Windows Server troller muss globaler Katalog sein und pro Domäne (PDC-Emulator, Infrastruk-

Windows Server 2019 Active Directory
turmaster, RID-Master) oder einmalig Auf der Registerkarte "PDC" sehen Sie ist in Domänen immer einzigartig und
pro Gesamtstruktur (Schemamaster, Do- den aktuellen PDC-Emulator der Domä- ein wichtiger Punkt bei der Bereitstellung
mänennamenmaster) möglich. Fällt eine ne. Sie können sich den aktuellen PDC- von Windows beziehungsweise dem
dieser Rollen aus, kommt es im Active Emulator auch mit Hilfe des Befehls Überprüfen von Rechten. In manchen
Directory zu Fehlfunktionen. Möchten dsquery server -hasfsmo pdc in der Ein- Fällen, vor allem beim Klonen, kann es
Sie die Anzeige von Domänencontrollern gabeaufforderung anzeigen lassen oder übrigens passieren, dass doppelte SIDs
in der PowerShell filtern, zum Beispiel den PDC-Master mit dem folgenden im Netzwerk vorhanden sind.
um die PDC-Master anzeigen zu lassen, Cmdlet:
verwenden Sie: Ist der RID-Pool eines Domänencontrol-
Get-ADComputer(Get-ADDomainControl- lers aufgebraucht, werden ihm vom RID-
Get-ADDomainController -Filter ler -Discover -Service "Prima- Master neue RIDs zugewiesen. Steht der
{OperationMaster-Roles -like "PDC*"} ryDC").Name -Property * | Format- RID-Master nicht mehr zur Verfügung
List DNSHostname,OperatingSystem, und bekommen die DCs damit keine
Möchten Sie nur die Namen und die in- OperatingSystemVersion RIDs mehr, lassen sich keine neuen Ob-
stallierten Betriebsmaster anzeigen, ergän- jekte mehr in dieser Domäne erstellen,
zen Sie das Cmdlet noch um die Option Sie können in der PowerShell auch Daten bis der RID-Master wieder einem DC zur
"|fl Hostname, OperationMasterroles". einzelner Domänen abfragen. Dazu ver- Verfügung steht. Der Befehl dsquery ser-
wenden Sie das Cmdlet Get-ADDomain. ver -hasfsmo rid zeigt Ihnen den Master
Die Rolle des PDC-Emulators gibt es in je- Das Cmdlet Get-ADForest zeigt Informa- in der Eingabeaufforderung an. Außer-
der Domäne ein Mal. Der erste installierte tionen zu Gesamtstrukturen an. Auch dem können Sie sich die erfolgreiche Ver-
Domänencontroller einer Domäne be- hier können Sie nach den Spalten auf bindung und den Status des RID-Pools
kommt diese Rolle automatisch zugewie- dem gleichen Wegen filtern, wie bei Get- bestätigen lassen. Geben Sie in der Ein-
sen. Er ist für die Anwendung und Verwal- ADDomainController. Sinnvoll ist das gabeaufforderung den Befehl dcdiag /v
tung der Gruppenrichtlinien zuständig. Cmdlet, wenn die FSMO-Rollen pro Do- /test:ridmanager ein. Suchen Sie dann den
Steht der DC, der diese Rolle hat, nicht mäne angezeigt werden sollen. In jeder Bereich "Starting test: RidManager". Hier
mehr zur Verfügung, werden Gruppen- Domäne gibt es die drei FSMO-Rollen, sehen Sie, ob der Domänencontroller feh-
richtlinien fehlerhaft angewendet. Sie lassen die Sie mit folgendem Befehl ermitteln: lerfrei eine Verbindung zum RID-Master
sich zudem nicht mehr verwalten, da spe- aufbauen kann. Tritt an dieser Stelle ein
zielle Verwaltungskonsolen wie die Grup- Get-ADDomain | Select Infrastructu- Fehler auf, sollten Sie am besten den RID-
penrichtlinien-Verwaltungskonsole die Ver- reMaster, RID-Master, PDCEmulator Master auf einen anderen Server transfe-
bindung zum PDC-Emulator aufbauen. rieren oder verschieben.
Schemamaster und Domänennamen-
Der PDC-Emulator ist darüber hinaus master gibt es nur einmal pro Gesamt- Auch den Infrastrukturmaster gibt es in
für Kennwortänderungen bei Benutzern struktur. Diese Informationen bringen jeder Domäne einer Gesamtstruktur ein-
verantwortlich. Er steuert auch die exter- Sie wiederum mit dem Cmdlet Get-AD- mal. Diese Rolle erhält ebenfalls wieder
nen Vertrauensstellungen einer Domäne. Forest auf den Bildschirm: der erste installierte Domänencontroller
Der PDC-Master ist auch beim Klonen einer Domäne. In einer Gesamtstruktur
virtueller Domänencontroller beteiligt. Get-ADForest | Select-Object mit nur einer Domäne spielt dieser Be-
Ihn selbst können Sie nicht klonen, an- DomainNamingMaster, SchemaMaster triebsmaster keine Rolle. Seine Bedeutung
dere DC schon. Außerdem ist der PDC- steigt jedoch beim Einsatz mehrerer Do-
Emulator der Zeitserver einer Domäne. Auch die Rolle des RID-Masters erhält mänen oder Strukturen. Er hat in einer
Alle hier beschriebenen Funktionen sind der erste installierte DC einer Domäne Domäne die Aufgabe, die Berechtigungen
gestört, wenn der PDC-Emulator nicht automatisch. Den RID-Master gibt es für die Benutzer zu steuern, die aus un-
mehr zur Verfügung steht. ebenfalls einmal in jeder Domäne einer terschiedlichen Domänen kommen.
Gesamtstruktur. Die Aufgabe des RID-
Wollen Sie überprüfen, welcher Domä- Masters ist es, den anderen Domänen- Da die Berechtigungsanfragen sonst sehr
nencontroller die Rolle des PDC-Emula- controllern einer Domäne relative Be- lange dauern würden, wenn zum Beispiel
tors in der Domäne verwaltet, öffnen Sie zeichner (Relative Identifiers, RIDs) in den Berechtigungen einer Ressource
das Snap-in "Active Directory-Benutzer zuzuweisen. Erstellen Sie ein neues Objekt Benutzerkonten oder Gruppen aus un-
und -Computer" im Server-Manager oder in der Domäne, also ein Computerkonto, terschiedlichen Domänen gesetzt sind,
über dsa.msc auf der Startseite. Mit einem einen Benutzer oder eine Gruppe, erhält dient der Infrastrukturmaster einer Do-
Klick mit der rechten Maustaste auf die dieses Objekt eine eindeutige Sicherheits- mäne sozusagen als Cache für diese Zu-
Domäne im Snap-in und die Auswahl ID (SID) zugewiesen. Diese SID erstellt griffe, um die Abfrage der Berechtigungen
von "Betriebsmaster" im Kontextmenü der DC aus einer domänenspezifischen zu beschleunigen. Clients in der Domäne
öffnet sich ein neues Fenster. Hier sind SID in Verbindung mit einer RID aus sei- haben möglicherweise Schwierigkeiten
die FSMOs der Domäne zu sehen. nem RID-Pool. Die SID von Rechnern dabei, Objekte in anderen Domänen zu

finden, wenn die Rolle nicht mehr funk- Fenster, in dem der Betriebsmaster ange- Dem globalen Katalog kommt in einer
tioniert. Der Infrastrukturmaster sollte zeigt wird. Sie können mit Hilfe dieses Domäne eine besondere Bedeutung zu.
nicht auf einem globalen Katalog posi- Fensters später den Betriebsmaster auch Er enthält einen Index aller Domänen ei-
tioniert werden. auf einen anderen DC verschieben. Dazu ner Gesamtstruktur. Aus diesem Grund
müssen Sie sich über das Kontextmenü wird er von Serverdiensten wie Exchange
Er wird außerdem für die Auflösung von des Active-Directory-Schemas mit dem Server und Suchanfragen verwendet,
Verteilergruppen verwendet, wenn Un- Domänencontroller verbinden, auf den wenn Objekte aus anderen Domänen Zu-
ternehmen Exchange Server einsetzen, Sie die Rolle übertragen möchten. Auch griff auf eine Ressource der lokalen Do-
da auch an dieser Stelle eine Gruppe Mit- den Schemamaster können Sie sich in der mäne erhalten. Der globale Katalog spielt
glieder aus verschiedenen Domänen der Eingabeaufforderung mit dsquery server darüber hinaus eine wesentliche Rolle bei
Gesamtstruktur enthalten kann. Auf der -hasfsmo schema anzeigen lassen. der Anmeldung von Benutzern. Steht der
Registerkarte "Infrastruktur" ist dieser zu globale Katalog in einer Domäne nicht
sehen oder in der Eingabeaufforderung Der Domänennamenmaster ist für die mehr zur Verfügung, können sich diese
mit dsquery server -hasfsmo infr. Erweiterung der Gesamtstruktur um neue nur deutlich langsamer anmelden, sofern
Domänen oder Strukturen verantwort- keine speziellen Vorbereitungen getroffen
AD-Schema meistern lich. In jeder Gesamtstruktur gibt es einen worden sind.
Das Active Directory verfügt über ein er- Domänennamenmaster. Diese Rolle wird
weiterbares Schema. Es bietet die Mög- automatisch dem ersten installierten DC Ein Domänencontroller mit der Funktion
lichkeit, zusätzliche Informationen im Ord- einer neuen Gesamtstruktur zugewiesen. des globalen Katalogs repliziert sich nicht
ner flexibel zu speichern. Diese Funktion Immer wenn ein Server zum Domänen- nur mit den DCs seiner Domäne, sondern
nutzt beispielsweise Exchange. Alle not- controller hochgestuft wird und eine neue enthält eine Teilmenge aller Domänen in
wendigen Informationen zu einem E-Mail- Domäne erstellt werden soll, wird eine der Gesamtstruktur. Der erste installierte
Postfach liegen im Active Directory. Bei Verbindung zum Domänennamenmaster Domänencontroller einer Gesamtstruktur
der Installation von Exchange wird das aufgebaut. Steht der Master nicht zur Ver- ist automatisch ein globaler Katalog. Alle
AD-Schema um die notwendigen Attribute fügung oder kann keine Verbindung auf- weiteren globalen Kataloge müssen hin-
und Klassen erweitert. gebaut werden, besteht auch nicht die gegen manuell hinzugefügt werden. Der
Möglichkeit, eine neue Domäne zur Ge- globale Katalog dient auch zur Auflösung
Damit das Schema erweitert werden samtstruktur hinzuzufügen. von universalen Gruppen.
kann, ist der Schemamaster nötig. In jeder
Gesamtstruktur gibt es nur einen Sche- Der Domänennamenmaster wird nur be- Sie sollten aber nicht alle DCs zu globalen
mamaster. Steht der Schemamaster nicht nötigt, wenn Sie eine neue Domäne in der Katalogen machen, da dadurch der Re-
mehr zur Verfügung, können auch keine Gesamtstruktur erstellen. Um sich den Do- plikationsverkehr zu diesen Domänen-
Erweiterungen des Schemas stattfinden mänennamenmaster anzeigen zu lassen, controllern stark zunimmt. In jedem
und die Installation von Exchange schlägt benötigen Sie das Snap-in "Active Directo- Standort sollten zwei bis drei DCs diese
fehl. Der erste installierte Domänencon- ry-Domänen und -Vertrauensstellungen". Aufgabe übernehmen. Während der He-
troller der ersten Domäne und Struktur Klicken Sie mit der rechten Maustaste di- raufstufung zum Domänencontroller
einer Gesamtstruktur erhält die Rolle des rekt auf das Snap-in und wählen im Kon- können Sie diese Auswahl bereits treffen.
Schemamasters. Der Schemamaster hat textmenü den Eintrag "Betriebsmaster" Aber auch nachträglich können Sie einen
ansonsten keine Auswirkungen auf den aus, öffnet sich ein neues Fenster, in dem DC zum globalen Katalog konfigurieren:
laufenden Betrieb. der Domänennamenmaster dieser Ge- 1. Um einen DC als globalen Katalog zu
samtstruktur erscheint. Auch den Domä- konfigurieren, benötigen Sie das Snap-
Damit der Schemamaster angezeigt wer- nennamenmaster können Sie sich in der in "Active Directory-Standorte und -
den kann, müssen Administratoren zu- Eingabeaufforderung mit dsquery server Dienste" aus dem Menü "Tools" im Ser-
nächst das Snap-in registrieren, das das -hasfsmo name anzeigen lassen. ver-Manager. Sie starten das Tool auch
Schema anzeigt. Aus Sicherheitsgründen mit "dssite.msc".
wird dieses Snap-in zwar installiert, je- Globalen Katalog-Server 2. Öffnen Sie dieses Snap-in und rufen
doch nicht angezeigt. Die Eingabe des Be- aufsetzen Sie die Eigenschaften der Option
fehls regsvr32 schmmgmt.dll in der Ein- An jedem Standort in Active Directory NTDS-Settings über "Sites / Name des
gabeaufforderung macht die Konsole sollte ein globaler Katalog-Server instal- Standortes / Servers / Servername" auf.
verfügbar. Im Anschluss können Sie das liert sein. Der globale Katalog ist eine wei- 3. Auf der Registerkarte "Allgemein" ak-
Snap-in Active Directory-Schema in eine tere Rolle, die ein Domänencontroller tivieren Sie das Kontrollkästchen "Glo-
MMC über "Datei/Snap-in hinzufügen" einnehmen kann. Im Gegensatz zu den baler Katalog".
integrieren. Mit einem Klick mit der rech- beschriebenen FSMO-Rollen kann (und
ten Maustaste auf das Menü "Active Di- sollte auch) die Funktion des globalen Haben Sie diese Konfiguration vorge-
rectory-Schema" und die Auswahl von Katalogs mehreren Domänencontrollern nommen, repliziert sich der Server zu-
"Betriebsmaster" öffnet sich ein neues zugewiesen werden. künftig mit weiteren Domänencontrol-

lern und enthält nicht nur Informationen

seiner Domäne, sondern einen Index der
Gesamtstruktur.
Um sich die globalen Katalogserver an-

zeigen zu lassen, öffnen Sie das Snap-in
"DNS" und navigieren zu der DNS-Zone
der Root-Domäne in der Gesamtstruktur.
Klicken Sie mit der Maus auf die "_tcp-
Zone". In dieser Zone werden Ihnen alle
globalen Katalogserver angezeigt. Die
SRV-Records dieser Server verweisen auf
den Port 3268.
Verwaltung und Verteilung

der Betriebsmaster
Um sich einen Überblick über alle Be-
triebsmaster einer Gesamtstruktur zu
verschaffen, können Sie den Befehl net-
dom query fsmo in der Eingabeauffor-
derung nutzen. Zur optimalen Vertei-
lung der FSMO-Rollen gibt es folgende
Empfehlungen:
- Der Infrastrukturmaster sollte nicht auf
einem globalen Katalog liegen, da an- Bild 2: Das Festlegen eines globalen Katalogs erfolgt im Snap-in
sonsten Probleme bei der Auflösung "Active Directory-Standorte und -Dienste".
von Gruppen, die Mitglieder aus ver-
schiedenen Domänen haben, auftreten wählen Sie im Kontextmenü den Ein- kannten jeweiligen Verwaltungskonsole
können. trag "Domänencontroller ändern" aus. übertragen.
- Domänennamenmaster und Schema- 2. Wählen Sie im nächsten Fenster den
master sollten auf einem gemeinsamen Domänencontroller aus, auf den Sie die Betriebsmasterrollen lassen sich in der
Domänencontroller liegen, der auch Rolle übertragen wollen, und bestätigen PowerShell auf andere Domänencontrol-
globaler Katalog ist. Sie die Eingabe. ler verschieben. Das passende Cmdlet
- PDC-Emulator und RID-Master kom- 3. Klicken Sie dann wieder mit der rech- dazu lautet Move-ADDirectoryServerOpe-
munizieren viel miteinander und sollten Maustaste auf die Domäne und rationMasterRole. Mit get-help Move-AD-
ten daher auf einem gemeinsamen Do- wählen Sie dieses Mal im Kontextmenü DirectoryServerOperationMasterRole las-
mänencontroller liegen, der auch den Eintrag "Betriebsmaster" aus. sen Sie sich die umfassende Syntax und
globaler Katalog ist. 4. Auf den drei Registerkarten "PDC", einige Beispiele für das Cmdlet anzeigen.
"RID" und "Infrastruktur" wird der ak-
Auf Basis dieser Empfehlungen sollten tuelle Betriebsmaster und im unteren Überprüfung der
Sie daher nach der Installation die Be- Feld der Domänencontroller, mit dem DNS-Einstellungen
triebsmaster entsprechend auf die einzel- Sie sich verbunden haben, angezeigt. Bevor Sie das Active Directory auf dem
nen DCs der Domänen oder der Gesamt- 5. Klicken Sie auf der Registerkarte, deren Server installieren, sollten Sie sicherstellen,
struktur aufteilen. Betriebsmasterrollen Betriebsmaster Sie verschieben wollen, dass alle DNS-Einstellungen korrekt vor-
können ohne weiteres im laufenden Be- auf die Schaltfläche "Ändern". Sie kön- genommen sind. Überprüfen Sie, ob sich
trieb von einem auf den anderen DC nen hier auch mehrere Betriebsmaster der Server sowohl in der Forward- als auch
übertragen werden. verschieben. in der Reverse-Lookupzone korrekt ein-
6. Es erscheint eine Warnung, die Sie be- getragen hat. Öffnen Sie danach eine Ein-
Wie Sie gesehen haben, werden die drei stätigen müssen. Nach dieser Warnung gabeaufforderung und geben Sie den Be-
Betriebsmaster einer Domäne auf ver- erscheint die Meldung, dass der Be- fehl nslookup ein. Die Eingabe des Befehls
schiedenen Registerkarten an der gleichen triebsmaster erfolgreich übertragen darf keinerlei Fehlermeldungen verursa-
Stelle angezeigt. An dieser Stelle übertra- wurde. chen. Es muss der richtige FQDN des
gen Sie die einzelnen FSMO-Rollen auch: 7. Auf dieselbe Weise gehen Sie bei der DNS-Servers und seine IP-Adresse ange-
1. Klicken Sie mit der rechten Maustaste Übertragung der Schemamaster und zeigt werden. Suchen Sie in Nslookup noch
im Snap-in "Active Directory-Benutzer Domänennamenmaster vor. Diese bei- nach der IP-Adresse, muss diese nach dem
und -Computer" auf die Domäne und den Betriebsmaster werden in der be- Servernamen aufgelöst werden.

Sollte das nicht der Fall sein, gehen Sie Einträge des Diensts, die bei der Pro- wenden Sie einen der beiden Befehle
Schritt für Schritt vor, um das Problem blemlösung weiterhelfen. create nosysvol rodc c:\temp oder create
einzugrenzen. Sollte ein Fehler erschei- nosysvol full c:\temp. Den Ordner kön-
nen, versuchen Sie es einmal mit dem Be- Auch der Befehl nltest /dsregdns hilft oft nen Sie natürlich beliebig ändern.
fehl ipconfig /registerdns in der Eingabe- bei Problemen bei der DNS-Registrie- 5. Beenden Sie Ntdsutil mit der wieder-
aufforderung. Überprüfen Sie, ob sich rung. Funktioniert die erneute Registrie- holten Eingabe von quit.
der Server in die Zone eingetragen hat. rung durch Neustart des Anmeldediensts 6. Überprüfen Sie schließlich, ob der Ord-
Sollte der Fehler weiterhin auftreten, nicht, löschen Sie die DNS-Zone "_msdcs" ner erstellt wurde und die Daten darin
überprüfen Sie, ob das primäre DNS-Suf- und die erstellte Delegierung. Beim enthalten sind.
fix auf dem Server mit dem Zonennamen nächsten Start des Anmeldediensts liest
übereinstimmt. dieser die Daten von "netlogon.dns" ein, Kopieren Sie die Daten auf ein Medium
erstellt die Zone "_msdcs" neu und und legen dieses in den Server ein, den
Stellen Sie als Nächstes fest, ob die IP- schreibt die Einträge wieder in die Zone. Sie mit diesem Medium installieren wol-
Adresse des Servers stimmt und der Ein- Mit Dcdiag lassen sich danach die Pro- len. Soll die Installation unbeaufsichtigt
trag des bevorzugten DNS-Servers auf bleme erneut diagnostizieren. ablaufen, verwenden Sie die Variable "/Re-
die IP-Adresse des Servers zeigt. Über- plicationSourcePath". Nutzen Sie den As-
prüfen Sie zudem in den Eigenschaften Active Directory vom sistenten in der grafischen Oberfläche,
der Zone, ob die dynamische Aktualisie- Installationsmedium einspielen aktivieren Sie auf der Seite "Installieren
rung zugelassen wird und ändern Sie ge- Soll ein Domänencontroller nach der In- von Medium" die Option "Daten von Me-
gebenenfalls die Einstellung, damit die stallation seine Replikationsdaten nicht dien an folgendem Speicherort replizie-
Aktualisierung stattfinden kann. Die Ei- über das Netzwerk beziehen, sondern ei- ren" und wählen Sie den lokalen Ordner
genschaften der Zonen erreichen Sie, nen Datenträger verwenden, den Sie auf aus, in dem die Daten abgelegt wurden.
wenn Sie mit der rechten Maustaste auf Basis der aktuellen AD-Daten erstellt ha-
die Zone klicken und die Eigenschaften ben, müssen Sie zuvor einige Vorberei- Active Directory mit
auswählen. Treten keine Fehler auf, kön- tungen treffen. Für die Installation eines PowerShell installieren
nen Sie mit dem Erstellen des Active Di- DCs in Niederlassungen oder bereits aus- Auch Core-Server können Sie als Domä-
rectory auf diesem Server beginnen. gelasteten Netzwerken bietet es sich an, nencontroller verwenden. Die Installation
auf einem Quell-Domänencontroller zu- des Active Directory nehmen Sie in diesem
Haben Sie das Active Directory installiert, nächst Daten aus dem AD zu exportieren, Fall zum Beispiel über die PowerShell vor.
stehen auch in Windows Server 2019 die auf einen Datenträger zu kopieren und Das funktioniert natürlich auch auf her-
bekannten Tools Dcdiag, Repadmin und zur Niederlassung zu senden. Bei der He- kömmlichen Domänencontrollern. Mit
Co. zur Analyse zur Verfügung. Für die raufstufung eines DCs kann dieses Me- dem Cmdlet Install-ADDSDomainCon-
Namensauflösung können Sie weiterhin dium verwendet werden. So muss der troller installieren Sie in einer bestehenden
Nslookup verwenden oder die neuen Domänencontroller in der Niederlassung Domäne einen neuen Domänencontroller.
Cmdlets zur Verwaltung von DNS, zum nur noch das Delta zwischen Medium Mit Install-ADDSDomain installieren Sie
Beispiel "Resolve-DnsName". und aktuellen Daten mit seinen Replika- eine neue Domäne, mit Install-ADDSForest
tionspartnern synchronisieren, was deut- eine neue Gesamtstruktur.
Geben Sie in der Eingabeaufforderung lich Netzwerklast spart.
den Befehl nltest /dclist:NetBIOS-DOMÄ- Um einen Domänencontroller herabzu-
NENNAME ein, zum Beispiel nltest Um ein Installationsmedium vorzuberei- stufen, verwenden Sie das Cmdlet Un-
/dclist:Joos. Alle DCs sollten dann mit ih- ten, melden Sie sich an einem Domänen- install-ADDSDomainController. Die
ren vollständigen Domänennamen aus- controller mit Admin-Rechten an. Gehen Cmdlets fragen alle notwendigen Optio-
gegeben werden. Werden einzelne DCs Sie im Anschluss folgendermaßen vor: nen an und startet den Server neu, wenn
nur mit ihrem NetBIOS-Namen ange- 1. Öffnen Sie eine Eingabeaufforderung Sie die Optionen nicht bereits mit dem
zeigt, überprüfen Sie deren DNS-Regis- und geben Sie ntdsutil ein. Cmdlet konfiguriert haben. Konfigura-
trierung auf den DNS-Servern. 2. Geben Sie als nächstes den Befehl acti- tionen wie DNS-Server und globaler Ka-
vate instance ntds ein und bestätigen talog nehmen Sie anschließend vor. Diese
Starten Sie im Problemfall mit net stop Sie, gefolgt von ifm. Aufgaben müssen Sie nicht mehr im As-
netlogon und dann net start netlogon den 4. Verwenden Sie nun create rodc c:\temp, sistenten zur Installation vorgeben.
Anmeldedienst auf dem Domänencon- um ein Installationsmedium für einen
troller neu, versucht der Dienst, die Da- RODC (schreibgeschützter Domänen- Bevor Sie einen Core-Server als Domä-
ten der Datei "netlogon.dns" aus dem controller) zu erstellen. Um einen voll- nencontroller installieren, nehmen Sie die
Ordner \Windows\System32\config\ wertigen DC mit dem Installationsme- IP-Einstellungen auf dem Server vor. Um
netlogon.dns" erneut im DNS zu regis- dium zu erstellen, geben Sie create full das Active Directory mit der PowerShell
trieren. Gibt es hierbei Probleme, finden c:\temp ein. Soll der SYSVOL-Ordner zu installieren, spielen Sie im ersten
sich im Ereignisprotokoll unter "System" nicht mit eingeschlossen werden, ver- Schritt mit Install-WindowsFeature AD-

Domain-services -IncludeManagement- -SiteName Houston -DatabasePath Grundlage ist der Papierkorb des AD, den
Tools die Domänendienste auf dem Server d:\NTDS -SYSVOLPath d:\SYSVOL Sie zunächst für die Gesamtstruktur ak-
ein. Anschließend stehen die bereits ge- -LogPath e:\Logs -Confirm:$False tivieren müssen. Diesen Vorgang nehmen
nannten Cmdlets zur Verfügung. Geben Sie über das Kontextmenü der Gesamt-
Sie keine Optionen für die Cmdlets ein, Um in dieser Domäne dann wiederum struktur auf der linken Seite der Konsole
fragt der Assistent die notwendigen Daten einen weiteren Domänencontroller zu in- im Verwaltungscenter vor. Sie können
ab. Sie können sich die Befehle auch an- stallieren, greift der Befehl den Papierkorb nur dann aktivieren,
zeigen lassen, wenn Sie den Assistenten wenn die Funktionsebene der Gesamt-
auf einem Server durchlaufen und sich Install-ADDSDomainController struktur mindestens auf Windows Server
am Ende das Skript anzeigen lassen. Hier -Credential (Get-Credential 2008 R2 gesetzt ist.
sehen Sie die Befehle und Optionen, die corp\administrator) -DomainName
Sie für die PowerShell benötigen. corp.contoso.com Um gelöschte Objekte wiederherzustellen,
verwenden Sie am besten das Active Di-
Um zum Beispiel einen neuen DC zu in- Ist der entsprechende Server bereits Mit- rectory Administration Center in Win-
stallieren, verwenden Sie das Cmdlet "In- glied der Domäne und haben Sie sich mit dows Server 2019. Das bietet den Vorteil,
stall-ADDSDomainController". Damit der einem Domänenadministrator angemel- dass Ihnen eine grafische Oberfläche zur
Befehl funktioniert, geben Sie den Namen det, können Sie auch den Befehl Install- Verfügung steht. Nachdem Sie den Pa-
der Domäne mit und konfigurieren das ADDSDomainController -DomainName pierkorb aktiviert und das Verwaltung-
Kennwort für den Verzeichnisdienst-Wie- corp.contoso.com verwenden. Ein weiteres scenter neu gestartet haben, gibt es für die
derherstellungsmodus als SecureString. Beispiel für die Installation eines neuen entsprechende Gesamtstruktur einen neu-
Dazu nutzen Sie den Befehl: Domänencontrollers ist: en Ordner "Deleted Objects".
Install-ADDSDomainController Install-ADDSDomainController Rufen Sie die Eigenschaften von Organi-

-DomainName DNS-Name der Domäne -Credential (Get-Credential conto- sationseinheiten in der Verwaltungskonsole
-SafeModeAdministratorPassword so\EnterpriseAdmin1) -CreateDNSDe- "Active Directory-Benutzer und -Compu-
(Read-Host -Prompt Kennwort legation -DomainName corp.conto- ter" auf, stehen nicht alle Optionen zur Ver-
-AsSecureString) so.com -SiteName Boston fügung. Es fehlen zum Beispiel die Einstel-
-InstallationMediaPath "c:\ADDS lungen für die Sicherheit von Objekten. In
Der Befehl fragt nach dem Kennwort für IFM" -DatabasePath "d:\NTDS" der Konsole können Sie jedoch über den
den Verzeichnisdienst-Wiederherstel- -SYSVOLPath "d:\SYSVOL" -LogPath Menüpunkt "Ansicht" die Option "Erwei-
lungsmodus und speichert es als sichere "e:\Logs" terte Features" aktivieren. Ab diesem Mo-
Zeichenfolge ab. ment werden die Eigenschaften erweitert
Objekte schützen und mehr Einstellungen angezeigt.
Eine neue Gesamtstruktur installieren Sie und wiederherstellen
mit Install-ADDSForest -Domainname In Windows Server 2019 sind AD-Ob- Um Objekte davor zu schützen, von einem
DNS-Name. Ein Beispiel: jekte vor dem versehentlichen Löschen Administrator versehentlich gelöscht zu
geschützt. Dieser Schutz ist standardmä- werden, aktivieren Sie die Option "Objekt
Install-ADDSForest -DomainName ßig aktiviert. Nachdem Sie über das Menü vor zufälligem Löschen schützen" auf der
corp.contoso.com -CreateDNSDelega- "Ansicht" in "Active Directory-Benutzer Registerkarte "Objekt". Dadurch wird ver-
tion -DomainMode Win2016 -Forest- und -Computer" die erweiterte Ansicht hindert, dass ein Objekt löschbar ist. Ver-
Mode Win2016 -DatabasePath d:\NTDS aktiviert haben, finden Sie auf der Regis- sucht nun jemand, ein Objekt zu löschen,
-SYSVOLPath d:\SYSVOL terkarte "Objekt" das Kontrollkästchen erscheint eine Fehlermeldung, dass die Be-
-LogPath e:\Logs "Objekt vor zufälligem Löschen schützen" rechtigungen dazu fehlen oder dass das
vor. Diese Option steuert die Berechti- Objekt vor dem zufälligen Löschen ge-
Um eine Domäne im Betriebsmodus gungen auf der Registerkarte "Sicherheit". schützt ist. Um das Objekt löschen zu kön-
Windows Server 2016 in einer Gesamt- Der Gruppe "Jeder" wird der Eintrag "Lö- nen, reicht es aus, den Haken zu entfernen.
struktur zu installieren, verwenden Sie: schen" verweigert. Dies äußert sich darin,
dass ein Administrator vor dem Löschen Es ist sinnvoll, den Schutz auch für unter-
Install-ADDSDomain -SafeModeAdminis- eines solchen geschützten Objektes zu- geordnete Objekte zu aktivieren und zu
tratorPassword -Credential (Get- nächst das Kontrollkästchen zu dieser kontrollieren, ob er auch aktiviert wurde.
Credential corp\EnterpriseAdmin1) Option deaktivieren muss, bevor er das Beim Anlegen von Organisationseinheiten
-NewDomainName child -ParentDo- Objekt entfernen kann. können Sie den Schutz aber auch deakti-
mainName corp.contoso.com vieren. In diesem Fall entfernen Sie beim
-InstallDNS -CreateDNSDelegation Den Papierkorb für gelöschte Objekte ver- Erstellen einfach den entsprechenden Ha-
-DomainMode Win2016 -Replication- walten Sie in Windows Server 2019 im ken. Beim Anlegen anderer Objekte wie
SourceDC DC1.corp.contoso.com Active-Directory-Verwaltungscenter. zum Beispiel Gruppen oder Benutzer er-

scheint die Option nicht. Hier müssen Sie können, sollten Sie in jedem Standort, - Ist auf dem DC, mit dem die Replika-
den Schutz nachträglich aktivieren. an dem später ein DC angeschlossen ist, tion nicht mehr stattfinden kann, die
ein unabhängiges IP-Subnetz verwenden. Hardware ausgefallen?
Neben der Verwaltungskonsole "Active Di- Dieses IP-Subnetz hinterlegen Sie in der - Liegt vielleicht nur ein Leitungs-, Router-
rectory-Benutzer und -Computer" lassen Active-Directory-Verwaltung und es oder Firewallproblem vor?
sich Objekte auch in anderen Konsolen si- dient fortan zur Unterscheidung der AD- - Lassen sich der entsprechende Domä-
chern. So schützen Sie zum Beispiel auch Standorte. nencontroller noch pingen und der
die Objekte in "Active Directory-Standorte DNS-Name des Servers auflösen?
und -Dienste" vor dem versehentlichen Lö- Das wichtigste Verwaltungswerkzeug, - Gibt es generelle Probleme mit der Au-
schen. Auch hier gibt es die Registerkarte um Standorte im AD zu verwalten, ist thentifizierung zwischen den DCs, die
"Objekte" und die Option "Objekt vor dem das Snap-in "Active Directory-Standorte sich durch Zugriff-verweigert-Meldun-
versehentlichen Löschen schützen". Für die und -Dienste". Um neue Standorte zu er- gen äußern?
Anzeige der Option müssen Sie die erwei- stellen, müssen Sie Mitglied der Gruppe - Sind die Replikationsintervalle zwi-
terte Ansicht aber nicht deaktivieren. Organisations-Administratoren sein. schen Standorten so kurz eingestellt,
Standardmäßig überprüft der "Knowled- dass die vorherige Replikation noch
Neben der Möglichkeit, die Einstellungen ge Consistency Checker" (KCC) automa- nicht abgeschlossen ist und die nächste
in der grafischen Oberfläche vorzunehmen, tisch alle 15 Minuten die Funktionalität bereits beginnt?
kann der Löschschutz auch in der Power- der Routingtopologie. - Wurden Änderungen an der Routing-
Shell abgefragt und gesetzt werden. Um topologie vorgenommen, die eine Re-
den Löschschutz für ein Objekt abzufragen, Fehler bei der plikation verhindern können?
nutzen Sie den folgenden Befehl: Replikation beheben
Eine häufige Fehlerursache in ADs mit Im Falle von Replikationsproblemen
Get-ADObject DN des Objekts vielen Niederlassungen und zahlreichen sollten Sie auch sicherstellen, dass die
-Properties ProtectedFromAcciden- Domänencontrollern ist die Replikation problematischen Domänencontroller
talDeletion zwischen diesen Standorten. Beim Einsatz für den richtigen Standort konfiguriert
eines einzelnen Standorts werden nur sel- sind. Zu diesem Zweck geben Sie in der
Aktivieren lässt sich der Löschschutz mit: ten Probleme auftreten. Bei der Fehler- Eingabeaufforderung das Kommando
suche bezüglich der Replikation sollten nltest /dsgetsite ein.
Set-ADObject DN des Objekts -Pro- Sie zunächst die beteiligten Domänen-
tectedFromAccidentalDeletion $true controller überprüfen und testen, ob diese Das wichtigste Tool, um die Replikation
innerhalb ihres Standorts funktionieren. in Active Directory zu überprüfen, ist
Soll der Löschschutz deaktiviert werden, derweil Repadmin. Geben Sie in der Ein-
können Sie wiederum die Option "$false" Der nächste Schritt sollte der Blick in die gabeaufforderung den Befehl repadmin
setzen. Um keine Objekte zu schützen, Ereignisanzeige und das Protokoll "Ver- /showreps ein, erhalten Sie alle durchge-
sondern Organisationseinheiten, verwen- zeichnisdienst" sein. Achten Sie vor allem führten Replikationsvorgänge des Active
den Sie die Cmdlets Get-ADOrganizatio- auf Fehler von "NTDS KCC", "NTDS Re- Directory sowie etwaige Fehler angezeigt,
nalUnit und Set-ADOrganizationalUnit. plication" oder "NTDS General". Bereits die auf die möglichen Ursachen für eine
mit Hilfe dieser Fehlermeldungen können nicht funktionierende Replikation hin-
Active-Directory-Replikation Sie auf den Internetseiten [1,2,3] eine Lö- weisen. Sie können sich die Anzeige mit
Die Replikation zwischen verschiedenen sung für das Problem finden. Bevor Sie repadmin /showreps >c:\repl.txt auch in
Standorten im Active Directory läuft weit- mit Tools die Replikation genauer unter- eine Datei umleiten lassen.
gehend automatisiert ab. Damit die Re- suchen, sollten Sie zunächst die gravie-
plikation aber stattfinden kann, müssen rendsten und häufigsten Fehlerursachen Das wichtigste Werkzeug für die Diagnose
Sie zunächst die notwendige Routingto- ausschließen: von Domänencontrollern ist hingegen
pologie erstellen. Dabei fallen hauptsäch- - Liegt auf dem Domänencontroller, der Dcdiag. Sie können das Tool in der Ein-
lich folgende Aufgaben an: sich nicht mehr replizieren kann, ein gabeaufforderung mit Administratorrech-
- Erstellen von Standorten imAD. generelles Problem vor, das sich mit ten aufrufen, indem Sie dcdiag eingeben.
- Anlegen von IP-Subnetzen und Zuwei- Dcdiag herausfinden lässt? Liegen also Eine ausführliche Diagnose erhalten Sie
sen an die Standorte. die Probleme überhaupt nicht in der durch dcdiag /v. Möchten Sie eine aus-
- Erstellen von Standortverknüpfungen Replikation, sondern hat der DC eine führlichere Diagnose durchführen, sollten
für die AD-Replikation. Funktionsstörung? Sie die Ausgabe in eine Datei umleiten,
- Konfiguration von Zeitplänen für die - Wurde auf dem Domänencontroller ei- da Sie dadurch das Ergebnis besser durch-
optimale Standortreplikation. ne Software installiert, die die Replika- lesen und eventuell auch an einen Spe-
tion stören kann, wie etwa Sicherheits- zialisten weitergeben können. Die pas-
Damit Sie die standortübergreifende Re- software, Virenscanner, Firewall oder sende Eingabe könnte dann zum Beispiel
plikation des Active Directory verwenden ähnliches? dcdiag/v >c:\dcdiag.txt lauten. Für die ers-

te Überprüfung reicht die nor- Die Ausführung kann auf Win-

male Diagnose mit Dcdiag je- dows-Arbeitsstationen genauso
doch vollkommen aus. Fehler erfolgen wie auf Domänencon-
sollten Sie in einer Suchmaschi- trollern. In diesem Beispiel tes-
ne recherchieren und beheben. ten wir die Domäne "joos.int".
Im idealen Fall sollte Dcdiag Anschließend erstellt das Tool
keine Fehler zeigen. eine HTML-Datei, die Sie mit
einem Browser öffnen können.
Mit dcdiag /a überprüfen Sie alle Aus dieser wird ersichtlich, wo
Domänencontroller am glei- Sicherheitsgefahren lauern, die
chen AD-Standort, dcdiag /e tes- behoben werden können. Be-
tet alle Server in der Gesamt- standteil des Tools ist auch eine
struktur. Um sich nur die Fehler PDF-Datei, die weitere Infor-
und keine Informationen anzei- mationen zu den anderen Op-
gen zu lassen, verwenden Sie tionen bietet.
dcdiag /q. Die Option dcdiag
/s:Domänencontroller ermög- Bild 3: Mit dem "SolarWinds Permission Analyzer for Active Directory" Der "Netwrix Account Lockout
licht den Test eines Servers über lesen Sie Berechtigungen aus. Examiner" [6] ermöglicht Ihnen,
das Netzwerk. in Echtzeit Warnungen per E-
Lücken aufweisen. Mit kostenlosen Tools Mail über Kontosperrungen zu erhalten.
LDAP-Zugriff lassen sich Sicherheitslücken und Proble- Über das Tool lassen sich auch Kennwörter
auf DCs überwachen me im AD finden und beheben. Kombi- zurücksetzen und Konten entsperren. Der
Damit AD-abhängige Dienste schnell und nieren Sie mehrere Tools miteinander, Zugriff funktioniert auf Servern sogar per
effizient Daten aus dem Verzeichnis ab- identifizieren Sie Lücken bei der Sicher- Smartphone und Tablet über eine webba-
rufen können, muss der globale Katalog heit recht schnell. sierten Oberfläche. Das Werkzeug stellt si-
schnell antworten und darf nicht über- cher, dass keine unbefugten Anwender ver-
lastet sein. Um diese Auslastung zu über- Mit "SolarWinds Permission Analyzer for suchen, sich mit Kennwörtern anzumelden.
prüfen, können Sie die Leistungsüberwa- Active Directory" [4] etwa lesen Sie Be-
chung verwenden und nutzen den Punkt rechtigungen für Benutzer aus. Hierfür Über das PowerShell-Skript "Active Di-
"Datensammlersätze / System / Active Di- wählen Sie lediglich einen Benutzerna- rectory Recon" [7] erhalten Sie einen Be-
rectory Diagnostics". Klicken Sie anschlie- men oder den Name einer Gruppe und richt über den aktuellen Zustand des Ver-
ßend auf das grüne Dreieck in der Sym- ein Verzeichnis oder eine Freigabe aus. zeichnisses. Der Vorteil besteht darin,
bolleiste, um den Sammlungssatz zu Danach erhalten Sie die effektiven Be- dass es auf Bordmittel und die PowerShell
starten. Hat ein Server Leistungsproble- rechtigungen für diesen Benutzer ange- setzt. Es sind weder Installationen noch
me, starten Sie den Sammlungssatz und zeigt. Geben Sie nur einen Teil des Na- Konfigurationsänderungen notwendig.
lassen die Abfragen messen. Nach einiger mens ein, zeigt das Tool alle vorhandenen Das Skript gibt CSV-Dateien aus, die sich
Zeit beenden Sie die Messung über das Gruppen oder Benutzer an und Sie kön- anschließend mit Excel analysieren lassen.
Kontextmenü des Sammlungssatzes oder nen den passenden Benutzer auswählen. Mit der Option "-genExcel" erstellt das
die Symbolleiste. Danach scannt die Software das Verzeich- Skript eine XLSX-Datei, die Sie mit Excel
nis und zeigt die Gruppen an. bearbeiten können.
Anschließend lassen Sie sich über "Be-
richte / System / Active Directory Diag- Zusammen mit Werkzeugen wie "Ping- Bereinigung des
nostics" die Daten der letzten Messung Castle" [5] stellen Sie so schnell fest, ob Active Directory
anzeigen. In verschiedenen Bereichen Benutzergruppen für bestimmte Ver- In manchen Fällen ist der Aufwand einer
sehen Sie alle durchgeführten Aufgaben zeichnisse und Freigaben zu viele Berech- Fehlerbehebung viel größer, als einfach
und deren Daten und Zugriffsgeschwin- tigungen haben. Mit PingCastle finden den betroffenen Domänencontroller neu
digkeiten. Auf diesem Weg erkennen Sie Sie nämlich Sicherheitslücken im Active zu installieren und wieder in das Active
schnell, wo Probleme auf dem Server Directory. Dazu entpacken Sie das Archiv Directory zu integrieren. Durch die er-
vorliegen. des Tools und öffnen eine Befehlszeile. neute Integration erhält der DC wieder
Um einen ersten Check der Umgebung die Daten von den anderen Domänen-
Mit Tools für mehr durchzuführen, geben Sie den folgenden controllern der Domäne. Möchten Sie ei-
Sicherheit sorgen Befehl ein, wobei Sie natürlich Ihre Do- nen DC aus dem Active Directory ent-
Verwenden Unternehmen das Active Di- mäne am Ende angeben: fernen, gibt es grundsätzlich folgende
rectory, sollte regelmäßig überprüft wer- Möglichkeiten:
den, ob die verschiedenen Sicherheitsbe- PingCastle --healthcheck - Der Domänencontroller soll zu einem
reiche korrekt konfiguriert sind und keine --server joos.int Mitgliedsserver heruntergestuft werden,

wenn zum Beispiel auf einem Server "Sites / Standort des Servers / Servername / um Altlasten zu entsorgen. Auch den Ser-
Exchange und DC zusammen Proble- Eigenschaften" der NTDS-Settings den vernamen sollten Sie ändern, wenn aus
me bereiten, aber der Server noch Ver- Haken bei "Globaler Katalog". dem Namen hervorgeht, dass es sich um
bindung zum Active Directory hat. einen Domänencontroller gehandelt hat.
- Der Domänencontroller läuft zwar noch Um einen DC herunterzustufen, verwen-
und verwaltet installierte Applikationen, den Sie am besten die PowerShell und Möchten Sie einen Domänencontroller, der
hat aber seine Verbindung zum Active Uninstall-ADDSDomainController. Sie die Verbindung mit dem Active Directory
Directory verloren. Er soll herunterge- müssen noch das lokale Kennwort des verloren hat, nicht neu installieren, können
stuft werden, ohne Verbindung zum Administrators über den Befehl festlegen. Sie das Active Directory trotz fehlender
Active Directory zu haben oder neu in- Dieses definieren Sie als SecureString in Verbindung entfernen. Verwenden Sie in
stalliert zu werden. Das AD muss dazu der PowerShell: diesem Fall die Option "-force". Nach dem
nachträglich bereinigt werden. erzwungenen Entfernen des Active Directo-
- Der Domänencontroller ist komplett Uninstall-ADDSDomainController ry ist der DC allerdings kein Mitgliedsser-
ausgefallen und funktioniert nicht -LocalAdministratorPassword ver mehr, sondern ein alleinstehender Ser-
mehr. Dem Active Directory muss mit- (Read-Host -Prompt "Kennwort" ver. Sie können sich daher an diesem Server
geteilt werden, dass der DC nicht mehr -AsSecureString) nicht mehr bei der Domäne anmelden.
verfügbar ist. Möchten Sie danach noch die Binärdateien
Mit Get-Help Uninstall-ADDSDomainCon- des AD entfernen, verwenden Sie entweder
Entfernen Sie einen Domänencontroller troller erhalten Sie mehr Informationen zu den Server-Manager, das Windows Admin
aus dem Active Directory, sollten Sie einige dem Befehl. Um zuvor den Vorgang zu Center oder die PowerShell:
Vorbereitungen treffen, damit die Anwen- testen, verwenden Sie Test-ADDSDomain-
der durch den Ausfall nicht betroffen sind: ControllerUninstallation. Ausführliche In- Uninstall-WindowsFeature
- Stellen Sie sicher, dass der Domänen- formationen erhalten Sie mit AD-Domain-Services
controller nicht als bevorzugter oder
alternativer DNS-Server von einem an- Test-ADDSDomainControllerUninstalla- Fazit
deren Rechner der Domäne verwendet tion | select -expandproperty Im Active Directory hat sich bei Windows
wird (auch nicht als DNS-Weiterlei- message Server 2019 wenig geändert. Es gibt auch
tungsserver). keinen eigenen Betriebsmodus für Ge-
- Übertragen Sie alle FSMO-Rollen auf Wenn es sich bei dem Domänencontrol- samtstruktur und Domänen. Das AD pro-
andere Domänencontroller. ler, den Sie herabstufen wollen, um ei- fitiert in Windows Server 2019 allerdings
- Entfernen Sie falls möglich vor der He- nen globalen Katalog handelt, werden von der hohen Stabilität des Betriebssys-
rabstufung DNS von diesem Domänen- Sie darüber mit einer Meldung infor- tems. Tools zur Verwaltung und Diagnose,
controller. Haben Sie DNS entfernt, über- miert. Mit der Option "-LastDomain- die Unternehmen für Windows Server
prüfen Sie auf einem anderen DNS- ControllerInDomain" wählen Sie aus, 2016 eingesetzt haben, lassen sich auch in
Server in den Eigenschaften der DNS- ob es sich bei diesem Domänencontrol- Windows Server 2019 weiterhin nutzen.
Zone, dass der Server auf der Register- ler um den letzten seiner Domäne han- Auch die Vorgehensweisen für Installation,
karte Namenserver nicht mehr aufge- delt. In diesem Fall würde nicht nur der Verwaltung, Betrieb, Replikation und Feh-
führt wird. Entfernen Sie aber nicht den DC aus der Gesamtstruktur entfernt, lerbehebung sind identisch. (dr)
Hosteintrag des Servers, da dieser für die sondern die ganze Domäne. Haben Sie
Herabstufung noch benötigt wird. Ihre Auswahl getroffen, beginnt der As-
Link-Codes
- Stellen Sie sicher, dass der DC nicht an sistent mit der Herabstufung des DCs.
irgendeiner Stelle als Domänencontrol- [1] EventID
ler explizit eingetragen ist, zum Beispiel Sobald Sie das Active Directory vom Ser- cs1f1
auf einem Linux-Server oder einem Ex- ver entfernt haben, können Sie diesen neu [2] Experts Exchange
change-Server. starten. Nach der Herabstufung eines DCs cs1f2
- Entfernen Sie alle vom Active Directory wird dieser als Mitgliedsserver in die Do- [3] Microsoft Support
abhängigen Dienste wie VPN, Zertifi- mäne aufgenommen. Waren auf dem Ser- ds1s3
katstelle oder andere Programme, die ver Applikationen installiert, zum Beispiel [4] SolarWinds Permission Analyzer
for Active Directory
nach der Herabstufung nicht mehr Exchange, stehen diese nach dem Neu-
js2h4
funktionieren werden. start weiterhin zur Verfügung. Auch wenn
[5] PingCastle
ein herabgestufter Domänencontroller
js2h5
Handelt es sich bei diesem Server um ei- im Anschluss noch als Mitgliedsserver
[6] Netwrix Account Lockout Examiner
nen globalen Katalog, konfigurieren Sie verwendet werden kann, sollten Sie si-
js2h6
einen anderen Server als globalen Katalog cherheitshalber das Computerkonto aus
[7] Active Directory Recon
und entfernen Sie im Snap-in "Active Di- der Domäne entfernen und das Betriebs- js2h7
rectory-Standorte- und -Dienste" unter system neu auf dem Server installieren,

Cluster in Windows Server 2019
Einer für alle,

alle für einen!
von Thomas Joos
Da Cluster heutzutage viel öfter auf virtuellen Maschinen als auf

redundanter Hardware aufsetzen, überrascht es wenig,
dass die umfangreichsten Neuerungen für die Hochver-
fügbarkeitsoption die Cloud und im speziellen Azure
betreffen. Microsoft will auch im Cluster-Umfeld
Infrastrukturen fördern, die die Cloud nutzen.
Wir zeigen, wie ein Cluster unter Windows
Server 2019 lokal oder hybrid entsteht.
Quelle: scyther5 – 123RF
N
eben den technischen Neuerungen gleichzeitig und koordiniert auf eine freigabe eine Stimme erhalten. Die Freigabe
der Cluster, denen wir uns im An- gegebene Festplatte zuzugreifen. CSV war ist nicht im Cluster integriert und hilft
schluss zuwenden, ist eine der wichtigsten bisher für virtuelle Maschinen in einem dabei, ein Unentschieden zu verhindern.
Neuheiten das Windows Admin Center Cluster-Knoten, für SQL-Datenbanken Diese Technik mit der Bezeichnung "File
(WAC) als Administrationswerkzeug. Wir und Scale-Out-File-Server verfügbar, Share Witness" (FSW) ist auch in Win-
beschreiben das kostenlos verfügbare Cen- Windows Server 2019 bringt für die dows Server 2016 im Einsatz. In großen
ter ausführlich ab Seite 12. Wichtig ist an Funktion die Rolle "Microsoft Distributed Netzwerken ist das kein Problem, aber in
dieser Stelle, dass Sie die Cluster-Admi- Transaction Coordinator" (MSDTC). Da- kleinen Unternehmen, die zum Beispiel
nistration nunmehr auch im WAC vor- durch wird es für MSDTC ermöglicht, einen Zwei-Knoten-Cluster einsetzen, ist
nehmen können. Dort finden Sie alle not- Storage Spaces Direct (S2D) zusammen neben dem Cluster ein weiterer Server
wendigen Verwaltungsoptionen im Fail- mit Anwendungen wie SQL Server zu im Netzwerk notwendig, der die Datei-
overcluster-Manager. nutzen. Zusätzlich wird in Windows Ser- freigabe bereitstellt.
ver 2019 der CSV-Cache automatisch ak-
Neue Cluster-Funktionen in tiviert, was den Zugriff und die Verwen- In Windows Server 2019 kann Failover
Windows Server 2019 dung von Cluster-Ressourcen deutlich Clustering auch ein USB-Gerät nutzen,
Bisher war es nicht möglich, die Domä- beschleunigen kann. das mit dem Netzwerk verbunden ist.
nenmitgliedschaft eines Clusters ohne Das erleichtert die Bereitstellung von
weiteres zu ändern. Gemischte Domä- Windows Server 2019 kann die Hochver- kleinen Clustern für Abteilungen oder
nen-Cluster, also Cluster-Knoten als Mit- fügbarkeit durch neue Technologien wie in kleinen Netzwerken. Zusätzlich zu die-
glied in verschiedenen Domänen, werden den Zeugenserver verbessern. Dieser be- sem "USB File Share Witness" kann FSW
in Windows nicht unterstützt. Um die findet sich außerhalb des AD und hilft, unter schlechten Netzwerkverbindungen
Domänenmitgliedschaft zu ändern, muss- Probleme bei der Datenverarbeitung zu eingebunden werden. Das gibt dem FSW
te der Cluster bisher neu aufgebaut wer- vermeiden, wenn die Cluster-Knoten die Möglichkeit, in Clustern ohne Do-
den. Mit Windows Server 2019 können nicht mehr miteinander kommunizieren mänen, gemischten Domänen oder in ei-
Cluster-Administratoren Knoten und können. Wenn die Cluster-Knoten die ner DMZ ohne Zugriff auf einen Domä-
Cluster zwischen Active-Directory-Do- Verbindung untereinander verlieren, kann nencontroller abzustimmen. Das erhöht
mänen verschieben. Auch Cluster, in de- es zu Problemen bei der Abstimmung des die Sicherheit und verbessert die Stabilität
nen die Knoten Mitglied verschiedener Quorums kommen. des Clusters.
Domänen sind, werden unterstützt.
In einem Cluster mit einer geraden An- Durch "Cluster Compute Resiliency" und
Die Cluster-Shared-Volumes-Laufwerke zahl von Knoten und damit Stimmen im "Cluster Quarantine" verschiebt ein Win-
(CSV) ermöglichen es Cluster-Knoten, Quorum kann eine Netzwerk-Dateifrei- dows-Cluster seine Cluster-Ressourcen

Cluster Windows Server 2019
dem Cluster – entweder im Failoverclus-

ter-Manager oder per PowerShell mir Re-
move-ClusterNode Knoten. Danach instal-
lieren Sie Windows Server 2019 neu auf
dem Server. Eine Aktualisierung des Be-
triebssystems ist in diesem Fall nicht zu
empfehlen. Um von Windows Server
2012 R2 auf Windows Server 2019 zu ak-
tualisieren, ist wie erwähnt der Zwischen-
schritt Server 2016 notwendig.
Nachdem Sie das Betriebssystem instal-

liert haben, müssen Sie das System für
die Aufnahme in den Cluster vorberei-
ten. Installieren Sie alle Updates und
notwendigen Treiber und nehmen Sie
den Server wieder in das Active Di-
rectory auf. Sie können hier auch den
gleichen Servernamen verwenden. An
diesem Punkt läuft der Cluster im ge-
mischten Modus, da die restlichen Clus-
ter-Knoten noch auf Windows Server
Bild 1: Im neuen Windows Admin Center lassen sich auch Cluster aufbauen und administrieren. 2012 R2/2016 basieren.
nicht mehr unnötig zwischen Knoten, unterstützt ab dann Vorgängerversionen Zur Integration des neuen Servers in den
wenn ein Cluster-Knoten Probleme hat. wie Windows 2016 nicht mehr. Betrei- Cluster nutzen Sie die GUI oder die
Diese Technik wurde bereits mit Win- ben Sie noch Systeme unter Windows PowerShell:
dows Server 2016 eingeführt und mit Server 2012 R2, müssen Sie vor der Nut-
Version 2019 deutlich verbessert. Win- zung des Cluster Operating System Rol- Add-ClusterNode -Cluster Name des
dows versetzt einen Knoten in Isolation, ling Upgrade zunächst zu Windows Ser- Clusters
wenn das Betriebssystem erkennt, dass ver 2016 und von dort zur 2019-Variante
der Knoten nicht mehr stabil funktio- aktualisieren. Die funktionelle Cluster-Ebene bleibt
niert. Alle Ressourcen werden vom Kno- aktuell noch auf Windows Server 2012
ten verschoben und die Administratoren Zum Upgrade eines Clusters zu Windows R2/2016. Überprüfen Sie, ob alle Clus-
informiert. Der Network Controller in Server 2019 steht das Update-Cluster- ter-Knoten funktionieren. Auch dazu
Windows Server 2019 erkennt in diesem FunctionalLevel-Cmdlet zur Verfügung. können Sie die PowerShell verwenden
Zusammenhang auch fehlerhafte physi- Der Ablauf bei dieser Migration ist fol- (Get-ClusterNode).
sche und virtuelle Netzwerke und kann gender: Sie halten den Cluster-Knoten
entsprechend eingreifen. an. Alle virtuellen Maschinen oder an- Haben Sie alle Cluster-Knoten aktuali-
dere Ressourcen, die auf diesem Knoten siert, heben Sie die Cluster-Funktions-
Cluster-Knoten aktualisieren ausgeführt werden, erkennt der Cluster. ebene für Windows Server 2019 mit dem
Die mit Windows Server 2016 eingeführ- Wählen Sie im Kontextmenü des Knotens PowerShell-Cmdlet Update-Cluster-
te Funktion "Cluster Operating System "Anhalten / Rollen ausgleichen" oder nut- FunctionalLevel an. Ab jetzt können Sie
Rolling Upgrade" erlaubt die Aktualisie- zen Sie in der PowerShell dem Cluster aber keine Knoten mehr mit
rung von Cluster-Knoten zu Windows Windows Server 2012 R2/2016 hinzufü-
Server 2019, ohne dass Serverdienste im Suspend-ClusterNode Name des Knotens gen. Die Version des Clusters erfahren
Cluster ausfallen. Sie können Cluster- -drain Sie über
Knoten mit Windows Server 2019 in-
stallieren und in bestehende Cluster mit Die VMs und die anderen Cluster-Work- Get-Cluster | Select
Windows Server 2016 integrieren. Auch loads wandern so zu einem anderen Kno- UpdateFunctionalLevel
das Verschieben von Cluster-Ressourcen ten, der noch in Produktion ist.
und virtuellen Maschinen zwischen den Betreiben Sie einen Cluster mit Knoten
Cluster-Knoten ist möglich. Wenn alle Nun gilt es, das vorhandene Betriebssys- auf Basis von Windows Server 2012 R2,
Knoten auf Windows Server 2019 aktua- tem zu entfernen und eine Neuinstallation erhalten Sie über diesen Befehl den Clus-
lisiert sind, wird die Cluster-Konfigura- von Windows Server 2019 durchzufüh- ter-Level "8". Cluster mit Windows Server
tion auf die neue Version gesetzt und ren. Entfernen Sie dazu den Knoten aus 2016, ohne Knoten mit Windows Server

Windows Server 2019 Cluster
len" sind. Hier wählen Sie die Option

"Cloudzeugen konfigurieren".
Im nächsten Fenster geben Sie den Na-

men des Speicherkontos, das als Cloud-
zeuge verwendet soll, und den Zugriffs-
schlüssel ein. Danach schließt der Assis-
tent die Anbindung an Microsoft Azure
ab. Sie können den Vorgang auch mit der
PowerShell durchführen:
Set-ClusterQuorum
-CloudWitness
Bild 2: Um einen Cluster-Knoten zu aktualisieren, lässt er sich zeitweise und geplant anhalten. -AccountName StorageAccountName
-AccessKey StorageAccountAccessKey
2012 R2, können auf Level 9 gesetzt wer- Windows Server 2019 ist die Vorberei-
den. Cluster, die nur auf Windows Server tung des passenden Microsoft-Azure- Lassen sich die Cluster-Knoten nicht di-
2019 aufbauen, werden auf Level 10 ge- Storage-Accounts (Speicherkonto). Unter rekt anbinden, können Sie auch testweise
setzt. Hier lassen sich keine Knoten mehr diesem Konto wird das Blob-File gespei- eine Anbindung über einen Proxy durch-
mit Windows Server 2012 R2 oder Win- chert, das die Zeugendaten für den Clus- führen. Allerdings ist das nicht immer so
dows Server 2016 betreiben. ter aufbewahrt. einfach und funktioniert leider auch nicht
sehr stabil. Eine Anleitung dazu finden
Cluster-Sets nutzen Dazu legen Sie im Azure-Portal über den Sie im MSDN [1]. Sie können die erfolg-
In Windows Server 2019 lassen sich Clus- Assistenten zum Hinzufügen von neuen reiche Verknüpfung auch im Azure-Portal
ter in Gruppen, den Cluster-Sets, zusam- Ressourcen ein neues Speicherkonto an. überprüfen. Klicken Sie auf das Speicher-
menfassen, sodass beispielsweise Ressour- Wählen Sie im Bereich "Replikation" die konto und dann auf "Blobs", sehen Sie
cen zwischen den Clustern verschoben Option "Lokal redundanter Speicher den neuen Container "msft-cloud-wit-
und migriert werden können, wie etwa (LRS)" aus. Das Erstellen eines Speicher- ness". Dabei handelt es sich um den Con-
VMs im Live-Betrieb. Microsoft hat die kontos nimmt etwas Zeit in Anspruch. tainer für die Blob-Datei des Clusters.
Technologie eingeführt, da die meisten Wichtig zur Anbindung Ihrer Cluster- Klicken Sie auf den Container, sehen Sie
Unternehmen nicht die maximale Anzahl Knoten sind die Zugriffsschlüssel des die Zeugendatei. Der Name der Datei ist
von Cluster-Knoten nutzen, sondern eher Speicherkontos, die Sie im Azure-Portal die GUID des Clusters.
kleinere Cluster betreiben. abrufen, um diese auf den Cluster-Kno-
ten zu verwenden. Die beiden Schlüssel Im Failovercluster-Manager klicken Sie
Cluster-Sets ermöglichen es dabei, Clus- finden Sie über den Menüpunkt "Zu- auf den Cluster und sehen dann in der
ter in einem Netzwerk zu einem einzigen griffsschlüssel" in der Verwaltung des Mitte des Fensters bei "Hauptressourcen
logischen Management-Set für mehr Speicherkontos. Erstellen Sie ein Spei- des Clusters" den Cloudzeugen. Dieser
Ausfallsicherheit und Flexibilität zusam- cherkonto, dann erzeugt Azure auch muss als aktiv gekennzeichnet sein. Per
menzufassen. Dazu gehören das Clus- eine URL für den externen Zugriff im Doppelklick auf die Ressourcen rufen
ter- übergreifende Failover und eine ein- Format "https://Storage Account Name. Sie deren Eigenschaften auf. Hier muss
fachere Live-Migration zwischen den Storage Type.Endpoint". der "Status" die Option "Online" anzei-
Clustern für Wartungsarbeiten sowie ef- gen. In der PowerShell überprüfen Sie
fektivere Lastausgleiche. Ein neuer ver- Sobald Sie das Speicherkonto erstellt ha- die Konfiguration mit Get-Clusterquo-
teilter Namensraum auf einem Scale- ben, können Sie das Quorum des Clusters rum. Die wichtigsten Befehle zur Ver-
Out-Fileserver lässt sich ebenfalls über anpassen. Am schnellsten geht das, wenn waltung eines Clusters finden Sie in der
alle Cluster verteilen. Dies erleichtert die Sie im Failovercluster-Manager im Kon- gleichnamigen Tabelle.
Bereitstellung von VMs im Netzwerk. textmenü des Clusters die Option "Wei-
tere Aktionen / Clusterquorumeinstel- Besteht ein Failover-Cluster aus virtuellen
Zusammenarbeit mit Azure lungen konfigurieren" auswählen. Hier Maschinen, wird er als "Gast-Cluster" be-
Windows Server 2019 erlaubt den Be- können Sie über einen Assistenten die zeichnet. Gast-Cluster dienen dazu, einer
trieb von Zeugenservern (Witness) in Quorum-Konfiguration anpassen. Serveranwendung innerhalb einer VM –
Azure, was für global verteilte Cluster zum Beispiel einem virtuellen SQL Server
und Rechenzentren die Effizienz von Für die Anbindung an Microsoft Azure – eine hohe Verfügbarkeit zu bieten. Da
Clustern erheblich verbessern und die verwenden Sie "Erweiterte Quorumkon- Gast-Cluster vor allem in der Cloud zum
Verwaltung erleichtern kann. Grundlage figuration" und klicken auf "Weiter", bis Einsatz kommen, vereinfacht Windows
für Cloud Witness in einem Cluster mit Sie auf der Seite "Quorumzeuge auswäh- Server 2019 es, einen Gast-Cluster in

Azure zu erstellen. Es ist zum Beispiel lassen sich nicht parallel nutzen. Das gilt auch im Failovercluster-Manager in der
nicht mehr notwendig, die Konfiguration auch beim Einsatz von Windows Server Spalte "Priorität".
eines Loadbalancers durchzuführen. 2019 mit SCVMM 2019. Allerdings stellt
Gast-Cluster erkennen, wenn sie in Azure Node Fairness nur eine eingeschränkte Sie können die Einstellungen dazu auch
positioniert sind und vermeiden Ausfall- Möglichkeit dar, die Last im Cluster op- in der PowerShell anpassen. Alle zur Ver-
zeiten wegen geplanten Wartungsarbei- timal zu verteilen. Die dynamische Op- fügung stehenden Cmdlets dazu erhalten
ten. Auch verschieben Gast-Cluster die timierung in SCVMM bietet hier mehr. Sie über den Befehl Get-Command
virtuellen Maschinen des Clusters wäh- Unternehmen, die auf SCVMM zusam- *ClusterGroup*. Hier haben Sie auch die
rend eines Patchvorgangs automatisch men mit Windows Server 2019 setzen, Möglichkeit, VMs zu gruppieren und
zwischen Hosts in Azure. sollten daher die dynamische Optimie- dadurch zu einem Verbund zusammen-
rung verwenden. Ohne den Einsatz von zufassen. Außerdem können Sie über die
Lastenausgleich per SCVMM ist Node Fairness aber durch- Cmdlets Abhängigkeiten der Gruppen
Node Fairness aktivieren aus sinnvoll. In der PowerShell lässt sich definieren, zum Beispiel die Abhängig-
Wenn Sie einen Cluster mit Windows die Funktion mit dem nachfolgenden keit der Gruppe der Anwendungsserver
Server 2019 betreiben, steht Ihnen der Cmdlet steuern: von der Gruppe der SQL-Server. Dazu
automatische Lastenausgleich zur Ver- verwenden Sie das Cmdlet Add-Cluster-
fügung. Nach dessen Aktivierung kann (Get-Cluster).AutoBalancerMode = 1 GroupSetDependency.
Hyper-V VMs automatisch zu weniger oder 2
ausgelasteten Cluster-Knoten verschie- Ausfallsicherheit
ben. Dazu nutzt Windows Server 2019 Startreihenfolge im Cluster steuern
die Live-Migration. Die bestehenden der VMs anpassen Windows Server 2019 lässt im Cluster ef-
Server bleiben dabei gestartet. Die Funk- In Windows Server 2019 legen Sie darü- fizientere Steuerungen bezüglich der Ver-
tion wurde in Windows Server 2016 ein- ber hinaus auch ohne SCVMM die Start- fügbarkeit zu. Denn nicht immer ist das
geführt und mit Windows Server 2019 reihenfolge von VMs im Cluster fest. sofortige Verschieben von VMs zu einem
verbessert. Dazu klicken Sie die VMs im Failover- anderen Cluster-Knoten ideal, nur weil
cluster-Manager mit der rechten Maus- ein Knoten kurzzeitig Probleme hat.
Die sogenannte Node Fairness misst da- taste an und wählen die Option "Start- Selbst wenn ein Verschieben mit der Live-
zu die Auslastung des Arbeitsspeichers priorität ändern". Sie sehen die Priorität Migration erfolgt, ist ein Failback teilweise
und der CPU im Cluster. Die ebenfalls nicht sinnvoll, wenn
Aktivierung dieser Funktion der ursprüngliche Knoten noch
nehmen Sie im Failovercluster- Probleme hat, zum Beispiel bei
Manager vor oder über die kurzzeitigen Netzwerkproble-
PowerShell. Im Failovercluster- men in einem Cluster.
Manager finden Sie die Einstel-
lung in den Eigenschaften des Erkennt ein Cluster mit Win-
Clusters auf der Registerkarte dows Server 2019, dass ein Kno-
"Ausgleichsmodul". ten kurzzeitig nicht mehr rea-
giert, erhält dieser den Status
Auf Basis der Node-Fairness- "Isoliert". Hat ein Knoten über
Informationen kann der Cluster mehrere Stunden häufiger mit
einzelne VMs oder ganze Grup- Ausfällen zu kämpfen, wird er in
pen auf andere, weniger ausge- Quarantäne versetzt. Win-dows
lastete Hosts verteilen. Dazu Server 2019 verschiebt dann die
sind keine Zusatzprodukte wie VMs des Knotens mit der Live-
System Center Virtual Machine Migration auf andere Knoten.
Manager (SCVMM) notwendig.
Liegt die Auslastung von CPU Um diese Quarantäne mit der
oder Arbeitsspeicher über ei- PowerShell manuell zu been-
nem bestimmten Bereich, mi- den, verwenden Sie
griert der Cluster über die Live-
Migration die VMs automatisch Start-ClusterNode -Clear-
auf weniger stark ausgelastete Quarantine
Knoten.
Die aktuellen Einstellungen des
Node Fairness und die dynami- Bild 3: Windows Server 2019 hat ein eigenes Clusters sehen Sie in der Power-
sche Optimierung von SCVMM Lastenausgleichsmodul an Bord. Shell mit dem Befehl

Get-Cluster | fl Res* bindung erfolgt dann über Storage Spa- auf einem gemeinsamen Datenträger in
ces Direct zwischen den angebundenen einem physischen Cluster gespeichert
Der Wert "ResiliencyDefaultPeriod" de- Datenspeichern. sein müssen.
finiert dabei, wie lange VMs in Sekun-
den isoliert laufen dürfen, "Resiliency- Um S2D in produktiven Umgebungen Betreiben Sie Hyper-V in einem Cluster,
Level" legt das Verhalten des Clusters zu verwenden, benötigen Unternehmen können Sie sicherstellen, dass beim Aus-
fest und der Standardwert "AlwaysIso- spezielle Hardware – vor allem kompa- fall eines physischen Hosts alle virtuellen
late" zeigt an, dass Knoten immer erst tible Netzwerkkarten, die RDMA be- Server durch einen weiteren Host auto-
isoliert werden, bevor der Cluster alle herrschen. In Testumgebungen lassen matisch übernommen werden. Dazu
VMs isoliert. sich aber auch virtuelle Server, virtuelle betreiben Sie die virtuellen Server als
Festplatten und virtuelle Netzwerkkar- Cluster-Ressourcen. Beim Einsatz von
Failoverclustering mit ten ohne besondere Hardware nutzen. virtuellen Clustern können Sie Fehler in
Server 2019 planen Das ist für den produktiven Einsatz na- Servern ebenfalls abfangen, allerdings kei-
Windows Server 2019 unterstützt den türlich nicht zu empfehlen. ne Fehler der Hardware, da der Cluster
Betrieb als Geo-Cluster. In einer solchen virtuell abgebildet ist.
Umgebung laufen Cluster-Knoten in ver- Hyper-V-Cluster mit
schiedenen Ländern und synchronisie- Windows Server 2019 Natürlich lassen sich die virtuellen Clus-
ren ihre Daten. Microsoft hat dazu die Windows Server 2019 erlaubt wie seine ter-Knoten auch auf physischen Clustern
Replikation der Daten zwischen Clus- Vorgänger, auch mit der Standard-Edi- betreiben. In diesem Fall sind die VMs
ter-Knoten verbessert. Storage-Pools tion einen Cluster aufzubauen. Sie kön- vor einem Ausfall der Hardware geschützt
lassen sich auf verschiedene Server aus- nen weiterhin für Cluster auf gemein- und die virtuellen Cluster-Dienste, zum
dehnen und die Daten synchron und same Datenträger setzen, auch wenn Sie Beispiel ein Dateiserver, vor dem Ausfall
asynchron replizieren. einen virtuellen Cluster betreiben. Da- des virtuellen Betriebssystems auf einem
rüber hinaus haben Sie die Möglichkeit, virtuellen Cluster-Knoten.
Durch den Betrieb von drei Knoten in auf einem Server VHDX-Festplatten als
einem Cluster, bei drei identisch ge- gemeinsamen Datenspeicher für Cluster iSCSI-Ziele über virtuelle Fest-
wählten Servern, können die beiden an- auf Basis eines iSCSI-Ziels zu definieren. platten zur Verfügung stellen
deren Knoten den Ausfall eines Knotens Seit Windows Server 2012 R2 können Windows Server 2019 kann virtuelle Fest-
verkraften. In diesem Fall haben die Sie auch VHDX-Festplatten als iSCSI- platten auf Basis von VHDX-Dateien als
Knoten im Cluster eine Leistung von Ziel definieren. Vorteil von iSCSI-Zielen iSCSI-Ziel im Netzwerk zur Verfügung
66 Prozent, die restlichen 34 Prozent als gemeinsamer Datenträger ist, dass stellen, das sich als gemeinsamer Daten-
dienen dem Ausfallschutz, wenn einer Sie physische Cluster anbinden können, träger für Cluster nutzen lässt. Sie konfi-
der Knoten schlapp macht. Insgesamt während die gemeinsamen VHDX-Fest- gurieren dies im Server-Manager über
lassen sich bis zu 64 Knoten in einem platten (Shared-VHDX) nur virtuelle "Verwalten / Rollen und Features hinzu-
Cluster zusammenfassen. Nachdem Sie Cluster unterstützen. Außerdem muss fügen", indem Sie den Rollendienst
Ihre benötigte Leistung ermittelt haben, beim Einsatz von Shared-VHDX der vir- "iSCSI-Zielserver über Datei- und Spei-
sollte dieser Wert in die Planung der tuelle Server zwingend auf einem Clus- cherdienste/Datei- und iSCSI-Dienste"
Knoten einfließen. ter betrieben werden. installieren. Anschließen legen Sie über
den Server-Manager und die Auswahl
Cluster in Windows Server 2019 beherr- Sie können in Windows Server 2019 Hy- von Datei-/Speicherdienste / iSCSI" vir-
schen Dynamic I/O: Fällt die Datenver- per-V im Cluster betreiben und virtuelle tuelle Festplatten an und machen diese
bindung eines Knotens aus, kann der Server als Cluster-Ressourcen nutzen. als iSCSI-Ziel im Netzwerk verfügbar.
Cluster den Datenverkehr, der für die Die Verwaltung erfolgt dann entweder
Kommunikation zu den virtuellen Com- über die PowerShell, die Cluster-Verwal- Im Rahmen der Einrichtung legen Sie die
putern im SAN notwendig ist, automa- tung oder das Windows Admin Center. Größe und den Speicherort der VHD(X)-
tisch über die Leitungen des zweiten Kno- Um mit Hyper-V virtualisierte Server Datei fest. Außerdem steuern Sie über
tens routen, ohne dazu ein Failover mit Hochverfügbarkeit zu versorgen, ist den Assistenten, welche Server im Netz-
durchführen zu müssen. die Live-Migration im Cluster ein pro- werk auf das iSCSI-Ziel zugreifen dürfen.
bates Mittel. Die Live-Migration können Wollen Sie die Festplatten als Cluster-Da-
Seit Windows Server 2016 ist es nicht Sie mit einem gemeinsamen physischen tenträger nutzen, können Sie hier den Zu-
mehr notwendig, dass die einzelnen Datenträger, mit iSCSI-Zielen aber auch griff einschränken. Mit einem einzelnen
Knoten eines Windows-Clusters phy- mit Storage Spaces Direct einrichten. Die SCSI-Ziel können Sie auch mehrere vir-
sisch mit dem Datenträger verbunden gemeinsamen Festplatten auf Basis von tuelle iSCSI-Festplatten auf einem Server
sind. Daher lassen sich jetzt auch ver- Shared-VHDX unterstützen keine Clus- zur Verfügung stellen. Dazu starten Sie
schiedene Systeme und Festplattenstan- ter für die Live-Migration in Hyper-V. den Assistenten einfach neu und wählen
dards miteinander vermischen. Die Ver- Dazu kommt, dass Shared-VHDX-Disks ein bereits vorhandenes Ziel aus.

Haben Sie die einzelnen virtuellen Fest- "OK". Wenn Sie einen Cluster mit iSCSI erfolgt als Feature über den Server-Ma-
platten erstellt und dem oder den entspre- erstellen, verbinden Sie das Ziel auch nager, die PowerShell oder im WAC.
chenden iSCSI-Ziel(en) zugewiesen, ver- auf dem zweiten Server, und allen wei- Während der Installation nehmen Sie
binden Sie diese auf den Cluster-Knoten. teren Cluster-Knoten, die Sie in den keine Einstellungen vor. Achten Sie da-
Die virtuellen Festplatten werden anschlie- Cluster einbinden wollen. rauf, dass die gemeinsamen Datenträger
ßend in der lokalen Datenträgerverwal- auf allen Knoten verbunden und mit
tung des Servers als normale Laufwerke Cluster mit Windows dem gleichen Laufwerksbuchstaben ver-
angezeigt und entsprechend verwaltet. Server 2019 installieren sehen sind. Um die notwendigen Fea-
Ein Cluster benötigt in Windows Server tures für einen Hyper-V-Cluster über
Um auf Cluster-Knoten die virtuellen 2019 – abhängig von der Konfiguration – die PowerShell zu installieren, geben Sie
iSCSI-Laufwerke zu verbinden, verwen- ein Quorum, also einen gemeinsamen Da- die folgenden Cmdlets ein:
den Sie den iSCSI-Initiator, der zu den tenträger, auf den alle Cluster-Knoten zu-
Bordmitteln von Windows Server 2019 greifen können. Es gibt auch Wege, die Install-WindowsFeature Hyper-V
gehört. Suchen Sie nach "iscsi" im Start- lokalen Datenträger des Clusters zu ver-
menü und starten Sie das Tool. Beim ers- wenden – dazu später mehr. Sie brauchen Install-WindowsFeature Failover-
ten Aufruf müssen Sie den Start des ent- auch einen Namen für den Cluster. Dieser Clustering -IncludeManagementTools
sprechenden Systemdiensts bestätigen Name erhält kein Computerkonto, wird
und die Blockierung durch die Windows- aber für die Administration des Clusters Install-WindowsFeature Multipath-IO
Firewall aufheben. verwendet. Jeder Knoten des Clusters erhält
ein Computerkonto in derselben Domäne. Alle PowerShell-Befehle für Cluster finden
Im ersten Schritt wechseln Sie zur Regis- Daher benötigt jeder physische Knoten ei- Sie in der Tabelle auf Seite 36. Starten Sie
terkarte "Suche", klicken auf "Portal er- nen entsprechenden Rechnernamen. nach der Installation der notwendigen Fea-
mitteln" und geben die IP-Adresse oder tures auf dem ersten Cluster-Knoten die
den Namen des Servers ein, auf dem Sie Sie brauchen für den Cluster mehrere IP- Failovercluster-Verwaltung durch Eingabe
die virtuellen Festplatten zur Verfügung Adressen: Jeder physische Knoten ver- von failover im Startmenü. Das gleiche er-
stellen. Wechseln Sie dann zur Register- wendet je eine IP-Adresse, der Cluster als reichen Sie über die Cluster-Verwaltung
karte "Ziele". Hier zeigt Windows das Ganzes erhält eine IP-Adresse und die und über den Server-Manager im Menü
iSCSI-Ziel auf dem Server an. Anschlie- Netzwerkkarten für die private Kommu- "Tools". Klicken Sie in der Failovercluster-
ßend können Sie das Ziel mit den hinter- nikation des Clusters erhalten – und dies Verwaltung auf den Link "Konfiguration
legten Laufwerken verbinden, die Sie auf ist besonders wichtig – je eine IP-Adresse überprüfen". Sie wählen im Fenster zu-
dem Ziel-Server mit dem iSCSI-Ziel ein- in einem getrennten Subnetz. In Testum- nächst die potenziellen Cluster-Knoten aus
gerichtet haben. gebungen können Sie auch mit einer ein- und legen fest, welche Tests das Tool durch-
zelnen Netzwerkumgebung arbeiten. Die- führen soll. Für Testzwecke kann ein Clus-
Dazu klicken Sie auf die Schaltfläche se übernimmt die Kommunikation mit ter auch nur aus einem einzelnen Knoten
"Verbinden". Damit baut der Server eine dem Netzwerk und die interne Kommu- bestehen. Das Testen der Server für die
Verbindung mit dem Server und den er- nikation im Cluster und Sie müssen Clusterinstallation ist der erste Schritt zum
stellten virtuellen Festplatten auf. Jetzt nichts anpassen. Erstellen eines Clusters.
aktivieren Sie das Kontrollkästchen
"Diese Verbindung der Liste der bevor- Um Hyper-V oder andere Dienste in ei- Nachdem der Assistent alle wichtigen
zugten Ziele hinzufügen". Diese Option nem Cluster zu betreiben, installieren Punkte erfolgreich getestet hat, erstellen
muss für alle Laufwerke eingestellt wer- Sie zunächst einen herkömmlichen Sie den Cluster. In der PowerShell lautet
den. Bestätigen Sie dann alle Fenster mit Cluster mit Windows Server 2019. Dies die Syntax dazu:
Bild 4: Alle Cluster-Dienste lassen sich unter Windows Server 2019 auch in der PowerShell verwalten.

New-Cluster -Name Cluster- die derzeit aktuellen Knoten so-

Name -StaticAddress IP- wie der Knoten, der die Clus-
Adresse des Clusters -Node ter-Ressourcen aktiv verwaltet
Knoten 1, Knoten 2 dargestellt. Der zweite Knoten
steht offline zur Verfügung,
Beim Erstellen des Clusters ge- wenn Sie das entsprechend kon-
ben Sie zunächst dessen Namen figuriert haben. Hier fügen Sie
sowie die IP-Adresse ein. Der dem Cluster auch neue Daten-
Name des Clusters wird zur träger hinzu oder schalten vor-
Verwaltung genutzt und mit der handene Ressourcen offline.
IP-Adresse greifen Sie auf den
Cluster zu. In einer Produktivumgebung
sollten Sie auf jeden Fall den
Cluster Shared Konsoleneintrag "Netzwerke"
Volumes aktivieren aufrufen, in dem Sie Sie die öf-
Bei der Live-Migration und fentlichen und privaten Verbin-
dem Betrieb von Hyper-V im dungen des Clusters verwalten.
Cluster sorgen Cluster Shared In den Eigenschaften der Ver-
Volumes dafür, dass mehrere bindungen ist eingestellt, ob
Server gleichzeitig auf einen ge- diese den Clients zum Verbin-
meinsamen Datenträger zugrei- dungsaufbau, nur für den He-
fen können. Um Hyper-V mit artbeat oder für beides zur Ver-
Live-Migration in einem Clus- fügung stehen. Über die private
ter zu betreiben, aktivieren Sie Verbindung soll der Heartbeat
daher Cluster Shared Volumes. Bild 5: Über die Eigenschaften eines Clusters lassen sich des Clusters laufen.
Windows legt dann auf der Be- die zur Verfügung stehenden Ressourcen steuern.
triebssystempartition im Ord- Markieren Sie dazu erst die Pri-
ner "ClusterStorage" Daten ab. Diese tungen des zweiten Knotens routen, oh- vate-, dann die Public-Verbindung und
liegen aber nicht tatsächlich auf der C- ne dazu ein Failover durchführen zu rufen Sie die Eigenschaften auf. Achten
Festplatte des Knotens, sondern auf dem müssen. Sie können einen Cluster so Sie darauf, dass bei der privaten Verbin-
gemeinsamen Datenträger, dessen Abruf konfigurieren, dass die Cluster-Knoten dung nur die Option "Netzwerkkommu-
auf den Ordner "C:\ClusterStorage" um- den Netzwerkverkehr zwischen den nikation für Cluster in diesem Netzwerk
geleitet ist. Die VHD(X)-Dateien der VMs Knoten und zu den CSV priorisiert. zulassen" aktiviert ist. Dadurch ist sicher-
liegen in diesem Ordner und sind daher gestellt, dass dem Heartbeat ein privater
von allen Knoten gleichzeitig zugreifbar. Erste Verwaltungsaufgaben Kanal im Netzwerk zur Verfügung steht.
Fällt eine Netzwerkverbindung zum SAN im Cluster
von einem Knoten aus, verwendet der Klicken Sie den Namen des Clusters in Bei den Eigenschaften der Public-Ver-
Knoten alternative Strecken über andere der grafischen Verwaltungsoberfläche der bindung sollten Sie die Option "Netz-
Knoten. Die virtuellen Maschinen, deren Cluster-Verwaltung mit der rechten Maus- werkkommunikation für Cluster in die-
Dateien im CSV liegen, laufen uneinge- taste an, können Sie die Eigenschaften sem Netzwerk zulassen" und die Option
schränkt weiter. des Clusters überprüfen und anpassen. "Clients das Herstellen einer Verbindung
Ebenso bietet das Kontextmenü zahlrei- über dieses Netzwerk gestatten" aktivie-
Um CSV für einen Cluster zu aktivieren, che Verwaltungsmöglichkeiten an. Auf ren, damit auf jeden Fall sichergestellt
starten Sie das Verwaltungsprogramm der Registerkarte "Allgemein" in den Ei- ist, dass die Cluster-Verbindung intern
für den Failovercluster. Dort klicken Sie genschaften des Clusters passen Sie bei- funktioniert, auch wenn eine private
mit der rechten Maustaste im Bereich spielsweise den Namen des Clusters an Netzwerkkarte ausfällt. Bei einer fast per-
"Speicher / Datenträger" auf den Daten- und über die Registerkarte "Ressourcen- fekten Ausfallsicherheitskonfiguration
träger, den Sie für Hyper-V nutzen wol- typen" definieren Sie, welche Windows- verfügt jeder Cluster-Knoten über min-
len und wählen "Zu freigegebenen Clus- Ressourcen dem Cluster zur Verfügung destens drei Netzwerkkarten. Eine Karte
tervolumes hinzufügen". Cluster in stehen. Mit der Registerkarte "Clusterbe- dient der internen Kommunikation, eine
Windows Server 2019 beherrschen "Dy- rechtigungen" steuern Sie den adminis- ausschließlich der privaten und die dritte
namic I/O". Fällt die Datenverbindung trativen Zugriff auf den Cluster. garantiert die Ausfallsicherheit und ist
eines Knotens aus, kann der Cluster den für den gemischten Modus aktiviert.
für die Kommunikation zu den virtuel- Über den Menüpunkt "Speicher" im Fai-
len Computern im SAN notwendigen lovercluster-Manager sehen Sie die ge- Um weitere Laufwerke im Cluster zur
Datenverkehr automatisch über die Lei- meinsamen Datenträger. Hier sind auch Verfügung zu stellen, integrieren Sie diese

in die Cluster-Verwaltung. Zuvor müssen stallation von der Quelle, die Sie in den Zusätzlich müssen Sie auf allen Cluster-
Sie die Laufwerke aber auf allen Knoten Gruppenrichtlinien angegeben haben. Knoten, die an CAU teilnehmen sollen,
verfügbar machen. Bereits integrierte Ohne WSUS greift CAU auf die interne eine eingehende Firewallregel erstellen.
Laufwerke sehen Sie, wenn Sie den Me- Updatefunktion von Windows Server Als Regeltyp verwenden Sie "Vordefiniert /
nübefehl "Speicher / Datenträger" aufru- 2019 zu. Wichtig zu wissen ist noch, dass Remoteherunterfahren". Das Verwal-
fen. Hier zeigt der Failovercluster-Mana- CAU nur die Updates automatisiert in- tungsprogramm für die Firewall starten
ger alle bereits integrierten Laufwerke stallieren kann, die auch über Windows Sie durch Eingabe von wf.msc. Ist die Re-
und deren Status an. Wählen Sie nach ei- Update installiert werden können. gel schon vorhanden, können Sie diese
nem Klick mit der rechten Maustaste im über das Kontextmenü einfach aktivieren.
Kontextmenü die Option"Speicher / Da- Durch die Konfiguration von CAU in ei- Der Sinn der Regel soll sein, dass der
tenträger", können Sie mit "Datenträger nem Cluster erstellen Sie eine neue Rolle, CAU-Dienst die einzelnen Cluster-Kno-
hinzufügen" neu installierte Datenträger die zukünftig Software-Aktualisierungen ten bei Bedarf auch neu starten kann,
in den Cluster integrieren. vollkommen selbständig durchführen nachdem Updates installiert sind.
kann. Diese Serverrolle ist der zentrale
Cluster Aware Bestandteil bei der automatisierten Ak- Haben Sie diese Einstellung vorgenom-
Update einrichten tualisierung der Cluster-Knoten und men, suchen Sie im Startmenü nach dem
Mit "Cluster Aware Update" (CAU) in- übernimmt auch die Konfiguration des Einrichtungsprogramm von "Clusterfähi-
stallieren Sie Updates auf Windows-Clus- Wartungsmodus auf den einzelnen Clus- ges Aktualisieren" und starten das Tool.
tern, ohne dass Serverdienste ausfallen. ter-Knoten, kann Cluster-Knoten neu Mit diesem Programm nehmen Sie die
CAU ist ab Windows Server 2012 nutzbar, starten, Cluster-Rollen wieder auf die kor- grundlegenden Settings für CAU vor. Im
unterstützt allerdings alle Cluster-fähigen rekten Cluster-Knoten verschieben und ersten Schritt lassen Sie sich mit dem Clus-
Anwendungen. Außerdem können Sie mehr. Das Verschieben von Cluster-Rol- ter verbinden, für den Sie CAU aktivieren
CAU auch mit System Center Configu- len auf andere Knoten entspricht einem wollen. Danach klicken Sie auf den Link
ration Manager (SCCM) 2012, 2012 R2, geplanten Failover der Rollen. "Vorbereitung auf das Clusterupdate ana-
2016 und 2019 verwenden. Sie müssen lysieren". Der Assistent überprüft im An-
allerdings darauf achten, dass sich die Vor der Einrichtung von CAU sollten Sie schluss, ob Sie CAU im Cluster aktivieren
Softwareaktualisierungs-Komponente in genau überprüfen, ob einzelne Server- können und ob alle wichtigen Vorausset-
SCCM nicht mit einer CAU-Installation dienste oder Cluster-Rollen Probleme da- zungen getroffen sind.
überschneidet. Sie können bei der Kon- mit haben, wenn ein Failover ausgelöst
figuration nur den kompletten zu aktua- wird. Vor allem beim Betrieb von Hyper- Haben Sie sich mit dem gewünschten
lisierenden Cluster auswählen. V-Clustern sollten Sie im Vorfeld die ein- Cluster verbunden und die Analyse
zelnen VMs auf Kompatibilität mit einem durchgeführt, starten Sie anschließend
Wollen Sie nur einzelne Knoten aktuali- Failover überprüfen. CAU kann auch nur die Einrichtung über einen Assistenten.
sieren, können Sie CAU nicht verwenden. die Cluster-Knoten selbst aktualisieren, Diesen rufen Sie mit "Selbstaktualisie-
Hier müssen Sie manuell die Windows- nicht aber die einzelnen virtuellen Server rungsoptionen des Clusters konfigurie-
Update-Funktion über Skripte steuern in einem Hyper-V-Cluster. Hier sollten Sie ren" auf. Auf der ersten Seite des Assis-
und ebenfalls per Skript die aktiven Clus- mit WSUS und Windows-Update-Einstel- tenten erhalten Sie eine Information, was
ter-Rollen auf andere Knoten verschieben. lungen über Gruppenrichtlinien arbeiten. der Assistent alles konfiguriert.
Der System Center Virtual Machine Ma-
nager (SCVMM) verfügt ebenfalls über Erstellen Sie zunächst im Snap-In "Active Auf der nächsten Seite aktivieren Sie die
eine Komponente, um Hyper-V-Cluster Directory-Benutzer und -Computer" ein Option "Selbstaktualisierungsoptionen
zu aktualisieren. Diese Funktion lässt sich neues Computerobjekt. Dieser Vorgang des Clusters konfigurieren". Danach ak-
aber nur mit SCVMM und mit Hyper-V ist zwar optional, denn das Computerob- tivieren Sie die Option "Ich habe das
nutzen, andere Cluster-Dienste können jekt kann später auch der Assistent für Computerobjekt für die CAU-Cluster-
Sie mit SCVMM nicht automatisch ak- CAU selbst erstellen, es stellt allerdings rolle vorab bereitgestellt", wenn Sie die-
tualisieren lassen. die Grundlage für die neue Cluster-Rolle sen Schritt bereits selbst durchgeführt
zur Einrichtung der automatischen Ak- haben. Geben Sie im Feld den Namen
Standardmäßig nutzt CAU die API für tualisierung dar. Sie müssen keine Ein- des Computerobjekts ein, das Sie im
den Windows-Update-Agenten. Das stellungen für das Objekt vornehmen, Vorfeld angelegt haben. Der Assistent
heißt, Sie müssen zusätzlich zur Konfi- sondern es nur erstellen. Die Konfigura- kann das Objekt auch automatisch er-
guration von CAU noch festlegen, wie tion nehmen Sie später bei der CAU-Ein- stellen, was die Konfiguration in Test-
die Updates installiert werden sollen. richtung vor. Verwenden Sie als Beispiel umgebungen vereinfacht. In produkti-
Dazu verwenden Sie am besten eine den Namen des Clusters mit der Erwei- ven Umgebungen ist es jedoch meistens
WSUS-Infrastruktur und Gruppenricht- terung CAU, zum Beispiel "Cluster-CAU". sinnvoll, solche Aufgaben im Vorfeld zu
linien. CAU greift auf die entsprechen- Später wird das Computerobjekt mit dem erledigen. Oft gibt es auch verschiedene
den Updates zu und holt diese zur In- Cluster verbunden. Administratorengruppen für Cluster

Aktualisierung vom Cluster-Dienst ge-

Befehle zur Cluster-Verwaltung startet werden sollen. Über die Skripte
lassen sich zum Beispiel automatisiert E-
Aufgabe Eingabeaufforderung PowerShell
Mails versenden oder bestimmte Dienste
Cluster-Eigenschaften anzeigen cluster /prop Get-Cluster überprüfen. Am besten arbeiten Sie hier
mit PowerShell-Skripten. Ein so inte-
Cluster erstellen cluster /create New-Cluster griertes Skript läuft vor dem Update auf
Cluster löschen cluster /destroy Remove-Cluster jedem einzelnen Cluster-Knoten, bevor
Cluster-Knoten hinzufügen cluster /add Add-ClusterNode der entsprechende Knoten angehalten
Cluster herunterfahren cluster /shutdown Stop-Cluster und aktualisiert wird.
Cluster-Quorum verwalten cluster /quorum Get-ClusterQuorum
Set-ClusterQuorum
Das Skript startet nach dem Update auf je-
Status von Cluster-Knoten cluster node /status Get-ClusterNode |fl *
dem einzelnen Cluster-Knoten, nachdem
Cluster-Knoten anhalten cluster node /pause Suspend-ClusterNode
CAU die Updates installiert hat. Die erwei-
Cluster-Knoten fortsetzen cluster node /resume Resume-ClusterNode
terten Einstellungen müssen Sie allerdings
Cluster-Knoten starten cluster node /start Start-ClusterNode
nicht erst bei der Einrichtung von CAU
Cluster-Knoten stoppen cluster node /stop Stop-ClusterNode
vornehmen. Der Assistent zum Aktivieren
Cluster-Knoten entfernen cluster node /evict Remove-ClusterNode
von CAU enthält auch einen Update-Aus-
Cluster-Informationen nach cluster node /forcecleanup Clear-Clusternode
führungseditor. Mit diesem bereiten Sie die
dem Löschen bereinigen
Einstellungen vor, speichern diese als XML-
Cluster-Gruppen anzeigen cluster group Get-ClusterGroup
Datei und verwenden bei der Einrichtung
Eigenschaften von cluster group /prop Get-ClusterGroup |fl *
Cluster-Gruppen von CAU einfach diese XML-Datei.
Erstellen von Cluster-Gruppen cluster group Name /create Add-ClusterGroup
Add-ClusterFileServerRole Auf der nächsten Seite legen Sie fest, wie
Add-ClusterPrintServerRole sich der Cluster-Dienst mit empfohlenen
Add-ClusterVirtualMachineRole
Updates befassen soll und ob diese die glei-
Hilfe über: che Rolle spielen wie wichtige Updates. Sie
können hier gezielt bestimmen, wie die
Get-Help Add-Cluster*role
Installation von Updates erfolgen soll. Im
Cluster-Gruppe löschen cluster group Name /delete Remove-ClusterGroup Name
Anschluss erhalten Sie eine Zusammen-
Cluster-Gruppe online/offline cluster group Name /online Start-ClusterGroup Name
fassung und der Dienst wird schließlich
schalten /offline Stop ClusterGroup Name
erstellt. Startet CAU ein Update, führt der
Cluster-Gruppe auf anderen cluster group Name move Move-ClusterGroup
Dienst ein Failover für die Cluster-Rollen
Knoten verschieben
cluster resource /prop Get-ClusterResource |fl *
durch. Nachdem ein Knoten aktualisiert
Cluster-Ressourcen anzeigen
cluster resource Name /create Add-ClusterResource
wurde, werden die Cluster-Rollen durch
Erstellen/Löschen
einer Cluster-Ressource /delete Remove-ClusterResource ein Failback wieder auf den ursprünglichen
Cluster-Ressource online/ cluster resource Name /online Start-ClusterResource Cluster-Knoten zurück verschoben.
offline schalten /offline Stop-ClusterResource
Cluster-Netzwerk verwalten cluster network /prop Get-ClusterNetwork CAU in der PowerShell steuern
Neben der Aktualisierung mit der Power-
und Active Directory. In diesem Fall ist tualisierung nur dann gestartet wird, Shell können Sie CAU auch mit anderen
es ebenfalls sinnvoll, vorher das Objekt wenn alle Cluster-Knoten online sind Cmdlets verwalten. Sie können in der
durch berechtigte Administratoren an- und zur Verfügung stehen. Das ist vor PowerShell zum Beispiel CAU mit Add-
legen zu lassen. allem dann wichtig, um andere War- CauClusterRole einrichten oder einen Be-
tungsarbeiten auszuschließen. Bei der richt mit Export-CauReport exportieren.
Auf der nächsten Seite legen Sie den Installation von Patches muss CAU, die Alle interessanten Cmdlets inklusive Hilfe,
Zeitplan fest, nach dem sich der Cluster auf dem Cluster-Knoten betriebenen erhalten Sie über
und die einzelnen Knoten automatisiert Ressourcen auf andere Server im Cluster
aktualisieren sollen. Natürlich hängt die- verschieben. Idealerweise sollten dann get-command -module
se Aktualisierung auch von der Verfüg- die anderen Knoten auch zur Verfügung ClusterAwareupdating
barkeit der Updates ab. Auf der Seite "Er- stehen. Dazu aktivieren Sie die Option
weiterte Optionen" können Sie weitere "True" bei "RequireAllNodesOnline". Link-Codes
Einstellungen vornehmen, um CAU in-
dividuell anzupassen – diese sind aber Skripte hinterlegen [1] Netsh.exe and ProxyCfg.exe
Proxy Configuration Tools
optional. Sinnvoll ist hier zum Beispiel Weitere Möglichkeiten sind das Hinter-
h1z31
die Option, die überprüft, dass die Ak- legen von Skripten, die vor oder nach der
36 Sonderheft II/2019 Link-Codes eingeben auf www.it-administrator.de

Geben Sie in den Eigenschaften des Objekts startet und dann die Ressourcen wieder Die Befehle in der PowerShell sind meistens
dem Cluster-Konto volle Zugriffsrechte auf zurück übertragen. Danach wird der nächs- schneller:
das neue CAU-Konto. Alternativ lassen Sie te Knoten aktualisiert und so weiter.
den Assistenten selbst das Computerobjekt Invoke-CauScan | ConvertTo-Xml
erstellen. In diesem Fall werden die Rechte Updates mit CAU planen
durch den Assistenten gesetzt. Lassen Sie CAU unterstützt verschiedene Aktualisie- Get-CauReport | Export-CauReport
bei Fehlern einfach die Analyse noch einmal rungsmodi zur Planung der Updates. Mit
durchführen und nehmen Sie die gleichen der Remote-Aktualisierung starten Sie ma- Entsprechende Optionen finden Sie auch
Einstellungen erneut vor. nuell eine Aktualisierung für den Cluster. direkt in der grafischen Benutzeroberflä-
Dazu greifen Sie auf die Benutzeroberfläche che. Die Cmdlets und die grafische Ober-
Auch bei weiteren Tests sollten keine Fehler oder das Invoke-CauRun-Cmdlet in der fläche stehen zur Verfügung, wenn Sie die
mehr erscheinen. Welche Patches der PowerShell zurück. Die Remote-Aktualisie- Verwaltungstools für Cluster installieren.
Dienst schließlich installiert, steuern Sie rung ist der Standardaktualisierungsmodus
durch Freigabe derselben auf einem WSUS- für CAU. Mit der Aufgabenplanung können Wollen Sie die Updates aus dem Internet
Server. Alternativ aktivieren Sie die lokale Sie auch das Invoke-CauRun-Cmdlet zu ei- herunterladen lassen, ohne dem Cluster
Updateverwaltung auf dem Server. Die Lis- nem von Ihnen gewünschten Zeitplan star- eine direkte Verbindung in das Web zu
te der Patches, die der Dienst als Nächstes ten. Achten Sie aber darauf, hier keinen Clus- gewähren, nutzen Sie einen Proxy-Server.
installiert, erhalten Sie im CAU-Verwal- ter-Knoten zu verwenden, sondern einen Die Einstellungen können Sie auch in der
tungsprogramm, wenn Sie auf "Vorschau Server, der nicht Mitglied eines Clusters ist. Befehlszeile mit netsh konfigurieren:
der Updates für diesen Cluster anzeigen"
klicken. Der Dienst greift dabei auf Win- Mit der Selbstaktualisierung kann sich der netsh winhttp set proxy Name oder IP-
dows Update auf dem Server zu. Wenn Sie Cluster auf Basis eines definierten Profils Adresse des Proxy:Port "*.Domäne,
mit WSUS arbeiten, werden die Updates und automatisch selbst aktualisieren. local"
von WSUS heruntergeladen, verwenden Wenn Sie den Selbstaktualisierungsmodus
Sie Windows-Update, nutzt diese Funktion aktivieren wollen, müssen Sie dem Cluster Sie geben im Befehl also den Namen oder
wiederum direkt die Windows-Update- die CAU-Clusterrolle hinzufügen. Das die IP-Adressen und den Port des Proxys
Funktion im Internet. Selbstaktualisierungsfeature wird wie jeder an. Danach müssen Sie in Anführungszei-
andere Cluster-Dienst betrieben und lässt chen die Ausnahmen eintragen, zunächst
Um eine sofortige Aktualisierung nach der sich auch für den geplanten und unge- Ihre interne Domäne und zusätzlich noch
Einrichtung zu starten oder auch nachträg- planten Failover nutzen. die Option "local" um alle lokalen Server
lich, wenn Sie zum Beispiel gerade ein festes als Ausnahme zu konfigurieren.
Wartungsfenster haben, klicken Sie auf Standardmäßig verwendet CAU als Rei-
"Updates auf diesen Cluster anwenden". henfolge der zu aktualisierenden Knoten Fazit
Danach beginnt der Dienst sofort mit der deren Aktivitätsgrad. Die Knoten, auf denen In Windows Server 2019 hat Microsoft die
Aktualisierung der einzelnen Cluster-Kno- die wenigsten Cluster-Rollen gehostet wer- generelle Aufteilung von Cluster-Knoten
ten. Den Status der aktuellen Installationen den, aktualisiert der Dienst zuerst. Sie kön- deutlich verbessert und vereinfacht. Clus-
sehen im Verwaltungstool von CAU, mit nen aber in der CAU-Benutzeroberfläche ter-Sets und die Möglichkeit, Cluster-Kno-
dem Sie den Dienst bereits eingerichtet ha- und den Optionen zur Einstellung eine Rei- ten auf mehrere Domänen aufzuteilen, stel-
ben. Bei der Aktualisierung wird der ent- henfolge festlegen. Sie legen hier die Anzahl len Verbesserungen dar, genauso wie die
sprechende Knoten in den Wartungszu- von Knoten fest, die offline sein dürfen, erweiterten Funktionen für das Cluster-
stand versetzt, die Cluster-Ressourcen wie wenn CAU mit der Aktualisierung startet. Quorum. Verwalten lassen sich Cluster in
zum Beispiel die VMs auf andere Knoten CAU bietet außerdem Exportoptionen über Windows Server 2019 auch mit dem Win-
verschoben, danach die Aktualisierung ge- die PowerShell und die Benutzeroberfläche. dows Admin Center. (jp)
Lesen Sie den IT-Administrator als E-Paper

Testen Sie kostenlos und unverbindlich die elektronische
IT-Administrator Leseprobe auf www.it-administrator.de.
Wann immer Sie möchten und wo immer Sie sich gerade befinden –
Volltextsuche, Zoomfunktion und alle Verlinkungen inklusive.
Klicken Sie sich ab heute mit dem IT-Administrator einfach
von Seite zu Seite, von Rubrik zu Rubrik! Auch als App
fürs iPad, Android
Infos zu E-Abos, E-Einzelheften und Kombiangeboten finden Sie auf:
und Amazon!
www.it-administrator.de/
magazin/epaper
Windows Server 2019 Remotedesktopdienste
Mit Remotedesktopdiensten Anwendungen virtualisieren
Aufpolierter Klassiker
von Thomas Joos
Da Microsoft immer mehr

Features in die Cloud ausla-
gert, kommt bei vielen Admi-
nistratoren verstärkt die Sor-
ge auf, das Funktionen wie
die Terminaldienste – mittler-
F
3R
12
weile Remote Desktop Services
s–
pu
– nicht mehr lokal oder gar nicht
lu
sex
eu
mehr verfügbar sind. Doch diese
:d
elle
Qu
wurden in Windows Server 2019 sogar
aufpoliert, mit Neuerungen versehen und sind auch
in Zukunft lokal im Rechenzentrum verfügbar. Unser Workshop
zeigt die neuen Features und die Verwaltung von RDS-Infrastrukturen.
N
eben den Remote Desktop Services modern Infrastructure nutzen, ist das ak- Nachrichtencenter von Windows 10 an-
(RDS), die in Windows Server tuell nur direkt in Azure möglich. Um zeigen, wenn Outlook als Remote-App
2019 zur Verfügung stellen, will Microsoft hybride Bereitstellungen durchzuführen, genutzt wird.
auch einige RDS-Funktionen in Azure an- müssen Sie aktuell noch virtuelle Server
bieten. Der RDS-Broker, das Gateway und in Microsoft Azure installieren. Es ist aber Beim Drucken in RDS 2019 zeigt Win-
der Webzugriff lassen sich in Zukunft zu erwarten, dass Microsoft die Dienste dows Server 2019 den Fortschritt eines
auch in Microsoft Azure nutzen. Dazu verschmelzen will. Druckvorgangs an. Auch Videokonferen-
stellt Microsoft "Remote Desktop Modern zen werden mit RDS 2019 besser: Sind
Infrastructure" (RDMI) zur Verfügung, Neue RDS-Funktionen Geräte für Videokonferenzen an einem
das verschiedene RDS-Funktionen ganz in Server 2019 lokalen Rechner angeschlossen, lassen
oder teilweise in die Cloud integriert. Mit Server 2019 ist über Remote Desktop sich diese auch in RDS-Sitzungen ver-
Auch die Speicherung von Daten ist in Web Access (RDWA) ein HTML5-Client wenden. Dabei verbessert sich laut Mi-
Azure möglich, die Profile für RDS-Um- verfügbar. Der Client bietet ähnliche Funk- crosoft auch die Qualität wesentlich.
gebungen lassen sich in Azure Files und tionen wie der Standard-RDP-Client, der
anderen Speichern in der Cloud ablegen. für Windows und andere Betriebssysteme In Windows Server 2019 führt Microsoft
zur Verfügung steht. Der Vorteil des neuen "GPU Partitioning" ein. Dabei lassen sich
Natürlich lassen sich bereits jetzt RDS- HTML5-Clients besteht darin, dass An- virtuellen Rechnern mit Windows 10 und
Infrastrukturen in der Cloud zur Verfü- wender nichts installieren müssen. Aktuelle Hyper-V deutlich bessere Zugriffe auf die
gung stellen, allerdings bietet eine solche Browser, die HTML5 kennen, unterstützen Grafikadapter zuteilen. Die Technik funk-
Umgebung keine nennenswerten Vorteile. die Anbindung an Remote Desktop Web tioniert auch mit Remotedesktop-Sit-
Microsoft strebt an, dass einzelne Dienste Access. Der neue HTML5-Client sowie zungshosts. Der Vorteil besteht vor allem
aus RDS in Azure verfügbar sind, ohne der Remotedesktop-Webzugriff verursa- darin, dass Grafikanwendungen in Sit-
dass die Installation von VMs in Micro- chen weniger CPU-Last auf dem Client zungen deutlich besser funktionieren.
soft Azure erfolgen muss. Die Authenti- und dem Server und auch die notwendige
fizierung erfolgt in diesem Fall über das Bandbreite wird reduziert. Unternehmen, die den Zugriff mit Re-
Azure Active Directory. mote Desktop Web Access nutzen, benö-
Mit Windows 10 können die RDS-Remo- tigen nicht unbedingt die Installation ei-
Die generelle Installation von RDS ent- te-Apps die Benachrichtigungen nutzen, nes RDS-Gateways. Greifen Anwender
spricht in Windows Server 2019 noch den um Anwender über Aktionen der An- nur von intern mit RDWA auf einen
Möglichkeiten in Windows Server 2016. wendung zu informieren. Dadurch lassen RDS-Sitzungshost zu, ist kein Gateway
Wollen Unternehmen Remote Desktop sich zum Beispiel eingehende E-Mails im mehr erforderlich. Dennoch ist in diesem

Remotedesktopdienste Windows Server 2019
können die RD-Lizenzierung zum In-

stallieren, Ausstellen und Nachverfol-
gen der Verfügbarkeit von Lizenzen
verwenden.
- Der Remotedesktopgateway ermöglicht
es autorisierten Benutzern, von jedem
Gerät mit Internetzugang eine Verbin-
dung mit virtuellen Desktops, Remo-
teApp-Programmen und sitzungsba-
sierten Desktops herzustellen.
Windows Server 2019 bietet Sammlungen

für Sitzungshosts und in Virtual-Desk-
top-Infrastructure-Umgebungen (VDI)
auch für Virtualization-Hosts. Eine Sit-
zungssammlung, früher Farm genannt,
ist eine Gruppe von RD-Sitzungshostser-
vern für eine Sitzung und stellt sitzungs-
basierte Desktops oder RemoteApp-Pro-
Bild 1: Die Bereitstellung der Remotedesktopdienste erfolgt über einen gramme zur Verfügung. Installieren Sie
Assistenten im Server-Manager. einen Remotedesktop-Sitzungshost, um
Anwendungen und Desktops zur Verfü-
Fall der HTML5-Client in Windows Ser- den Server-Manager. Auch in Windows gung zu stellen, müssen Sie nach der In-
ver 2019 verfügbar. Der Client ist in der Server 2019 handelt es sich bei den Re- stallation der Rollendienste im Server-
neuen Version direkt in den RDS-Web- motedesktopdiensten um eine Serverrolle, Manager eine Sitzungssammlung erstel-
zugriff integriert. die verschiedene Rollendienste umfasst: len, also eine Terminalserverfarm. In
- Remotedesktop-Virtualisierungshost: Windows Server 2019 können Sie mit den
Mit Windows Server 2019 lässt sich end- Der Dienst wird in Hyper-V integriert, Remotedesktopdiensten auch virtuelle
lich auch der Lizenzserver in der Remo- um in einem Pool virtuelle Desktops Desktops auf Basis von Windows 10 zur
tedesktopumgebung hochverfügbar zur mit RemoteApp- und Desktopverbin- Verfügung stellen.
Verfügung stellen. So kann ein Lizenz- dung bereitzustellen.
server seine Daten jetzt in einer SQL-Da- - Remotedesktop-Sitzungshost: Remo- Installation eines
tenbank speichern, auf die weitere Lizenz- teApp-Programme oder sitzungsbasier- Remotedesktopservers
server zugreifen können. Außerdem te Desktops nutzen diesen Dienst. Hier- Die Installation eines Remotedesktopser-
wurde das Zusammenspiel zwischen Li- bei handelt es sich um den Nachfolger vers findet über den Server-Manager statt,
zenzserver, Active Directory und RDS- der Terminaldienste. Er ist die Zentrale indem Sie "Verwalten / Rollen und -Fea-
Host verbessert. Die Benutzerlizenzen der Umgebung. tures hinzufügen" auswählen. Im Gegen-
werden vom Lizenzserver an den Sit- - Remotedesktop-Verbindungsbroker: Be- satz zu herkömmlichen Rollen installieren
zungs-Host übergeben, der die Lizenzen nutzer können erneut eine Verbindung Sie die Remotedesktopdienste über einen
dann im Active Directory hinterlegt. Hier mit ihren vorhandenen virtuellen Desk- eigenen Assistenten, den Sie direkt vor
ist zukünftig auch die Anbindung von tops, RemoteApp-Programmen und sit- der Installation eigentlicher Rollen star-
mehreren Domänen möglich. zungsbasierten Desktops herstellen. Die ten. Um die Serverrollen auf mehreren
Verbindungsdaten merkt sich der Broker, Server zu verwalten, müssen Sie diese zu-
Aktuell hat Microsoft die RDS-Adminis- der sich in Server 2019 auch in Microsoft vor über "Verwalten / Server hinzufügen"
tration noch nicht in das Windows Ad- Azure installieren lässt. in den lokalen Server-Manager integrie-
min Center (WAC) integriert. Das heißt, - Web Access für Remotedesktop ermög- ren. Auf der zweiten Seite wählen Sie aus,
die Verwaltung der Dienste erfolgt wei- licht Benutzern den Zugriff auf Remo- ob Sie eine Standardbereitstellung oder
terhin mit dem Server-Manager. Es ist teApp- und Desktopverbindung über eine Schnellstartinstallation mit nur ei-
aber zu erwarten, dass Microsoft in neuen einen Webbrowser. Auf diesem Weg nem einzelnen Server durchführen wol-
Versionen des Windows Admin Centers stellen Sie zum Beispiel Remotedesk- len. Mit der Standardinstallation können
auch RDS integrieren wird. tops im Internet zur Verfügung. Sie eine Serverfarm mit mehreren Remo-
- Die Remotedesktoplizenzierung ver- tedesktop-Sitzungshosts installieren.
RDS-Architektur verstehen waltet die Lizenzen, die für eine Ver-
Die Installation und Konfiguration der bindung mit einem Remotedesktop- Über den Assistenten legen Sie danach
Remotedesktopdienste erfolgt hingegen Sitzungshostserver oder einem virtu- fest, ob Sie eine Virtual Desktop Infra-
über das Windows Admin Center oder ellen Desktop erforderlich sind. Sie structure (VDI) installieren wollen – also

Servern oder mit PCs herzustellen, auf

denen der Remotedesktop aktiviert ist.
Anwendungen mit
RemoteApps virtualisieren
Wollen Sie nicht nur den Desktop zur
Verfügung stellen, sondern auch einzelne
Programme, die Anwender direkt über
die Weboberfläche starten, klicken Sie
im Server-Manager auf "Remotedesk-
topdienste" und dann auf die Sammlung.
Hier sehen Informationen zur aktuellen
Sammlung und können die verschiede-
Bild 2: Bei der Auswahl des Bereitstellungsszenarios ist festzulegen, nen Bereiche bearbeiten. Dazu klicken
wie die Anwender auf Remote-Apps zugreifen. Sie jeweils auf "Aufgaben" und wählen
dann aus, welche Konfiguration Sie an-
virtuelle Computer auf Basis von Hyper- tion der Rollendienste im Server-Manager passen möchten.
V – oder eine sitzungsbasierte Bereitstel- eine Sitzungssammlung erstellen. Dazu
lung, also Server die Anwendungen oder steht die neue Gruppe "Remotedesktop- Um eine Anwendung der Liste hinzuzu-
den Desktop den Anwendern zur Verfü- dienste zur Verfügung", über die Sie die fügen, klicken Sie im Bereich Remote-
gung stellen. Infrastruktur einrichten: App-Programme auf den Link "Remote-
1. Klicken Sie in der linken Seite des Fens- App-Programme veröffentlichen". Im
Haben Sie das Szenario ausgewählt, bestä- ters auf "Remotedesktopdienste" und Anschluss startet der zugehörige Assis-
tigen Sie die zu installierenden Rollendiens- dann auf "Sammlungen". tent, über den Sie die Anwendungen der
te. Auf einem Server in der Sammlung 2. Wenn Sie jetzt "Aufgaben / Sitzungs- Liste hinzufügen. Wählen Sie entweder
müssen Sie den Remotedesktop-Verbin- sammlung erstellen" wählen, startet der das Programm aus der Liste aus oder kli-
dungsbroker installieren. Mit diesem Dienst Assistent zum Erstellen einer Sitzungs- cken Sie auf "Durchsuchen", um die Start-
können Sie Anwender mit ihrer ursprüng- sammlung. datei der Anwendung hinzuzufügen. Sie
lichen Sitzung wiederverbinden, wenn Sie 3. Geben Sie im Assistenten zunächst ei- können an dieser Stelle mehrere Anwen-
mehrere RDS-Server in einem Loadbalan- nen Namen für die Sammlung ein. dungen auswählen und die Eigenschaften
cing-Verbund einsetzen. Der Verbindungs- 4. Wählen Sie auf der nächsten Seite die der Applikationen jederzeit anpassen.
broker stellt einen Aggregationspunkt für Server aus, die der Sitzungssammlung
RemoteApps im Unternehmen zur Verfü- beitreten sollen. RemoteApps stehen nach der Veröffent-
gung und verbindet alle installierten Server, 5. Legen Sie danach fest, welche Gruppe lichung automatisch für alle Clients über
damit Sie diese zentral im Server-Manager aus dem Active Directory Zugriff auf den Webzugriff zur Verfügung. Diesen
verwalten können. Er sammelt Remote- den Server erhalten soll. Hier bietet es erreichen sie ebenfalls über die URL
Apps der verschiedenen Server ein und sich an, wie in den Vorgängerversionen, "https://Servername/rdweb". Nach der Au-
stellt diese im Startmenü der Clientrechner eigene Gruppen anzulegen. Auf diese thentifizierung stehen sofort alle Remote-
zur Verfügung. Webzugriffsserver holen Weise können Sie über die Gruppen- Apps zur Verfügung, die Sie veröffentli-
sich dazu die Daten von einem Server mit mitgliedschaft den Zugriff steuern. chen – entsprechende Berechtigungen
dem Verbindungsbroker. 6. Übernehmen Sie auf der Seite "Benut- vorausgesetzt. Sie können im Server-Ma-
zergruppen angeben" die Standardaus- nager über diesen Bereich jederzeit weitere
Als Nächstes wählen Sie einen Server mit wahl und klicken Sie auf "Weiter". Anwendungen veröffentlichen. Achten Sie
Web Access aus, der die RemoteApps der aber darauf, dass die Anwendungen auf
Farm zentral zur Verfügung stellt. Als Sie können über den Assistenten auch ei- den RDS-Hosts installiert sein müssen,
Letztes legen Sie noch den eigentlichen nen Freigabe als Benutzerprofildatenträ- nicht auf dem Server mit Web Access oder
Server fest, der den Remotedesktop-Sit- ger eingeben. RDS-Benutzer erhalten so dem RD-Verbindungsbroker. Um weitere
zungshost bereitstellt. Klicken Sie im letz- ein eigenes Benutzerprofil. Anwendungen hinzuzufügen, klicken Sie
ten Fenster auf "Bereitstellen", damit der im Server-Manager in der Verwaltung der
Assistent auf den ausgewählten Servern Haben Sie die Sammlung erstellt und Remotedesktopdienste auf die entspre-
die entsprechende Funktion installiert. auch den Webzugriff über den Installati- chende Sammlung. Im Bereich "Aufgaben"
onsassistenten eingerichtet, können Sie der App-Verwaltung können Sie veröf-
Einrichten einer bereits mit der URL "https://Serverna- fentlichte Anwendungen auch wieder ent-
neuen Sitzungssammlung me/rdweb" auf die Webfreigabe zugreifen. fernen. Im Server-Manager sehen Sie die
Installieren Sie einen Remotedesktop-Sit- Per Webzugriff haben Sie auch die Mög- aktuell verbundenen Benutzer im Bereich
zungshost, müssen Sie nach der Installa- lichkeit, eine Verbindung mit anderen "Verbindungen", wenn Sie auf die Samm-

lung klicken. An dieser Stelle können Sie findet Lizenzserver im Active Directory ten bearbeiten". Nun wählen Sie "Remo-
einzelne Verbindungen auch trennen. automatisch. tedesktoplizenzierung" und legen fest,
welche Lizenzierung Sie verwenden wol-
RDS-Lizenzierung einrichten Bei der Lizenzierung verbindet sich zu- len und welcher Lizenzserver für die
Sie benötigen für jeden Remotedesktop- nächst ein Client mit einem Remotedesk- Sammlung zum Einsatz kommt. Klicken
server (Remotedesktop-Sitzungshost) eine topserver. Dieser ruft von einem RDS-Li- Sie danach auf "Anwenden".
Windows-Server-Lizenz. Zusätzlich be- zenzserver eine Lizenz ab. Hierbei muss
nötigen Sie für jeden Benutzer, wie bei es sich nicht um den lokalen RDS handeln, Auf dem RDS-Lizenzierungsserver finden
normalen Serverzugriffen auf Datei- oder ein Lizenzserver kann Lizenzen für meh- Sie nach der Installation im Startmenü das
Druckserver, eine entsprechende Client- rere Remotedesktopserver zur Verfügung Tool "Remotedesktoplizenzierungs-Ma-
Zugriffslizenz (CAL). Diese CALs sind stellen. Für die Verbindung mit einem Ad- nager" vor oder starten dieses durch Ein-
bei keinem Betriebssystem integriert, son- ministratorkonto benötigen Sie auf einem gabe von licmgr. Haben Sie das Programm
dern müssen immer gesondert erworben Remotedesktopserver keine Lizenz, es dür- geöffnet, durchsucht es das Netzwerk und
werden. Für Windows Server 2019 kön- fen aber nur zwei Admins gleichzeitige zeigt die gefundenen Lizenzserver an, wo-
nen Sie keine Benutzer- und RDS-CALs verbunden sein. Nun stellt der RDS dem bei es nicht aktivierte Lizenzserver ent-
älterer Versionen verwenden, Sie müssen Client die Lizenz bereit. sprechend hervorhebt. Um einen Lizenz-
diese also neu erwerben. Setzen Sie anders server zu aktivieren, klicken Sie mit der
herum neue RDS-CALs ein, können Sie Lizenzserver in den Remotedesktopdiens- rechten Maustaste auf den Servernamen
diese auch mit Vorgängerversionen von ten registrieren sich automatisch im Acti- und wählen im Kontextmenü den Befehl
Windows Server 2019 nutzen. ve Directory. Installieren Sie einen neuen "Server aktivieren". Anschließend können
Remotedesktopserver, können Sie manu- Sie den Server entweder direkt über die
Bei einem Remotedesktopserver benöti- ell Lizenzserver zuweisen. So ist sicher- Konsole aktivieren, wenn Ihr Lizenzserver
gen Sie zusätzlich für jeden Client, der gestellt, dass einzelne RDS genau mit den an das Internet angebunden ist, oder Sie
sich mit dem Remotedesktopserver ver- Lizenzservern arbeiten, die Sie als Admi- führen die Aktivierung per Telefon durch.
bindet, eine spezielle Remotedesktop- nistrator hinterlegen.
server-Zugriffslizenz (RDS-CAL). Diese Klicken Sie im Server-Manager auf "Re-
Lizenz wird pro PC oder pro Benutzer Um die RDS-Lizenzierung zu installieren, mote Desktop Services" und dann auf
vergeben und gilt nicht pro gleichzeitigen wählen Sie im Server-Manager "Remote- "Remotedesktop-Lizenzierungsdiagnose"
Zugriff. Das heißt, Sie müssen nicht so desktopdienste" aus und klicken auf "Über- erhalten Sie Meldungen zur Lizenzierung.
viele Lizenzen kaufen, wie gleichzeitig Be- sicht". Über den Link "Remotedesktopli- Dieses Programm finden Sie im Startme-
nutzer mit dem Remotedesktopserver ver- zenzierung" bestimmen Sie den Server, der nü auf den RD-Sitzungshosts. In diesem
bunden sind, sondern so viele Lizenzen, die Lizenzierung steuert. Sie können an Tool können Sie auch Zertifikate hinter-
wie Benutzer insgesamt damit arbeiten. dieser Stelle allerdings nur Server auswäh- legen und das RDS-Gateway anpassen.
len, die Sie im Server-Manager über "Ver-
Microsoft bietet für RD-CALs die gleiche walten / Server hinzufügen" integriert ha- Sie sollten in regelmäßigen Abständen ei-
Lizenzierung wie bei normalen CALs. Es ben. Schließen Sie den Assistenten ab, um ne Sicherung des Lizenzservers durch-
gibt RD-Geräte-CALs und RD-Benutzer- die Lizenzierung zu aktivieren. führen, damit bei einem Serverausfall die
CALs. Befindet sich der Remotedesktop- Datenbank mit den ausgestellten Lizenzen
server im Active Directory, sollten Sie die Anschließend müssen Sie noch Einstel- möglichst nicht verloren geht. Um einen
RDS-Lizenzierung auf einem Mitglieds- lungen für die Sammlung konfigurieren. Lizenzserver zu sichern, können Sie die
server installieren. Sie haben 120 Tage Dazu klicken Sie im Server-Manager bei Windows-Datensicherung verwenden.
Zeit, bevor Sie den Lizenzierungsdienst "Remotedesktopdienste / Übersicht" bei Standardmäßig finden sich die zu sichern-
auf einem Server installieren und aktivie- "Bereitstellungsübersicht" auf "Aufgaben" den Daten im Ordner "\Windows\Sys-
ren müssen. Ein Remotedesktopserver und dann auf "Bereitstellungseigenschaf- tem32\lserver".
Spiegeln von
Remotedesktopsitzungen
Mit Windows Server 2019 können sich
Administratoren mit Sitzungen von An-
wendern verbinden, um bei Problemen
zu helfen. Über das Kontextmenü von Sit-
zungen im Server-Manager spiegeln Sie
auf RD-Sitzungshosts Sitzungen von An-
wendern. Klicken Sie eine Sitzung mit der
Bild 3: Das Veröffentlichen von Anwendungen im Server-Manager stellt diese in den rechten Maustaste an, haben Sie verschie-
Remotedesktopdiensten zur Verfügung. dene Möglichkeiten, um die Benutzer zu

natürlich auch komplett steuern. Dazu

müssen Sie als Option "Steuerelement"
auswählen, wenn Sie die Option "Schat-
ten" für eine Benutzersitzung ausgewählt
haben. Auch hier muss der entsprechende
Benutzer die Verbindung erst genehmi-
gen, wenn Sie mit den Standardeinstel-
lungen arbeiten.
GPO- und Systemeinstellungen

für die Spiegelung
Einstellungen für die Spiegelung nehmen
Sie über lokale Richtlinien oder in den
Bild 4: Jede RDS-Infrastruktur benötigt mindestens einen Lizenzserver, Gruppenrichtlinien vor, die Sie den Remo-
den Sie im Remotedesktoplizenzierungs-Manager verwalten tedesktop-Sitzungshosts zuweisen. Sie fin-
den die Konfiguration über "Benutzerkon-
verwalten. Mit der Option "Schatten" spie- Anwenders. Sie haben allerdings keinen figuration / (Richtlinien) / Administrative
geln Sie Sitzungen – es sind dazu keine Zugriff auf den Rechner des Anwenders Vorlagen / Windows-Komponenten / Re-
weiteren Konfigurationen notwendig. So- oder andere Anwendungen, sondern nur motedesktopdienste / Remotedesktopsit-
bald Sie eine Sammlung erstellen und Re- auf dessen Remotedesktopsitzung. Mit "An- zungs-Host / Verbindungen". Hier gibt es
moteApps veröffentlichen, sind die An- zeige" lassen sich hier auch keinerlei Ein- die Einstellung "Regeln für Remotesteue-
wendungen zur Spiegelung bereit. gaben vornehmen, sondern Sie sehen nur rung von Remotedesktopdienstebenutzern
das, was der Benutzer in seiner RemoteApp festlegen".
Spiegeln können Sie nicht nur Desktop- oder seinem RDP-Desktop sieht. Auch ist
Sitzungen, sondern auch RemoteApps, keine Interaktion wie Unterhaltung, Da- Sie können an dieser Stelle entweder eine
inklusive deren Steuerelementen. Klicken tenaustausch oder sonstiges mit dem Be- Gruppenrichtlinie in der Domäne erstel-
Sie die Option zum Spiegeln an ("Schat- nutzer möglich. Minimiert der Anwender len und den Remotedesktop-Sitzungs-
ten"), wählen Sie zunächst aus, ob Sie die die RemoteApp auf seinem Rechner, pas- hosts zuweisen oder Sie nehmen die Ein-
Sitzung nur sehen wollen, ohne selbst siert das gleiche auch in Ihrer Spiegelsitzung stellung einfach in den lokalen Richtlinien
steuern zu können ("Anzeige") oder ob und Sie sehen den Inhalt der Anwendung der einzelnen Remotedesktops-Sitzungs-
Sie in der Sitzung auch Eingaben vorneh- nicht mehr. Generell ist für Spiegelungen hosts vor (gpedit.msc). Ohne weitere Ein-
men wollen ("Steuerelement"). Standard- festgelegt, dass diese nur die Anwendung stellungen dürfen Administratoren nach
mäßig ist nach der Installation der RD- und deren Informationen anzeigt, die auch der Erstellung einer Sammlung im Ser-
Sitzungshosts beides erlaubt und möglich. in der gespiegelten Sitzung laufen. Alle an- ver-Manager die Spiegelung durchführen.
Sie müssen dazu keinerlei Einstellungen deren Daten sind für den zugreifenden Ad- Es sind keine Zusatzwerkzeuge oder be-
vornehmen. ministrator nicht sichtbar. sondere Einstellungen notwendig, Spie-
gelungen funktionieren in Windows Ser-
Außerdem legen Sie fest, ob der Benutzer Mit den Standardeinstellungen von RD- ver 2019 automatisch. Um Einstellungen
die Verbindung bestätigen muss oder ob Servern erscheint bei den Anwendern zu ändern, aktivieren Sie also die Richt-
die Verbindung ohne Bestätigung statt- immer eine Meldung auf dem Bild- linie und wählen dann aus dem Drop-
finden soll. Standardmäßig ist in den schirm, wenn eine Spiegelung erfolgen down-Menü aus den angezeigten Optio-
Richtlinien von Remotedesktopservern soll. Der Anwender kann in dieser Mel- nen aus:
die Zustimmung der Benutzer hinterlegt. dung die Spiegelung erlauben oder sie - Keine Remoteüberwachung zulassen:
Wollen Sie sich mit Sitzungen verbinden, verweigern. Die Entscheidung des Be- Administratoren können keine Remo-
ohne dass Anwender die Verbindung benutzers kann von Administratoren nicht testeuerung verwenden oder Remote-
stätigen müssen, sind erst Änderungen überstimmt werden. Nachdem die Spie- benutzersitzungen anzeigen. Eine Spie-
in den Richtlinien der RD-Server not- gelung aufgebaut ist, kann der Adminis- gelung ist daher nicht erlaubt. Wenn
wendig. Zu diesen Einstellungen kommen trator diese durch das Schließen des ein Administrator eine Sitzung spiegeln
wir später noch, diese lassen sich auch Fensters beenden, der Anwender hat die- will, erscheint die Meldung, dass die
über lokale Richtlinien oder mit Grup- se Möglichkeit nicht. Der Anwender er- Funktion über Richtlinien geblockt ist.
penrichtlinien festlegen. hält auch keine Information darüber ob - Vollzugriff mit Erlaubnis des Benutzers:
sich der Administrator von der Sitzung Erlaubt Administratoren mit der Zu-
Aktivieren Sie die Anzeige einer Sitzung wieder getrennt hat. stimmung des entsprechenden Benut-
und bestätigt der entsprechende Anwender zers die Steuerung einer Sitzung, also
die Spiegelung, sehen Sie den Remotedesk- Neben der Möglichkeit, die Sitzungen an- auch die Bedienung. Natürlich ist dann
top oder die geöffnete Remote-App des zuzeigen, können Sie Benutzersitzungen auch das Anzeigen erlaubt.

- Vollzugriff ohne Erlaubnis des Benut- anderen Richtlinien an gleicher Stelle Windows Server 2019 erlaubt auch, die
zers: Erlaubt Administratoren auch oh- gesetzt sind – und "Zusammenführen" Anbindung von Druckern über Gruppen-
ne Zustimmung des Benutzers die wählen. Dabei werden die normalen Richt- richtlinien zu steuern. Die entsprechenden
Steuerung der Sitzung. In diesem Fall linien des Anwenders und die Einstellun- Einstellungen finden Sie unter "Compu-
können Administratoren beim Spiegeln gen für den Benutzer in der Remotedesk- terkonfiguration / Richtlinien / Adminis-
auch den Haken bei der Option entfer- topserver-Richtlinie genutzt. Gibt es hierbei trative Vorlagen / Windows-Komponenten /
nen, dass der Benutzer gefragt werden Konflikte, gewinnt die Richtlinie der Re- Remotedesktopdienste". Die Verwaltung
muss. Auch die Anzeige-Funktion ist motedesktopserver. von Druckern findet über den Unterein-
mit dieser Einstellung erlaubt. trag "Remotedesktopsitzungs-Host / Dru-
- Sitzung mit Erlaubnis des Benutzers Drucken mit ckerumleitung statt", wo Sie auch den Easy
anzeigen: Erlaubt Administratoren das Remotedesktop-Sitzungshosts Print Driver anpassen. Aktivieren Sie die
Anzeigen von Sitzungen mit Zustim- Verbinden sich Clients mit einem RDS- Richtlinie "Zuerst Easy Print-Druckertrei-
mung des Benutzers. Eine Steuerung Host, sind die installierten Drucker der ber der Remotedesktop verwenden", ver-
der Sitzungen ist aber nicht erlaubt. Clients und die Drucker auf dem Server sucht ein RD-Server zuerst, diesen Treiber
- Sitzung ohne Erlaubnis des Benutzers verfügbar. Der "Remotedesktop Easy zu nutzen, bevor ein anderer Treiber in-
anzeigen: Ermöglicht Administratoren Print Driver" kann Druckaufträge ver- stalliert wird. Auch wenn diese Richtlinie
das Anzeigen von Sitzung auch ohne schiedener Drucker an den Client um- nicht konfiguriert ist, verwendet der Re-
die Zustimmung des Anwenders. leiten. Auch in den Gruppenrichtlinien motedesktopserver standardmäßig zuerst
hat Micorsoft viele Einstellungen für die den Easy Print Driver. Überprüfen Sie an
Deaktivieren Sie diese Richtlinieneinstel- Konfiguration von Druckern integriert. dieser Stelle, ob die Einstellungen korrekt
lung, können Administratoren mit der gesetzt sind. Die Druckerumleitungen
Zustimmung des Benutzers in dessen Re- Um den Easy Print Driver zu verwenden, müssen konfiguriert sein und den Stan-
motedesktopdienste-Sitzung eingreifen müssen Sie den aktuellen RDP-Client ver- dard-Drucker oder eben den Easy Printer
und Sitzungen spiegeln. Das geht auch, wenden, am besten den Client in Win- Driver verwenden.
wenn Sie gar nichts konfigurieren. dows 10, notfalls den Treiber in Windows
8.1. Der Treiber unterstützt für die kom- Unterstützt der Drucker diesen Treiber
Loopback-Verarbeitung patiblen Drucker alle Features, nicht nur nicht, sucht der Remotedesktopserver als
von Gruppenrichtlinien die grundlegenden Funktionen. Auch die Nächstes lokal nach einem passenden
berücksichtigen Performance bei der Übertragung des Treiber. Findet der Server keinen Treiber,
Setzen Sie RD-Sitzungshosts zusammen Druckauftrages verbessert der Treiber. kann der Drucker in der Sitzung nicht
mit Gruppenrichtlinien ein, bietet es sich zum Einsatz kommen. Standardmäßig ist
an, die Server in einer eigenen OU abzu- Unterstützen Clients diesen universalen diese Richtlinie nicht konfiguriert. De-
legen und für diese OUs dann Gruppen- Druckertreiber nicht, muss auf dem Re- aktivieren Sie diese Einstellung, versucht
richtlinien mit den gewünschten Einstel- motedesktopserver ein aktueller Treiber der Server zunächst einen Druckertreiber
lungen zu aktivieren. Für diese Richtlinien der Drucker installiert sein. Auf dem Ser- zu finden, der kompatibel mit dem Dru-
sollten Sie auch den Loopback-Verarbei- ver zeigt sich beim Einsatz des Easy Print cker ist und verwendet dann erst den Easy
tungsmodus aktivieren. Dabei wendet die Drivers ein Abbild des Druckertreibers Print Driver. Ob Drucker umgeleitet wer-
Gruppenrichtlinie auch Einstellungen des des Clients, dieser wird aber nicht instal- den, muss im RDP-Client auf der Regis-
Benutzerbaums an, wenn das Konto der liert. Druckt ein Anwender in der Sit- terkarte "Lokale Ressourcen auf dem
Anwender nicht in der OU gespeichert zung, leitet der Treiber den Druck in eine Client" aktiviert werden.
ist in der die Richtlinie definiert ist, son- XPS-Datei um und schickt diese zum
dern nur der entsprechende Server. So Client, der den Druck schließlich auf Verwaltung eines
erhalten Sie die Möglichkeit, RDS-Benut- dem Drucker ausgibt. Remotedesktop-Sitzungshosts
zereinstellungen festzulegen, die nur bei Bevor Sie sich mit speziellen Funktionen
der Anmeldung der Anwender auf dem Der Easy Print Driver benötigt keine wie dem Gateway oder Webzugriff ausei-
RDS greifen, nicht bei der Anmeldung Anpassungen auf dem Server. Die auf nandersetzen, sollten Sie zunächst die Stan-
an ihren lokalen Computern. dem Client verfügbaren Drucker über- dardverwaltung eines Servers verstehen.
nimmt der Server, sofern diese kompa- Um Systemeinstellungen für eine Samm-
Sie finden diese Einstellung über "Com- tibel sind. Auch die spezifischen Einstel- lung und den enthaltenen RD-Sitzungs-
puter / Richtlinien / Administrative Vor- lungen des Druckers zeigt der Server an hosts vorzunehmen, verwenden Sie den
lagen / System / Gruppenrichtlinie". und leitet diese beim Abrufen wieder Server-Manager und den Bereich "Remo-
Aktivieren Sie die Richtlinie "Loopback- auf den Client zurück. Ob Drucker um- tedesktopdienste". Klicken Sie auf "Samm-
verarbeitungsmodus für Benutzergrup- geleitet werden, müssen Sie im RDP- lungen" und dann auf die Sammlung, kön-
penrichtlinie". Tun Sie dies, können Sie Client einstellen und dies auf der Regis- nen Sie über "Aufgaben / Eigenschaften
zwischen "Ersetzen" – hier ersetzt die terkarte "Lokale Ressourcen" auf dem bearbeiten" die wichtigsten Einstellungen
Richtlinie Einstellungen, die bereits von Client zunächst aktivieren. einer Sammlung konfigurieren.

Im Bereich "Verbindungen" einer Samm- "Freigegebener Datenbankserver aus". trennen oder sich die Einstellungen der
lung sehen Sie in Echtzeit, welche Benutzer Anschließend geben Sie den DNS-Namen Programme und den Status der Verbin-
mit einem Server verbunden sind und wel- zu Ihrer Datenbank in Microsoft Azure dung anzeigen lassen.
che Apps und welche Remotedesktop-Si- ein und die kopierte Verbindungszeichen-
zungshosts zur Verfügung stehen. In die- folge, inklusive der angepassten Daten Anwender können die Applikationen auf-
sem Bereich können Sie Benutzersitzungen zur Anmeldung. rufen wie lokal installierte Anwendungen.
trennen und getrennte Sitzungen zurück- Klickt der Nutzer auf eine Verknüpfung,
setzen. Sie können für jede veröffentliche Nun erfolgt die Anbindung. Ist diese er- öffnet sich die Anwendung auf dem Re-
App Einstellungen aufrufen und die App folgreich abgeschlossen, wird die Azure- motedesktopserver, aber die Anwender
an Ihre Anforderungen anpassen. SQL-Datenbank verwendet. Binden Sie können mit der Software arbeiten, als ob
weitere Connection Broker an, lassen sich diese lokal installiert ist.
Single Sign-On einrichten diese auf dem gleichen Weg integrieren.
Mit Windows Server 2019 und Windows Dadurch erreichen Sie eine Hochverfüg- RDS-Webzugriff einrichten
10 können Sie Szenarien für Single Sign- barkeit für den Connection Broker, ohne Windows Server 2019 bietet einen Web-
On (SSO) erstellen, damit sich Anwender dass Sie dafür eine eigene Datenbank be- zugriff für RDS an. Der Funktionsumfang
nur noch einmal authentifizieren müssen, treiben müssen. ist ähnlich zu Outlook Web Access von
zum Beispiel an ihrer Arbeitsstation. Der Exchange. Standardmäßig werden die Ap-
Zugriff auf weitere Server im Netzwerk, Mit Windows 10 auf plikationen, die Sie als RemoteApps zur
RemoteApps und veröffentlichten Desktops RemoteApps zugreifen Verfügung stellen, über den RDS-Web-
erfolgt ohne weitere Authentifizierung. RemoteApps stehen nach der Veröffent- zugriff veröffentlicht. Fügen Sie der Re-
lichung automatisch für alle Clients über moteApps-Liste eine neue Anwendung
Dazu müssen Sie clientseitig Windows den Webzugriff zur Verfügung. Zwischen hinzu, wird diese automatisch im RDS-
8.1 oder 10 zusammen mit Windows Ser- lokalen Anwendungen und RemoteApps Webzugriff angezeigt – Sie müssen an die-
ver 2019 einsetzen. Außerdem müssen auf dem Server können auch Daten aus- ser Stelle nichts weiter tun.
sich die Systeme in der gleichen Active- getauscht werden. So besteht beispielswei-
Directory-Gesamtstruktur befinden. Auf se die Möglichkeit, über eine ERP-An- Der Webzugriff ist ein RDS-Rollendienst,
den Arbeitsstationen können Sie entweder wendung, die remote auf dem RD-Server den Sie entweder bereits bei der Installa-
die lokale Richtlinie bearbeiten oder Sie ausgeführt wird, Daten über die Zwischen- tion einspielen oder nachträglich. Die
erstellen eine Gruppenrichtlinie. Navi- ablage in ein lokales Excel zu übernehmen Verwaltungsoptionen dazu finden Sie im
gieren Sie dazu zum Bereich "Computer- oder umgekehrt. Die Abläufe erfolgen für Server-Manager über "Remotedesktop-
konfiguration / Administrative Vorlagen / den Anwender komplett transparent, da dienste / Sammlungen". Klicken Sie bei
System / Delegierung von Anmeldeinfor- er bei der Bedienung der Software keiner- der entsprechenden Sammlung auf "Auf-
mationen" und öffnen Sie die Richtlinie lei Unterschiede zwischen der lokalen An- gaben" und dann auf "Bereitstellungsei-
"Delegierung von Standardanmeldeinfor- wendung und der Anwendung auf dem genschaften bearbeiten".
mationen zulassen". Anschließend akti- Server feststellen kann.
vieren Sie diese Richtlinie. Nun tragen Erstellen Sie eine neue Sammlung, legen
Sie in der Serverliste den Eintrag "term- Um die Anbindung der veröffentlichten Sie bereits bei der Einrichtung die Ein-
srv/Servername" ein. Wichtig an dieser Anwendungen auf Windows-10-Clients stellungen für den Webzugriff fest. Die
Stelle ist, dass Sie vor den Eintrag des Ser- zu testen, melden Sie sich am Client an Rolle sollte auf einem Windows Server
vernamens noch "termsrv" stellen. In ei- und suchen in der Systemsteuerung nach 2019 mit installiertem IIS durchgeführt
ner RDS-Infrastruktur verwenden Sie als "RemoteApp". Öffnen Sie die Verwaltung werden. Beim Server mit Web Access
Servernamen den FQDN des RD-Verbin- der RemoteApps und klicken Sie auf "Auf muss es sich aber nicht unbedingt um ei-
dungsbrokers. RemoteApps und Desktops zugreifen". nen Remotedesktop-Sitzungshost handeln.
Geben Sie die URL "https://Webzugriff- Greifen Anwender über das Webportal
Connection Broker für HA Server/RDWeb/Feed/webfeed.aspx" ein. auf den Remotedesktopserver zu, müssen
an Azure anbinden Der Webzugriffsserver erhält seine Daten diese nicht zuvor den RDP-Client gestartet
Um den Connection Broker an Microsoft vom Verbindungsbroker, auf dem Sie als haben. Anwendungen, die als RemoteApp
Azure anzubinden, installieren Sie den Quelle wiederum den Remotedesktop- konfiguriert sind, stehen standardmäßig
nativen SQL-Client [1]. Dieser wird auch server eingerichtet haben. Anschließend automatisch auch über den RDS-Webzu-
für einen eigenen Datenbank-Server für lädt der Client alle Daten zu den Remote- griff zur Verfügung und lassen sich über
die Hochverfügbarkeit von RDS benötigt. Apps herunter und stellt diese im Start- einen einfachen Klick starten.
Anschließend konfigurieren Sie im Ser- menü zur Verfügung. Sie erhalten hierzu
ver-Manager über das Kontextmenü des ein Informationsfenster angezeigt. Sie se- Standardmäßig arbeitet der Webzugriff
Connection Brokers die Hochverfügbar- hen den aktuellen Verbindungsstatus auch mit einem selbstsignierten Zertifikat. Die-
keit der Umgebung. Bei der Einrichtung über ein Symbol in der Taskleiste. Hier ses sollten Sie in produktiven Umgebungen
hilft ein Assistent. Wählen Sie als Option können Sie die Verbindung zum Server gegen ein Zertifikat einer internen Zerti-

fizierungsstelle austauschen. Sie finden die ve-Directory-Zertifikatdienste nutzen. PowerShell, die entsprechenden Befehle
Einstellungen dazu im Server-Manager Auch für den Zugriff auf RemoteApps zeigt Ihnen
über "Remotedesktopdienste / Sammlun- sind Zertifikate notwendig, vor allem
gen". Klicken Sie die Sammlung an, für die wenn Sie diese direkt im Startmenü von Get-Command -Module
Sie das Zertifikat anpassen wollen und Windows 10 einbinden wollen. RDWebClientManagement
wählen Sie "Aufgaben / Bereitstellungsei-
genschaften bearbeiten". Im Bereich "Zer- Nachdem die PFX-Datei zur Verfügung Mit dem Install-RDWebClientPackage-
tifikate" erstellen Sie ein neues Zertifikat steht, binden Sie das Zertifikat in den RDS- Cmdlet laden Sie die neue Version he-
für die entsprechenden Dienste. Diensten ein. In der Verwaltung klicken runter. Die Deinstallation des Remote
Sie dazu auf "Vorhandenes Zertifikat aus- Desktop Web Clients erfolgt mit
Remotedesktopgateway wählen" in den Bereitstellungseigenschaf-
installieren ten, wie zuvor beschrieben. Klicken Sie auf Uninstall-Module -Name
Die Aufgabe des Remotedesktopgateway "Anderes Zertifikat auswählen" und spielen RDWebClientManagement
besteht darin, Anwendern, die sich über Sie danach die Zertifikat-Datei ein. Ist auf
das Internet mit dem Unternehmen per dem Server bereits ein Zertifikat installiert, Über
HTTPS verbinden, Zugriff auf die inter- können Sie auch die Option "Auf dem RD-
nen RD-Server zu gestatten. Ein RD- Verbindungsbrokerserver gespeichertes Save-RDWebClientPackage
Gateway verbindet das RPD- mit dem Zertifikat anwenden" auswählen. "C:\WebClient\"
HTTPS-Protokoll, um eine gesicherte
Verbindung zu allen möglichen RD-Ser- Remote Desktop laden Sie Webclient herunter, um ihn da-
vern auch über RemoteApps zu ermög- Web Client nutzen nach auf Servern bereitzustellen, die keine
lichen. Gateways ermöglichen den Zugriff Microsoft bietet einen neuen RD-Web- Internetverbindung haben. Auch das ent-
auf RDP-Sitzungen über Firewalls oder client an, mit dem Anwender über einen sprechende-Modul kann auf diesem Weg
Netzwerkadressübersetzung (Network Browser effektiver auf RDS zugreifen kön- heruntergeladen und installiert werden:
Address Translation, NAT) hinweg. Die nen. Die Lizenzierung muss dazu auf "pro
Verbindung zwischen Client und Gateway Benutzer" eingestellt sein, denn der Client Find-Module -Name "RDWebClientMana-
erfolgt über den Port 443 (SSL), nur die unterstützt keine Lizenzierung im Modus gement" -Repository "PSGallery" |
Verbindung zwischen Gateway und Re- pro Gerät. Um den Webclient auf einem Save-Module -Path "C:\WebClient\"
motedesktopserver läuft über den RDP- Server zu installieren, müssen zunächst
Port (3389). Über Richtlinien legen Sie die entsprechenden Module eingespielt Das Verzeichnis kopieren Sie auf den RD-
fest, wer sich über das Internet auf welche und Pakete heruntergeladen werden. Web-Access-Server. Hier können Sie das
RD-Server verbinden darf. Auch die Um- Nach der Installation der einzelnen Mo- Modul importieren und dann die Instal-
leitung der lokalen Ressourcen wie Dru- dule und Pakete müssen Sie die Power- lation durchführen:
cker, Zwischenablage und Laufwerke steu- Shell neu starten, damit das Modul ver-
ern Sie so. Neben der herkömmlichen fügbar ist: Import-Module -Name "C:\WebClient\"
Authentifizierung, werden auch Smart-
cards unterstützt. Install-Module -Name PowerShellGet Install-RDWebClientPackage -Source
-Force "C:\WebClient\rdwebclient-
Um ein Gateway zu installieren, klicken 1.0.1.zip"
Sie im Server-Manager im Bereich "Re- Install-Module -Name
motedesktopdienste / Übersicht" auf den RDWebClientManagement Fazit
Link "Remotedesktopgateway". Es startet Das Wichtigste an den Remotedesktop-
ein Assistent, über den Sie das Gateway Install-RDWebClientPackage diensten in Windows Server 2019 ist das
einrichten. Achten Sie aber darauf, dass Signal von Microsoft, auch in Zukunft
Sie den Server im Server-Manager vorher Zusätzlich ist das Zertifikat des Connecti- noch auf die Dienste zu setzen. Diese las-
über "Verwalten / Server hinzufügen" ver- on-Brokers notwendig: sen sich lokal sowie hybrid betreiben und
binden müssen. zukünftig wohl auch mit Remote Desktop
Import-RDWebClientBrokerCert Modern Infrastructure. Der Einsatz von
Zertifikate installieren CER-Dateipfad RDS ist also auch in Windows Server
und einrichten 2019 keine Sackgasse. (jp)
Viele Sicherheitseinstellungen in den Re- Danach stellen Sie den Client bereit:
motedesktopdiensten werden über Zer- Link-Codes
tifikate abgewickelt. Standardmäßig ver- Publish-RDWebClientPackage -Type
[1] Microsoft ODBC Driver for
wendet RDS selbstsignierte Zertifikate. Production -Latest
SQL Server on Windows
Darüber hinaus können Sie Zertifikate js2a1
von Drittherstellern oder auch die Acti- Die Verwaltung des Clients erfolgt in der

Quelle: Dmitriy Shironosov – 123RF
Sicherheit in Windows Server 2019
Mehrfach-
schutz
von Thomas Joos
Microsoft überzieht seine Windows-

Betriebssysteme mit einem gemeinsa-
men Schutzmantel namens Microsoft
Defender. Dieser umfasst mittlerweile
eine ganze Palette von Sicherheits-
werkzeugen, die Angriffe erkennen
und vor Rootkits sowie Ransomware
schützen. Wir stellen die Dienste und
Tools vor, mit denen Sie Windows-
Server und deren Umgebung gegen
bösartige Umtriebe imprägnieren.
P
räventive Sicherheitsmaßnahmen denen Firmenrechner anzeigt. ATP er- ATP arbeitet mit herkömmlichen Virens-
wie Virenschutz gehören seit Jah- kennt, wenn sich Windows-Rechner cannern, die mit Definitionsdateien ar-
ren zum Standard in jedem Unternehmen. verdächtig verhalten und informiert den beiten, zusammen. Dadurch erhalten Un-
Doch wie die Praxis zeigt, reicht "Stan- Administrator entsprechend. Es sind ternehmen einen zusätzlichen Schutz.
dard-IT-Security" heutzutage nicht mehr, daher keine Definitionsdateien notwen- ATP hat also nicht die Aufgabe, Firewalls
um die Netzwerke zuverlässig abzudich- dig, sondern der Clouddienst überwacht oder Virenscanner zu ersetzen, sondern
ten. Daher wendet sich auch Microsoft die Windows-Geräte und zeigt verdäch- soll die vorhandenen Technologien er-
neuen Wegen zu, um seine Kunden zu tiges Verhalten an. gänzen, um Netzwerke noch sicherer zu
unterstützen. Die neuesten Sicherheits- betreiben. ATP erkennt Angriffe, bei de-
technologien basieren dabei auf maschi- Die für ATP notwendigen Techniken zum nen Firewall und Virenscanner überfor-
nellem Lernen, so auch das erste hier Messen und Übertragen von Telemetrie- dert sind oder keine Maßnahmen ergrei-
vorgestellte Werkzeug aus der Windows- daten sind direkt in das Betriebssystem fen können.
Defender-Box. integriert. Optimal arbeitet ATP mit
Windows 10 Enterprise und Windows Dies bedeutet allerdings nicht, dass Sie
Windows Defender Advanced Server 2019 zusammen, da hier alle ATP- sich nicht mehr um den Schutz der Com-
Threat Protection Komponenten bereits integriert sind. Die puter kümmern müssen! Das Installieren
Windows Defender Advanced Threat Anbindung an ATP erfolgt in diesem Fall von Windows-Updates, abgesicherte Be-
Protection (ATP) [1] ist ein Cloud- über Gruppenrichtlinien, Skripte oder nutzerkonten und eine geschützte Au-
dienst, der Unternehmen in die Lage mit dem System Center Configuration thentifizierung stehen nach wie vor auf
versetzt, Angriffe auf das eigene Netz- Manager (SCCM). Microsoft stellt auch Ihrer To-do-Liste.
werk zu erkennen. Die Verwaltung er- die entsprechenden Skripte zur Verfügung
folgt über ein webbasiertes Dashboard, ebenso Vorlagen für Gruppenrichtlinien ATP arbeitet mit Machine Learning und
das die Daten der einzelnen angebun- sowie die Anbindung an SCCM. erkennt so, ob sich Rechner im Netzwerk

Security Windows Server 2019
liche Sicherheitsebene soll Windows Ser-

ver 2019 (wie auch Windows-10-Clients)
vor Bootkits und Rootkits schützen sowie
vor Attacken, die herkömmliche Virens-
canner nicht bereinigen können [2, 3].
Bei WDSG handelt es sich um eine sehr
komplexe und tief in das Betriebssystem
integrierte Sicherheitstechnologie zum
Schutz vor Angreifern.
Bereits beim Start des Betriebssystems

kann WDSG erkennen, ob auf einem
Rechner Bootkits oder Rootkits ihr Un-
wesen treiben. Der System Guard über-
wacht dazu die Treiber und andere Pro-
gramme, die mit dem System starten, auf
korrekte Signatur und erkennt dadurch
nicht erwünschte Bestandteile. Diese las-
sen sich dadurch aussperren. Der Schutz
umfasst nicht nur das Prüfen des Be-
triebssystems, sondern auch der Teile, die
durch Dritthersteller integriert werden,
also in erster Linie Systemtreiber oder Er-
weiterungen des Betriebssystems, wie
zum Beispiel Virenscanner. Auch Exploits
und andere Manipulationen werden er-
kannt und können blockiert werden. Ein-
fach ausgedrückt startet WDSG, bevor
Bild 1: Mit dem "Überwachten Ordnerzugriff" liefert Windows Server 2019 Angreifer aller Art eine Chance, haben
einen internen Schutz vor Ransomware. das System zu beeinträchtigen.
anders verhalten, als es der Norm ent- können auch Notebooks von mobilen Windows Defender
spricht. Die Lösung analysiert dazu nicht Mitarbeitern, aber auch Heimarbeits- Exploit Guard
nur einzelne Rechner im Netzwerk, son- plätze und Kioskrechner einbeziehen. Den Schutz von Verzeichnisse auf Com-
dern nutzt die Daten von allen angebun- Das verbreitert die Datenbasis, erleichtert putern vor Ransomware und Exploits
denen Computern. So erkennt die Soft- den Schutz und bietet weitere Sicher- übernimmt der Windows Defender Ex-
ware auch zusammenhängende Angriffe heitsstufen für besonders gefährdete ploit Guard (WDEG). Die Technologie
und kann entsprechende Gegenmaßnah- Rechner. arbeitet eng mit Windows Defender Sys-
men einleiten. Dadurch können im tem Guard zusammen. Grundlage hierfür
Netzwerk Rechner geschützt werden, die Neben der automatisierten Analyse kön- ist der "Überwachte Ordnerzugriff " sowie
überhaupt noch nicht angegriffen wor- nen Administratoren auch verschiedene Gruppenrichtlinien, mit denen auch Ser-
den sind. verdächtige Dateien in die Cloud laden ver vor Ransomware und Exploits ge-
und analysieren lassen. Microsoft nutzt schützt werden.
ATP läuft als Systemdienst in Windows dazu Funktionen aus Big Data und In-
10 und Windows Server 2019. Dieser dicators of Attacks (IOAs). Auch Ergeb- Ist WDEG in Windows Server 2019 ak-
analysiert die Umgebung und sendet Da- nisse von früheren Angriffen auf Basis tiviert, dürfen nur noch genehmigte Apps
ten in die Cloud, wo ATP diese analy- von Indicators of Compromises (IOCs) Änderungen an Dateien in den gesicher-
siert. Dazu kann der Dienst auch mit an- werden mit einbezogen. ten Verzeichnissen vornehmen. Die Kon-
deren Daten arbeiten, die Microsoft zur figuration lässt sich lokal in den Einstel-
Verfügung stellt. Der Vorteil von ATP Windows Defender System lungen von Windows 10, über das neue
besteht in der breiten Datenbasis, die Guard für Boot-Schutz Windows Security Center, in der Power-
Microsoft vorliegt sowie den intelligen- Bei Windows Defender System Guard Shell oder auch über Gruppenrichtlinien
ten Machine-Learning-Algorithmen. Um (WDSG) handelt es sich um eine zusätz- vornehmen. Dazu müssen Sie allerdings
ATP zu nutzen, müssen die Rechner liche Schutzebene für Windows Server die ADMX-Dateien importieren, am bes-
nicht Mitglied einer Active-Directory- 2019, die das Betriebssystem bereits beim ten die Version von Windows 10 Version
Domäne sein. Das heißt, Unternehmen Start vor Angreifern schützt. Die zusätz- 1809/1903.

Windows Server 2019 Security
Die Optionen für den überwachten Ord-

nerzugriff und den Exploit-Schutz stehen
unter "Computerkonfiguration / Richtli-
nien / Administrative Vorlagen / Win-
dows-Komponenten / Windows Defender
Antivirus / Windows Defender Exploit
Guard / Überwachter Ordnerzugriff " zur
Verfügung. Hier legen Sie fest, welche
Ordner das System schützen soll, welche
Anwendungen Änderungen vornehmen
dürfen und ob der überwachte Ordner-
modus die Verzeichnisse nur überwachen
oder Änderungen auch blockieren soll.
In den Exploit-Guard-Richtlinien finden

Sie zudem zahlreiche weitere Einstellun-
gen zum Schutz der Systeme vor Ex-
ploits. Zusätzlich bietet Microsoft mit
dem "Exploit Guard Evaluaton Tool" [4]
ein Paket an, mit dem Sie den überwach-
ten Ordnerzugriff testen und Dateien in
geschützten Ordnern erstellen.
Windows Defender
für den Virenschutz nutzen
Für Malwareschutz in Unternehmen bie-
tet Windows Server 2019 den vorinstal-
lierten Windows Defender, der einen
durchaus soliden Virenschutz bietet, der Bild 2: Windows Defender und andere Schutzfunktionen werden
sich auch per Gruppenrichtlinie oder zentral im Windows Security Center konfiguriert.
PowerShell steuern lässt. Bereits bei der
Installation ist Windows Defender in Ser- Sie in Windows Server 2019 über die Ein- von Windows Defender. Hier nehmen
ver 2019 so lange aktiv, bis Sie eine andere stellungs-App und dann die Auswahl Sie alle Einstellungen des Programms vor
Lösung installieren. "Update" und "Sicherheit / Windows Up- und sehen auch die Version der aktuell
date", Windows Defender erreichen Sie installierten Definitionsdateien. Hier
Sie können über die Einstellungen-App wiederum direkt im Menü "Update" und können Sie auch deren Aktualisierung
auf die Konfiguration von Windows De- "Sicherheit / Windows Defender". durchführen.
fender in Server 2019 zugreifen. Nutzen
Sie keinen externen Virenscanner, sollten Windows Defender schützt das System Windows Defender in der
Sie über "Einstellungen / Update" und im Hintergrund automatisch. Ob der PowerShell steuern
"Sicherheit / Windows-Sicherheit" im Dienst problemlos läuft, zeigt Ihnen sc Es stehen zahlreiche Cmdlets zur Win-
Windows Security Center bei "Viren- & query Windefend. Der Dienst muss als ge- dows-Defender-Verwaltung bereit. Um
Bedrohungsschutz" überprüfen, ob startet angezeigt werden und wird durch beispielsweise den Echtzeitschutz in
die Optionen "Echtzeitschutz", "Cloud- die Datei "C:\Program Files \ Windows Windows Server 2019 zu deaktivieren,
basierter Schutz" und "Automatische Defender \ MsMpEng.exe" ausgeführt. verwenden Sie den Befehl:
Übermittlung von Beispielen" aktiviert Grundsätzlich müssen auf dem Server
sind. Letzteres überträgt lediglich aus- der Windows-Defender-Dienst (muss ge- Set-MpPreference
führbare und DLL-Dateien, jedoch kei- startet sein) und der Windows-Defender- -DisableRealtimeMonitoring $true
ne persönlichen Daten wie Word-oder Netzwerkinspektionsdienst (Windows
PDF-Dateien. Defender Network Inspection Service, Die Funktion aktivieren Sie wieder per
Wdnissvc) vorhanden sein.
Die Aktualisierung der Definitionsdateien Set-MpPreference
findet über Windows-Updates statt, Sie Damit der Server zuverlässig geschützt -DisableRealtimeMonitoring $false
müssen diese also manuell oder über wird, müssen Sie Windows-Updates ak-
Gruppenrichtlinien aktivieren. Die tivieren. Über "Einstellungen verwalten" Ausnahmen der Echtzeitüberprüfung für
Windows-Update-Steuerung erreichen gelangen Sie zum Konfigurationsfenster bestimmte Pfade legen Sie so an:

Security Windows Server 2019
- Update-MpSignature: Aktualisiert die

Definitionsdateien.
- Start-MpScan: Startet einen Scan.
Azure Security Center

Mit dem Azure Security Center (ASC)
[5] sorgen IT-Verantwortliche dafür, dass
Ressourcen und Dienste in der Cloud und
im lokalen Rechenzentrum sicher sind.
ASC bietet einen zentralen Schutz der
Webdienste und Daten, die in Azure ver-
arbeitet werden. Auch hybride Clouds
profitieren davon. Das heißt, die Sicher-
heit lässt sich in der Cloud und im eige-
nen Rechenzentrum deutlich verbessern.
Bild 3: Das Azure Security Center dient der zentralen Überwachung und Konfiguration der Sicherheit Im Fokus des Azure Security Center ste-
in Microsoft Azure. hen virtuelle Computer, virtuelle Azure-
Netzwerke, Azure-SQL-Dienst, Azure-
Add-MpPreference -ExclusionPath Set-MpPreference -SignatureSchedule- Speicherkonto sowie Azure-Web-Apps.
"Verzeichnis" Day Everyday Das ASC überwacht VMs und kann si-
cherstellen, dass VMs nicht mit IP-Adres-
Diese Ausnahmen können Sie aus der Sie können auch hier Ausnahmen defi- sen kommunizieren, die als potenziell
Konfiguration auch wieder löschen: nieren. Um mehrere Verzeichnisse aus gefährlich eingestuft werden. Auch Bru-
den Scans auszuschließen, verwenden Sie te-Force-Angriffe oder Malware-Attacken
Remove-MpPreference -ExclusionPath beispielsweise werden erkannt.
"Verzeichnis"
Set-MpPreference Das Azure Security Center bietet zu-
Darüber hinaus stehen zum Steuern des -ExclusionPath nächst eine Überwachung von lokalen
Virenschutzes in Windows Server 2019 "C:\temp", "C:\VMs", Workloads und von Serverdiensten in
weitere Cmdlets zur Verfügung. Mit dem "C:\NanoServer" der Cloud. Dazu kommen Richtlinien
Add-MpPreference-Cmdlet ändern Sie und das Blockieren von Sicherheitsan-
die Einstellungen von Windows Defender. Auch einzelne Prozesse lassen sich als griffen. Innerhalb des Azure-Portals steht
Wollen Sie zum Beispiel einen Pfad zur Ausnahme definieren: das ASC über den Menüpunkt "Security
Ausnahmeliste hinzufügen, nutzen Sie Center" zur Verfügung.
Set-MpPreference -ExclusionProcess
Add-MpPreference -ExclusionPath "C:\Temp" "vmms.exe", "Vmwp.exe". ASC zeigt im Bereich "Übersicht" zu-
nächst genau an, für welche Dienste
Um die Standardeinstellungen beim Ent- Grundsätzlich erhalten Sie mit Get-Com- Warnungen vorliegen, welche Ereignisse
decken eines Virus anzupassen, verwen- mand -Module Defender alle Befehle zur festgestellt wurden und welche Empfeh-
den Sie das Cmdlet mit der Option Steuerung des Windows Defender. Fol- lungen für die Verbesserung der Sicher-
"-ThreatIDDefaultAction_Actions" und gende Cmdlets sind besonders wichtig: heit vorliegen. Ergänzend zu diesen Hin-
einem der folgenden Werte: - Get-MpComputerStatus: Ermittelt den weisen zur Verbesserung der Sicherheit
- 1: Clean Status des Virenschutzes. führt das System Sie auch durch die ver-
- 2: Quarantine - Get-MpPreference: Zeigt Einstellungen schiedenen Schritte.
- 3: Remove der Scans und Updates an.
- 4: Allow - Get-MpThreat: Liefert den Verlauf der Zusätzlich finden Sie über den linken
- 8: UserDefined gefundenen Angriffe. Bereich weitere Menüpunkte wie zum
- 9: NoAction - Get-MpThreatCatalog: Alle Angriffe, Beispiel die Definition der Sicherheits-
- 10: Block die Defender finden kann. richtlinien. Als Einstiegspunkt bietet sich
- Get-MpThreatDetection: Zeigt aktuelle "Schnellstart" an, wo Sie sich einen ersten
Mit dem Set-MpPreference-Cmdlet kon- Virenverseuchungen an. Überblick verschaffen.
figurieren Sie die Scans. Wollen Sie zum - Remove-MpPreference: Entfernt Aus-
Beispiel festlegen, dass Defender jeden nahmen. Generell steht das Azure Security Center
Tag nach aktuellen Definitionsdateien - Remove-MpThreat. Entfernt aktive in zwei Lizenzen zur Verfügung: Der
sucht, verwenden Sie Angriffe kostenlose Tarif bietet eine Übersicht

Windows Server 2019 Security
dows-Versionen, Sie finden für Server

2019 ein eigenes File.
Mit dem Policy Analyzer aus dem Tool-

kit analysieren Sie Gruppenrichtlinien
und setzen Empfehlungen um. Das
Werkzeug ist dann sinnvoll, wenn meh-
rere Gruppenrichtlinien im Einsatz sind
und Server sicher betrieben werden sol-
len, da alle Einstellungen parallel über-
prüft werden. Das Tool hilft dabei fest-
zustellen, in welcher Richtlinie Probleme
auftreten und welche Sicherheitseinstel-
lungen umgesetzt werden sollten, damit
diese den Empfehlungen von Microsoft
entsprechen. Der Policy Analyzer liest
die Richtlinien ein und zeigt in einer
Tabelle die zugehörigen Registry-Ein-
stellungen an. Nach dem Download
müssen Sie dazu lediglich die EXE-Datei
des Tools starten.
Bild 4: Die Sicherheitsrichtlinien verbessern die Sicherheit im Azure-Abonnement. Microsoft hat im Verzeichnis "Documen-
tation" des ZIP-Archivs die Excel-Tabelle
und einen Einblick in die verschiedenen aktuellen Tarif sehen Sie, wenn Sie im Se- "MS Security Baseline Windows 10 v1809
Azure-Ressourcen ebenso wie einfache curity Center auf das jeweilige Abonne- and Server 2019.xlsx" integriert. Hier sind
Sicherheitsrichtlinien und Empfehlungen ment und dann auf "Tarif " klicken. alle Einstellungen aufgelistet, die wieder-
zur Sicherheit. Die Funktionen sollten um über die Gruppenrichtlinienvorlagen
generell für alle Azure-Abonnements ge- In größeren Umgebungen muss auch auf umgesetzt werden. Über die Registerkar-
nutzt werden. die Rechte geachtet werden, wenn Azure ten im unteren Bereich schalten Sie zwi-
Security Center zum Einsatz kommen schen den verschiedenen Einstellungen
Im Standard-Tarif kommen auch erwei- soll. Nur wenn ein Administrator min- in der Dokumentation um. "Security
terte Funktionen zur Bedrohungserken- destens das Recht "Lesen" für eine Res- Template" zeigt die Sicherheitseinstel-
nung und Verhaltensana- lysen dazu. Die source hat, kann er Informationen zur lungen an, die mit Gruppenrichtlinien
Standard-Funktionen lassen sich bis zu Ressourcen anzeigen. umgesetzt werden. Die Tabelle zeigt die
60 Tage kostenlos nutzen, danach müssen Einstellungen für Arbeitsstationen mit
die Funktionen lizenziert werden. Den Damit das Azure Security Center die Si- Windows 10 und Mitgliedsserver sowie
cherheit der Ressourcen bewerten kann, Domänencontroller auf Basis von Win-
Link-Codes muss es Daten sammeln. Dazu müssen dows Server 2019 jeweils in eigenen Spal-
Sie die Datensammlung für das Abonne- ten an. Weiteren Spalten liefern die Ein-
[1] Windows Defender Advanced
ment aktivieren. Dies erledigen Sie ent- stellungen für lokale Computer und
Threat Protection
i8p25 weder manuell oder über eine Sicherheits- Server, Windows Defender Firewall und
[2] Hardening the system and
richtlinie. Erst wenn die Datensammlung AppLocker.
maintaining integrity with aktiviert ist, überwacht das Azure Security
Windows Defender System Guard Center auch die VMs. Fazit
i0z31 Microsoft verbessert mit jeder Windows-
[3] Introducing Windows Defender Vorlagen der Security Server-Version deutlich die Sicherheit.
System Guard runtime attestation Configuration Baselines nutzen Insbesondere mit der Produktfamilie Mi-
i0z32 Über das "Microsoft Security Compli- crosoft Defender, zuvor als Windows De-
[4] Exploit Guard Evaluation Tool ance Toolkit" [6] stellt Microsoft Vorla- fender bekannt, bietet der Hersteller eine
is27a gen und Tools zur Verfügung, mit denen ganze Reihe moderner Werkzeuge zum
[5] Azure Security Center Sie Sicherheitseinstellungen für Win - Serverschutz. Die verschiedenen Produk-
js2a2
dows Server 2019 umsetzen – in den te bieten auf mehreren Ebenen Schutz
[6] Microsoft Security meisten Fällen über Gruppenrichtlinien. vor Angreifern. Es lohnt sich also, die
Compliance Toolkit
Der Download besteht aus Tools und Funktionen zu testen und im Netzwerk
hs2a3
ZIP-Dateien für die verschiedenen Win- zu implementieren. (jp)

Win-Win für Admins
Weiterempfehlen lohnt sich!
Werben Sie jetzt einen neuen

All-Inclusive*-Abonnenten und sichern
Retro Popcorn-
Sie sich eine der genialen Prämien** Maschine
Marine Monokular
Internetradio
4K-Action-Cam Fitness-Armband Glas-Wasserkocher
mit WLAN
* enthält 12 IT-Administrator Monatsausgaben, zwei Sonderhefte, Archiv-CD und E-Paper-Zugang.

** Um einen neuen Abonnenten zu werben müssen Sie selbst kein Abonnent sein. Sie dürfen sich jedoch nicht selbst werben. Der neue Leser darf in den letzten drei Monaten kein Abonnent des IT-Administrator gewesen sein und
beide dürfen nicht im selben Haushalt leben. Der Prämienversand erfolgt ca. 4-6 Wochen nach Zahlungseingang des Abonnements. Das Angebot gilt in Deutschland und Österreich und nur solange der Vorrat reicht.
Abo- und Leserservice IT-Administrator

Herr Stephan Orgel
D-65341 Eltville
Fax: 06123/9238-252
leserservice@it-administrator.de shop.heinemann-verlag.de
Leistungsüberwachung von Windows Server 2019
Quelle: Andrii Iurlov – 123RF

Bestwerte
von Thomas Joos
Auch unter Windows Server 2019 gibt es Faktoren, die die bestmögliche Leistung des Systems
negativ beeinträchtigen können. So die Zugriffsgeschwindigkeit der physischen Datenträger, die
für alle laufenden Prozesse zur Verfügung stehende Speichermenge, die Prozessorgeschwindigkeit
und der Datendurchsatz der Netzwerkschnittstellen. Bringt Windows hier keine Höchstleistung,
stehen zur Überprüfung passende Bordmittel bereit.
Ü
ber den Eintrag "Leistung" in der Server noch genauer überwachen lassen, Über das grüne Pluszeichen in der Sym-
Konsolenstruktur des Server-Ma- indem Sie verschiedene Leistungsindika- bolleiste blenden Sie weitere Leistungs-
nagers lassen Sie sich die aktuelle System- toren hinzufügen. Sie können diese Daten indikatoren ein. Für Serveranwendungen,
leistung des Servers mit verschiedenen in Echtzeit oder als Verlaufsdaten anzeigen wie zum Beispiel Microsoft SQL Server,
Tools anzeigen. Der Link "Ressourcen- lassen und die Leistungsindikatoren ent- gibt es einige solcher Indikatoren. Das
monitor" öffnet eine detaillierte Ansicht weder per Drag&Drop hinzufügen oder "SQLServer:Databases"-Objekt in SQL
des aktuellen CPU-Verbrauchs, des Ar- benutzerdefinierte Datensammlergruppen Server stellt Indikatoren zum Überwa-
beitsspeichers, der Datenträger und des (Data Collector Sets, DCS) erstellen. Die chen von Transaktionsprotokollaktivitäten
Netzwerkverkehrs. In Windows Server Leistungsüberwachung unterstützt ver- zur Verfügung. Wählen Sie zunächst den
2019 finden Sie das Programm über den schiedene Ansichten für die visuelle Über- entsprechenden Indikator aus und klicken
Menüpunkt "Tools" im Server-Manager. prüfung der Daten in Leistungsprotokol- Sie auf "Hinzufügen". Sie sehen die ver-
Alternativ starten Sie das Werkzeug durch len. Die Auswahl "Bericht" bietet teilweise fügbaren Indikatoren einer Gruppe, in-
Eingabe von perfom /res. mehr Übersicht als die anderen Optionen dem Sie auf den Abwärtspfeil rechts ne-
in der Liste, abhängig vom Einsatzgebiet. ben dem Gruppennamen klicken. Zum
Der Bereich der Ressourcenübersicht ent- Außerdem sind Sie in der Lage, benutzer- Hinzufügen einer ganzen Indikatoren-
hält vier animierte Diagramme, die die definierte Ansichten in Form von Daten- gruppe markieren Sie den Gruppenna-
Auslastung der CPU-, Datenträger-, Netz- sammlergruppen für Leistungs- und Pro- men und klicken auf die Schaltfläche
werk- und Speicherressourcen des lokalen tokollfunktionen zu exportieren. "Hinzufügen". Markieren Sie einen Grup-
Computers in Echtzeit anzeigen. Unter pennamen, haben Sie Zugriff auf die ent-
den Diagrammen befinden sich vier er- Die Leistungsüberwachung arbeitet mit haltenen Leistungsindikatoren. Wählen
weiterbare Bereiche, in denen sich Ein- Objekten. Für jedes Objekt, zum Beispiel Sie nur einen Indikator aus der Liste, be-
zelheiten zur jeweiligen Ressource finden. den Prozessor, existieren eine Reihe von vor Sie auf "Hinzufügen" klicken, wird
Leistungsindikatoren wie "Prozessorzeit" nur dieser Indikator berücksichtigt.
Leistungsüberwachung oder "Interrupts/s". Für einzelne Objekte
einrichten gibt es mehrere Instanzen. Das ist etwa Um nur eine bestimmte Instanz eines In-
Klicken Sie im Server-Manager auf den beim Prozessor der Fall, wenn Sie mit ei- dikators hinzuzufügen, markieren Sie ei-
Eintrag "Tools / Leistungsüberwachung" nem Multiprozessorsystem arbeiten. Beim nen Gruppennamen in der Liste, wählen
oder rufen Sie die Leistungsüberwachung Objekt "Prozesse" wird eine Instanz für den gewünschten Prozess im Bereich "In-
über das Startmenü auf, können Sie den jeden aktiven Prozess definiert. stanzen" des gewählten Objekts aus und

Monitoring der Systemleistung Windows Server 2019
überwachung" und rufen im Kontextmenü

"Neu / Datensammlersatz" auf.
Anschließend startet der Assistent für die

Erstellung einer neuen Datensammler-
gruppe. Das DCS enthält alle Indikatoren,
die in der aktuellen Ansicht ausgewählt
sind. Der Sammlungssatz muss unter dem
Konto eines Benutzers mit Administra-
torrechten ausgeführt werden. Über das
Kontextmenü starten Sie einen Daten-
sammlersatz. Nach dem Beenden erstellt
der Satz einen Bericht. Diesen können
Sie sich nach dem Beenden über den Be-
reich "Datensammlersätze / Benutzerde-
finiert" aufrufen.
Für jeden Satz lassen sich Optionen kon-

Bild 1: Der Ressourcenmonitor liefert zahlreiche Hinweise bei Performanceproblemen figurieren, indem Sie in der Liste des
von CPU, Datenträgern und mehr. Fensters mit der rechten Maustaste auf
den Namen des Sammlungssatzes klicken
klicken auf "Hinzufügen". Derselbe Indi- der Legende ausgewählt, lässt sich die zu- und im Kontextmenü den Eintrag "Ei-
kator kann von mehreren Prozessen ge- gehörige Indikatorlinie optisch hervorhe- genschaften" wählen. Auf der Register-
neriert werden. Bei Auswahl einer Instanz ben, indem Sie auf der Symbolleiste auf die karte "Allgemein" geben Sie eine Beschrei-
protokolliert der Server nur die Indikato- Schaltfläche "Markierung" klicken. Ein er- bung oder Schlüsselwörter für die Daten-
ren, die der gewählte Prozess erzeugt. neutes Klicken auf diese Schaltfläche stellt sammlergruppe ein. Über die Register-
Wählen Sie keine Instanz aus, protokolliert die ursprüngliche Anzeige wieder her. karte "Verzeichnis" ist der Stammordner
der Server alle Instanzen des Indikators. als Standardordner festgelegt, in dem alle
Um die Eigenschaften für die Anzeige ei- Protokolldateien für die Datensammler-
Sie können nach Instanzen eines Indika- nes Indikators zu ändern, klicken Sie mit gruppe gespeichert sind. Mit "Zeitplan"
tors suchen, indem Sie die Indikatoren- der rechten Maustaste auf die entsprechen- geben Sie an, wann mit der Datensamm-
gruppe markieren oder die Gruppe er- de Zeile in der Legende und wählen im lung begonnen wird. Auf der Register-
weitern und den gewünschten Indikator Kontextmenü den Eintrag "Eigenschaften". karte "Stoppbedingung" bestimmen Sie
auszuwählen, den Prozessnamen in das Passen Sie die Eigenschaften mit den Ein- Bedingungen, bei denen die Datensamm-
Feld unterhalb der Instanzenliste für das trägen in den Listenfeldern an. Mit der lung angehalten wird. Diese Bedingung
gewählte Objekt eingeben und auf "Su- Schaltfläche "Anzeige fixieren" auf der hat auch Vorrang vor dem von Ihnen auf
chen" klicken. Der eingegebene Prozess- Symbolleiste frieren Sie die Anzeige ein, der Registerkarte "Zeitplan" festgelegtem
name findet sich nun in der Dropdown- um die aktuelle Aktivität zu überprüfen. Ablaufdatum.
Liste für eine weitere Suche. Wenn Sie die Anzeige wieder aktivieren
möchten, klicken Sie auf die Schaltfläche Speicherengpässe beheben
Indikatorendaten beobachten "Fixierung der Anzeige aufheben". Die Im Ressourcenmonitor sehen Sie auf der
Standardmäßig zeigt die Leistungsüberwa- Schaltfläche "Daten aktualisieren" erlaubt, Registerkarte "Arbeitsspeicher" die lau-
chung Daten als Liniendiagramms an, das die Anzeige schrittweise zu durchlaufen. fenden Prozesse und deren genutzten Ar-
einem Zeitraum von zwei Minuten ent- beitsspeicher. Mit einem Klick auf die
spricht und von links nach rechts zu lesen Sammlungssätze nutzen Spalte "Arbeitssatz" lassen Sie sich den
ist. Sie ermitteln Details für einen bestimm- Die Echtzeitanzeige ist nur eine Möglich- Arbeitsspeicherverbrauch der Prozesse
ten Indikator, indem Sie mit der Maus auf keit, die Leistungsüberwachung zu nutzen. sortiert anzeigen. Die Überwachung des
die entsprechende Indikatorlinie zeigen. Nachdem Sie eine Kombination aus Indi- Arbeitsspeichers erledigen Sie am besten
Mit dem Dropdown-Listenfeld in der Sym- katoren zusammengestellt haben, können ebenfalls mit der Leistungsüberwachung.
bolleiste ändern Sie die Anzeige für die ak- Sie diese als Sammlungssätze (auch Da- Auf Servern bieten sich folgende Leis-
tuelle Datensammlergruppe. tensammlergruppe genannt) speichern. tungsindikatoren an:
Um einen Sammlungssatz zu erstellen, be- - Arbeitsspeicher Verfügbare Bytes: Gibt
Die Histogrammansicht zeigt die Daten in ginnen Sie mit der Anzeige der Leistungs- an, wie viele Bytes an Arbeitsspeicher der-
Echtzeit und Balkenform. Die Berichtan- indikatoren, dann erweitern Sie in der zeit für die Verwendung durch Prozesse
sicht enthält die Werte für den ausgewähl- Konsole die Hierarchiestruktur, klicken verfügbar sind. Niedrige Werte können
ten Indikator in Textform. Ist eine Zeile in mit der rechten Maustaste auf "Leistungs- ein Anzeichen dafür sein, dass insgesamt

Windows Server 2019 Monitoring der Systemleistung
change-Infrastruktur auch immer die Ge-

schwindigkeit des Netzwerks messen.
Auch eine schnelle Verbindung zum DNS-

Server und eine stabile und korrekte Na-
mensauflösung sind sehr wichtig. Die Re-
aktionszeit des DNS-Servers darf 50 ms
nicht überschreiten, wenn Sie die Leistung
optimieren wollen. Dauert die Anfrage
länger, haben Sie einen Flaschenhals in
der Exchange-Leistung. Um dies zu er-
mitteln, reicht ein Ping des Servers aus –
Sie benötigen noch nicht einmal die Leis-
tungsüberwachung.
Wichtig für die Verbindung von Ex-

Bild 2: In der Leistungsüberwachung zeigen die zur Überwachung change zum AD ist die Indikatorgruppe
gewählten Objekte ihre Performancedaten an. "MSExchange ADAccess -Prozesse in der
Leistungsüberwachung". Diese fügt der
zu wenig Arbeitsspeicher auf dem Server auf diesen zugreifen zu können. Dauert Exchange-Installationsassistent auf ei-
vorhanden ist oder dass eine Anwendung dieser Vorgang zu lange, verzögert sich nem Server hinzu. Erweitern Sie diese
keinen Arbeitsspeicher freigibt. bereits an dieser Stelle der AD-Zugriff. Gruppe, finden Sie die interessanten bei-
- Arbeitsspeicher Seiten/s: Gibt die Anzahl 3. Jetzt baut die DLL "wldap32" eine Ver- den Indikatoren "LDAP-Lesedauer" und
der Seiten an, die wegen Seitenfehlern bindung zum globalen Katalog auf und "LDAP-Suchdauer". Klicken Sie dazu auf
vom Datenträger gelesen oder auf den überträgt die Anfrage. das Pluszeichen neben der Indikator-
Datenträger geschrieben wurden, um 4. Anschließend wird eine TCP-Verbin- gruppe im oberen Bereich und dann auf
Speicherplatz aufgrund von Seitenfehlern dung aufgebaut und eine LDAP-Abfra- die beiden Indikatoren: "LDAP-Lesedau-
freizugeben. Ein hoher Wert kann auf ge gestartet. Damit die Verbindung er" misst die Zeit, die eine LDAP-Abfrage
überhöhte Auslagerungen hindeuten. funktioniert, benötigt TCP drei Bestä- bis zur Datenübermittlung benötigt und
Überwachen Sie "Seitenfehler/s", um si- tigungen durch den DC. Bei einer La- "LDAP-Suchdauer" zeigt die Zeit an, die
cherzustellen, dass die Datenträgeraktivität tenz von 10 ms im Netzwerk dauert der der Server für eine Suche per LDAP im
nicht durch Auslagern verursacht wird. Zugriff in diesem Fall also 30 ms, bevor AD benötigt. Der Durchschnittswert für
der Exchange-Server die LDAP-Abfrage diese Indikatoren sollte unter 50 ms lie-
AD-Diagnose mit übertragen kann. gen, die Maximaldauer sollte nicht über
der Leistungsüberwachung 5. Die LDAP-Abfrage wird in die Datei 100 ms steigen.
Gibt es Leistungsprobleme in Exchange "lsass" auf dem DC geschrieben, die auf
oder anderen Serverdiensten, die vom den LDAP-Port des Servers hört. LDAP-Zugriff
Active Directory abhängen – zum Beispiel 6. Der DC nimmt die Abfrage an den glo- auf DCs überwachen
bezüglich des Postfachzugriffs oder dem balen Katalog entgegen und führt die Damit Active-Directory-abhängige Diens-
Versenden von Nachrichten – liegt häufig Suche in seinem globalen Katalog durch. te schnell und effizient Daten aus dem
auch ein Problem im AD oder im DNS 7. Der globale Katalog sendet die Daten AD abrufen können, muss der globale
vor. Das heißt, parallel zur Leistungsüber- über die Netzwerkkarte zur wldap32- Katalog schnell antworten und darf nicht
wachung sollten Sie noch eine Diagnose DLL auf dem Exchange-Server. Handelt überlastet sein. Um diese Auslastung zu
der Namensauflösung sowie eine Diagnose es sich um eine große Menge an Daten, überprüfen, können Sie ebenfalls die Leis-
der Domänencontroller (DC) durchfüh- zum Beispiel beim Auflösen der Mit- tungsüberwachung verwenden. Klicken
ren, zum Beispiel über "Dcdiag". Exchange, glieder einer Verteilergruppe, müssen Sie dazu auf "Datensammlersätze / System /
aber auch andere Dienste, die das AD be- erst alle Daten übertragen werden, be- Active Directory Diagnostics" und danach
nötigen, greifen über die Systemdatei vor Exchange mit der Verarbeitung wei- auf das grüne Dreieck in der Symbolleiste,
"wldap32.dll" auf das AD zu. Dabei laufen termachen kann. um den Sammlungssatz zu starten. Hat
(vereinfacht) folgende Vorgänge ab: ein Server Leistungsprobleme, starten Sie
1. Die Datei "wldap32.dll" auf dem Ex- Ein sehr großer Teil der Leistung hängt den Sammlungssatz und lassen die Ab-
change-Server erhält durch einen Ex- also bei Servern von der Netzwerkge- fragen messen. Nach einiger Zeit beenden
change-Prozess eine Anfrage und greift schwindigkeit zwischen Exchange-Server Sie die Messung über das Kontextmenü
daraufhin auf den globalen Katalog zu. und dem globalen Katalog oder Domä- des Sammlungssatzes oder die Symbol-
2. Per DNS versucht der Server den glo- nencontroller ab. Aus diesem Grund soll- leiste. Jetzt können Sie über "Berichte /
balen Katalog-Server aufzulösen, um ten Sie bei Leistungsproblemen der Ex- System / Active Directory Diagnostics"

Monitoring der Systemleistung Windows Server 2019
auf die Daten der letzten Messung zugrei- teilung des Arbeitsspeichers in einer gra- Diagnose des Arbeitsspeichers
fen. In verschiedenen Bereichen sehen fischen Oberfläche an. Mit dem Werk- Häufig sind Serverprobleme auf defekten
Sie alle durchgeführten Aufgaben und de- zeug erkennen Sie, wie viel Arbeitsspei- Arbeitsspeicher zurückzuführen. Sie rufen
ren Daten und Zugriffsgeschwindigkeiten. cher aktuell für den Kernel reserviert ist das Tool zur Überprüfung des Arbeits-
Auf diesem Weg erkennen Sie schnell, wo und welchen Arbeitsspeicher die Treiber speichers mit mdsched auf. Das Werkzeug
die Probleme auf dem Server liegen. des Computers verbrauchen. Auf ver- steht auch in der Programmgruppe "Ver-
schiedenen Registerkarten zeigt das Tool waltung" zur Verfügung und – wenn Sie
Laufwerke und ausführliche Informationen zum Arbeits- den Server mit der DVD oder einem
Datenträger im Blick speicher an: USB-Stick starten – über die Computer-
Die folgenden zwei Leistungsindikatoren - Use Counts: Zusammenfassung reparaturoptionen.
liefern Auskünfte zur Datenträgeraktivität: - Processes: Prozesse
"Physikalischer Datenträger:Zeit (%)" zeigt - Priority Summary: Priorisierte Stand- Sie können entweder den Server sofort
den Prozentsatz der Zeit auf, den der Da- by-Listen neu starten und eine Diagnose durchfüh-
tenträger für Lese-/Schreibaktivitäten be- - Physical Pages: Seitenübersicht für den ren oder festlegen, dass die Diagnose erst
nötigt. Liefert der Leistungsindikator einen kompletten Arbeitsspeicher beim nächsten Systemstart durchgeführt
hohen Wert, überprüfen Sie noch "Physi- - Physical Ranges: Adressen zum RAM werden soll. Während der Speicherdiag-
kalischer Datenträger:Aktuelle Warte- - File Summary: Dateien im RAM nose prüft das Programm, ob der einge-
schlangenlänge", um festzustellen, wie viele - File Details: Individuelle Seiten im Ar- baute Arbeitsspeicher Fehler aufweist,
Anforderungen auf einen Datenträgerzu- beitsspeicher nach Dateien sortiert was eine häufige Ursache für ungeklärte
griff warten. Die Anzahl der wartenden Abstürze ist. Nachdem der Test abge-
E/A-Anforderungen sollte das Anderthalb- Das Tool hilft dabei zu verstehen, wie die schlossen ist, startet der Server automa-
fache bis Zweifache der Anzahl der Spin- aktuellen Windows-Versionen den Ar- tisch neu und meldet das Ergebnis über
deln, aus denen sich der physische Daten- beitsspeicher verwalten und an die verein Symbol im Infobereich der Taskleiste.
träger zusammensetzt, nicht überschreiten. schiedenen Anwendungen, Treiber und Über die Funktionstaste F1 gelangen Sie
Wenn "Aktuelle Warteschlangenlänge und Prozesse verteilen. zu den Optionen der Überwachung und
Zeit (%)" durchgängig sehr hoch sind, können verschiedene Überprüfungsme-
müssen Sie den Datenträger entlasten, wei- Noch ausführlicher bezüglich der Arbeits- thoden auswählen und mit F10 starten.
tere Datenträger einsetzen und die ver- speicheranalyse ist "VMMap" [2], denn das
schiedenen Datenbankdateien aufteilen Tool zeigt sehr detailliert den Arbeitsspei- Prozessorauslastung
oder einen weiteren Server hinzufügen. cherverbrauch von Prozessen an. Durch messen und optimieren
Unter "Physikalischer Datenträger:Durch- ausführliche Filtermöglichkeiten geht Auch die Prozessorleistung kann einen
schnittliche Warteschlangenlänge des Da- VMMap bei der Analyse wesentlich weiter Flaschenhals darstellen. Zu wenig Haupt-
tenträgers" überwachen Sie "Arbeitsspei- als RAMMap. VMMap kann auch anzei- speicher kann die Konsequenz haben, dass
cher:Seitenfehler/s", um sicherzustellen, gen, ob ein Prozess Arbeitsspeicher durch auch der Prozessor sehr stark belastet wird.
dass die Datenträgeraktivität nicht durch den physischen Arbeitsspeicher zugewiesen Die Auslastung ist kein Problem, wenn sie
Auslagern verursacht wird. In diesem Fall bekommt oder von Windows in die Aus- gelegentlich kurzzeitig über 90 Prozent
liegt das Problem nicht am Datenträger, lagerungsdatei verschoben wird. VMMap liegt. Gefährlich wird es, wenn die Auslas-
sondern an fehlendem Arbeitsspeicher. listet sehr detailliert auf, welche Daten eines tung über längere Zeiträume in diesem
Programms oder eines Prozesses in wel- Bereich liegt, aber auch dann ist bei der
Wenn Sie über mehr als eine logische Par- chen Bereichen des Arbeitsspeichers oder Analyse noch Vorsicht angesagt, da nicht
tition auf derselben Festplatte verfügen, der Auslagerungsdatei liegen. Das Tool er- unbedingt ein Problem vorliegt.
sollten Sie statt den Leistungsindikatoren möglicht auch das Erstellen von Moment-
für physische Arbeitsspeicher die Leis- aufnahmen und dadurch von Vorher- Bei Mehrprozessorsystemen gilt das Au-
tungsindikatoren für logische Datenträger Nachher-Beobachtungen. genmerk vor allem den Leistungsindika-
verwenden. Haben Sie die Datenträger toren der Leistungsüberwachung aus dem
mit hoher Lese-/Schreibaktivität identi- Über den Menübefehl "View / String" Objekt "System". Dort werden Informa-
fiziert, können Sie zum Beispiel mit "Lo- lässt sich anzeigen, welche Daten ein ein- tionen von mehreren Systemkomponen-
gischer Datenträger:Bytes geschrieben/s" zelner Speicherbereich enthält. Gescannte ten zusammengefasst. Sie ermitteln dort
den Fehler weiter eingrenzen. Ergebnisse speichern Sie über das Menü beispielsweise die Gesamtbelastung aller
"File". Neben dem Standardformat von Prozessoren. Ergänzend ist aber auch hier
Auslastung des Arbeitsspeichers VMMap (MMP) lassen sich die Daten der Leistungsindikator "Prozessorzeit" des
Für die Fehleranalyse oder Leistungsmes- auch als TXT- sowie als CSV-Datei ab- Objekts "Prozessor" von Bedeutung. Lau-
sung eines Computers kann es sinnvoll speichern, was hilft, Analysen mit Excel fen viele verschiedene Prozesse, ist eine
sein, die aktuelle Auslastung des Arbeits- durchführen. Im Gegensatz zu RAMMap einigermaßen gleichmäßige Lastvertei-
speichers zu kennen. Das Sysinternals- ist VMMap auch für Messungen in älte- lung fast sicher. Bei einem einzelnen Pro-
Tool "RAMMap" [1] zeigt die aktuelle Zu- ren Windows-Varianten geeignet. zess ist dagegen die Aufteilung in eini-

Windows Server 2019 Monitoring der Systemleistung
germaßen gleichgewichtige Threads wich-

tig. Ein Thread ist eine Ausführungsein-
heit eines Prozesses. Verwendet ein Pro-
zess mehrere Threads, können diese auf
unterschiedlichen Prozessoren ausgeführt
werden. Die Verteilung erfolgt entspre-
chend der Auslastung der einzelnen Pro-
zessoren durch das System. Eine hohe
Zahl von Warteschlangen bedeutet, dass
mehrere Threads rechenbereit sind, ihnen
aber vom System noch keine Rechenzeit
zugewiesen wurde. Die Faustregel für die-
sen Wert lautet, dass er nicht allzu häufig
über "2" liegen sollte. Wenn die Auslas-
tung des Prozessors im Durchschnitt re-
lativ gering ist, spielt dieser Wert nur eine
untergeordnete Rolle.
Bild 3: Ergänzend zum Ressourcenmonitor ist der bewährte
Eine konstant hohe CPU-Nutzungsrate Task-Manager eine Anlaufstelle bei Leistungsproblemen.
macht deutlich, dass der Prozessor eines
Servers überlastet ist. Kontrollieren Sie eines Prozesses mehr Prozessorzyklen be- Dabei handelt es sich nicht nur um An-
in der Leistungsüberwachung den Leis- nötigen, als zur Verfügung stehen. Wenn wendungen, sondern auch um alle Sys-
tungsindikator "Prozessor: Prozessorzeit viele Prozesse versuchen, Prozessorzeit temdienste, die im Hintergrund ausge-
(%)". Dieser misst die Zeit, die die CPU zu beanspruchen, sollten Sie einen schnel- führt werden. Zu jedem dieser Prozesse
zur Verarbeitung eines Threads benötigt, leren Prozessor installieren. werden Informationen über die Pro-
der sich nicht im Leerlauf befindet. Ein zess-ID (PID), den aktuellen Anteil an
konstanter Status von 80 bis 90 Prozent Task-Manager nutzen der Nutzung der CPU, die insgesamt
ist dabei zu viel. Bei Multiprozessorsys- Ein weiteres wichtiges Werkzeug für die in dieser Arbeitssitzung konsumierte
temen sollten Sie für jeden Prozessor ei- Analyse der Performance ist der Windows CPU-Zeit sowie die aktuelle Speicher-
ne eigene Instanz dieses Leistungsindi- Task-Manager. Er liefert folgende Mess- nutzung angezeigt. Gerade diese letzte
kators überwachen. Dieser Wert stellt werte, die der Analyse dienlich sind: Information ist von besonderem Inte-
die Summe der Prozessorzeit für einen- - Prozesse: Gibt einen Überblick über die resse, da sie zeigt, in welchem Umfang
bestimmten CPU dar. aktuell laufenden Anwendungen. An- Anwendungen den Hauptspeicher tat-
gezeigt wird der Status dieser Program- sächlich nutzen – ohne dass Sie kom-
Zusätzliche Informationen zur Prozes- me. Darüber hinaus können Sie über plexe Parameter überwachen müssen.
sornutzung erhalten Sie über "Prozessor: das Kontextmenü der Anwendungen - Dienste: Zeigt Informationen zu den
Privilegierte Zeit (%)". Dieser Wert gibt steuern, wie diese angezeigt werden sol- Systemdiensten an.
den prozentualen Zeitanteil an der Ge- len. Außerdem können Sie hier laufen-
samtzeit an, die der Prozessor benötigt, de Applikationen (Tasks) beenden. Fazit
um Windows-Kernelbefehle auszuführen, - Leistung: Gibt einen schnellen Über- Stimmt bei Windows-Servern die Leis-
wie die etwa Verarbeitung von E/A-An- blick zum aktuellen Leistungsverbrauch tung nicht, sollte der Griff zum Ressour-
forderungen von SQL Server. Ist dieser des Computers. Dahinter verbirgt sich cenmonitor helfen, das Problem zumin-
Leistungsindikator bei hohen Werten für ein kleiner Systemmonitor, der die dest einzugrenzen, wenn nicht sogar
die Leistungsindikatoren "Physischer Da- wichtigsten Informationen zur System- eindeutig zu identifizieren. Ergänzende
tenträger" dauerhaft hoch, sollten Sie die auslastung in grafischer Form zur Ver- Informationen liefert Ihnen der Task-
Installation eines schnelleren oder effi- fügung stellt. In kleinen Fenstern wird Manager und kostenlose Tools helfen,
zienteren Datenträgers planen. die Auslastung der CPU und des Spei- wenn Sie einmal ganz tief im Arbeits-
chers zum aktuellen Zeitpunkt und im speicher wühlen müssen, um den Server
Zusätzlich ermittelt "Prozessor: Benut- Zeitablauf dargestellt. Darunter findet wieder flott zu machen. (jp)
zerzeit (%)" den prozentualen Anteil an sich eine Fülle von Informationen rund
der Gesamtzeit, die der Prozessor benö- um die aktuelle Speichernutzung. Link-Codes
tigt, um Benutzerprozesse etwa des SQL- - Benutzer: Liefert Informationen über die
Servers auszuführen. "System: Prozessor- aktuell gestarteten Programme der an- [1] RAMMap
b0s8j
Warteschlangenlänge" zählt die Threads, gemeldeten Benutzer.
[2] VMMAP
die auf Prozessorzeit warten. Ein Prozes- - Details: Hier erhalten Sie einen Über-
b0s8k
sorengpass entsteht, wenn die Threads blick über die derzeit aktiven Prozesse.

Tools für Windows-Server-Troubleshooting
Detektivarbeit
von Thomas Joos
Auf einem Windows-Server gibt es zahlreiche

mögliche Fehlerquellen, gerade auch in Ab-
hängigkeit von der Rolle, die die Maschine im
Netzwerk innehat. Dabei lassen sich nicht alle
Fehlerquellen mit Bordmitteln identifizieren,
Quelle: Alexei Novikov – 123RF

sodass die Community und Drittanbieter sich
veranlasst sahen, diverse Tools hierfür zu
entwickeln. Dieser Beitrag stellt eine Reihe
solcher Tools vor und zeigt, welche typischen
Fehler sich damit aufspüren lassen.
B
eginnen wollen wir mit der Do- installiert sein. Daher bietet es sich an, Datei im Verzeichnis "Reports" im Pro-
kumentation des Active Directory eine Arbeitsstation zu verwenden, nicht grammverzeichniss von José.
(AD). Hierzu gibt es einige interessante unbedingt einen Server. Das Dokument
Tools, doch auch die PowerShell bietet wird automatisch im Benutzerprofil-Ver- Starten Sie die Batch-Datei "wer-bin-
zahlreiche Cmdlets, die beim Erstellen zeichnis des ausführenden Benutzers ich.bat", zeigt die Befehlszeile Ihren An-
von Berichten oder dem Auslesen von gespeichert. meldenamen an und die Mitgliedschaft
Daten aus dem AD helfen. Letztere ha- in Gruppen. Sie können die Batch-Datei
ben den Vorteil, dass sie nicht installiert Achten Sie beim Starten von Skripten in auch bearbeiten und als letzte Zeile den
werden müssen, da sie Bordmittel der der PowerShell immer auf das Präfix ".\". Befehl pause eintragen. Dann wird das
PowerShell nutzen. Sie müssen das je- Sie können das Skript aber auch in der Fenster nicht geschlossen, wenn Sie die
weilige Skript nur herunterladen und es PowerShell ISE mit "Datei / Öffnen" ak- Batch-Datei per Doppelklick in Windows
dann ausführen. tivieren und starten. Geben Sie noch den starten. Sie können in diese Datei bei Be-
Namen der Gesamtstruktur ein, aus der darf auch noch weitere Befehle eintragen.
AD-Berichte aus der PowerShell Sie Daten auslesen wollen. Starten Sie das Das Kommando hostname zeigt zum Bei-
Mit den Skripten von Carl Webster [1] Tool von einer Arbeitsstation aus, müssen spiel zusätzlich den Computernamen an,
lesen Sie das Active Directory effizient die Remoteserver-Verwaltungstools [2] was beim Verwenden der Datei besonders
aus und erstellen entsprechende Berichte. für Active Directory installiert sein. sinnvoll ist.
Die Skripte lassen sich entweder herun-
terladen und sofort ausführen oder Sie José schreibt mit Zahlreiche Monitoring-Helfer
passen sie an Ihre Bedürfnisse an. Der José Active-Directory-Dokumentation fürs AD und Ereignisse
Download steht jeweils als PS1- oder als [3] ist eines der bekanntesten Tools zur Für die Überwachung der Ereignisan-
TXT-Datei zur Verfügung. AD-Dokumentation. Wie das zuvor be- zeige und das Reporting zum Active Di-
handelte Skript müssen Sie José nicht in- rectory gibt es eine Reihe an Tools, die
Um zum Beispiel einen AD-Bericht zu er- stallieren, sondern können es nach dem bei der Analyse, Überwachung und Feh-
stellen, laden Sie sich das Skript "ADDS_ Download direkt starten. Das Werkzeug lerbehebung eine wertvolle Hilfe leisten.
Inventory_V1_1.Signed.ps1" aus dem In- hat umfangreiche Einsatzmöglichkeiten, Sie sind leicht zu bedienen und lassen
ternet und führen es aus: wir betrachten hier nur die Standardmit- sich auch von Arbeitsstationen aus nut-
tel: Verwenden Sie die Datei "standard- zen sowie in vielen Fällen ohne Instal-
.\ADDS_Inventory_V1_1.Signed.ps1 reports.bat", erhalten Sie einen Standard- lation auf den Servern:
Bericht mit den wichtigsten Daten des - EventSentry [4] sammelt Ereignismel-
Das Skript fertigt einen Bericht an und Active Directory. Mit dem Tool "jose.hta" dungen verschiedener Server und stellt
bindet diesen automatisch in Word ein. erzeugen Sie eigene Reporte und können wichtige Meldungen via E-Mail zu.
Damit dies funktioniert, muss auf dem die Daten und Einstellungen selbst wäh- - Freeware EventLog Inspector [5] bietet
entsprechenden Rechner natürlich Word len. Sie finden die Berichte als HTML- eine Analyse der Ereignisanzeige.

Windows Server 2019 To o l s f ü r W i n d o w s - S e r v e r- Tr o u b l e s h o o t i n g
- AD ACL-Scanner [6] zeigt Berechti- Einstellungen, Anwendungspartitionen und GPO-Aktualisierungen durchführen.

gungen der Administratoren im AD – oder DFS-Daten, müssen Sie auf der ent- Das Tool arbeitet mit WSUS zusammen.
interessant für Sicherheitsanalysen. sprechenden Registerkarte die Option Im Grunde genommen verwalten Sie mit
- AD Info [7] liest Informationen aus "Draw Objekt" setzen. Bei der Zeichnung dem Werkzeug also die Aktualisierung
dem AD aus und zeigt diese übersicht- der Organisationseinheiten lassen sich der Gruppenrichtlinien Ihrer Rechner
lich an. auch die verknüpften Gruppenrichtlinien im Unternehmen.
- AD-Inspector [8] zeigt Informationen festhalten. Über "Tools / Options" defi-
zum Active Directory an. nieren Sie, in welchem Verzeichnis Visio Das ManageEngine GPO Update Tool [14]
- Lumax [9] ist ein umfangreiches Tool die Zeichnungen speichert. startet die manuelle Aktualisierung von
für AD-Analyse-Berichte. Gruppenrichtlinien. Wenn Sie bei be-
Troubleshooting-Tools stimmten Rechnern eine Gruppenrichtli-
Netzwerke visualisiert für Gruppenrichtlinien nien-Aktualisierung vornehmen wollen,
Mit dem kostenlosen Tool "Microsoft Gruppenrichtlinien sind ein sehr wert- installieren Sie das Tool auf einem Rechner,
Active Directory Topology Diagrammer" volles Werkzeug für die Steuerung der starten es und geben die Daten der Do-
(ADTP) [10] erstellen Sie ein Diagramm Aktivitäten im Netzwerk. Gleichzeitig mäne und der Rechner ein, die aktualisiert
Ihres Netzwerks als Visio-Zeichnung. sind sie aber auch eine Quelle von Pro- werden sollen. Auf den Rechnern muss
Dieses zeigt Domänen, Standorte, Server, blemen, etwa wenn eine Richtlinie eine dazu nichts installiert sein. Anschließend
Organisationseinheiten und andere Da- andere ungewollt überschreibt. In diesem können Sie festlegen, dass die von Ihnen
ten zur Gesamtstruktur. Sie benötigen Umfeld gibt es vier wertvolle Helfer, die angegebenen Rechner eine Aktualisierung
für das Werkzeug natürlich noch Micro- wir Ihnen näherbringen wollen. der Gruppenrichtlinien durchführen.
soft Visio, um die Daten zu verbildli-
chen. Microsoft stellt die Anwendung NIT-GPOSearch [12] liest die Gruppen- Neben rein informativen Berichten ist oft
auch als Testversion [11] zur Verfügung, richtlinien-Vorlagen im Netzwerk ein und auch eine Analyse der Gruppenrichtlinien
wenn Sie im Unternehmen keine Visio- erlaubt die Suche nach bestimmten Ein- notwendig. Hierfür gibt es das kostenlose
Lizenz besitzen. stellungen. Geben Sie zum Beispiel "Desk- Microsoft-Tool Group Policy Log View
top" ein, erhalten Sie als Suchergebnis alle [15]. Es analysiert die Ereignisanzeigen
Nach der ADTP-Installation finden Sie Gruppenrichtlinieneinstellungen, die Ih- und die Protokolldatei auf Rechnern und
das Tool im Verzeichnis "C:\Program Files nen dabei helfen, den Desktop von Rech- zeigt das Ergebnis übersichtlich an. Au-
(x86) \ Microsoft Active Directory Topo- nern zu steuern. Der Umgang mit dem ßerdem kann es sogar eine Echtzeitana-
logy Diagrammer" auf dem entsprechen- Tool ist sehr einfach: Sie starten das Pro- lyse von Gruppenrichtlinien durchführen.
den Computer. Nach dem Start geben Sie gramm, lassen die Vorlagen auf dem Das Tool fasst die Meldungen zu Grup-
im Feld "Server / Domain" einen Domä- Rechner einlesen und geben danach einen penrichtlinien in TXT-, HTML- oder
nencontroller an, mit dem sich das Werk- Suchbegriff ein. XML-Dateien zusammen.
zeug verbinden soll.
Specops Gpupdate [13] erlaubt Ihnen die Um das Tool zu nutzen, öffnen Sie eine
Über LDAP liest das Tool nach der Ver- Verwaltung der Anwendung von Grup- Befehlszeile mit Administratorrechten.
bindung die Daten aus, sobald Sie auf penrichtlinien. Sie können Rechner über Danach wechseln Sie in das Verzeichnis
"Discover!" klicken. Mit der Schaltfläche das Netzwerk starten, herunterfahren von Group Policy Log View und lassen
"Draw!" erstellen Sie die Visio-Zeichnung
auf Basis Ihres produktiven Netzwerkes.
Damit das Tool die Zeichnung anfertigen

kann, müssen Sie meistens in Visio über
die Registerkarte "Datei" und die Auswahl
von "Optionen / Trust Center / Einstel-
lungen für das Trust Center" die Option
"Alle Makros aktivieren" setzen. Das ist
notwendig, da ADTP mit Makros arbei-
tet. Eine weitere wichtige Konfigurations-
option ist bei "Einstellungen für den Zu-
griffschutz" zu finden. Hier müssen Sie
alle Haken entfernen, da Visio ansonsten
den Zugriff des Tools blockiert.
Soll die Zeichnung noch mehr Optionen

erhalten, also OUs, Standorte, Exchange- Bild 2: NIT-GPOSearch durchsucht Gruppenrichtlinien-Vorlagen nach bestimmten Einstellungen.

To o l s f ü r W i n d o w s - S e r v e r- Tr o u b l e s h o o t i n g Windows Server 2019
zum Beispiel mit gplogview.exe -o GPE-

vents.txt alle Ereignisse, die Gruppen-
richtlinien betreffen, in eine Textdatei
schreiben. Speichern Sie die Datei mit
dem Bericht auf Netzfreigaben, lässt sich
die Ausführung des Befehls beispielswei-
se über Anmeldeskripte steuern. Alle
Rechner im Netzwerk speichern dann
ihre Protokolldatei auf der Freigabe ab.
Dadurch können Sie die Berichte zusam-
menfassen und analysieren.
Sammeln Sie die Protokolle mehrerer

Rechner in einer Freigabe, erfassen Sie
den Namen des jeweiligen Rechners als
Name der Protokolldatei:
gplogview.exe -o \\dell\x\
%computername%-GPEvents.txt
Noch übersichtlicher als die Textdateien

ist das Erstellen eines Berichts im HTML-
Format. Hier sehen Sie auch über die dar-
gestellten Farben, ob Probleme bei der
Umsetzung von Gruppenrichtlinien im
Netzwerk vorliegen. Sie verwenden dazu
die Option "-h". Auch dabei haben Sie
wieder die Möglichkeit, die Protokollda-
teien in Freigaben zu speichern und den
Rechnernamen zu verwenden:
gplogview.exe -h -o \\dell\x\ Bild 3: Der Test eines DHCP-Servers mit dhcptest.exe liefert Auskunft
%computername%-GPEvents.html über den Datenverkehr im Netzwerk, indem er alle DHCP-Server identifiziert.
So erhalten Sie also nicht nur Berichte, fachen Test durchzuführen, öffnen Sie ei- Daten werden in einer PostgreSQL-Da-
sondern erkennen auch gleich Fehler bei ne Befehlszeile und rufen die ausführbare tenbank gespeichert. Die Installation muss
der Anwendung von Gruppenrichtlinien. Datei "dhcptest.exe" auf. Sobald das Tool auf einem Linux-Server erfolgen, zum Bei-
Bestimmte Ereignisse in den Berichten gestartet ist, führen Sie durch Eingabe spiel Debian. Die generelle Verwendung
lassen sich filtern. Dazu dienen die Op- von "d" einen ersten Test durch. Das Tool der Umgebung ist intuitiv, vor allem über
tion "-a" und die Activity-ID des Eintrags sendet daraufhin ein Paket in das Netz- die Weboberfläche. Für die Nutzung ist
im jeweiligen Bericht. werk, um die DHCP-Server zu finden. kein Linux-Wissen notwendig.
Sobald ein DHCP-Server antwortet, wer-
Netzwerkprobleme beheben den die Informationen zum DHCP-Ser- Unternehmen, die eine Vielzahl an IP-
Die beiden besten Tools zum Testen von ver angezeigt. Adressen verwalten müssen sowie Sub-
DHCP-Servern sind "dhcptest.exe" [16] netze und VLANs eingebunden haben,
und "dhcpcheck.exe" [17]. Beide sind Mit dhcpcheck testen Sie hingegen ein- sollten sich die webbasierte Open-Sour-
schon etwas älter, funktionieren aber auch zelne DHCP-Server. Rufen Sie die Soft- ce-Adressenverwaltung phpIPAM [19]
mit aktuellen DHCP-Servern. Sie müssen ware ohne Optionen auf, zeigt sie eine ansehen. Die PHP-basierte Anwendung
nicht installiert, sondern können über die Hilfe an. Um einen bestimmten DHCP- speichert die Daten in einer MySQL-Da-
Befehlszeile ausgeführt werden. Server zu testen, starten Sie das Tool mit tenbank. LAMP oder WAMP (Linux,
dhcpcheck.exe -host:IP-Adresse. Apacke, MySQL, PHP) reichen aus, um
Dhcptest zeigt alle gefundenen DHCP- phpIPAM zu verwenden. Mit der Software
Server im Netzwerk und auch den kom- Mit NIPAP (Neat IP Address Planer) [18] lassen sich aber nicht nur IP-Adressen,
pletten Datenverkehr zwischen Client und verwalten Sie die verschiedenen IP-Adres- Subnetze und VLANs dokumentieren,
Server an. Dadurch lassen sich schneller sen, Subnetze und auch VRF (Virtual Rou- sondern über eine webbasierte Oberfläche
Fehler erkennen. Um einen ersten, ein- ting and Forwarding) im Netzwerk. Die auch beantragen. Den Antrag erhalten

Windows Server 2019 To o l s f ü r W i n d o w s - S e r v e r- Tr o u b l e s h o o t i n g
Administratoren in der Software, und wie etwa "dc01.contoso.int" noch einen DNS-Einträge im Active Directory zur
können auf Wunsch die Daten zuweisen zugehörigen CNAME, der das sogenannte Replikation abrufen können. Geben Sie
und auch gleich übernehmen. Die Auf- DSA-(Directory System Agent)-Objekt dazu den Befehl
gabe von phpIPAM besteht darin, IP- seiner NTDS-Settings darstellt. Dieses
Adressen, Subnetze und VLANs zu ver- DSA-Objekt ist als SRV-Record im DNS dnslint /ad IP-Adresse des ersten DC
walten und zu dokumentieren. Die unterhalb der Zone der Domäne unter /s IP-Adresse des zweiten DC
IP-Adressen lassen sich gruppieren. Auch dem Knoten "_msdcs" zu finden.
Berechtigungen für die Verwaltung und ein. Das Tool benötigt einige Sekunden
den Zugriff auf einzelne IP-Adressen las- Der CNAME ist die GUID dieses DSA- und überprüft, ob im AD die notwendi-
sen sich delegieren Objekts. DCs versuchen, ihren Replika- gen _msdcs-Einträge vorhanden sind. Ge-
tionspartner nicht mit dem herkömmli- ben Sie an dieser Stelle aber nicht den
Prozesse und RAM monitoren chen Host-A-Eintrag aufzulösen, sondern DNS-Namen der beiden Server an, die
Mit dem kostenlosen "Debug Diagnostic mit dem hinterlegten CNAME. Erst nach Replikationsprobleme haben, sondern die
Tool v2 Update 1" [20] bietet Microsoft der erfolglosen Namensauflösung über IP-Adressen.
Werkzeuge zur Analyse von Systempro- den CNAME versucht der DC, einen
blemen und zahlreiche Anleitungen [21] Host-A-Eintrag zu finden. Schlägt auch Mit der Option "/ad" bestimmen Sie einen
zur Fehlersuche an. Nach der Installation das fehl, versucht der DC, den Namen DC, der die notwenigen GUIDs im DNS
finden Sie die Tools "DebugDiag 2 Rule- mit NetBIOS entweder via Broadcast oder auflösen können muss. Jeder DC muss in
Builder", "DebugDiag 2 Diag" und "Debug einen WINS-Server aufzulösen. der Lage sein, die Namen dieser GUIDs
2 Analysis" auf der Startseite. Nach dem per DNS aufzulösen. Testen Sie auf jedem
Start von Debug Diag 2 Collection erhal- Jeder DC benötigt also einen eindeutigen Server mit Dnslint, ob die einzelnen Ser-
ten Sie über die Registerkarte "Processes" CNAME, der wiederum auf seinen Host- ver Probleme bei der Auflösung dieser
Einblick in die laufenden Prozesse im Sys- A-Eintrag verweist. Checken Sie daher GUIDs haben. Treten in diesem Bereich
tem. Über das Kontextmenü stehen ver- bei Replikationsproblemen zuerst, ob die- Fehler auf, liegen die Replikationsproble-
schiedene Aufgaben zur Überwachung se Einträge vorhanden sind. Sollte die me eindeutig zunächst an diesen fehlen-
zur Verfügung. Namensauflösung über DNS nicht funk- den GUIDs.
tionieren, steht Ihnen das Tool Dnslint
Um einen Prozess detaillierter auf Me- [22] zur Verfügung, mit dem Sie die SRV- Die Option "/s" dient dazu, dem Befehl ei-
mory Leaks zu überwachen, erstellen Records im Active Directory verifizieren. nen DNS-Server mitzuteilen, der die Zone
Sie über die Registerkarte "Rules" mit Das installationsfreie Tool bietet insge- "_msdcs" im AD verwaltet. Der Server hin-
"Add Rule" eine neue Regel. Im folgen- samt drei verschiedene Funktionen, die ter der Option "/ad" ermöglicht den Ver-
den Assistenten verwenden Sie dazu die jeweils DNS testen und einen entspre- bindungsaufbau per LDAP, während der
Option "Native (non-.NET) Memory chenden HTML-Bericht generieren: Server hinter "/s" zum Auflösen per DNS
and Handle Leak" und wählen anschlie- - dnslint /d: Diese Funktion diagnostiziert dient. Sie müssen nicht unbedingt zwei un-
ßend auf der nächsten Seite den Prozess mögliche Ursachen einer langsamen terschiedliche Server angeben, sondern
aus, der nach Problemen untersucht Delegierung. können auch zweimal die gleiche IP-Adres-
werden soll. Danach legen Sie die Op- - dnslint /ql: Überprüft benutzerdefinierte se verwenden. Nutzen Sie "/ad", müssen
tionen für die Untersuchung fest. In den DNS-Datensätze auf mehreren DNS- Sie die Option "/s" nutzen, um einen DNS-
meisten Fällen reichen die Standardein- Servern. Server zu bestimmen, der für die _msdcs-
stellungen aus. In den nächsten Schrit- - dnslint /ad: Kontrolliert DNS-Daten- Unterdomäne in der Stammdomäne der
ten werden noch ein Name und ein sätze, die speziell für die Active-Di- AD-Struktur autorisierend ist. Über die
Speicherort für die Protokolldateien fest- rectory-Replikation verwendet werden. Option "/ad" können Sie den Befehl mit "/s
gelegt. Danach startet das Tool mit der localhost" ausführen, um festzustellen, ob
Analyse und zeigt dabei den aktuellen Die Syntax für Dnslint lautet das lokale System die Datensätze auflösen
Status im Fenster an. kann, die bei den Active-Directory-Tests
dnslint /d Domänenname | gefunden werden. Mit "/t" leiten Sie die
Namensauflösung /ad [LDAP_IP_Adresse] | Ausgabe in eine Textdatei um. Diese hat
im AD sicherstellen /ql Input_Datei denselben Namen wie der HTML-Bericht
Nach der Installation des AD finden in [/c [smtp,pop,imap]] [/no_open] und findet sich auch im selben Ordner wie
der Forward-Lookupzone der entspre- [/r Report_Name] [/t] [/test_tcp] der Report.
chenden Domäne zahlreiche Einstellun- [/s DNS_IP_Adresse] [/v] [/y]
gen statt. Die häufigsten Fehler innerhalb Nachdem der Befehl abgeschlossen ist,
des AD, bei denen die Namensauflösung Bei der Ausführung von Dnslint müssen erhalten Sie einen HTML-Bericht ange-
eine wichtige Rolle spielt, sind dabei Feh- Sie eine der Befehlszeilenoptionen "/d", zeigt, mit dessen Hilfe Sie die Probleme
ler im DNS. Jeder Domänencontroller im "/ad" oder "/ql" verwenden. Mit dnslint der GUID-Auflösung mit DNS nachvoll-
AD besitzt neben seinem Host-A-Namen /ad können Sie checken, ob Ihre DCs die ziehen können. Der Bericht zeigt die

To o l s f ü r W i n d o w s - S e r v e r- Tr o u b l e s h o o t i n g Windows Server 2019
Auflösung der einzelnen GUIDs der Da sich beim Verbindungsaufbau mit

DCs und die vorhandenen Fehler an. dem AD viele Daten ansammeln, haben Link-Codes
Beim Starten des Befehls verbindet sich Sie die Möglichkeit, über den Menübefehl [1] Skripte von Carl Webster
Dnslint zunächst mit dem Domänen- "Edit / Find" die Anzeige zu filtern. Wei- fs121
controller, um alle GUIDs der Gesamt- tere Filtermöglichkeiten finden Sie über [2] Remoteserver-Verwaltungstools
struktur per LDAP abzufragen. Aus die- das Menü "View". Die verschiedenen An- Für Windows 7: cap39
sem Grund müssen Sie vor der Aus- zeigen lassen sich zudem über den Me- Für Windows 8.1: e1p81
führung sicherstellen, dass Sie den Befehl nüpunkt "Highlight" für einen besseren Für Windows 10: g5p19
unter einem Benutzerkonto starten, das Überblick farblich hervorheben. In den [3] José Active-Directory-
über genügend Rechte verfügt. Sobald verschiedenen Spalten zeigt AdInsight Dokumentation
die GUID-Liste vom LDAP-Server zu- genauere Daten an. Die Spalte "User" ent- f2p12
rückgegeben wird, versucht Dnslint über hält, falls verfügbar, den Benutzernamen, [4] EventSentry
den mit der Option "/s" konfigurierten mit dem die Anwendung versucht, auf c2p12
DNS-Server, diese GUIDs zu ihrer IP- das Active Directory zuzugreifen. [5] Freeware EventLog Inspector
Adresse aufzulösen. f2p11
Anmeldungen im [6] AD ACL-Scanner
Mit der Befehlszeilenoption "/d" fordern Netzwerk überwachen d8pe4
Sie Domänennamentests an. Diese Be- Mit dem Befehlszeilentool LogonSessions [7] AD Info
fehlszeilenoption ist für die Behandlung von Sysinternals [24] finden Sie alle ange- es1f4
von Problemen in Bezug auf eine lang- meldeten Sitzungen auf einem Computer. [8] AD-Inspector
same Delegierung nützlich. Sie müssen Mit Hilfe dieses Programms erhalten Sie e6p23
dabei den zu testenden Domänennamen sehr schnell ausführliche Informationen, [9] Lumax
angeben. Sie können die Befehlszeilen- welche Sitzungen gerade auf dem Com- ds109
option "/d" jedoch nicht in Verbindung puter geöffnet sind. Verwenden Sie zusätz- [10] Microsoft Active Directory
mit "/ad" nutzen. lich die Option "-p", zeigt das Tool auch Topology Diagrammer
die geöffneten Prozesse der einzelnen Sit- ds1oa
AD-Verbindungen analysieren zungen und damit der angemeldeten Be- [11] Testversion MS Visio
Mit AdInsight [23] analysieren Sie die nutzer an. So können Sie effizient über- fs123
LDAP-Verbindungen eines Servers in wachen, wer auf einem Server angemeldet [12] NIT-GPOSearch
Echtzeit. Das Tool verwendet dazu die ist und mit welchen Applikationen der An- fs194
Bibliothek "wldap32.dll", die den Zugriff wender arbeitet. Neben den angemeldeten [13] Specops Gpupdate
auf das AD steuert. So sehen Sie, ähnlich Benutzern zeigt das Tool auch die System- fs195
zum Netzwerkmonitor für den Netzwerk- konten an. Außer auf Terminalservern ist [14] ManageEngine GPO
verkehr, alle Anfragen von Clients an den das Werkzeug auch hervorragend in AD- Update Tool
fs196
DC – auch Daten, die der DC blockiert. Umgebungen einsetzbar.
AdInsight hilft Ihnen dabei, Authentifi- [15] Group Policy Log View
hs21f
zierungsprobleme von Anwendungen Geben Sie den Befehl ohne Optionen ein,
und Computern im AD zu finden und reicht unter Umständen der Puffer der [16] dhcptest
hs21a
zu beheben. Eingabeaufforderung nicht aus, da zu vie-
le Informationen enthalten sind. Verwen- [17] dhcpcheck
hs21b
Sie können die Daten, die das Tool aus- den Sie in diesem Fall die Option "logon-
liest, auch als Textdatei speichern und sessions | more" oder vergrößern Sie den [18] NIPAP
hs21c
so nachträglich analysieren. Klicken Sie Puffer der Eingabeaufforderung über de-
mit der rechten Maustaste auf einen Ein- ren Eigenschaften. Alternativ lassen Sie [19] phpIPAM
hs21d
trag, erhalten Sie weitere Informationen. die Ausgabe über die Option "> logon.txt"
Die Software zeigt Verbindungsdaten an, in eine Datei umleiten. [20] Debug Diagnostic Tool
hs21e
sobald ein Programm oder Server Daten
aus dem AD abrufen möchte. Nach dem Fazit [21] Using Debug
Diagnostic Tool v2
Start sehen Sie daher einen Eintrag nicht Mit den kostenlosen Helfern aus diesem
fs125
sofort, sondern erst, wenn ein Rechner Beitrag sollten sich zahlreiche Probleme
[22] Dnslint
über das Netzwerk mittels "wldap32.dll" von Windows-Servern schnell beheben las-
cs1f7
auf das AD zugreifen will. Über das Me- sen. Manche der Werkzeuge helfen "nur",
[23] AdInsight
nü "File" speichern Sie den aktuellen den Fehler einzugrenzen, was aber gerade
b0s8f
Scanvorgang ab, während Sie über "File / in Sachen Namensauflösung oder Netz-
[24] LogonSessions
Export to Text" die Ausgabe als Textdatei werkanbindung meist den Löwenanteil des
ds293
exportieren. Troubleshootings ausmacht. (jp)

Windows Server 2019 Windows Subsystem for Linux
Windows Subsystem for Linux
Pinguin an Bord
von Dr. Christian Knermann
Mit dem Windows Subsystem for Linux unterstützt Windows 10

die native Ausführung von Linux-Binaries verschiedener Distribu-
tionen. Unser Beitrag stellt das System im Detail vor. Dabei zei-
gen wir auch Wege auf, wie selbst grafische Linux-Applikationen
ihren Weg auf den Windows-Desktop finden.
D
ie Zeiten, zu denen Microsofts Die Klammer um das Ganze bildet der
Ex-Chef Steve Ballmer voll auf LX-Session-Manager-Service, der im
Quelle: Passakorn Vejchayachai – 123RF

Konfrontation mit der Linux-Commu- User-Mode läuft und aktiv wird, sobald
nity setzte und das freie Betriebssystem ein Benutzer eine Linux-Distribution per
despektierlich als Krebsgeschwür be- WSL startet. Der LXSS-Manager erzeugt
zeichnete, gehören glücklicherweise der dann eine Linux-Instanz und startet darin
Vergangenheit hat. Seit sein Nachfolger init, gefolgt von der Shell bash und allen
Satya Nadella das Ruder übernahm, ist weiteren ausführbaren Dateien jeweils als
in Redmond die Abneigung gegenüber Pico-Prozess. Sobald der Benutzer die
Linux und generell Open-Source-Soft- Konsole zum WSL schließt, räumt der
ware einer neuen Offenheit gewichen. LXSS-Manager die jeweilige Linux-Instanz
So laufen nicht nur Linux-VMs kompli- wieder ab. Das galt zumindest für die frü- nux haben unter anderem mit ProcFs
kationslos auf dem hauseigenen Hyper- hen Versionen des WSL, was auch bedeu- und SysFs ihre Entsprechung im WSL.
visor Hyper-V und in der Azure-Cloud. tete, dass es zunächst nicht möglich war,
Hintergrundprozesse laufen zu lassen. Das primäre Dateisystem von WSL ist
Mit dem Windows Subsystem for Linux Diese Option hat Microsoft jedoch nach- VolFS. Es findet Verwendung für das
(WSL) hat zudem Windows 10 eine gereicht [3]. Sind noch Prozesse im Hin- Root-Verzeichnis der jeweiligen Linux-
neue Kompatibilitätsschicht bekommen. tergrund aktiv, lebt eine Linux-Instanz Instanz. VolFS bietet die volle Unterstüt-
Wie der Name schon sagt, handelt es nun auch weiter, wenn kein interaktives zung der unter Linux üblichen Dateisys-
sich bei WSL nicht um einen Hypervi- Fenster zum Anwender mehr geöffnet ist. temberechtigungen, die sich über Befehle
sor, der komplette Linux-Systeme in wie chmod bearbeiten lassen, und weitere
Form von virtuellen Maschinen aus- Dateisysteme Funktionen wie symbolische Links, Un-
führt, sondern um eine Schnittstelle, teilweise kompatibel terscheidung bei der Groß- und Klein-
die die direkte Ausführung von Linux- Da es sich bei den Linux-Instanzen nicht schreibung von Ordnern und Dateien, FI-
ELF64-Binaries ermöglicht [1]. um vollständige, vom Windows-Be- FOs und Sockets. Das Root-Verzeichnis
triebssystem isolierte VMs handelt, kön- einer jeden Instanz liegt unter Windows
Die Architektur von WSL nen die Prozesse direkt mit Windows jeweils im Pfad "%userprofile%\AppDa-
Das Subsystem führt dazu sogenannte und dessen Dateisystemen interagieren. ta\Local\Packages\Name-und-ID-der-
Pico-Prozesse [2] ein, die im User-Mode Die Dateisysteme mit ihren Konzepten Linux-Instanz\LocaleState\rootfs".
laufen. Diese bilden die Hülle für unmo- zur Verwaltung von Ordnern und Da-
difizierte ausführbare Linux-Applikatio- teien sowie dem Umgang mit Berechti- In der Literatur zum WSL und teilweise
nen. Hierfür reichen sie deren System- gungen unterscheiden sich allerdings auch in Microsofts eigener Online-Doku-
aufrufe an die Pico-Provider-Treiber zwischen beiden Welten. Dieser Heraus- mentation finden sich noch Hinweise auf
"lxss.sys" und "lxcore.sys" im Kernel- forderung begegnet das WSL, indem es den Pfad "%userprofile%\AppData\Local\
Mode weiter. Letztere übersetzen Linux- das Virtual File System (VFS) von Linux lxss". Dort lag das Root-Verzeichnis in der
Systemaufrufe auf ihre Pendants unter imitiert und darüber Schnittstellen zu ersten Implementierung des WSL, die Mi-
Windows. Im Fall der Linux-Systemauf- mehreren Dateisystemen anbindet [4]. crosoft 2016 gemeinsam mit dem briti-
rufe, für die es keine direkte Entsprechung So bildet TmpFS das speicherresidente schen Linux-Distributor Canonical, be-
im Windows-Kernel gibt, emulieren die temporäre Dateisystem von Linux ab. kannt für die Distribution Ubuntu, auf
Treiber den Linux-Kernel. Auch die Pseudo-Dateisysteme von Li- den Weg gebracht hatte. Dies hat jedoch

Windows Subsystem for Linux Windows Server 2019
nur noch historische Bedeutung. Unter zum Root-Verzeichnis erkennen lässt, sind forderung mit dem Befehl wslconfig /list.
aktuellen Installationen von Windows gibt die Linux-Instanzen unter Windows be- Dieser listet sämtliche im WSL installierten
es diese ursprüngliche Variante von WSL nutzerspezifisch. Jeder Windows-Benutzer Linux-Distributionen auf. Haben Sie Kali
nicht mehr. erhält seine individuellen Linux-Instanzen, Linux zuerst installiert, ist es automatisch
deren Daten im persönlichen Benutzer- der Standard. Per
Beachten Sie beim Umgang mit dem Root- profil liegen. Innerhalb einer Linux-Instanz
Verzeichnis, dass Sie die Ordner und Da- sind Sie jeweils mit Root-Rechten unter- wslconfig /setdefault Ubuntu
teien unter Windows zwar sehen, jedoch wegs, doch außerhalb in Windows werden
nicht verändern dürfen, da NTFS nicht Sie damit natürlich nicht automatisch zum ändern Sie dies. Sofern eine Linux-In-
alle Eigenheiten von Linux beherrscht. So Admin und können folglich aus Linux he- stanz ohne interaktive Shell noch mit
kann NTFS zwar grundsätzlich Groß- und raus selbst mittels sudo nur dort schreiben, Hintergrundprozessen aktiv ist, beenden
Kleinschreibung unterscheiden. Die Be- wo Sie es auch unter Windows dürfen. Sie diese per
rechtigungen sind jedoch nicht kompatibel
und unter Windows sind nicht alle Zei- Unter diesen Rahmenbedingungen ist wslconfig /terminate
chen in Ordner- und Dateinamen erlaubt, das Ganze aber bidirektional kompatibel Name-der-Distribution
die Linux kennt. VolFS kümmert sich um und Sie können sowohl mit den unter
diese Unterschiede und speichert sie als Linux üblichen Werkzeugen, wie etwa Dem ersten Start folgt jeweils die grund-
Metadaten in den erweiterten Attributen awk und sed, als auch von Seiten Win- legende Konfiguration der Distribution.
von NTFS. dows' nach Belieben in per VolFS ange- Hierbei sind Sie aufgefordert, einen Be-
bundenen Laufwerken arbeiten. Doch nutzer mitsamt Passwort anzulegen, der
Wenn Sie unter Windows neue Ordner widmen wir uns nun der praktischen Ar- nicht identisch mit Ihrem Benutzerkon-
und Dateien ins Root-Verzeichnis legen, beit mit WSL. to unter Windows sein muss. Anschlie-
würden diese erweiterten Attribute fehlen ßend empfiehlt es sich, die Linux-In-
und VolFS könnte mit den Daten nichts WSL und Linux- stanz zu aktualisieren. Das erledigen Sie
anfangen. Ebenso würden vorhandene Distributionen installieren auf Grund des ähnlichen Unterbaus un-
Daten ihre erweiterten Attribute verlieren Öffnen Sie die PowerShell mit adminis- ter Kali Linux und Ubuntu gleicherma-
und somit für VolFS unbrauchbar werden, trativen Rechten und installieren Sie WSL: ßen mit den bekannten Befehlen:
sobald Sie diese unter Windows verän-
dern. Erst der Build 18342 (1903) von Enable-WindowsOptionalFeature sudo apt-get update
Windows 10 hat dies verbessert und er- -Online -FeatureName Microsoft-
möglicht den Zugriff auf Root-Verzeich- Windows-Subsystem-Linux sudo apt-get dist-upgrade
nisse seitens Windows durch Einführung
von Freigaben der Form "\\wsl$\Name- Nach erfolgreicher Installation verlangt sudo apt-get clean
der-Distribution". das System nach einem Neustart. Rufen
Sie anschließend den Microsoft-Store auf. Im Dateisystem arbeiten
Austausch zwischen Eine Suche nach "Linux" fördert zahlrei- Standardmäßig startet die Linux-Shell
Windows und Linux per DrvFS che Ergebnisse zutage, darunter mehrere im Verzeichnis "/home/Benutzer-name",
Die Interoperabilität zwischen den Welten namhafte Distributionen wie openSUSE, das im NTFS-Dateisystem von Windows
gewährleistet bis dahin nur das DriveFS verschiedene Versionen von SUSE Enter- dem Pfad "%userprofile% \ AppData \
oder kurz DrvFS. Es beherrscht folglich prise, Debian, Ubuntu und das unter Pen- Local \ Packages \ Name-und-UID-der-
nicht alle Funktionen, die Linux kennt, testern und Forensikern beliebte Kali Li- Linux-Instanz \ LocaleState \ rootfs \
beschränkt die Namen von Ordnern und nux. Installieren Sie nun beispielsweise home \ Benutzername" entspricht. Al-
Dateien auf den Zeichenvorrat, den auch Kali Linux und Ubuntu. Sobald der Store ternativ dazu verankert sich WSL auch
Windows erlaubt, und ist kompatibel zu den Download der Distributionen abge- im Kontextmenü des Windows-Explo-
den Windows-Berechtigungen. Im DrvFS schlossen hat, finden Sie beide als Icons rers. Halten Sie in einem beliebigen Ord-
gespeicherte Daten dürfen sich zwar nur im Startmenü wieder. ner die Shift-Taste gedrückt und rufen
durch Groß- und Kleinschreibung unter- Sie per Rechtsklick das Kontextmenü
scheiden, Microsoft warnt jedoch davor, Per Klick darauf öffnet sich jeweils ein auf, so finden Sie dort den Eintrag "Hier
dass unter Windows nicht alle Applika- Konsolenfenster mit einer Linux-Shell. Al- Linux-Shell öffnen". Der startet die als
tionen damit umgehen können. ternativ dazu können Sie die Linux-Instan- Standard konfigurierte Distribution di-
zen auch aus der Eingabeaufforderung von rekt im gewünschten Verzeichnis.
Im Hinblick auf die Zugriffsrechte ist zu Windows durch Eingabe von kali oder
beachten, dass WSL die unter Windows ubuntu starten. Der allgemeine Befehl wsl Das funktioniert allerdings zunächst nur
gesetzten Berechtigungen unter Linux startet die Linux-Distribution, die als Stan- für die fest verbundenen Laufwerke des
zwar abbilden, jedoch natürlich nicht aus- dard konfiguriert ist. Welche das ist, er- Systems. WSL bindet dazu alle unter
hebeln kann. Wie der zuvor genannte Pfad mitteln Sie in der Windows-Eingabeauf- Windows bekannten Laufwerke auto-

Windows Server 2019 Windows Subsystem for Linux
dauert eine Weile und schlägt sich in zu-

sätzlichem Speicherplatzbedarf von über
1 GByte nieder. Mittels
sudo /etc/init.d/xrdp start
starten Sie den RDP-Server, der anschlie-

ßend auf dem TCP-Port 3390 Verbindun-
gen entgegennimmt. Über den grafischen
Client der Remotedesktopverbindung oder
mstsc.exe /v:127.0.0.1:3390
Das WSL besteht aus LXSS-Manager und Pico-Prozessen im User-Mode
sowie den Pico-Provider-Treibern im Kernel-Mode. auf der Kommandozeile starten Sie dann
den Desktop von Kali-Linux. Nach getaner
matisch mit ihren jeweiligen Laufwerks- ein, erhalten Sie unter Windows die Aus- Arbeit melden Sie sich vom Desktop ab
buchstaben unter Pfaden wie "/mnt/c" gabe des Befehls ls, den WSL in der als und beenden per Shell den RDP-Server:
und "/mnt/d" ein. Stecken Sie zusätzlich Standard definierten Linux-Instanz aus-
etwa einen USB-Stick ein, den Windows führt. Das Ganze ist keine Einbahnstraße. sudo /etc/init.d/xrdp stop
unter dem Laufwerksbuchstaben "E:" an- Im Gegenzug starten Sie aus der geöffne-
bindet, müssen Sie diesen per DrvFS unten Linux-Shell heraus ebenso einfach Das gewährleistet, dass die Linux-Instanz
ter Linux erst noch mounten: ausführbare Dateien von Windows. Auch mit dem Verlassen der Shell terminiert
in der Shell öffnet der Befehl notepad.exe und nicht im Hintergrund weiterläuft.
sudo mkdir /mnt/e den Windows-eigenen Editor. Möchten Diese Variante ist recht schnell in Betrieb
Sie der jeweiligen Anwendung beim Auf- genommen, bringt jedoch den Schön-
sudo mount -t drvfs E: /mnt/e ruf Parameter mitgeben, ist das natürlich heitsfehler mit sich, dass das X11-Pro-
auch möglich. Pfadangaben müssen dabei tokoll in RDP getunnelt wird und auf
Das funktioniert gleichermaßen mit Netz- wiederum den Konventionen unter Win- diese Weise nur komplette Desktop -
werkfreigaben, die unter Windows per dows genügen. sitzungen und keine einzelnen Applika-
Laufwerksbuchstaben verbunden sind, tionen starten.
oder alternativ auch direkt per UNC-Pfad: X11-Anwendungen
per RDP darstellen Anwendungsfenster
sudo mkdir /mnt/Freigabe Zumindest auf der Kommandozeile bringt dank X-Server X410
WSL somit Windows und Linux enger zu- Eleganter geht es ohne den Umweg über
sudo mount -t drvfs '\\Server\Frei- sammen und macht die Arbeit flexibler. RDP, was allerdings einen X-Server unter
gabe' /mnt/Freigabe Grafische Linux-Anwendungen per WSL Windows voraussetzt. Leider nicht kos-
unter Windows zu starten, hat Microsoft tenfrei, dafür insbesondere für die Inte-
Linux- und Windows- aber leider von Haus aus nicht vorgesehen. gration mit WSL entwickelt, ist der X-
Kommandos nutzen Doch es gibt gleich mehrere Ansätze, dies Server X410, den Sie als App aus dem
Innerhalb der Shell stehen Ihnen alle un- zu ermöglichen. Die Macher von Kali Li- Microsoft Store beziehen können [6].
ter Linux verfügbaren Kommandos und nux bemühen dazu neben dem Linux-ei- Starten Sie die App, macht sie sich zu-
Anwendungen zur Verfügung, um mit genen X-Window-System (X11) einen nächst nur mit einem "X"-Symbol im Sys-
Ordnern und Dateien des Win dows- Umweg über das Remote Desktop Proto- temtray bemerkbar. Über das Kontext-
Systems zu arbeiten. Doch auch ohne koll (RDP) und stellen hierzu ein passen- menü des Symbols konfigurieren Sie die
dauerhaft geöffnete Linux-Shell ist die des Skript bereit, das Sie in der Shell von Betriebsart.
Interoperabilität zwischen beiden Sys- Kali mit den folgenden Befehlen herun-
temwelten gegeben [5]. So können Sie terladen und ausführen: Im Modus "Windowed Apps" fungiert
aus einer Windows-Eingabeaufforderung X410 selbst als Window-Manager und
heraus per "wsl.exe" direkt einzelne Li- wget https://kali.sh/xfce4.sh wartet darauf, dass Sie in einer Linux-In-
nux-Kommandos absetzen. Pfadangaben stanz einzelne Anwendungen starten, die
müssen dabei natürlich den Konventio- sudo sh xfce4.sh sich dann verhalten wie native Anwen-
nen unter Linux folgen. Öffnen Sie die dungen unter Windows, in separaten
Eingabeaufforderung "cmd.exe" und ge- Das Skript lädt die für Kali angepasste Fenstern dargestellt werden und sich so
ben Sie dort Desktop-Umgebung Xfce sowie den freien nach Belieben auf dem Windows-Desktop
RDP-Server Xrdp mit allen Abhängigkei- positionieren und in ihrer Größe verän-
wsl ls -la "/mnt/c/Program Files" ten herunter und richtet diese ein. Das dern lassen. Der "Floating Desktop" er-

Windows Subsystem for Linux Windows Server 2019
wartet dagegen, dass eine komplette Li- Wie der Start ohne lästiges Konsolenfens- ist folglich auch nicht möglich, Server-
nux-Desktop-Sitzung startet, und stellt ter noch eleganter gelingt und sich der dienste für den automatischen Start zu
diese in einem Fenster dar. Der "Full Linux-Desktop aufhübschen lässt, erklä- installieren. Auch hardwarenahe Kom-
Desktop" führt den Linux-Desktop, wenig ren die Howtos auf der X410-Webseite. mandos wie das Imaging-Tool "dd" grei-
überraschend, als Vollbild aus. Sofern fen nicht. Hier ist weiterhin ein physi-
noch nicht vorhanden, installieren Sie Ganz ohne Desktop sches oder in einer VM installiertes Linux-
den Window-Manager Xfce in Ihren Li- Wenn Sie auf die komplette Desktopum- System die bessere Wahl.
nux-Instanzen. Unter Ubuntu erledigt gebung lieber verzichten möchten, funk-
das der Befehl tioniert das Ganze mit einer Variation Fazit
auch für einzelne Anwendungen: Je nach Anwendungsfall ist WSL eine
sudo apt-get install xfce4 xfce4- praktische Alternative zu ausgewachse-
terminal start /B x410.exe /wm nen Linux-VMs. Gegenüber den in Hy-
ubuntu.exe run "if [ -z per-V oder ähnlichen Hypervisoren
Kali Linux bringt eine angepasste Ver- \"$(pidof xfce4-session)\" ]; abgeschotteten VMs bietet WSL den
sion von Xfce mit. Hier erledigt then export DISLAY=127.0.0.1:0.0; Vorteil, dass die direkte Interaktion mit
firefox; pkill Dateien und Ordnern unter Windows
sudo apt-get install kali-desktop- '(gpg|ssh)-agent'; möglich ist. Mit den hier vorgestellten
xfce taskkill.exe /IM x410.exe; fi;" Tools sind selbst grafische Linux-Appli-
kationen unter Windows kein Problem
die Installation. Die weiteren Schritte Dabei startet der Schalter "/wm" X410 im mehr. Zudem ist Microsoft kontinuier-
funktionieren in beiden Distributionen Modus für "Windowed Apps" und im lich dabei, den Funktionsumfang zu er-
identisch. Stellen Sie sicher, dass X410 Shell-Kommando tritt eine Applikation, weitern [7].
im "Floating Desktop"-Modus gestartet in diesem Fall der Browser Mozilla Fire-
ist, exportieren Sie in der Shell die Um- fox, an die Stelle der Desktop-Umgebung Auf der Roadmap für die weitere Zu-
gebungsvariable DISPLAY mittels Xfce. Mit der Option "DPI Scaling / High kunft findet sich neben der Unterstüt-
Quality…" im Kontextmenü des Tray- zung für Docker-Container insbeson-
export DISPLAY=127.0.0.1:0.0 Icons sorgen Sie dafür, dass die Fenster dere die Umstellung der Architektur von
auf HiDPI-Displays hochskaliert darge- Emulation auf einen angepassten Linux-
und starten Sie die Desktop-Umgebung stellt werden. Das funktionierte in unserer Kernel in der kommenden Version 2
per xfce4-session. Daraufhin beginnt die Testumgebung allerdings nicht ohne eine von WSL – und dies komplett als Open
Desktopsitzung als Fenster unter Win- gewisse Unschärfe in der Darstellung. Source [8]. (dr)
dows. Zur weiteren Verwendung lässt
sich der Start noch beschleunigen. Dazu Besser ist es daher, auf Displays mit sehr Link-Codes
fügen Sie unter Linux die "DISPLAY"- hoher Auflösung unterstützte Applika-
Variable dauerhaft dem Login-Skript tionen nativ aus Linux heraus zu skalieren. [1] Windows Subsystem
der Shell hinzu: Für den Firefox aus dem vorangegangenen for Linux (Overview)
Beispiel und andere Applikationen, die das j8z61
echo "export DISPLAY=127.0.0.1:0.0" GUI-Toolkit GTK und dessen GDK-Bi- [2] Pico-Prozesse
>> ~/.bashrc bliothek verwenden, erreichen Sie das mit j8z62
dem Befehl export GDK_SCALE=2. Für
[3] Hintergrundprozesse im WSL
Unter Windows legen Sie sodann ein Anwendungen, die auf dem GUI-Toolkit
j8z63
Batch-Skript mit folgendem Inhalt an: Qt basieren, entsprechend mit export
QT_SCALE_ FACTOR=2. Anschließend [4] Dateisystem-Unterstützung
start /B x410.exe /desktop sind auch mit einer HiDPI-Auflösung die j8z64
ubuntu.exe run "if Linux-Anwendungen kaum mehr von [5] Interoperabilität zwischen
[ -z \"$(pidof xfce4-session)\" den nativen Windows-Applikationen zu Windows und Linux
]; then export unterscheiden. j8z65
DISPLAY=127.0.0.1:0.0;
[6] X-Server X410
xfce4-session; pkill Keine Unterstützung
j8z66
'(gpg|ssh)-agent'; taskkill.exe von Daemons
/IM x410.exe; fi;" An die Grenzen stoßen Sie mit WSL, [7] Release Notes
wenn die Ausführung von Daemons ge- für WSL
Dabei können Sie je nach Bedarf die fragt ist. In WSL fehlt eine vollwertige j8z67
"ubuntu.exe" durch "kali.exe" ersetzen und Startumgebung wie Systemd. Komman- [8] Open-Source-Ansatz bei WSL
so den X-Window-Manager sowie den dos wie etwa reboot, shutdown oder sys- j8z68
Linux-Desktop in einem Rutsch starten. temctl funktionieren somit nicht und es

Quelle: peshkov – 123RF
Windows Server 2019 mit
Server System Insights überwachen
Moderne Schaltzentrale
von Thomas Joos
Mit dem webbasierten Windows Admin Center lassen sich Server ab Windows
Server 2012 R2 verwalten – und das rein lokal, ohne Cloud. Setzen Unternehmen
auf Windows Server 2019, lässt sich die Erweiterung Windows Server System Insights
sogar für noch mehr Überwachungsfunktionen nutzen. Dieser Beitrag erläutert die
Funktionen und zeigt deren Nutzung.
Funktioniert ohne Cloud

A
dministratoren müssen dafür sor- figurieren diese so, dass sie nach einem
gen, dass Server fehlerfrei und op- Die Insights-Funktionen finden lokal regelmäßigen Zeitplan ausgeführt wird.
timal funktionieren. Viele Unternehmen statt. Das heißt, alle Daten werden direkt Die Vorhersage-Ergebnisse lassen sich
setzen dazu auf Überwachungslösungen auf der lokalen Windows-Server-Instanz zudem visualisieren, sobald genügend
von Drittherstellern oder auf Produkte gesammelt, gespeichert und analysiert. Messdaten vorhanden sind. Das hilft et-
der System-Center-Reihe von Microsoft. Die Analysefunktionen können daher wa dabei, die Entwicklung des Kapazi-
Die Überwachung, ob eine Festplatte kei- gänzlich ohne Cloudkonnektivität genutzt tätsverbrauchs zu verstehen. Bis genü-
nen Speicherplatz mehr hat, eine Infor- werden. Mit Windows Server 2019 kann gend Daten gemessen wurden, kann es
mation, wie viel Speicherplatz verbraucht System Insights die Auslastung des Ser- jedoch einige Zeit dauern.
ist und die Kontrolle eines Hyper-V-Hosts, vers, des Netzwerkverkehrs und der Da-
damit neue VMs geplant werden können, tenspeicherauslastung vorhersagen. Windows Server System Insights kann
sind nur einige Beispiele. aber nicht nur über die Auslastung von
Systeminformationen, die Windows Ser- Servern informieren, sondern aktiv in die
Windows Server System Insights (WSSI) ver System Insights über Windows Server Serverkonfiguration eingreifen. Sie kön-
ist hierzu eine neue Funktion in Win- 2019 bietet, lassen sich vollständig über nen zum Beispiel Korrekturaufträge so
dows Server 2019, die lokale vorhersa- das Windows Admin Center (WAC) ver- konfigurieren, dass sie automatisch aus-
gende Analysefunktionen nativ auf den walten. System Insights bietet darüber geführt werden, nachdem eine Funktion
Windows-Server bringt. Diese voraus- hinaus eine PowerShell-Schnittstelle, mit ein bestimmtes Ergebnis erzeugt hat. Für
schauenden Funktionen, die jeweils der sich Automatisierungen durchführen Skripte lassen sich auch Anmeldedaten
durch ein Modell zum maschinellen Ler- lassen. Wie das WAC auch, entwickelt hinterlegen, mit deren Berechtigungen
nen unterstützt werden, analysieren lokal Microsoft Windows Server System In- anschließend Anpassungen am Server
Windows-Server-Systemdaten. Dazu ge- sights ständig weiter und integriert neue vorgenommen werden.
hören Leistungsindikatoren und Ereig- Funktionen.
nisse. Die Funktionen in Windows Server Sie können auch die PowerShell auf Re-
System Insights liefern Vorhersagen, die So können Sie durch die Vorhersage- mote-Instanzen nutzen, um Vorhersage-
dabei helfen, Windows-Server effektiver funktionen blättern und rufen entweder Ergebnisse zu erhalten und auch zu aggre-
zu betreiben. eine Funktion bei Bedarf auf oder kon- gieren. Auf diesem Weg koppeln Sie etwa

Server System Insights Windows Server 2019
eine Gruppe von Windows-Ser- und der Festplatten ist zu er-

vern zur Überwachung. Beispiele kennen sowie die aktuelle Da-
dafür sind Cluster, gruppierte An- tenübertragungen im Netz-
wendungsserver, Server in einem werk. Die laufenden Prozesse
bestimmten Rack oder Rechen- sind ebenfalls ersichtlich. Das
zentrum. Hier ist eine flexible gilt auch für das Servermodell,
Steuerung möglich. Microsoft das installierte Betriebssystem
plant in Zukunft, auch Cluster- und vieles mehr.
Speicherprognosen, PowerShell-
Skripte zur Fehlerbehebung und Windows-Updates
die Möglichkeit der dynamischen steuern
Installation neuer Vorhersagefunk- Über den Menüpunkt "Up-
tionen in Windows Server System dates" erfahren Sie, welche Up-
Insights zu integrieren. dates für einen Server zur Ver-
fügung stehen. Hier können Sie
Windows Server System die Updates auch gleich instal-
Insights installieren lieren, während Sie mit "Online
Für Windows Server System In- nach Updates suchen" nach
sights wird zunächst eine Installa- Je nach Ergebnis einer Analyse führt das neuen Updates bei Microsoft
tion des WAC im Netzwerk benö- Admin Center vordefinierte Aktionen aus. suchen. Im Rahmen der Up-
tigt. Idealerweise verwenden sie date-Installation können Sie
hier möglichst aktuelle Versionen. Sobald Erweiterungen von Drittherstellern ein. auch einen Zeitpunkt festlegen, wann der
ein Windows Server 2019 angebunden ist, Dazu gehören aktuell zum Beispiel auch Server neu starten soll. Über den Menü-
finden Sie den Menüpunkt "Systemdaten". Überwachungsfunktionen von Fujitsu- punkt "Einstellungen" bestimmen Sie der-
Durch einen Klick auf diesen Menüpunkt Servern und andere Technologien. weil, wie der Server nach neuen Updates
installieren Sie im aktuellen Windows Ad- suchen und diese dann einspielen soll.
min Center die Erweiterung für WSSI. An- Dienste überwachen
schließend steht der Bereich zur Verfügung, und Server absichern Der "Updateverlauf" gibt Auskunft darüber,
zeigt aber noch keine Daten an. Mit den beiden Menüpunkten "Dienste" welche Aktualisierungen wann auf einem
und "Prozesse" verwalten und überwa- Server installiert wurden. So erkennen Sie,
Durch einen Klick auf einen der Bereiche chen Sie Systemdienste und Prozesse. So- ob zum Beispiel aktuelle Sicherheitspatches
zur Überwachung der CPU-Last, der Netz- bald Sie den entsprechenden Menüpunkt vorhanden sind und wann die Installation
werkauslastung oder des Speicherver- ausgewählt haben, stehen im oberen Be- erfolgt ist. Über das Windows Admin Cen-
brauchs legen Sie einen Zeitplan fest, der reich des Fensters weitere Befehle zur Ver- ter können Sie Server auch an die Azure-
steuert, wann ein Server Vorhersagen er- fügung, um Dienste und Prozesse zu ad- Updateverwaltung anbinden. In diesem
stellt. Über "Aktionen" hinterlegen Sie wie- ministrieren. Hier starten Sie zum Beispiel Fall lässt sich die Steuerung von Updates
derum die auszuführenden Skripte, wenn Systemdienste, beenden diese und passen über Microsoft Azure automatisieren.
ein Server einen bestimmten Status erreicht. deren Einstellungen an. Bei Prozessen ste-
Über den Menüpunkt "Aufrufen" erhalten hen Ihnen dabei Filter zur Verfügung. Über den Menüpunkt "Zertifikate" werden
Sie eine sofortige Vorhersage angezeigt. Außerdem können Sie Prozesse beenden schließlich die einzelnen Zertifikate des
oder einen Dump des Prozesses erstellen. Servers überwacht und verwaltet. Hier ist
Neben Windows Server System Insights auch zu sehen, ob Zertifikate abgelaufen
spielen natürlich auch die Daten eine Natürlich behalten Sie mit dem Windows sind und wann die nächsten Zertifikate
Rolle, die das WAC im Bereich "Über- Admin Center auch Sicherheitseinstellun- ablaufen. Wird ein Zertifikat markiert,
sicht" anzeigt, wenn Sie einen Server im gen auf Servern im Blick. Da die Verbin- kann es neu angefordert oder exportiert
Windows Admin Center anklicken. Hier dung mit einem Webbrowser hergestellt werden. Im WAC lassen sich Zertifikate
sehen Sie Laufzeitdaten der CPU-Belas- wird, stehen hier sehr flexible Möglich- auch löschen und aktualisieren.
tung, des Netzwerks und des Speichers keiten zur Verfügung. So lassen sich Fi-
sowie eine Vielzahl weiterer Informatio- rewallregeln erstellen und überwachen, Fazit
nen über den lokalen Server. Updates installieren, Prozesse und Dienste Die Verwaltung mehrerer Windows-Server
verwalten und überwachen sowie Daten- im Unternehmen kann herausfordernd
Neben WSSI und der Übersicht zu den sicherungen mit Azure steuern. Nach dem sein. Mit dem WAC bietet Microsoft Ad-
Servern im WAC lassen sich in den Ein- Verbindungsaufbau mit dem Server stehen ministratoren eine zentrale Anlaufstelle
stellungen auch noch Erweiterungen in- unter dem Punkt "Übersicht" schon wich- zur Überwachung und Konfiguration. Er-
stallieren. Auch hier bietet Microsoft re- tige Informationen zur Verfügung. Die freulich dabei: Eine Cloudanbindung ist
gelmäßig neue an und bindet auch Auslastung der CPU, des Arbeitsspeichers nicht notwendig. (dr)

Windows Server 2019 PowerShell 5.0
PowerShell in Windows Server 2019
Eine wahre Perle

von Thomas Joos
Die wichtigsten PowerShell-Befehle lernen Admins

auswendig. Und staunen nicht schlecht, wenn die
PowerShell Anwendungen als Paket im Netzwerk
Quelle: jalcaraz – 123RF

verteilen, dabei auch auf Online-Ressourcen zugreifen
und Anwendungen aus diesen installieren kann.
Darüber hinaus sorgt die Desired State Configuration
für mehr Sicherheit im Netz und PowerShell Direct bringt
mehr Optionen bei der Automatisierung unter Hyper-V.
Neues in System- und

M
it der PowerShell kommt das One- vanten Pakete angezeigt bekommen.
Get-Framework, eine Sammlung Kennen Sie den genauen Namen des Pa- Netzwerkverwaltung
von Cmdlets zum Verteilen und Installieren kets, können Sie die Platzhalter natürlich Die mit der PowerShell 4.0 eingeführte
von Anwendungen im Netzwerk. Die An- weglassen. Neben der Möglichkeit, nach Technologie "Desired State Configuration"
wendungen werden dabei als Pakete instal- Anwendungen in den Paketen zu su- (DSC) [4] erlaubt, Konfigurationen von
liert, die relevante Einstellungen dafür be- chen, können Sie auch nach Versionen Computern über die PowerShell zu au-
reits integrieren. Erfreulich dabei ist, dass Ausschau halten. Dazu verwenden Sie tomatisieren. Wir kommen darauf noch
Sie mit der PowerShell auf die Pakete der die Option "-MinimumVersion Version" im Detail zurück. Sie können über Op-
PowerShell Gallery, NuGet [1] und Cho- im Find-Package-Cmdlet. Wollen Sie tionen steuern, um festzulegen, auf wie
colatey Repositories [2] zugreifen können. neuere Versionen filtern, verwenden Sie vielen Computern gleichzeitig Änderun-
Damit lassen sich mehrere tausend An- "-MaximumVersion". gen implementiert werden sollen. Mit
wendungen installieren. dem Modul "PowerShellGet" können Sie
Um ein Paket zu installieren, kommt diese DSC-Ressourcen in der PowerShell Re-
Software im Netzwerk verteilen Befehlskette zum Einsatz: source Gallery [5] nutzen, installieren
Generell ist die Verwendung der Power- oder hochladen. Auch ist es in der Power-
Shell ISE für OneGet empfehlenswert, Find-Package | Out-GridView Shell möglich, Zip-Archive zu entpacken
Sie können aber auch problemlos in der -Title "Paket das installiert und zu erstellen. Dabei helfen die beiden
normalen PowerShell die Paketfunktion werden soll" -PassThru | Compress-Archive- und Expand-Archi-
nutzen. Bevor Sie Pakete installieren, Install-Package ve-Cmdlets [6].
überprüfen Sie, ob die Ausführungsricht- -Force
linie für Skripte auf "RemoteSigned" ge- Ebenfalls in der PowerShell verfügbar ist
setzt ist. Dazu verwenden Sie den Befehl: Die Pakete werden standardmäßig ohne "Data Center Abstraction" (DAL) [7, 8].
Benutzereingaben installiert, die dazu Mit dieser Technologie greifen Sie direkt
Set-ExecutionPolicy RemoteSigned notwendigen Optionen sind wie bereits auf bestimmte Netzwerkkomponenten
erwähnt direkt in das Paket integriert. wie Switches und Router zu. Dazu muss
Welche Quellen derzeit angebunden Sie können dieses Verhalten also nicht die Hardware diese Technik aber auch
sind, sehen Sie mit Get-PackageSource direkt über die PowerShell steuern, son- unterstützen. In diesem Bereich spielen
und die zur Verfügung stehenden Pakete dern über die Installationsdateien des vor allem Cisco und Huawei eine wich-
lassen Sie sich mit Find-Package | Out- Pakets [3]. tige Rolle. Interessant an dieser Stelle ist
Gridview anzeigen. Zur Suche nach be- die Möglichkeit, die zertifizierten Geräte
stimmten Paketen dient: Sie können mit OneGet problemlos auch über System Center Virtual Machine Ma-
Basis-Images von Windows-Arbeitssta- nager zu verwalten. Die PowerShell bietet
Find-Package -Name *Name* tionen erstellen. Dazu installieren Sie das dazu eine Layer-2-Verwaltung für die
Betriebssystem und danach Basisanwen- Netzwerkswitche an. Die zur Verfügung
Arbeiten Sie immer mit den beiden dungen, die über die Pakete zur Verfü- stehenden Befehle erfahren Sie durch
Platzhaltern "*", da Sie nur so alle rele- gung stehen. Eingabe von

PowerShell 5.0 Windows Server 2019
Bild 1: Über die PowerShell lassen sich Softwarepakete auf den angebundenen Rechnern installieren.
Get-Command *-NetworkSwitch* schied liegt darin, dass in einer PowerShell- nicht notwendig. Wollen Sie sich mit ei-
Direct-Sitzung die Befehle direkt in der je- nem anderen Benutzer authentifizieren,
Zudem leistet die PowerShell Klassende- weiligen VM zur Ausführung kommen. verwenden Sie
finitionen. Hier können Sie mit dem neu-
en Schlüsselwort "class" wie in objektori- Um eine solche Verbindung zu starten ge- Enter-PSSession -VMName Computer
entierten Sprachen eigene Klassen defi- ben Sie in der PowerShell-Sitzung auf dem -Credential Benutzer
nieren und in Ihren Skripten einsetzen. Host einen der folgenden Befehle ein:
Mit Exit-Session beenden Sie die Sitzung
VMs verwalten Enter-PSSession -VMName Name der VM wieder. Sitzungen lassen sich in Windows
mit PowerShell Direct im Hyper-V-Manager Server 2019 und Windows 10 unterbre-
Mit PowerShell Direct greifen Sie über chen und erneut aufzubauen. Bei unter-
PowerShell-Sitzungen auf einem Hyper-V- Invoke-Command -VMName Name der VM brochenen Sitzungen laufen die Cmdlets
Host direkt auf VMs des Hosts zu und füh- im Hyper-V-Manager -ScriptBlock { in der Sitzung weiter. Für diese Vorgänge
ren Aktionen durch. Dazu muss auf dem Commands } stehen die Disconnect-PSSession-, Con-
Host aber Windows Server 2019 laufen und nect-PSSession- und Receive-PSSession-
in den VMs ist entweder Win-dows 10 Für die erfolgreiche Verbindung müssen Cmdlets bereit.
oder Server 2019 notwendig. Hier stehen Sie sich unter Umständen erst authenti-
dann die gleichen Befehle zur Verfügung fizieren. Weitere Konfigurationen oder Mit Desired State Configuration
wie bei normalen Sitzungen. Der Unter- Einstellungen in der Firewall sind jedoch Windows-Server absichern
Die Desired State Configuration ermög-
licht das Erstellen von Sicherheitsvorla-
gen für Server, die automatisch angewen-
det werden. Ändern sich Einstellungen,
die von der Vorlage abweichen, kann
PowerShell DSC die Vorgaben wieder-
herstellen. In der Vorlagendatei zur Ab-
sicherung des Betriebssystems können
Sie zum Beispiel hinterlegen, dass die
Ausführung der Richtlinie auf einem Ser-
ver bestimmte Dateien kopiert, Dienste
startet oder installiert und Programme
aufruft. Unsichere und nicht notwendige
Bild 2: Via PowerShell Direct gelingt der direkt Zugriff auf VMs aus der PowerShell des Hyper-V-Hosts. Dienste lassen sich beenden und damit

auch Server härten, was zum Beispiel für

Webserver-Farmen sinnvoll ist. Auch
Registry-Einstellungen passen Sie über
diesen Weg an, genauso wie Gruppen
und lokale Benutzerkonten. Natürlich
können Sie auch Skripte ausführen las-
sen, die ebenfalls bestimmte Systemein-
stellungen anpassen.
Erkennt PowerShell DSC Änderungen

am System, die von der Vorlage abwei-
chen, lässt sich die Vorlage erneut an-
wenden und der Server dadurch wieder
absichern. Das heiß, durch Systemaudits
können Administratoren oder auch Si-
cherheitsbeauftragte im Unternehmen
jederzeit sicherstellen, dass wichtige Se-
curity-Einstellungen im Netzwerk noch
dem vorgegebenen Stand entsprechen.
Bild 3: Damit PowerShell DSC funktioniert,
Die Verwendung der DSC ist sehr mo- müssen Sie das entsprechende Feature auf den Servern installieren.
dular. Das heißt, Sie können mit einigen
wenigen Einstellungsblöcken beginnen Mit dem DSC Resource Kit [9] steuern Configuration MeineWebsite
und dann nach und nach erweitern, wenn Sie auch Einstellungen von Serverdiens- {
Sie sich mit der Arbeit mit dem System ten wie Active Directory, SQL Server, IIS, }
vertraut gemacht haben. Zum Einsatz von Hyper-V und auch anderen Diensten mit
PowerShell DSC müssen Sie das dazuge- DSC. Diese speziellen Cmdlets sind der- Bei der Anzahl an Befehlen sind Sie nicht
hörige Modul über den Server-Manager zeit noch nicht in der PowerShell Core an Vorgaben gebunden. Sie können ent-
installieren. Dieses Modul ist über die In- 6.x/7.x oder dem Windows Terminal ver- weder mehrere kleine oder eine große
stallation der Features bei "Windows fügbar. Allerdings arbeitet Microsoft da- Skriptdatei erstellen. Ein Beispiel für den
PowerShell / Windows PowerShell-Dienst ran, die Technologien in der PowerShell Inhalt ist:
zum Konfigurieren des gewünschten Zu- Core zu integrieren.
stands" zu finden. Configuration Security
Basis von DSC sind Vorlagen, die zum Service Wuauserv
DSC in Windows Server 2019 kann über Beispiel Sicherheitseinstellungen enthal- {
die neue ThrottleLimit-Option mehr ten. Um die Vorlage einem Server zuzu- ServiceName = "wuauserv"
Computer gleichzeitig ansprechen, um weisen, erstellen Sie ein "Management StartupType = "Automatic"
die Änderungen über das Netzwerk zu Object File" (MOF). Die PowerShell liest }
steuern. Die Option steht für verschiedene das MOF und wendet sie mit DSC abge-
Cmdlets zur Verfügung, mit denen DSC sicherte Servern an. Diese Datei lässt sich Dadurch wird festgelegt, dass ein be-
gesteuert wird: jederzeit erneut anwenden, wenn Einstel- stimmter Dienst – hier "Windows Up-
- Get-DscConfiguration lungen auf dem Server abweichen. date" – den Starttyp "Automatisch" erhal-
- Get-DscConfigurationStatus ten soll, wenn DSC angewendet wird.
- Get-DscLocalConfigurationManager Die Verwaltung von DSC erfolgt zunächst Haben Sie die Konfiguration als PS1-Da-
- Restore-DscConfiguration über eine Konfigurationsdatei, die Sie als tei gespeichert, erstellen Sie eine MOF-
- Test-DscConfiguration PowerShell-Skript-Datei mit der Endung Datei:
- Compare-DscConfiguration "PS1" speichern. Ein Skript für DSC be-
- Publish-DscConfiguration ginnt immer mit dem Schlüsselwort Name der Konfiguration -MachineName
- Set-DscLocalConfigurationManager "Configuration" und einem von Ihnen Name des Servers, auf den die Da-
- Start-DscConfiguration definierten Namen. Diesen Namen betei angewendet werden soll
- Update-DscConfiguration nötigen Sie später bei der Erstellung der
MOF-Datei und deren Anwendung. Da- Den Namen der Konfiguration haben Sie
Mit dem PowerShellGet-Modul können her bietet sich hier ein einfacher und kla- der Skript-Datei vorgegeben. Für jeden
Sie PowerShell-DSC-Ressourcen über die rer Name an. Die Befehle für die Absi- Server, dem Sie die Datei zuweisen wollen,
erwähnte PowerShell Resource Gallery cherung sind zwischen zwei geschweiften erstellt die PowerShell eine eigene MOF-
abrufen und eigene Vorlagen hochladen. Klammern eingeschlossen: Datei. Um Einstellungen zu ändern, än-

dern Sie die Skript-Datei und erstellen da- Nehmen Sie diese Zeilen in die Datei auf, dem Quellverzeichnis in das Zielverzeich-
nach die MOF-Dateien neu. Zum Absi- überprüft die PowerShell, ob es die Grup- nis. Darüber hinaus können Sie auch si-
chern eines Servers mit DSC kopieren Sie pe "Webadmins" auf den Servern gibt, cherstellen, dass auf den abgesicherten
die MOF-Dateien auf die Ziel-Server oder und legt sie an, wenn die Gruppe fehlt. Webservern in den gewünschten Zielver-
verwenden eine Freigabe im Netzwerk. So lassen sich mit PowerShell DSC auch zeichnissen immer nur die Dateien vor-
Und die Anwendung von MOF-Dateien einfach Benutzer aufnehmen oder aus handen sind, die Sie im Quellverzeichnis
auf den Ziel-Servern funktioniert so: Gruppen entfernen. Dazu dienen die bei- festlegen. Der Vorteil dabei ist, dass Sie
den Optionen "MembersToExclude" und ein Quellverzeichnis auf Basis einer Frei-
Start-DscConfiguration -Wait "MembersToInclude". gabe im Netzwerk festlegen und diese Da-
-Verbose -Path .\Name teien auf alle Webserver, auf denen Sie
Ein weiteres Beispiel für die Verwendung DSC nutzen, kopiert werden.
Sie können jederzeit mit dem Test- von DSC ist die Überprüfung, ob Dateien
DscConfiguration-Cmdlet überprüfen, des Webservers im Verzeichnis "inetpub" Haben Sie in der Konfigurationsdatei die
ob die mit DSC gesetzten Sicherheitsein- gespeichert sind und ob auf dem Server von Ihnen gewünschten Einstellungen
stellungen auf einem Server noch Ihren der IIS installiert ist. Außerdem können vorgegeben, speichern Sie diese als PS1-
Vorgaben entsprechen. Das Cmdlet über- Sie bestimmte Daten von einem Quell- Datei ab. Sie können die Datei jederzeit
prüft, ob es Unterschiede zwischen MOF- auf die Zielserver kopieren und so sicher- anpassen, aus der Datei eine neue MOF-
Datei und den tatsächlichen Einstellungen stellen, dass auf allen Webservern die von Datei erstellen und diese dann erneut an
auf dem Server gibt. Das Cmdlet liefert Ihnen abgesicherten Dateien vorhanden Server verteilen. Haben Sie die Datei ab-
Ihnen die Werte "True" (Einstellungen sind. Eine Beispieldatei finden Sie im Lis- gespeichert, starten Sie das Skript entwe-
stimmen noch) oder "False" (Einstellun- ting-Kasten. In diesem Beispiel legen Sie der durch Eingabe des Namens in der
gen wurden geändert). Bei Bedarf können über die Option "Node" den Namen der PowerShell oder Sie verwenden das grüne
Sie jederzeit die MOF-Datei mit Start- Server fest, auf denen Sie die von Ihnen Abspielzeichen in der PowerShell ISE.
DscConfiguration erneut anwenden. gewünschten Einstellungen und Sicher- Um zu testen, ob später die Umsetzung
heitsoptionen umsetzen wollen. Mit "En- auch auf den Zielservern funktioniert,
MOF-Dateien erweitern sure" bei "WindowsFeature IIS" überprüfen führen Sie das Skript auf einem der Ziel-
Mit DSC lassen sich auch Gruppen auf Sie, ob bestimmte Rollen (WindowsFea- server aus.
Servern anlegen und Benutzer zuweisen. ture) installiert (Present) oder eben nicht
Die Syntax dazu ist: installiert (Absent) sind. In der Datei kön- Für jeden Zielserver, den Sie über "Node"
nen Sie natürlich auch mehrere Rollen in der Konfigurationsdatei festlegen, er-
Group Webadmins anlegen kontrollieren. DSC kann die Rollen auch stellt der Befehl
{ deinstallieren oder installieren.
Ensure = "Present" Name der Konfiguration -MachineName
GroupName = "Webadmins" So testen Sie nicht nur, ob bestimmte Rol- Name des Servers, auf den die Da-
} lendienste installiert sind, sondern sind tei angewendet werden soll
auch in der Lage, nach Dateien oder Ver-
Listing: DSC-Überprüfung zeichnissen zu suchen. Das ist zum Bei- eine MOF-Datei, in der die Sicherheits-
eines Webservers spiel für das Überprüfen nach bestimm- einstellungen aus Ihrer Konfigurations-
ten Daten oder das Testen von Sicher- datei hinterlegt sind. Das Verzeichnis, in
Configuration MeineWebsite
{
heitsskripten wichtig. dem die PowerShell die MOF-Datei an-
Node ("s1.contoso.int", "s2.contoso.int") gelegt hat, sehen Sie im PowerShell-Fens-
{ Aber auch um sicherzustellen, dass auf ter. Sie können den Ausgabepfad der
#IIS-Installation sicherstellen
Webservern immer die von Ihnen ge- MOF-Dateien auch mit der Option "Out-
WindowsFeature IIS
{ wünschten Dateien in den fest definierten putPath" steuern.
Ensure = "Present” Verzeichnissen vorhanden sind, kann
Name = "Web-Server” DSC verwendet werden. Fehlt ein Skript, Windows-10-Dienste
}
#Existenz Webdateien sicherstellen
eine Datei oder ein bestimmtes Verzeich- ein- und ausschalten
File Beispieldatei nis, können Sie es über DSC auf den Ser- Die Aufgaben, die Windows 10 zur Über-
{ ver kopieren. Über "Type" legen Sie fest, wachung durchführt, lassen sich in der
Ensure = "Present”
ob Sie nach einem bestimmten Verzeich- PowerShell anzeigen, aber auch deakti-
Type = "Directory"
Recurse= $true
nis (Directory) oder nach einer Datei (Fi- vieren. Um zum Beispiel die Aufgabe
SourcePath = "\\dc01\Daten" le) suchen und Sie legen den Quellpfad "Programm zur Verbesserung der Benut-
Destinationpath = "C:\inetpub\wwwroot" (SourcePath) und den Zielpfad (Destina- zerfreundlichkeit (Customer Experience
}
tionPath) der Dateien fest. Bei der Aus- Improvement Program, CEIP)" zu deak-
}
} führung dieser Richtlinie kopiert die tivieren, hilft der folgende Befehl in der
PowerShell die Dateien automatisch aus PowerShell:

Disable-ScheduledTask -TaskName
"\Microsoft\Windows\Customer
Experience Improvement
Program\KernelCeipTask"
Auf diesem Weg stehen noch die folgen-

den Optionen bereit, um Funktionen zu
deaktivieren:
- Microsoft\Windows\Customer Expe-
rience Improvement Program\UsbCeip
- Microsoft\Windows\Power Efficiency
Diagnostics\AnalyzeSystem
- Microsoft\Windows\Shell\FamilySafe-
tyMonitor
- Microsoft\Windows\Shell\FamilySafe-
tyRefresh
- Microsoft\Windows\Application Ex-
perience\AitAgent
perience\ProgramDataUpdater
perience\StartupAppTask Bild 4: In der PowerShell lassen sich die vorhandenen
- Microsoft\Windows\Autochk\Proxy Windows-Apps anzeigen und auf Wunsch auch deinstallieren.
- Microsoft\Windows\Customer Expe-
rience Improvement Program\BthSQM menü mit Administratorrechten. An- Diese lassen sich auf Wunsch auch gleich
- Microsoft\Windows\Customer Expe- schließend finden Sie deinstallierbare deinstallieren:
rience Improvement Program\Con- Apps mit
solidator Get-AppxPackage -Publisher *Micro-
.\removewindowsstoreapp.ps1 soft* | Remove-AppxPackage
Die entsprechenden Befehle können Sie
in Netzwerken mit Active Directory und Der Befehl zeigt die Apps allerdings nur Haben Sie versehentlich falsche Apps
Windows Server 2019 über PowerShell- an, er deinstalliert sie nicht. Um einzelne deinstalliert oder funktionieren in Win-
Skripte als Anmeldeskript hinterlegen. Apps zu deinstallieren, geben Sie deren dows 10 einige Bereiche nicht mehr, lässt
Den Status der Dienste erhalten Sie mit Nummer im unteren Feld ein. Eine kom- sich der Vorgang umkehren:
get-ScheduledTask. Hier reicht zur Abfrage magetrennte Eingabe mehrerer Num-
der Name der Aufgabe, es muss nicht der mern deinstalliert mehrere Apps auf ein- Get-AppXPackage | Foreach {Add-
komplette Pfad angegeben werden. mal. Eine weitere Möglichkeit, uner- AppxPackage -DisableDevelopmentMo-
wünschte Apps in Windows 10 anzuzei- de -Register "$($_.InstallLocati-
Schnüffel-Apps ausbremsen gen ist der Befehl on)\AppXManifest.xml"}
Die Standard-Apps in Windows 10 wer-
den in Unternehmen kaum verwendet. Get-AppxPackage -AllUsers Funktioniert die Installation nicht, hilft
Allerdings können diese Programme ein Microsoft-Skript [12].
durchaus Informationen an Microsoft Über dieses Cmdlet deinstallieren Sie
übertragen. Microsoft bietet ein Skript auch Apps, in diesem Beispiel alle: Ein großer Teil der Überwachung in
[10] an, mit dem sich alle internen Apps Windows 10 wird durch Systemdienste
anzeigen lassen, die Sie auch mit der Get-AppxPackage -AllUsers | Remove- durchgeführt, vor allem der Dienst zur
PowerShell deinstallieren können. Das AppxPackage Benutzererfahrung und Telemetrie sowie
Skript wurde zwar für Windows 8 entwi- der Dienst "dmwappushservice".
ckelt, funktioniert aber auch für Windows Get-AppXProvisionedPackage -online |
10 – allerdings nur inoffiziell. Um das Remove-AppxProvisionedPackage Ob die Dienste laufen, lässt sich in der
Skript zu nutzen, müssen Sie die Ausfüh- -online Windows-Dienststeuerung überprüfen
rungsrichtlinie für Skripte auf "Remote- oder in der PowerShell:
Signed" setzen. Spezielle all Apps von Microsoft zeigt:
get-service diagtrack
Für das Deinstallieren von Skripten star- Get-AppxPackage -Publisher
ten Sie die PowerShell über das Kontext- *Microsoft* get-service dmwappushservice

Unbeaufsichtigte Installation
von Rollen und Features
Neben der Möglichkeit, Rollen und Fea-
tures direkt über die PowerShell zu in-
stallieren, können Sie in der PowerShell
auch die XML-Steuerungsdatei verwen-
den, die Sie im Assistenten zum Instal-
lieren von neuen Rollen im letzten Fenster
speichern können.
Um auf einem anderen Server die gleichen

Rollen und Features zu installieren, ver-
wenden Sie die PowerShell und geben die
XML-Datei mit. Dabei nutzen Sie das In-
stall-WindowsFeature-Cmdlet mit der Op-
tion "-ConfigurationFilePath", zum Beispiel
Install-WindowsFeature -Configurati-
Bild 5: Bei der Installation von Serverrollen hilft eine Vorlagendatei für die PowerShell. onFilePath C:\Daten\iis.xml
Sollen die Dienste auch deaktiviert wer- testen Sie den Zugriff. Erhalten Sie keine Systemprozesse überwachen
den, nutzen Sie das Befehlszeilentool "sc": Fehlermeldung, sondern eine Statusan- Eine häufige Administrationsaufgabe ist
zeige, funktioniert der Zugriff vom Quell- das Verwalten der laufenden Prozesse auf
sc config diagtrack start=disabled computer auf den Zielcomputer. einem Server. Diese Aufgaben treten mit
sc config dmwappushservice der Migration zu Windows Server 2019
start=disabled Die zweite Möglichkeit besteht darin, in häufiger auf. Über den Befehl Get-Process
der PowerShell oder der PowerShell ISE lassen Sie sich alle laufenden Prozesse ei-
Netzwerkzugriff eine PowerShell-Sitzung auf einem Re- nes Computers anzeigen. Suchen Sie alle
mit der PowerShell moteserver zu öffnen. Alle Befehle, die Prozesse mit dem Anfangsbuchstaben "S",
Die PowerShell bietet Ihnen mehrere Op- Sie in dieser Sitzung ausführen, werden geben Sie den Befehl Get-Process s* ein.
tionen, um Befehle über das Netzwerk dann auf dem Remotecomputer ausge-
auszuführen. Zunächst stehen Ihnen die führt. Hier ist die Option "-computer- Sollen die Prozesse zusätzlich noch sor-
normalen Cmdlets ergänzt um die Option name" nicht notwendig, da die Sitzung tiert werden, zum Beispiel absteigend
"-computername" zur Verfügung. In einer ohnehin auf dem Remotecomputer aus- nach der CPU-Zeit, erledigt dies
lokalen PowerShell-Sitzung wird der Be- geführt wird. In der PowerShell ISE öff-
fehl auf diese Art und Weise über das nen Sie Remote-Sitzungen über "Datei / Pipe-Option |Sort-Object cpu
Netzwerk auf den Zielserver angewandt. Neue Remote-PowerShell" und geben -Descending
Mit Get-Help * -Parameter ComputerNa- den Servernamen sowie die entspre-
me erhalten Sie sich eine Liste all dieser chenden Anmeldedaten ein. Alle Befeh- Mit Windows Server 2019 haben Sie auch
Cmdlets. le, die Sie in dieser Sitzung ausführen, die Möglichkeit, über das Windows Ma-
werden direkt auf dem Remotecomputer nagement Interface Informationen abzu-
Wollen Sie von einer lokalen PowerShell- gestartet. fragen oder zu skripten. Sie können zum
Sitzung über das Netzwerk Programme Beispiel die Konfiguration der Auslage-
auf einem Remotecomputer starten, ver- Eine Remotesitzung in der normalen rungsdatei in der Befehlszeile über WMI
wenden Sie folgenden Befehl: PowerShell starten Sie über vornehmen. Dabei ist es nicht notwendig,
sich mit der komplexen WMI-Problema-
Invoke-Command -ComputerName Ziel- Enter-PSSession Servername tik auseinander zu setzen, über die Power-
Computer -ScriptBlock { Befehl } Shell lassen sich diese Daten schnell und
-credential Benutzername Wollen Sie sich mit einem anderen Be- einfach ablesen.
nutzer authentifizieren, verwenden Sie
Funktioniert der Befehl, öffnet sich ein So rufen Sie beispielsweise ausführliche
Authentifizierungsfenster und Sie müssen Enter-PSSession -ComputerName Compu- Informationen zu Festplatten mit WMI-
das Kennwort für den Benutzer eingeben. ter -Credential Benutzer Befehlen und dem Get-WmiObject-
Mit dem Kommando Cmdlet ab. Über die Option "Win32_Lo-
Mit Exit-Session beenden Sie diese Power- gicalDisk" erhalten Sie Details zu den
Test-WsMan Computername Shell-Sitzung wieder. Festplatten.

JSON-Objekt mit benutzerdefinierbaren

Eigenschaften. Nachdem Änderungen in
den Einstellungen gespeichert wurden,
wird das Terminal automatisch aktuali-
siert. Windows Terminal unterstützt be-
nutzerdefinierte Tastenbelegungen Diese
können den Einstellungen konfiguriert
werden. Auch Hintergrundbilder sind
generell möglich. Microsoft plant die Fer-
tigstellung bis zum Winter 2019.
Fazit
Mit der PowerShell können Sie in Win-
dows Server 2019 und Windows 10 noch
mehr Aktionen durchführen als in den
Vorgängerversionen. Microsoft hat bereits
Bild 6: Die Windows-Terminal-App dient als neue Oberfläche für Befehlszeile und PowerShell. bekannte Funktionen aus den Vorgänger-
versionen erweitert und verbessert. Zudem
Das installierte Betriebssystem und das wobei sich alle PowerShell-Cmdlets in kommen mit DSC und der Terminal-App
Datum der Installation ziehen Sie eben- Module untergliedern. Eine Liste aller neue spannende Technolgien hinzu. Es
falls aus WMI und der PowerShell. Mit Module erhalten Sie mit lohnt sich für Administratoren einen Blick
auf die PowerShell zu werfen, um die Mi-
get-wmiobject win32_operatingsystem Get-Module -ListAvailable gration zu Windows Server 2019 oder
| select @{Name="Installed"; Ex- Windows 10 zu beschleunigen und sich
pression={$_.ConvertToDateTime($_. Windows-Terminal-App vereint das Leben einfacher zu machen. (jp)
InstallDate)}}, Caption PowerShell und Kommandozeile
Mit der neuen Windows-Terminal-App Link-Codes
zeigen Sie die die entsprechenden Infor- stellt Microsoft eine neue, gemeinsame
mationen an, gleiches gilt für die Bit-Va- Oberfläche für die Eingabeaufforderung, [1] NuGet
es213
riante des Betriebssystems WSL und die PowerShell zur Verfügung.
Das Open-Source-Tool bietet dazu auch [2] Chocolatey Repositories
e3pe4
Get-WmiObject -Class Win32_Computer- die Unterstützung von Registerkarten.
[3] Create a Chocolatey
System -ComputerName . | Select- Die Vorabversion von Windows Terminal
NuGet Package
Object -Property SystemType), Do- steht im Microsoft Store zur Verfügung. gs233
mäne, Hersteller, Modell und mehr Die Installation erfolgt also über die Sto-
[4] Desired State Configuration
(Get-WmiObject -Class Win32_Compu- re-App in Windows 10. Für den Einsatz gs272
terSystem wird mindestens Windows 10 ab Build [5] PowerShell Resource Gallery
18362 benötigt. Wenn die App fertig ge- gs273
PowerShell für stellt ist, soll sie auch für Windows Server [6] Expand and Compress Archive
Linux und macOS 2019 zur Verfügung stehen. Cmdlets
Microsoft bietet mit der PowerShell Core gs274
eine Variante der PowerShell an, die sich Nach dem Start öffnet sich eine neue Sit- [7] Data Center Abstraction
auf Linux und macOS installieren lässt zung mit der PowerShell, PowerShell Co- gs275
und auch in Docker-Containern läuft. re oder der Eingabeaufforderung. Über [8] Managing Network switches using
Sie können also mit der PowerShell sehr das Pluszeichen rufen Sie weitere Regis- PowerShell and CIM
umfassend im Netzwerk die verschiede- terkarten auf. Über das Pfeilsymbol ne- f4z85
nen Betriebssysteme und Serveranwen- ben dem Pluszeichen legen Sie fest, wel- [9] DSC Resource Kit
dungen steuern. Unterstützt wird dies che Shell sich im Windows-Terminal- f9z76
durch die Lauffähigkeit in SSH-Sitzun- Fenster öffnet. [10] Entfernen von Windows Store-
Apps in Windows 8
gen. PowerShell Core bietet Microsoft
gs277
Open Source an, der Download erfolgt Über die Datei "profiles.json" steuern Sie
[11] Microsoft-Skript zur erneuten
über GitHub [10]. die Einstellungen der App. Dazu klicken
Installation zuvor entfernter Apps
Sie auf die Schaltfläche "Einstellungen" gs278
Wie bei der herkömmlichen PowerShell im Dropdown-Menü und die Datei öff-
[12] PowerShell Core
in Windows lassen sich in der PowerShell net sich im standardmäßigen JSON-Tex- i1p31
Core Befehle mit get-command anzeigen, teditor des Systems. Jedes Profil ist ein

Hyper-V unter Windows Server 2019
Quelle: seamartini – 123RF

Verschachtelt
von Thomas Joos
Microsoft hat in Windows Server 2019 Hyper-V wieder

als Serverdienst integriert und stellt parallel dazu
Hyper-V Server 2019 kostenlos zur Verfügung. Damit
steht Administratoren eine vollumfassende Virtualisie-
rungsumgebung zur Verfügung, die sich flexibel mit
der PowerShell verwalten lässt. Dieser Beitrag beleuch-
tet Funktionen wie etwa die Nested Virtualization und
das Setup von Hyper-V im neuen Windows Server.
W
ir beginnen unseren Workshop sind. Auf diesem Weg können Sie auch der Offline-Modus. Windows Server 2019
mit einem wichtigen Aspekt: In im Hyper-V-Manager, aber auch im kann den Netzwerkverkehr in Hyper-V
Windows Server 2019 ist nämlich Win- Windows Admin Center effektiv Hyper- zudem komplett verschlüsseln.
dows Defender als Virenscanner vorin- V administrieren.
stalliert. Und Malware-Scans können zu Das Dateisystem ReFS arbeitet in Win-
Problemen mit Hyper-V führen. Glück- Neuerungen und dows Server 2019 besser mit Hyper-V zu-
licherweise hat Microsoft die notwendi- Verbesserungen in Hyper-V sammen. ReFS wurde in Windows Server
gen Ausnahmen für Hyper-V und die zu- Neben mehr Sicherheit und einer besse- 2012 als Ersatz für das alternde NTFS-
gehörigen Serverrollen integriert. Um die ren Unterstützung für Linux hat Micro- Dateisystem eingeführt. Microsofts
Ausnahmen bei Bedarf auszuschalten, ge- soft Funktionen aus Azure in Windows Hauptziel bei der Entwicklung von ReFS
ben Sie folgenden Befehl ein: Server 2019 integriert. Generell findet die war es, ein skalierbares Dateisystem zu
Installation und Verwaltung von Hyper- schaffen, um den Anforderungen heutiger
Set-MpPreference V in Windows Server 2019 noch weitge- Rechenzentren gerecht zu werden. ReFS
-DisableAutoExclusions $true hend identisch zu den Vorgängerversio- bietet in Windows Server 2019 die Mög-
nen statt. So gibt es auch weiterhin den lichkeit der Datendeduplizierung. Die Er-
Arbeiten Sie mit Hyper-V in Windows Hyper-V-Manager. Natürlich lässt sich weiterung mit diesen Funktionen macht
Server 2019, sollten Sie also Ihren Viren- Hyper-V in Windows Server 2019 auch ReFS zu einer guten Wahl für den Einsatz
schutz im Auge behalten und entspre- mit dem System Center administrieren. auf Volumes mit VMs für Hyper-V.
chend anpassen – auch dann, wenn Sie Neu hinzugekommen ist die Möglichkeit,
einen anderen Virenscanner als Windows Hyper-V mit dem Windows Admin Cen- Mit Windows Server 2016 hat Microsoft
Defender einsetzen. Virtuelle Server lassen ter (WAC) zu verwalten. die Container-Technologie vor allem auf
sich außerdem einfach mit BitLocker ver- Basis von Docker in Windows-Server in-
wenden. In Generation-2-VMs können Hyper-V ist nicht nur in Windows Server tegriert. Auch Windows Server 2019 ver-
Sie dazu ein virtuelles TPM hinzufügen, 2019 integriert, sondern steht auch kos- fügt über die Container-Technologie, die
für Generation-1-VMs speichert Windows tenlos über Microsoft Hyper-V Server zur sich natürlich zusammen mit Hyper-V
Server 2019 die notwendigen Daten in ei- Verfügung. Die neue Version einschließ- nutzen lässt. In der neuen Version können
nem versteckten Bereich der Festplatte. lich des kostenlosen Hyper-V-Servers auch Windows Server Container auf Basis
kann Shielded-VMs mit Linux nutzen. In von Kubernetes verwaltet werden. Parallel
Verwalten lässt sich Hyper-V generell Windows Server 2016 konnten diese verlassen sich dadurch auf einem Hyper-V-
über die PowerShell. Geben Sie Get-Com- schlüsselten VMs nur mit Windows Ser- oder Container-Host Windows-Container
mand -Module Hyper-V ein, erhalten Sie ver 2016 eingesetzt werden. Neben dieser und Linux-Container einsetzen.
eine Liste der verfügbaren Cmdlets. Mar- Neuerung hat Microsoft die Technik der
kieren Sie derweil im Hyper-V-Manager Shielded-VMs weiter verbessert. Diese Hyper-V-Container lassen sich auch in
vorhandene VMs, stehen Ihnen im Kon- starten dank des Offline-Modus auch Windows Server 2019 nutzen. So kann
textmenü die Befehle zur Verfügung, die dann, wenn der Host Guardian Service das Betriebssystem jetzt auch problemlos
für alle markierten VMs durchführbar (HGS) nicht erreichbar ist. Hierfür dient gruppierte, verwaltete Dienstkonten für

Virtualisierung H y p e r- V u n t e r W i n d o w s S e r v e r 2 0 1 9
verschiedene Container verwenden. Das

erhöht die Sicherheit, weil Windows-Ser-
ver und -Container die Kennwörter für
Dienstkonten automatisch ändern kön-
nen. Windows Server 2019 ist außerdem
noch enger mit Azure verknüpft als seine
Vorgänger. So lassen sich zum Beispiel im
Windows Admin Center hyperkonver-
gente Netzwerke verwalten, die mit Azure
in einer hybriden Umgebung verbunden
sind. Lokale Server unter Hyper-V 2019
lassen sich dabei direkt über das WAC mit
der Azure Site Recovery verbinden.
Hyper-V mit dem Windows

Admin Center verwalten
Über das Windows Admin Center kön-
nen Sie auf einem Server mit Windows
Server 2019 auch Hyper-V installieren.
Dazu verwenden Sie den Bereich "Rollen
und Funktionen". Hier ist zu sehen, ob
auf einem Server bereits Hyper-V vor- Bild 1: Die Konfiguration der Hyper-V-Replikation nehmen Sie im Hyper-V-Manager vor.
handen ist. Wenn das nicht der Fall ist,
kann die Installation über den Web- wenden, das Windows Admin Center Install-WindowsFeature -Name Hyper-V
browser erfolgen. oder die PowerShell. Binden Sie einen -IncludeManagementTools
Server an System Center Virtual Machine
Nach der Installation sind auf einem Ser- Manager an, haben Sie ebenfalls die Mög- Sie können an dieser Stelle auswählen, ob
ver die beiden Menüpunkte "Virtuelle lichkeit, Hyper-V zu installieren, wenn Sie nur die grafische Oberfläche oder
Computer" und "Virtuelle Switches" zu Sie den Host anbinden. auch die PowerShell-Cmdlets installieren
finden. Hierüber verwalten Sie die VMs wollen. Mit diesen Verwaltungstools kön-
und virtuellen Switches des ausgewählten Für die Installation von Hyper-V fügen Sie nen Sie ferner den kostenlosen Hyper-V-
Hyper-V-Hosts. Über den Menüpunkt dieses wie andere Rollen als Serverrolle Server 2019 verwalten.
"Einstellungen" unten links nehmen Sie hinzu. Auf herkömmlichen Servern startet
serverspezifische Settings im Windows der Assistent zum Hinzufügen von neuen In Windows Server 2019 haben Sie da-
Admin Center vor. Dazu gehört zum Bei- Serverrollen. Sie können Hyper-V in neben die Möglichkeit, Serverrollen und
spiel die Hyper-V-Konfiguration eines Windows Server 2019 auch über das Netz- Features im Server-Manager über das
Hyper-V-Hosts. Allerdings gilt generell werk von einem Server-Manager aus in- Netzwerk zu installieren. Dazu starten
immer noch, dass im WAC nur ein Teil stallieren, das funktioniert auch mit dem Sie auf einem Server mit Windows Ser-
der Einstellungen zur Verfügung steht, WAC. Über den Punkt "Verwalten / Rollen ver 2019 den Server-Manager und fügen
der in den herkömmlichen Verwaltungs- und Features entfernen" deinstallieren Sie die Server hinzu, auf denen Sie Hyper-
tools konfiguriert werden kann. Hyper-V auf dem Server wieder. Virtuelle V installieren wollen. Klicken Sie hierfür
Server bleiben beim Deinstallieren aber auf "Verwalten / Server hinzufügen" und
Im Windows Admin Center ist auch die weiter auf dem Server gespeichert. Instal- wählen Sie die jeweiligen Server aus.
neue Funktion "Windows Server System lieren Sie Hyper-V erneut, sind die VMs Starten Sie anschließend die Installation
Insights" über den Menüpunkt "System- wieder verfügbar. Benötigen Sie die virtu- von Serverrollen im Server-Manager,
daten" integriert. Hier überwachen Sie ellen Server nicht mehr, müssen Sie den können Sie aus den hinzugefügten Ser-
über einen Assistenten mittels maschi- entsprechenden Ordner manuell löschen. vern denjenigen Server auswählen, auf
nellem Lernen einen Hyper-V-Host. Da- dem Sie Hyper-V installieren wollen. Ge-
zu erstellt Insights etwa Prognosen, wann Sie finden die Verwaltungstools für Hy- hen Sie anschließend genauso vor wie
es auf einem Server zu Engpässen kom- per-V im Assistenten zum Hinzufügen bei der Installation der Serverrolle auf
men kann. von Serverrollen und Features auf der Sei- dem lokalen Server.
te "Features hinzufügen" über "Remote-
Hyper-V installieren server-Verwaltungstools / Rollenverwal- Sie sehen im Assistenten zur Installation
und verwalten tungstools / Hyper-V-Verwaltungstools". von Serverrollen oben rechts den Ziel-
Hyper-V installieren Sie als Serverrolle. In der PowerShell installieren Sie Hyper- server, auf dem Sie Hyper-V installieren.
Sie können dazu den Server-Manager ver- V und die Verwaltungstools mit Auf dem Zielserver selbst bekommen Sie

H y p e r- V u n t e r W i n d o w s S e r v e r 2 0 1 9 Virtualisierung
von der Netzwerkinstallation während Der Hyper-V-Manager kommuniziert virtuellen Netzwerkkarten lässt sich die
der Installation nichts mit. Sie können über das WS-MAN-Protokoll mit den Netzwerkbandbreite von Servern eingren-
auf dem Quellserver den Assistenten zur Hyper-V-Hosts im Netzwerk und unter- zen und unerwünschte DHCP- oder Rou-
Installation schließen. Der Installations- stützt CredSSP, Kerberos und NTLM. Mit terpakete lassen sich blockieren. Dies soll
vorgang ist davon nicht betroffen. Auf CredSSP können Sie zum Beispiel Live- verhindern, dass virtuelle Server uner-
diesem Weg können Sie den Assistenten migrationen durchführen, ohne zuerst wünscht als DHCP-Server oder Router
zur Installation von Serverrollen auch Delegierungen erstellen zu müssen. WS- agieren und das Netzwerk beeinträchti-
mehrmals starten. MAN verwendet Port 80, was die Verbin- gen. Kaufen Unternehmen neue Hostsys-
dung mit externen Clients und die Re- teme für Hyper-V, sollten sie darauf ach-
Erste Schritte mit Hyper-V moteverwaltung wesentlich vereinfacht. ten, genügend Netzwerkkarten in den
Nach der erfolgreichen Installation müs- Server einzubauen. Wichtig ist dabei
sen Sie in der Regel den Server neu star- Windows Server 2019 kann bei VMs über- auch, dass die Karten die neuen Funktio-
ten. Melden Sie sich nach dem Neustart wachen, ob diese zu viel CPU-Last verur- nen in Hyper-V unterstützen.
mit dem gleichen Benutzerkonto an, mit sachen und damit den Host sowie andere
dem Sie auch die Installation durchge- VMs beeinträchtigen. Um diese Funktion Bereits mit Windows Server 2012 hat Mi-
führt haben. Nach der Anmeldung ar- für eine VM zu aktivieren, verwenden Sie crosoft die Möglichkeiten der Netzwerk-
beitet der Assistent weitere Aufgaben ab in der PowerShell den folgenden Befehl: switches für Hyper-V deutlich erweitert
und beendet die Installation. Hyper-V ist und verbessert. Mit Hyper-V Network
jetzt erfolgreich auf dem Server instal- Set-VMProcessor -EnableHostResource- Virtualization (HNV) können Unterneh-
liert. Nach der Installation finden Sie auf Protection $true men einzelne virtuelle Netzwerke vom
der Startseite den Hyper-V-Manager vor, physischen Netzwerk trennen.
mit dem Sie virtuelle Computer erstellen Virtuelle Switches erstellen
und verwalten. In der Mitte der Konsole Alle virtuellen Computer, die Sie erstellen, Zunächst erstellen Sie für die einzelnen
sehen Sie nach der Erstellung die ver- verwenden einen virtuellen Switch auf physischen Netzwerkkarten im Computer
schiedenen VMs. Auf der rechten Seite dem Host-Server. Dieser verbindet die jeweils einen virtuellen Switch durch die
stehen die verschiedenen Befehle zur virtuellen Computer mit den physischen Auswahl von "Neuer virtueller Switch"
Verwaltung der virtuellen Computer zur Netzwerkkarten des Hyper-V-Hosts und und den Klick auf die Schaltfläche "Vir-
Verfügung. erlaubt eine Kommunikation der VMs tuellen Switch erstellen". Im neuen Fens-
mit dem Rest des Netzwerks. Virtuelle ter wählen Sie die physische Netzwerk-
Über den Link "Neu" erstellen Sie eine Switches sind auf dem Hyper-V-Host hin- karte aus, die Sie dem Switch zuweisen
neue VM. Nach dem Erzeugen können terlegt und lassen sich während des Er- wollen und legen fest, welche Art von
Sie das Betriebssystem auf dem neuen stellens von virtuellen Servern oder auch Netzwerk Sie dem Switch zuordnen:
Server entweder mit einer CD/DVD oder nachträglich anpassen. Dazu richten Sie - Extern: Dieses Netzwerk ermöglicht
über eine ISO-Datei installieren, die als für virtuelle Server eine neue virtuelle dem virtuellen Computer eine Kommu-
CD/DVD-Laufwerk mit dem Computer Netzwerkkarte ein und verbinden diese nikation mit dem Netzwerk und zwi-
verknüpft wird. Der generelle Ablauf bei mit dem virtuellen Server. Der virtuelle schen virtuellen Computern auf dem
der Installation der Server in einer Hy- Switch ist wiederum mit der physischen Host. Sie können im Hyper-V-Manager
per-V-Umgebung ist folgender: Netzwerkkarte des Hosts verbunden. immer nur ein externes Netzwerk pro
- Sie erstellen virtuelle Switches auf Basis verfügbare Netzwerkkarte erstellen, aber
der physischen Netzwerkkarten in Win- Bevor Sie virtuelle Computer installieren, mehrere VMs können sich dieses exter-
dows Server 2019. besteht der erste Schritt in der Konfigura- ne Netzwerk und damit die Geschwin-
- Sie erstellen und konfigurieren die vir- tion der virtuellen Switches. Dazu steht im digkeit der Karte teilen.
tuellen Server. Hyper-V-Manager der Bereich "Manager - Intern: Diese Netzwerke erlauben eine
- Sie installieren das Betriebssystem auf für virtuelle Switches" zur Verfügung. In Kommunikation der virtuellen Computer
den VMs. Die Installation läuft genauso Hyper-V funktioniert die Hochverfügbar- untereinander auf dem physischen Host.
ab wie auf normalen Servern. keit von Netzwerk-Switches auf anderen Die Computer können nicht mit dem
Wegen. Wir zeigen auch hier die Vorge- Netzwerk kommunizieren, außer mit
Wenn Sie neue Hosts im Hyper-V-Mana- hensweise. Setzen Sie zum Beispiel meh- dem Hyper-V-Host selbst und den ande-
ger anbinden, können Sie alternative An- rere physische Netzwerkkarten ein, erstel- ren VMs. Dafür ist für diese Verbindung
meldedaten für jeden Host eingeben und len Sie auch mehrere virtuelle Switches. keine Netzwerkkarte erforderlich, da die
diese auch speichern. Diese Funktion bie- Verbindung virtuell stattfindet.
tet sich auch beim Anbinden älterer Ver- Für eine bessere Leistung im Netzwerk - Privat: Diese Netzwerke erlauben eine
sionen an. Mit dem Hyper-V-Manager in dürfen virtuelle Server in Windows Server Kommunikation zwischen den einzel-
Windows Server 2019 lässt sich nämlich 2019 auf Hardwarefunktionen von Netz- nen VMs auf dem Host. Die Kommu-
auch Hyper-V unter Windows Server werkkarten zugreifen, was das Tempo er- nikation mit dem Host selbst ist bei die-
2012 (R2) und 2016 verwalten. höhen kann. In den Einstellungen von sem Netzwerk nicht möglich.

Sie können bei der Konfiguration auch fest- ncpa.cpl im Startmenü ein. Wichtig in mer davon ausgehen, dass es virtualisiert
legen, dass die verwendete physische Netz- diesem Bereich ist, dass Sie zukünftig IP- zur Verfügung gestellt wird. Ein Betriebs-
werkkarte nur für die virtuellen Computer Einstellungen nicht mehr in der physi- system, das einen virtuellen IDE-Con-
zur Verfügung steht, nicht für das Hostbe- schen Netzwerkverbindung vornehmen, troller nutzt, greift auf diesen genauso zu
triebssystem selbst. Standardmäßig teilen sondern in den Einstellungen des virtu- wie auf einen physischen IDE-Controller.
sich VMs und der Host die Netzwerkver- ellen Switches. Diese verwendet dann Das gilt aber nur für den eigentlichen
bindung. Sie können Ihre Einstellungen je- auch der physische Windows-Server- Bootvorgang. Hyper-V schreibt die Be-
derzeit nachträglich anpassen. Haben Sie 2019-Host für die Kommunikation mit fehle an den virtuellen IDE-Controller so
mehrere Netzwerkkarten im Hyper-V-Host dem Netzwerk, wenn Sie keine dedizierte um, dass die Zugriffe funktionieren. IDE-
verbaut, können Sie mehrere virtuelle Swit- Netzwerkkarte konfiguriert haben. Festplatten stehen also auch dann zur Ver-
ches auf Basis dieser Karten erstellen. fügung, wenn auf dem virtuellen Server
Sie können virtuelle Switches auch in der die Integrationsdienste für Hyper-V nicht
Nach dem Zuordnen einer physischen PowerShell erstellen und verwalten. Die gestartet sind. Sobald die Integrations-
Netzwerkkarte zu einem virtuellen Switch entsprechenden Cmdlets finden Sie am dienste geladen sind, stehen in der VM
lassen sich diese anschließend den ein- schnellsten, wenn Sie in der PowerShell die speziellen Treiber für virtuelle IDE-
zelnen VMs als virtuelle Netzwerkadapter Get-Command *vmswitch* eingeben. Ne- und SCSI-Controller bereit.
zuweisen. Dies erfolgt beim Erstellen der ben den Switches können Sie auch die
virtuellen Maschine oder nachträglich in virtuellen Netzwerkadapter in der Power- Bei Generation-2-VMs weiß das Betriebs-
den Einstellungen über den Bereich Netz- Shell steuern. Hier sehen Sie die Befehle system bereits beim Starten, dass es in einer
werkkarte. Die erste Tätigkeit besteht in mit Get-Command *vmnetworkadapter*. virtuellen Umgebung zur Verfügung ge-
der Zuweisung des virtuellen Switches. stellt wird. Diese VMs unterstützen aller-
Anschließend lässt sich die Konfiguration IDE vs. SCSI dings keinerlei emulierte Hardware, auch
vornehmen. In den Eigenschaften steht als virtuelle Controller keine virtuellen IDE-Controller beim Boo-
auch die Steuerung der Bandbreite zur Einfach ausgedrückt können virtuelle Ser- ten. Generation-2-VMs booten also immer
Verfügung. Dadurch regeln Sie die Netz- ver in Windows Server 2019 zunächst nur über das UEFI-System von virtuellen SCSI-
werkgeschwindigkeiten virtueller Com- von IDE-Controllern booten, zumindest Controllern. Diese werden nicht emuliert,
puter. Diese Vorgaben können Sie jeder- wenn Sie Generation-1-VMs nutzen. Sie sondern sind als Treiber direkt in den Hy-
zeit in den Settings der VM anpassen, können zwar weitere SCSI-Controller pervisor integriert und dadurch von der
wenn Sie diese angelegt haben. hinzufügen, die Server starten aber nur VM zugreifbar. Das ist bereits beim Booten
von virtuellen IDE-Controllern. Das liegt des virtuellen Servers der Fall. Sobald ein
Interessant sind unterhalb der Einstellun- daran, dass die alten Generation-1-VMs virtueller Server gestartet ist und die In-
gen für die Netzwerkkarten noch die bei- in Windows Server 2012 (R2) und Win- tegrationsdienste geladen sind, greifen die
den Bereiche "Hardwarebeschleunigung" dows Server 2016 nur von emulierten VMs ebenfalls über Treiber mit dem Hy-
und "Erweiterte Features". Bei der Hard- Controllern und nicht von virtualisierten pervisor auf den Controller dazu. Ab die-
warebeschleunigung können Sie den vir- Controllern wie SCSI booten. sem Moment gibt es keine Leistungsun-
tuellen Computern erlauben, bestimmte terschiede mehr zwischen virtuellen IDE-
Berechnungen direkt an die physische Physische IDE-Controller bieten zwar we- und SCSI-Controller, da beide über die
Netzwerkkarte weiterzureichen. Im unte- niger Leistung als physische SCSI-Control- gleiche Technik angebunden sind.
ren Bereich lassen sich noch Berechnun- ler, im Bereich der Virtualisierung ist das
gen für IPSec vom Prozessor des virtuellen aber nicht so. Dafür bieten virtuelle IDE- Der Vorteil von SCSI-Controllern ist au-
Servers auf die physische Netzwerkkarte Controller weniger Funktionen als die vir- ßerdem die Möglichkeit, im laufenden
auslagern. Dadurch beschleunigen sich tuellen SCSI-Controller. Nutzen Sie eine Betrieb Festplatten zuordnen oder abhän-
die Systemleistung des Servers und die Generation-2-VM in Windows Server 2012 gen zu können. Außerdem können Sie
Netzwerkgeschwindigkeit. Innerhalb der R2 oder 2016, startet diese direkt von einem physische Festplatten direkt über virtuelle
erweiterten Features finden Sie zudem die SCSI-Controller. Das gilt auch in Windows SCSI-Controller an eine VM anhängen.
beiden neuen Einstellungen "DHCP- 10 und Windows Server 2019. Bei diesen Virtuelle IDE-Controller erlauben maxi-
Wächter" und "Routerwächter". Diese sol- Servern kommt wiederum kein IDE-Con- mal zwei virtuelle Geräte pro Controller.
len verhindern, dass virtuelle Server un- troller zum Einsatz. Allerdings können Sie Außerdem dürfen Sie nur zwei virtuelle
kontrolliert als DHCP-Server oder als in diesem Fall nur Computer mit Windows IDE-Controller pro virtuellen Server ver-
Router agieren. Server 2012 (R2), 2016, 2019 oder Win- binden, aber dafür vier virtuelle SCSI-
dows 8, 8.1 oder 10 virtualisieren. Controller. Mit virtuellen SCSI-Control-
Nach dem Erstellen der virtuellen Netz- lern stehen Ihnen mehrere Kanäle mit
werke finden Sie auf dem Host in den Das liegt auch daran, dass Hyper-V vir- zahlreichen Anschlussmöglichkeiten zur
Netzwerkverbindungen die angelegten tuelle IDE-Controller emuliert, auch noch Verfügung. Insgesamt können Sie pro
Verbindungen wieder. Um die Netzwerk- in Windows Server 2019. Das Betriebs- SCSI-Controller 16 Festplatten anschlie-
verbindungen anzuzeigen, geben Sie system in Hyper-V muss daher nicht im- ßen, insgesamt also 64.

Festplatten, die Sie an virtuellen SCSI- den Hyper-V-Manager. Sie können sich Wählen Sie auf der nächsten Seite aus,
Controllern anschließen, lassen sich im auch von einem anderen Server oder wieviel Arbeitsspeicher Sie dem Compu-
laufenden Betrieb des Servers an- oder Computer aus mit dem Hyper-V-Host ter zuweisen möchten. Generell sollten
abhängen. Das geht mit virtuellen und verbinden. Klicken Sie anschließend auf Sie darauf achten, dass der gemeinsame
physischen Festplatten, die Sie über vir- "Neu / Virtueller Computer" oder ver- Arbeitsspeicher aller virtuellen Server
tuelle SCSI-Controller an VMs anbinden. wenden Sie das Kontextmenü des Hosts nicht den physischen Speicher des Hosts
Auch das funktioniert mit virtuellen Fest- zum Erstellen eines virtuellen Computers. überschreiten sollte. Der Arbeitsspeicher
platten an virtuellen IDE-Controllern Geben Sie auf der nächsten Seite den Na- des virtuellen Computers lässt sich nach
nicht. Hier können Sie zwar auch jederzeit men der VM ein. Der Name hat nichts der Installation anpassen, auch im lau-
Festplatten an- und abhängen, müssen mit dem eigentlichen Computernamen fenden Betrieb. Sie können an dieser Stelle
dazu aber die VM ausschalten. zu tun. Hierbei handelt es sich lediglich auch den dynamischen Arbeitsspeicher
um den Namen im Hyper-V-Manager. Es aktivieren. Dieser ermöglicht es, dass vir-
Neu seit Windows Server 2012 R2 ist bietet sich aber an, den gleichen Namen tuelle Computer, die nicht ihren gesamten
die Möglichkeit, die Größe von virtuel- zu verwenden. zugewiesenen Arbeitsspeicher ausnutzen,
len Festplatten im laufenden Betrieb zu Teile davon auch anderen virtuellen Com-
ändern. Auch dazu müssen die Festplat- Aktivieren Sie nun das Kontrollkästchen putern zur Verfügung stellen können.
ten an einem virtuellen SCSI-Controller "Virtuellen Computer an einem anderen
angeschlossen sein. Das funktioniert Speicherort speichern". Sie können die- Virtuelle Computer können über Hyper-
auch in Windows Server 2019. Was da- sen Ordner im Hyper-V-Manager über V den Arbeitsspeicher teilen. Die einzel-
gegen bei virtuellen IDE- und SCSI- "Hyper-V-Einstellungen" festlegen. Hier nen virtuellen Instanzen lassen den Hy-
Controllern gleichermaßen funktioniert, nehmen Sie darüber hinaus weitere Ein- pervisor wissen, wieviel Arbeitsspeicher
ist die Möglichkeit, die Dienstqualität stellungen vor, die für Hyper-V selbst sie benötigen. Ist genügend Arbeitsspei-
und Bandbreite von virtuellen Festplat- und alle virtuellen Computer gemeinsam cher auf dem Computer frei, teilt der Hy-
ten zu begrenzen. gelten. Wählen Sie anschließend den pervisor dem virtuellen Computer den
Ordner aus, in dem Sie die Daten des benötigten Arbeitsspeicher zu und zieht
Per Hyper-V-Manager virtuellen Computers speichern wollen. ihn von anderen Computern ab, die der-
virtuelle Maschinen erstellen Sie sollten für jeden Computer einen ei- zeit keinen Bedarf haben. Sobald der Spei-
Nachdem Sie die virtuellen Switches für genen Pfad verwenden. Danach bestim- cherbedarf des Computers steigt, fragt der
virtuellen Computer angelegt haben, er- men Sie, ob der virtuelle Server eine Ge- Server den Speicher beim Hyper-V-Host
stellen Sie die Rechner, die Sie virtuali- neration-1-VM sein soll oder die neuen an und erhält diesen, wenn der Speicher
sieren möchten. Dazu können Sie als In- Funktionen von Generation-2-VMs er- zur Verfügung steht. Umgekehrt teilen
stallationsmedium entweder eine DVD füllt. Bedenken Sie aber, dass Sie die Ge- VMs ständig dem Hyper-V-Host mit, wie
auswählen oder eine ISO-Datei. Um vir- neration eines virtuellen Servers nicht viel Arbeitsspeicher sie abgeben können.
tuelle Computer zu erstellen, starten Sie mehr ändern können.
Angelegten virtuellen Computern können
Sie über die Einstellungen einen Startwert
und einen maximalen Wert für den Ar-
beitsspeicher zuweisen. Die Zuteilung des
tatsächlichen Arbeitsspeichers steuert Hy-
per-V auch auf Basis der Prioritäten, die
Sie den virtuellen Computern zuweisen.
Um Dynamic Memory zu nutzen, aktivie-
ren Sie das Kontrollkästchen "Dynamischen
Arbeitsspeicher für diesen virtuellen Com-
puter verwenden". An dieser Stelle können
Sie aber keine Werte konfigurieren.
Wählen Sie auf der nächsten Seite das

Netzwerk aus, das Sie für die virtuellen
Server erstellt haben. Hier stehen die vir-
tuellen Switches zur Verfügung, die Sie
im Vorfeld angelegt haben. Sie können
nach dem Erstellen der VM zusätzliche
virtuelle Netzwerkkarten hinzufügen und
diese mit einem anderen virtuellen Switch
Bild 2: Virtuelle Switches ordnen Sie im Windows Admin Center einer Kategorie zu, hier "Extern". verbinden. Auf der nächsten Seite akti-

vieren Sie die Option "Virtuelle Festplatte

erstellen" und wählen den Pfad und die
Größe aus. Sie können virtuellen Com-
putern auch nachträglich jederzeit weitere
virtuelle Festplatten über deren Einstel-
lungen zuordnen.
Im Anschluss geben Sie das Betriebssystem

an, das Sie installieren möchten. Am besten
aktivieren Sie die Option "Physisches
CD/DVD-Laufwerk" oder "Abbilddatei
(ISO)". Schließen Sie auf der nächsten Seite
das Erstellen der virtuellen Maschine ab,
lassen Sie diese aber nicht starten. Zunächst
nehmen Sie im Hyper-V-Manager weitere
Einstellungen vor. Rufen Sie dazu im Kon-
textmenü des virtuellen Computers den Bild 3: Der Assistent hilft beim Erstellen von virtuellen Servern.
Eintrag "Einstellungen" auf. Klicken Sie in
den Einstellungen des Computers auf - Herunterfahren: Fährt das Betriebssys- ern. So schalten Sie mit Stop-VM virtuelle
"Hardware hinzufügen", wenn Sie zusätz- tem herunter. Maschinen aus, starten Sie mit Start-VM
liche Hardware zur virtuellen Maschine - Speichern: Mit dieser Option wird der und rufen den Zustand mit Get-VM ab.
hinzufügen wollen, zum Beispiel weitere Inhalt des Arbeitsspeichers in einer Datei Um sich eine Liste der verfügbaren Be-
virtuelle Netzwerkkarten oder einen auf dem Host abgespeichert und der Gast fehle anzuzeigen, verwenden Sie Get-
SCSI-Controller. dann abgeschaltet. Beim späteren Starten Command *vm*. Sie können über die
wird dieser Status aus der Datei erneut PowerShell Server auch neu starten (Re-
Legen Sie nun die Installations-DVD in in den Arbeitsspeicher geladen und die start-VM), anhalten (Suspend-VM) und
das Laufwerk des physischen Hosts oder Maschine steht wieder zur Verfügung. wieder fortführen lassen (Resume-VM).
laden Sie die ISO-Datei in den Einstellun- - Anhalten: Einer laufenden VM werden Virtuelle Server können Sie mit Import-
gen des virtuellen Computers. Klicken Sie sämtliche CPU-Ressourcen entzogen, VM importieren und mit Export-VM ex-
im Hyper-V-Manager den virtuellen Com- sie friert im aktuellen Zustand ein. Der portieren. Snapshots erstellen Sie mit
puter mit der rechten Maustaste an und Inhalt des Arbeitsspeichers und damit Checkpoint-VM.
wählen Sie im Kontextmenü den Eintrag der aktuelle Zustand der Maschine,
"Starten" aus. Eine Liste aller erstellten vir- bleibt erhalten und die VM läuft nach Einstellungen von
tuellen Server eines Hyper-V-Hosts rufen dem Fortsetzen sofort weiter. virtuellen Servern anpassen
Sie mit Get-VM ab. Mit der Option "|fl" - Neu starten: Diese Schaltfläche ent- Über das Kontextmenü oder den "Aktio-
erhalten Sie weiterführende Informatio- spricht einem Reset. Das Betriebssystem nen"-Bereich lassen sich die verschiede-
nen. Dazu gehören Echtzeitdaten, also wird dazu nicht herunterfahren, son- nen Einstellungen der virtuellen Compu-
auch der zugewiesene Arbeitsspeicher, dern der Zustand entspricht dem des ter konfigurieren. Hierüber passen Sie
wenn Sie Dynamic Memory einsetzen. Ausschaltens des Servers und einem so- zum Beispiel die Anzahl der Prozessoren,
fortigen Neustart. den Arbeitsspeicher, BIOS-Einstellungen
Virtuelle Server steuern - Prüfpunkt: Mit dieser Schaltfläche er- und die Schnittstellen an. Auch neue
Im Fernwartungsfenster des virtuellen stellen Sie einen Prüfpunkt (auch Snap- Hardware fügen Sie über diesen Bereich
Computers und auch in dessen Kontext- shot oder Momentaufnahme genannt). hinzu. In Windows Server 2019 können
menü stehen Ihnen verschiedene Schalt- - Zurücksetzen: Setzt den Server auf den Sie Netzwerkadapter im laufenden Betrieb
flächen zur Verfügung, mit denen Sie letzten Prüfpunkt zurück. hinzufügen und entfernen. Sie müssen
die VM steuern: - Erweiterter Sitzungsmodus: Mit dieser VMs dazu also nicht herunterfahren. Sie
- STRG+ALT+ENT senden: Mit der ers- Schaltfläche aktivieren Sie für die aktuelle können bei Generation-2-VMs auch den
ten Schaltfläche auf der linken Seite, Verbindung zum virtuellen Server den Arbeitsspeicher von Servern im laufenden
senden Sie die Tastenkombination "Strg erweiterten Sitzungsmodus auf Basis von Betrieb anpassen – auch dann, wenn Sie
+ Alt + Entf " an den Server. RDP. Mit der Schaltfläche aktivieren Sie Dynamic Memory nicht nutzen.
- Starten: Mit der Starten-Schaltfläche auch wieder den einfachen Sitzungsmo-
starten Sie den Server, wenn er ausge- dus, den Sie bereits von Vorgängerversio- Viele Einstellungen stehen aber nur dann
schaltet ist. nen von Windows Server 2019 kennen. zur Verfügung, wenn der virtuelle Server
- Ausschalten: Schaltet den Server sofort ausgeschaltet ist. Einstellungen, die im
aus, ohne das Betriebssystem herunter- Neben der grafischen Oberfläche können laufenden Betrieb nicht möglich sind,
zufahren. Sie virtuelle Server in der PowerShell steu- graut der Hyper-V-Manager aus. Ein wei-

terer Bereich in den Einstellungen von

virtuellen Computern sind die BIOS-Ein-
stellungen. Hierüber legen Sie etwa fest,
ob die (Num)-Taste beim Starten auto-
matisch aktiviert ist und welche Bootrei-
henfolge der Server beachten soll. Möch-
ten Sie einem virtuellen Computer neue
Hardware hinzufügen – also eine neue
Netzwerkkarte, einen SCSI-Controller
oder neue Festplatten – klicken Sie den
virtuellen Computer mit der rechten
Maustaste an, wählen "Einstellungen" und
klicken dann auf "Hardware hinzufügen".
Generation-2-VMs können Sie auch mit

Linux-VMs nutzen. Das bietet Linux-VMs
auch die Möglichkeit, über UEFI zu boo-
ten und dessen Secure-Boot-Funktion zu
verwenden. Dazu müssen Sie Ubuntu ab
Version 14.04 oder SUSE Linux Enterpri-
se Server ab Version 12 einsetzen. Diese
Systeme sind automatisch für Secure Boot
aktiviert. Außerdem unterstützt Hyper-
V in Windows Server 2019 auch die ak-
tuellen Distributionen von CentOS, Ora-
cle Linux, Red Hat und Debian. Bevor Sie
eine solche VM starten, sollten Sie aber
erst konfigurieren, dass die VM auch die Bild 4: Virtuelle Festplatten sind auf Wunsch dynamisch erweiterbar.
Microsoft UEFI Certificate Authority
nutzt. Dazu geben Sie den folgenden Be- tuellen Server und dann auf "Einstellun- - Differenzierung: Wenn Sie diese Fest-
fehl auf dem Host ein: gen". Klicken Sie auf den Controller, mit platte auswählen, wird auf Basis einer
dem die neue virtuelle Festplatte verbun- bereits vorhandenen virtuellen Festplatte
Set-VMFirmware vmname den werden soll. Klicken Sie danach auf eine neue Festplatte erstellt. Damit kön-
-SecureBootTemplate "Festplatte" und dann auf "Hinzufügen". nen Sie von bereits vorhandenen virtu-
MicrosoftUEFICertificateAuthority Aktivieren Sie im neuen Bereich die Op- ellen Festplatten ein Abbild erzeugen.
tion "Virtuelle Festplatte" und klicken Sie Microsoft empfiehlt, die übergeordnete
Virtuelle Festplatten auf "Neu", um den Assistenten für eine virtuelle Festplatte mit einem Schreib-
zu Servern hinzufügen neue Festplatte zu starten. Bestätigen Sie schutz zu versehen, damit diese nicht
Um einem Server eine neue virtuelle die Startseite des Assistenten zum Hin- versehentlich überschrieben wird.
Festplatte hinzuzufügen, haben Sie ver- zufügen von neuen Festplatten und wäh-
schiedene Möglichkeiten. Nachdem Sie len danach das Format aus, das die neue Auf der Differenzfestplatte liegen nur die
einen oder mehrere SCSI-Controller als Festplatte erhalten soll, also VHD (bis 2 Änderungen, die das Gastsystem an der
Hardware hinzugefügt haben, können TByte) oder VHDX (bis 64 TByte). Wäh- virtuellen Festplatte vorgenommen hat.
Sie virtuelle Festplatten entweder zu ei- len Sie als Nächstes aus, ob die Festplatte Dazu werden alle Schreibzugriffe des
nem virtuellen IDE-Controller hinzufü- eine feste Größe haben soll (Feste Größe), Gasts auf die Differenzfestplatte umge-
gen oder einen virtuellen SCSI-Controller dynamisch erweiterbar (Dynamisch er- leitet. Lesezugriffe kombinieren den In-
verwenden. Im laufenden Betrieb lassen weiterbar) oder auf einer vorhandenen halt der Differenzfestplatte und den Inhalt
sich virtuelle Festplatten nur an virtuelle Festplatte aufbauen soll (Differenzierung). der zugrunde liegenden virtuellen Fest-
SCSI-Controller hinzufügen. Um einen - Feste Größe: Bei dieser Variante legen platte, ohne dass der Gast etwas davon
virtuellen SCSI-Controller anhängen, Sie eine feste Größe fest, die die virtuelle bemerkt. Die zugrundeliegende Festplatte
müssen Sie aber wiederum den virtuellen Festplatte des virtuellen Servers nicht wird nicht mehr verändert und die Dif-
Server herunterfahren. überschreiten darf. ferenzfestplatte bleibt relativ klein, da sie
- Dynamisch erweiterbar: Dieser Typ nur Änderungen enthält. Eine fertige Ba-
Neue Festplatten fügen Sie im Schnell- wird am häufigsten verwendet. Die hin- sisinstallation kann von mehreren VMs
durchlauf folgendermaßen hinzu: Klicken terlegte Datei der Festplatte kann dyna- gleichzeitig verwendet werden, indem Sie
Sie mit der rechten Maustaste auf den vir- misch mit dem Inhalt mitwachsen. mehrere Differenzfestplatten erstellen,

die auf dieselbe virtuelle Festplatte zu- Hier sollten Sie also sicherstellen, dass Hyper-V die Daten des Computers spei-
greifen. Dadurch sparen Sie sich viel Zeit der Hersteller der Serveranwendung dy- chern soll. Während des Vorgangs bleibt
und Platz beim Klonen von virtuellen namische Festplatten unterstützt – auch der virtuelle Server gestartet. Sie sehen
Maschinen. dann, wenn die Leistung nicht unbedingt den Status im Hyper-V-Manager. Möch-
ausschlaggebend ist. Außerdem wachsen ten Sie Daten in verschiedenen Ordnern
Im Anschluss legen Sie den Pfad fest, in dynamische Festplatten ständig an. Es speichern, können Sie die entsprechende
dem Windows Server 2019 die VHD/ kann passieren, dass der Speicherplatz Option auswählen und legen im nächsten
VHDX-Datei speichern soll. Auch den des Hyper-V-Hosts nicht mehr ausreicht. Fenster getrennte Speicherorte für Kon-
Namen der Datei geben Sie hier ein. Auf In diesem Fall stellen VMs ihren Dienst figurationsdateien, virtuelle Festplatte und
der nächsten Seite legen Sie die Größe der ein. Dynamische Festplatten sind also Snapshots fest.
virtuellen Festplatte fest und können auch durchaus eine interessante Funktion, soll-
den Inhalt einer physischen Festplatte in ten für leistungshungrige VMs aber nicht Virtuelle Festplatten
die virtuelle Festplatte kopieren lassen. zum Einsatz kommen. Bei der Verwen- von Servern verwalten
Danach erhalten Sie noch eine Zusam- dung der dynamischen Festplatten für Im Aktionen-Bereich des Hyper-V-Ma-
menfassung und erstellen mit "Fertig stel- herkömmliche Server sollten Sie den Spei- nagers finden Sie auf der rechten Seite
len" schließlich die virtuelle Festplatte. cherplatz des Hosts im Auge behalten. die beiden Menübefehle "Datenträger be-
Klicken Sie danach im Fenster auf "An- arbeiten" und "Datenträger überprüfen".
wenden", damit die virtuelle Festplatte Speicher-Migration: Virtuelle Mit "Datenträger überprüfen" starten Sie
an den virtuellen Server angefügt wird. Festplatten verschieben einen Scanvorgang. Anschließend öffnet
Sie lässt sich nun in der Datenträgerver- In Windows Server 2019 besteht die Mög- sich ein neues Fenster und zeigt die Daten
waltung der VM verwalten. Hier gehen lichkeit, den Speicherort von virtuellen dieser Festplatte an. So erfahren Sie, ob
Sie vor wie bei physischen Festplatten. Festplatten auf Hyper-V-Hosts zu verschie- es sich um eine dynamisch erweiterbare
ben. Dieser Vorgang ist im laufenden Be- Festplatte oder eine Festplatte mit fester
Dynamische Festplatten wachsen mit trieb durchführbar. Das ist zum Beispiel Größe handelt. Auch die maximale Größe
dem Speichervolumen einer VM mit. sinnvoll, wenn Sie einen Datenträger ver- sowie die aktuelle Datenmenge zeigt das
Dadurch benötigen die Festplatten nicht größern oder die virtuellen Datenträger Fenster an.
zu viel Speicherplatz nach der Installati- auf ein NAS oder SAN auslagern wollen.
on. Der Nachteil liegt allerdings in der Klicken Sie dazu mit der rechten Maus- Über "Datenträger bearbeiten" stehen Ih-
Leistung. Vor allem sehr leistungshung- taste auf den virtuellen Server, dessen Fest- nen verschiedene Möglichkeiten zur Ver-
rige Systeme sind oft auf jedes Quäntchen platten Sie verschieben wollen. Wählen fügung, um die aktuell ausgewählte Fest-
Leistung angewiesen. Sie danach "Verschieben" aus. Im nächs- platte anzupassen:
ten Fenster geben Sie an, ob Sie die Daten - Komprimieren: Diese Aktion steht nur
Server, deren Performance nicht von der des virtuellen Servers oder nur die virtu- bei dynamisch erweiterbaren Festplatten
Festplattenleistung direkt abhängt, kön- ellen Festplatten verschieben möchten. zur Verfügung. Der Vorgang löscht leere
nen diese Funktion durchaus nutzen. Al- Bereiche in der VHD(X)-Datei, sodass
lerdings unterstützen auch nicht alle Ser- Im darauffolgenden Fenster wählen Sie diese deutlich verkleinert wird. Aller-
veranwendungen dynamische Festplatten. den entsprechenden Ordner aus, in dem dings ergibt dieser Vorgang nur dann
Sinn, wenn viele Daten von der Fest-
platte gelöscht wurden.
- Konvertieren: Mit diesem Vorgang wan-
deln Sie dynamisch erweiterbare Fest-
platten in Festplatten mit fester Größe
um oder umgekehrt.
- Erweitern: Dieser Befehl hilft dabei, den
maximalen Festplattenplatz einer
VHD(X)-Datei zu vergrößern.
- Zusammenführen: Der Assistent zeigt
diesen Befehl nur dann an, wenn Sie ei-
ne differenzierende Festplatte auswäh-
len, zum Beispiel die AVHD(X)-Datei
eines Snapshots. Da diese Datei nur die
aktuellen Unterschiede zu der VHD(X)-
Quelldatei enthält und auf diese verifi-
ziert ist, lassen sich die Daten zu einer
Bild 5: In Windows Server 2019 greifen Sie vom Host mit der PowerShell auf VMs zu. gemeinsamen VHD(X)-Datei zusam-
Auch Serverrollen lassen sich dadurch installieren. menführen, die alle Daten enthält. Die

beiden Quellfestplatten bleiben bei die-

sem Vorgang erhalten, der Assistent er-
stellt eine neue virtuelle Festplatte.
- Verbindung wiederherstellen: Für eine
differenzierende Festplatte ist es wichtig,
dass die Quelldatei der verifizierten
VHD(X)-Datei gefunden ist. Eine dif-
ferenzierende Festplatte kann aber auch
in einer Kette auf eine andere differen-
zierende Datei verweisen, die dann wie-
derum auf die VHD(X)-Datei verweist.
Dies kommt zum Beispiel dann vor,
wenn mehrere Snapshots aufeinander
aufbauen. Ist die Kette zerstört, zum Bei- Bild 6: Das Verschieben des Speichers ist möglich, in diesem Beispiel der virtuellen Festplatten.
spiel weil sich der Pfad einer Festplatte
geändert hat, lässt sich mit diesem Be- rationsdateien im laufenden Betrieb zu neuen Netzwerkinfrastruktur wechselt.
fehl die Verbindung wiederherstellen. ändern. In den Hyper-V-Einstellungen Diese neuen Möglichkeiten erhöhen die
des Hyper-V-Hosts selbst legen Sie den Flexibilität für Hyper-V-Cluster und deren
Hochverfügbarkeit in Standardspeicherort für neue virtuelle Domänenstatus.
Windows Server 2019 Server fest.
Mit Hyper-V-Replica lassen sich in Win- Unternehmen können in Windows Server
dows Server 2019 virtuelle Festplatten und Sie können beim Anlegen neuer virtueller 2019 zudem mehrere Cluster gruppieren.
ganze Server asynchron zwischen verschie- Server festlegen, wo die Daten gespeichert Sinnvoll ist das in den Bereichen Hyper-
denen Hyper-V-Hosts im Netzwerk repli- werden sollen. Dabei unterscheidet Hy- V, Storage und Hyper-Converged. Da-
zieren und synchronisieren. Die Replika- per-V die Speicherorte der Konfigurati- durch lassen sich VMs von einem Cluster
tion findet über das Dateisystem statt, ein onsdateien, der Snapshot-Dateien und zu einem anderen live migrieren. Sinnvoll
Cluster ist nicht notwendig. Die Replika- der Smart-Paging-Dateien. Letztere Funk- ist das auch für Hyper-V in Verbindung
tionen lassen sich manuell, automatisiert tion ist übrigens seit Windows Server mit Azure oder der Verwendung von
oder nach einem Zeitplan ausführen. Auf 2012 an Bord. Smart Paging soll verhin- Azure Stack.
diesem Weg betreiben Sie virtuelle Server dern, dass sich virtuelle Server nicht mehr
hochverfügbar, ohne teure Cluster einset- starten lassen, weil der gesamte verfüg- Mit Hyper-V-Replika lassen sich VMs
zen zu müssen. Die Einrichtung nehmen bare Arbeitsspeicher bereits zugewiesen zwischen verschiedenen Hyper-V-Hosts
Sie über einen Assistenten im Hyper-V- ist. Die Smart-Paging-Funktion erlaubt oder zu Azure replizieren. Dazu war be-
Manager vor. Außerdem können Sie die virtuellen Servern, beim Neustart Teile reits Windows Server 2016 in der Lage.
Livemigration von virtuellen Servern ohne der Festplatte des Hosts als Arbeitsspei- Windows Server 2019 verbessert diese
Cluster verwenden. cher zu nutzen. Technologie und ermöglicht eine Kom-
bination von Hyper-V-Replika mit Stora-
Damit Hyper-V-Hosts die Replikation zu- Microsoft empfiehlt den Speicherort von ge-Replika. Bei Storage-Replika werden
lassen, müssen Sie diese zunächst akti- virtuellen Festplatten mit ReFS zu forma- komplette Datenträger zwischen Rechen-
vieren. Auch eine Replikation zum kos- tieren. Mit diesem Dateisystem lassen sich zentren repliziert. Das ist vor allem für
tenlosen Hyper-V Server 2019 ist möglich. virtuelle Festplatten sehr viel schneller er- Hyper-V-Hosts relevant. In Windows Ser-
Die entsprechende Replikation steuern stellen. Zudem ist das Dateisystem viel ver 2016 konnte diese Technik nur mit
Sie über einen Assistenten, den Sie über stabiler. Auch Prüfpunkte (Snapshots) las- der Datacenter-Edition genutzt werden.
das Kontextmenü von virtuellen Servern sen sich auf ReFS-Datenträgern zügiger Windows Server 2019 unterstützt auch
im Hyper-V-Manager starten. anlegen und wieder zusammenfügen. mit der Standard-Edition die Replikation
von kompletten Datenträgern.
Speicherorte in Hyper-V Verschieben und Gruppieren
Die Daten von Hyper-V-Hosts speichern Mit PowerShell-Cmdlets können Sie das Allgemeine Konfiguration
Sie an unterschiedlichen Orten. Die Cluster-Namenskonto aus der ursprüng- von virtuellen Computern
Speicherorte selbst legen Sie an verschie- lichen Active-Directory-Domäne entfer- Im unteren Bereich der Einstellungen von
denen Stellen in der Hyper-V-Verwaltung nen und die Cluster-Funktionalität he- virtuellen Computern legen Sie den von
fest, zum Beispiel den Hyper-V-Einstel- runterfahren. Anschließen lässt sich der Hyper-V verwendeten Namen sowie die
lungen und in der Konfiguration der ein- Cluster in eine neue Domäne verschieben. freigeschalteten Funktionen der Integra-
zelnen virtuellen Server. Zusätzlich ha- Solche Szenarien kommen häufig bei Zu- tionsdienste fest. In Windows Server 2019
ben Sie die Möglichkeit, den Speicherort sammenschlüssen von Unternehmen vor, werden die Integrationsdienste nicht
der virtuellen Festplatten und Konfigu- oder wenn ein Unternehmen zu einer mehr über eine ISO-Datei installiert, son-

dern über die Windows-Update-Funktion $PSSession = New-PSSession -VMName mationen zu den Hyper-V-Host im Netz-
des Servers. Dadurch besteht auch die VMName -Credential (Get-Credential) werk. Details erhalten Sie auch mit diesem
Möglichkeit zur Anbindung an WSUS. Cmdlet über die beiden Optionen "|fl"
Copy-Item -ToSession $PSSession - und "|ft".
Haben Sie für einen Computer noch kei- Path C:\data.bar -Destination C:\
nen Snapshot erstellt, also eine Siche- Informationen zu virtuellen Switches zeigt
rung des Betriebssystemzustands zu ei- Mehr dazu finden Sie unter [1] in einer die PowerShell mit Get-VMSwitch an. Sie
nem bestimmten Zeitpunkt, lässt sich PowerShell-Direct-Anleitung. können sich die Einstellungen der virtu-
an dieser Stelle noch der Speicherort der ellen Netzwerkkarten mit dem folgenden
Dateien des virtuellen Computers an- Daten virtueller Server Befehl anzeigen lassen:
passen. Nach dem Erzeugen eines Snaps- aus Hyper-V auslesen
hots ist keine Änderung des Speicherorts Administratoren benötigen oft einen Get-VMNetworkAdapter -VMName Name
mehr möglich. Überblick zu den verschiedenen Ser- des virtuellen Servers |fl
vern im Netzwerk. Betreiben Sie im Un-
Über die Kategorie "Automatische Start- ternehmen virtuelle Server auf Basis Mit diesem Cmdlet erhalten Sie auch
aktion" legen Sie fest, wie sich der virtuelle von Hyper-V, können Sie mit einfachen die MAC-Adressen und IP-Adressen
Computer bei einem Neustart des Hosts Tools und Befehlen schnell und simpel der virtuellen Server auf dem Hyper-V-
verhalten soll. Die Kategorie "Automati- Informationen wie IP-Adressen, Fest- Host. Wo die virtuellen Festplatten einer
sche Stoppaktion" dient der Konfiguration plattendaten oder die Konfiguration VM gespeichert sind, sehen Sie im Hy-
des Verhaltens, wenn der Host herunter- auslesen. Dazu sind nicht immer Zu- per-V-Manager in dessen Einstellungen
gefahren wird. satztools wie der System Center Virtual im Bereich IDE-Controller oder SCSI-
Machine Manager notwendig. Oft rei- Controller. Sie können die virtuellen
Virtuelle Server in chen die Bordmittel aus. Festplatten auch über die PowerShell
der PowerShell steuern mit den Cmdlets Get-VMIdeController,
Sie können virtuelle Server in der Power- Wir zeigen Ihnen, welche Möglichkeiten Get-VMScsiController, Get-VMFibre-
Shell erstellen. Dazu verwenden Sie das es gibt, Daten von Servern auszulesen. ChannelHba und Get-VMHardDiskDri-
Cmdlet New-VM -Name Name des virtu- Vor allem Hyper-V in Windows Server ve abfragen.
ellen Servers. Neue virtuelle Festplatten 2019 bietet hier mit der PowerShell einige
erstellen Sie mit New-VHD. Sie schalten Möglichkeiten. Die folgenden Befehle Zum Auslesen der IP-Adressen und Netz-
mit Stop-VM virtuelle Maschinen aus, funktionieren oft auch für physische Ser- werkdaten können Sie daher nicht nur
starten Sie mit Start-VM, und rufen den ver oder virtuelle Server, die Sie mit an- die Möglichkeiten des vorherigen Ab-
Zustand und die Konfiguration mit Get- deren Lösungen wie VMware virtualisie- schnitts verwenden, sondern auch das
VM ab. Eine Liste aller erzeugten virtu- ren. Auch für Arbeitsstationen lassen sich Cmdlet Get-VMNetworkAdapter. Wollen
ellen Server eines Hyper-V-Hosts rufen manche der Tools nutzen. Sie zum Beispiel aus allen virtuellen Ser-
Sie mit Get-VM ab. Mit der Option "|fl" vern die IP-Adressen auslesen, rufen Sie
erhalten Sie weiterführende Informatio- Im Hyper-V-Manager sehen Sie die IP- wieder mit Get-VM die virtuellen Server
nen. Alternativ verwenden Sie "|ft". Sie Adressen und Netzwerkdaten von virtu- eines Hosts ab und übergeben das Ergeb-
erhalten so auch Echtzeitdaten, also auch ellen Servern, wenn Sie einen Server mar- nis an Get-VMNetworkAdapter.
den zugewiesenen Arbeitsspeicher, sofern kieren und ganz unten die Registerkarte
Sie Dynamic Memory einsetzen. "Netzwerk" aufrufen. Sie erkennen an die- Anschließend können Sie das Ergebnis
ser Stelle auch den virtuellen Switch, mit noch filtern und nur die IP-Adressen der
In der PowerShell haben Sie auch die dem der virtuelle Server verbunden ist virtuellen Server anzeigen. Dazu verwen-
Möglichkeit, das Ergebnis einer Get-Ab- und welchen Status die Verbindung hat. den Sie zum Beispiel den Befehl Get-VM
frage an ein anderes Cmdlet zu überge- Das funktioniert auch, wenn Sie Hyper- | foreach{(Get-VMNetworkAdapter $_).IP-
ben. So können Sie zum Beispiel mit V in Windows 10 nutzen. Addresses}. Mit dem Zusatz "foreach" liest
Get-VM die virtuellen Server eines Hy- der Befehl nacheinander die gewünschten
per-V-Hosts auslesen und mit Get- Sie entnehmen dem Fenster auch die ak- Daten aller VMs aus und zeigt diese an.
VMHardDiskDrive die virtuellen Fest- tuelle MAC-Adresse des Servers. Diese Mit dem Kommando lesen Sie aber nicht
platten dieser Server anzeigen lassen. spielt zum Beispiel für den Aufbau eines nur die IP-Adressen der virtuellen Server
Dazu verwenden Sie den Befehl Get- Lastenausgleich-Clusters eine Rolle. Über auf einem lokalen Hyper-V-Host aus, son-
VMHardDiskDrive (Get-VM). diesen Weg können Sie die IP-Adressen dern können auch Hosts im Netzwerk ab-
der virtuellen Server im Hyper-V-Mana- fragen. Dazu nutzen Sie den Befehl
Sie können vom Hyper-V-Host über ger für alle angebundenen Hyper-V-Hosts
PowerShell Direct auch Dateien kopieren. anzeigen. Sie lesen in der PowerShell aber Get-VM -computername Name des Hyper-
Dazu öffnen Sie eine neue Sitzung und nicht nur Daten von virtuellen Servern V-Hosts | foreach{(Get-VMNetwork-
kopieren danach die Dateien: aus, sondern mit Get-VMhost auch Infor- Adapter $_).IPAddresses}

WMI-Abfragen nutzen Die VM hat noch die VM-Version von 2. Geben Sie den Befehl cd %WinDir%\
Eine weitere Möglichkeit, um Daten vir- Windows Server 2012 R2 oder 2016. Da- System32\ServerMigrationTools ein.
tueller Server, aber auch von physischen mit Sie die neuen Funktionen in Hyper-V 3. Tippen Sie den Befehl smigdeploy /pa-
Servern im Netzwerk zu ermitteln, sind von Windows Server 2019 nutzen können, ckage /architecture amd64 /os WS12R2
WMI-Abfragen. Dazu nutzen Sie die öffnen Sie eine neue PowerShell-Sitzung /path Ordner ein. Migrieren Sie von
PowerShell und das Cmdlet Get-WMI- und geben Sie den Befehl Update-VmVer- Windows Server 2012, verwenden Sie
Object. Dem Cmdlet übergeben Sie ein sion Name der VM an. Überprüfen Sie mit "WS12", für Windows Server 2012 R2
bestimmtes WMI-Objekt und lassen sich Get-VM * | Format-Table Name, Version verwenden Sie "WS12R2". Für Windows
so die entsprechenden Daten des Servers ob die VM die neue Version verwendet. Server 2016 gilt "WS16".
anzeigen. Um zum Beispiel Daten von Sie sehen die Version auch im Hyper-V- 4. Kopieren Sie diesen Ordner nach der
Festplatten auszulesen, verwenden Sie Manager im unteren Bereich, wenn Sie die erfolgreichen Ausführung des Befehls
das WMI-Objekt "Win32_LogicalDisk". VM markieren. Rufen Sie nun die Einstel- vom Zielserver mit Windows Server
Als Beispiel nutzen Sie den Befehl Get- lungen der VM auf. Im Bereich "Prüfpunk- 2019 auf den Quellserver.
WmiObject Win32_LogicalDisk. Sie ha- te" können Sie jetzt zum Beispiel die ver- 5. Öffnen Sie auf dem Quellserver eine
ben auch die Möglichkeit, das Ergebnis besserten Snapshots nutzen. Eingabeaufforderung mit Administra-
zu filtern. Dazu nutzen Sie die Option torrechten und wechseln in den Ordner
"-filter". Microsoft unterstützt Unternehmen, die mit den Migrationstools.
Serverrollen zu Windows Server 2019 6. Geben Sie den Befehl .\smigdeploy ein,
Auch für das Cmdlet Get-WMI-Object migrieren wollen, mit den Windows-Ser- um die Migrationstools auf dem Quell-
können Sie über das Netzwerk Daten von ver-Migrationstools. Damit können Sie server zu registrieren.
physischen oder virtuellen Servern ab- auch virtuelle Server zu Windows-Server-
fragen. Dazu nutzen Sie einfach die Op- 2019-Zielservern migrieren. Bei den Wichtig bei der Migration von Hyper-V-
tion "-Computername". Eine ausführliche Tools handelt es sich um eine Sammlung Servern zu Windows Server 2019 ist die
Liste der verfügbaren WMI-Objekte er- verschiedener Cmdlets für die Power- Kompatibilität der Prozessoren. Eine Mi-
halten Sie über Get-WmiObject -List. Shell. Rufen Sie auf dem Zielserver mit gration ist nur dann möglich, wenn die
Windows Server 2019 das Cmdlet Install- Prozessoren des Quellservers mit den
Außer Laufwerke können Sie auch Ein- WindowsFeature Migration auf, um die Prozessoren auf dem Zielserver kompa-
stellungen der Netzwerkkarten abfragen. Tools zu aktivieren oder verwenden Sie tibel sind.
Dazu verwenden Sie die Klasse "Get- den Server-Manager. Durch die Aktivie- Im ersten Schritt der Migration erfassen
WmiObject Win32_Networkadapter". Sie rung ist eine Migration über die Power- Sie auf dem Quellserver die notwendigen
sehen hier alle wichtigen physischen Ein- Shell möglich. Daten für Hyper-V. Dazu verwenden Sie
stellungen der Netzwerkkarten. Sie kön- das Cmdlet Export-SmigServerSetting. Mit
nen in der PowerShell anzeigen, ob es Die Tools befinden sich nach der Instal- dem Befehl erstellen Sie eine XML-Datei,
sich um einen 32-Bit- oder 64-Bit-Com- lation im Ordner "C:\ Windows \ Sys- die vor allem wichtige Speicheroptionen
puter handelt. Dazu verwenden Sie Get- tem32 \ ServerMigrationTools". Sie be- der Daten der virtuellen Server enthält.
WmiObject -Class Win32_ComputerSys- nötigen aus diesem Ordner zum Beispiel Mit der Datei können Sie diese Einstel-
tem -ComputerName . | Select-Object die Anwendung "SmigDeploy" auf dem lungen in einem Rutsch auf dem Zielser-
-Property SystemType. Zielserver mit Windows Server 2019, ver importieren.
doch dazu später mehr.
VM aus älteren Dazu ist es aber notwendig, dass die Lauf-
Windows-Servern integrieren Sie können die Migrationstools auch auf werkskonfiguration auf dem Quell- und
Um eine VM von Windows Server 2012 Core-Servern mit Windows Server 2019 dem Zielserver übereinstimmen. Ist das
R2 oder 2016 in Windows Server 2019 über die PowerShell installieren. In die- nicht der Fall, müssen Sie die entspre-
zu importieren, gehen Sie folgenderma- sem Fall müssen Sie erst eine Power- chenden Einstellungen in der XML-Datei
ßen vor: Shell-Sitzung starten und können an- auf dem Quellserver anpassen, bevor Sie
1. Kopieren Sie das Verzeichnis mit der schließend mit dem Cmdlet Install- die Migration auf den Zielserver durch-
VM auf den Hyper-V-Host mit Win- WindowsFeature Migration die Tools in- führen. Ein Beispiel für die Syntax ist
dows Server 2019. stallieren. Um Hyper-V vom Quell- auf
2. Öffnen Sie den Hyper-V-Manager und den Zielservern zu migrieren, müssen Export-SmigServerSetting -FeatureId
klicken Sie auf "Virtuellen Computer Sie wie beschrieben auf dem Zielserver Hyper-V -IPConfig -User All -Group
importieren". die Migrationstools installieren. An- -Path Pfad -Verbose
3. Wählen Sie das Verzeichnis des neuen schließend erstellen Sie auf dem Ziel-
virtuellen Servers aus. server ein Installationspaket der Migra- Die Option "-User <Enabled | Disabled |
4. Bestimmen Sie, auf welcher Art Sie die tionstools für den Quellserver: All> -Group" bietet die Möglichkeit, auch
VM importieren wollen. 1. Öffnen Sie eine Eingabeaufforderung die Sicherheitseinstellungen in die Datei
5. Schließen Sie den Import ab. mit Administratorrechten. zu integrieren, wenn Sie die Hyper-V-Ver-

waltung delegiert haben. Mit "-IPConfig" Stellen Sie darüber hinaus sicher, dass ConvertTo-MvmcAzureVirtualHardDisk
können Sie die IP-Einstellungen auf dem der Assistent alle Computer vom Quell- [-SourceConnection] <MvmcSource-
Quellserver mit integrieren, um diese spä- auf den Zielserver importiert hat. Ach- Connection> [-SubscriptionId]
ter zu migrieren. ten Sie auch darauf, ob die Snapshots String [-Thumbprint] String [-Sto-
auf dem Quell- und Zielserver überein- rageAccount] String [-GuestVmId]
Hat das Cmdlet die Dateien erfolgreich stimmen. Stimmt die Konfiguration, String [[-GuestCredential] PSCre-
erstellt, kopieren Sie diese auf den Ziel- starten Sie die virtuellen Server und dential ] [[-UninstallVMTools]]
server. Ist die Laufwerks- oder Ordner- überprüfen im Ereignisprotokoll des [[-SourceVMPowerOption] PowerOpti-
struktur zwischen Quell- und Zielserver Zielservers über "Anwendungs- und on ] [CommonParameters]
unterschiedlich, müssen Sie die neuen Dienstprotokolle / Microsoft / Windows /
Pfade in der Datei "StoragePathMap- Hyper-V-Verwaltungsdienst für virtuelle Die verschiedenen Optionen und Mög-
pings.xml" anpassen. Kopieren Sie in die- Computer / Admin", ob Fehler proto- lichkeiten beschreibt Microsoft ausführ-
sem Zusammenhang auch alle Daten aller kolliert werden. lich in einem Word-Dokument, das zum
virtuellen Computer auf den Zielserver, Lieferumfang von Microsoft Virtual Ma-
nicht nur die Migrationsdateien. Workloads zu Hyper-V migrieren chine Converter gehört. Zusätzlich stehen
Ist ein Umstieg geplant, dann kann der noch folgende Cmdlets für die PowerShell
Anschließend verwenden Sie das Cmdlet kostenlose "Microsoft Virtual Machine zur Verfügung:
Import-SmigServerSetting für die Migra- Converter" (MVMC) [2] dabei helfen. - New-MvmcSourceConnection
tion der Einstellungen auf dem Zielserver, Während der Migration übernimmt das - Get-MvmcSourceVirtualMachine
zum Beispiel Tool die virtuellen Festplatten aus dem - ConvertTo-MvmcVirtualHardDisk
VMware-Format (VMDK) zum Hyper- - ConvertTo-MvmcVirtualHardDiskOvf
Import-SmigServerSetting -FeatureId V-Format, und konfiguriert die virtuellen - Disable-MvmcSourceVMTools
Hyper-V Parameter wie -IPConfig Netzwerke der virtuellen Server. Außer- - Uninstall-MvmcSourceVMTools
oder -User wie beim Export -Path dem kann es den Dynamic Memory an- - New-MvmcVirtualMachineFromOvf
Pfad -Verbose -Force passen, die dynamische Verwendung des - Stop-MvmcSourceVirtualMachine
Arbeitsspeichers in Hyper-V.
Lassen Sie die IP-Einstellungen über -IP- Auch deren Syntax und der Umgang zur
Config migrieren, erzeugen Sie eine Liste Mit dem kostenlosen Microsoft Virtual Konvertierung beschreibt das Word-Do-
der Adressen, zum Beispiel Machine Converter können Sie auch phy- kument. Um zum Beispiel eine virtuelle
sische Computer zu VMs konvertieren Festplatte vom VMware-Format zu kon-
-IPConfig All -SourcePhysicalAddress (P2V). Dabei helfen Skriptmöglichkeiten vertieren, verwenden Sie das folgende
"Quell-Adresse 1","Quell-Adresse in der PowerShell, aber auch Assistenten Kommando:
2" -TargetPhysicalAddress "Ziel- in der grafischen Oberfläche.
Adresse 1","Ziel-Adresse 2" ConvertTo-VirtualHardDisk -SourceLi-
Mit dem Microsoft Virtual Machine Con- teralPath "C:\VMDKs\PattiFul-
Externe virtuelle Netzwerke importiert verter lassen sich aber nur Server zu Mi- lerVMDK.vmdk"-DestinationLiteral-
das Cmdlet als interne virtuelle Netzwerke crosoft Azure oder Hyper-V migrieren. Path "C:\VHDs" -VhdType
auf den Zielserver. Das heißt, Sie müssen Eine Umkehrung der Migration oder an- FixedHardDisk -VhdFormat Vhd
nach der Migration auf dem Zielserver dere Ziele werden mit dem Tool nicht un-
im Hyper-V-Manager die Einstellungen terstützt. Das Tool muss auch nicht auf Aber auch in der grafischen Oberfläche
der virtuellen Netzwerke anpassen. Sie einem Hyper-V-Host installiert werden. steht die Migrationsmöglichkeit zu Azu-
finden die Settings über den Manager für Normalerweise wird es auf einer Arbeits- re zur Auswahl. Microsoft Virtual Ma-
virtuelle Netzwerke. Hier können Sie für station installiert, die eine Verbindung chine Converter ermöglicht auch die Mi-
jedes Netzwerk festlegen, ob es intern mit dem Quell- und dem Zielsystem auf- gration von vSphere-Clustern und kann
oder extern ist. bauen kann. virtuelle Server aus einem vSphere-Clus-
ter zu Windows-Server-Clustern mit Hy-
Anschließend sollten Sie noch sicherstel- Neben der Unterstützung einer Migration per-V übernehmen. Für die Migration
len, dass alle Einstellungen der impor- zu Hyper-V können Sie mit MVMC VMs muss mindestens VMware vSphere
tierten virtuellen Server noch korrekt sind auch für die Migration zu Microsoft Azu- (vCenter) 5.0 im Einsatz sein. Sollen
und diese unter Umständen nachträglich re vorbereiten. Hier lassen sich vor allem VMs mehrerer vSphere-Hosts migriert
anpassen. Vor allem die Konfiguration die virtuellen Festplatten migrieren. werden, ist vCenter notwendig. Bei der
der Datenträger, die IP-Adressen, die MVMC verfügt da,zu auch über ein Migration von einem alleinstehenden
Konfiguration des Arbeitsspeichers und PowerShell-Cmdlet mit dem sich die oder einzelnen ESXi-Hosts reichen auch
die Prozessoren sowie die generelle Kon- Konvertierung durchführen lässt. Das diese als Quelle aus. Die Gastbetriebs-
figuration der Netzwerkverbindungen Cmdlet ConvertTo-MvmcAzureVirtual- systeme können dazu als 32-Bit- oder
sind in diesem Zusammenhang wichtig. HardDisk hat folgende Syntax: als 64-Bit-Version vorliegen.

Während der Migration der Server passt nutzen, wenn Sie für VMs die neue Ver- Für die erfolgreiche Verbindung müssen
MVMC auch die Konfiguration der vir- sion 9.x aktivieren. VMs, die mit Win- Sie sich unter Umständen an der Sitzung
tuellen Server an und berücksichtigt dabei dows Server 2019 erstellt werden, erhal- erst authentifizieren. Sie können auf die-
die Einstellungen für den Arbeitsspeicher ten automatisch die aktuelle Version, bei sem Weg über die PowerShell-Sitzung auf
und die virtuellen Prozessoren. Auch die Migrationen von VMs zu Windows Ser- dem Host aber nicht nur herkömmliche
VMware-Tools werden deinstalliert sowie ver 2019 wird die Version der Vorgän- Server mit der PowerShell verwalten, son-
die Hyper-V Integration Services instal- gerversionen beibehalten. Diese Version dern auch Core-Server und Nano-Server.
liert. Die Migration findet über einen As- hat nichts mit der Generation zu tun, al- Die Vorgehensweise dazu ist die gleiche.
sistenten statt. Bestandteil des Tools ist so Generation 1 oder Generation 2, son- Möchten Sie sich mit einem anderen Be-
aber auch eine skriptbasierte Möglichkeit dern sagt lediglich aus, zu welchem Vir- nutzer authentifizieren, verwenden Sie
der Migration sowie eine Offlinekonver- tualisierungshost die entsprechende VM
tierung der virtuellen Festplatten. kompatibel ist. Enter-PSSession -VMName Computer
-Credential Benutzer
Generell ist es sinnvoll, dass die Quell- Auch wenn Sie einen Server zu Windows
VMs gestartet sind. Nach dem Start der Server 2019 aktualisieren oder in einer Mit Exit-Session beenden Sie diese Sitzung.
grafischen Oberfläche führt ein Assistent Livemigrations-Umgebung zur neuen Ser-
durch die Migration. Hier wählen Sie aus, verversion verschieben, wird die Hyper-V- Eingebettete Virtualisierung
ob physische Server oder VMs zu Hyper- Version nicht aktualisiert. Sie müssen die- in Windows Server 2019
V migriert werden sollen. Danach steht sen Vorgang manuell durchführen. VMs, Windows Server 2019 bietet eingebettete
die Migration zu Azure oder Hyper-V zur die Sie nicht aktualisieren, können Sie je- (nested) Virtualization. Dabei lassen sich
Auswahl. Auf weiteren Fenstern werden derzeit wieder zu Servern mit Windows innerhalb von Hyper-V weitere Server mit
Daten aus dem Quellserver ausgelesen Server 2012 R2 oder 2016 zurück verschie- Hyper-V installieren. Das eignet sich vor
und es lassen sich Einstellungen der neu- ben. Allerdings können Sie mit der alten allem für Testumgebungen, aber auch für
en VM anpassen, vor allem bezüglich der Version nicht die neuen Funktionen von die neuen Hyper-V-Container. Die Con-
virtuellen Festplatten, der CPUs, des Ar- Windows Server 2019 nutzen. tainer-Technologie Docker ist in Win-
beitsspeicher und des Netzwerks. Im Rah- dows Server 2019 in das Betriebssystem
men der Migration lassen sich virtuelle Die Version von VMs lassen Sie mit integriert. Dazu gibt es eine Container-
Festplatten oder konvertierte, physische Variante speziell für Hyper-V. Hier ist es
Festplatten auf Dateifreigaben speichern. Get-VM * | Format-Table Name, notwendig, dass Hyper-V selbst virtuali-
Während der Migration legen Sie auch Version sierbar ist, also innerhalb einer VM eben-
fest, ob die Festplatten dynamisch erwei- falls auf Hyper-V-Technologien zugegrif-
terbar sein sollen oder eine feste Größe anzeigen. Um eine VM auf die neue Ver- fen werden kann. Mit VMware vSphere
erhalten. Auch das Format, also VHD sion zu aktualisieren, verwenden Sie den 6 ist das bereits möglich, mit Windows
oder VHDX lässt sich auswählen. Befehl Update-Vmversion Name der VM. Server 2016 führte Microsoft diese Tech-
Die Änderung muss bestätigt werden. Au- nologie ebenfalls ein. Auch in Windows
Nachdem der Assistent abgeschlossen ßerdem ist die Modifikation nur möglich, Server 2019 ist eingebettete Virtualisie-
ist, unternimmt das Tool die Migration. wenn die VM ausgeschaltet ist. rung verfügbar.
Funktioniert etwas nicht, bietet Micro-
soft Virtual Machine Converter umfas- PowerShell Direct nutzen Hyper-V blockiert bis Windows Server
senden Zugriff auf eine Logdatei, über Mit PowerShell Direct können Sie über 2012 R2 den Zugriff auf Virtualisierungs-
die der Fehler schnell herauszufinden PowerShell-Sitzungen auf einem Hyper- funktionen des Prozessors. Ab Windows
ist. Wenn die Migration erfolgreich ab- V-Host auf VMs des Hosts zugreifen und Server 2016 werden die Virtualisierungs-
geschlossen ist, lässt sich die VM auf Aktionen durchführen. Dazu muss auf erweiterungen der Prozessoren an die vir-
dem Hyper-V-Host bereits starten. Al- dem Host aber Windows Server 2019 lau- tuellen Prozessoren der VMs weiterge-
lerdings ist es hier empfehlenswert, alle fen. Auch in den VMs ist entweder Win- reicht, wenn diese Funktion aktiviert wird.
Einstellungen zu überprüfen. MVMC dows 10 oder Windows Server 2019 not-
migriert zwar einen großen Teil der Set- wendig. Um eine Sitzung zu starten, geben Generell ist es durchaus möglich, auf ei-
tings, allerdings längst nicht alle. Es ist Sie in der PowerShell-Sitzung auf dem nem Hyper-V-Host, der als VM auf einem
sinnvoll, alle Eigenschaften der migrier- Host einen der folgenden Befehle ein: physischen Hyper-V-Server läuft oder
ten VM zu überprüfen, vor allem die auch als VM in vSphere, weitere VMs zu
Einstellungen des Netzwerks. Enter-PSSession -VMName Name der VM installieren, die ebenfalls wieder die Vir-
im Hyper-V-Manager tualisierung nutzen. Um die eingebettete
Neue VM-Version mit Virtualisierung zu verwenden, müssen
der PowerShell steuern Invoke-Command -VMName Name der VM Sie einen Hyper-V-Server mit Windows
Die aktuellen Funktionen in Hyper-V im Hyper-V-Manager -ScriptBlock { Server 2019 installieren. Dieser muss über
von Windows Server 2019 lassen sich Commands } mindestens 4 GByte Arbeitsspeicher ver-

fügen. Außerdem muss die VM im Host installiert werden. Diesen Vorgang star- Resize-VHD -Path c:\vm\owa.vhdx
ebenfalls über mindestens 4 GByte Ar- ten Sie ebenfalls in der PowerShell auf -SizeBytes 1TB
beitsspeicher verfügen. dem Host. Dazu nutzen Sie die neue
PowerShell-Direct-Funktion in Windows Virtuelle Festplatten lassen sich in der
Um diese Technik also einigermaßen Server 2019: PowerShell auch direkt mit virtuellen Ser-
praxisnah zu testen, sollte der Hyper-V- vern verbinden:
Host über mindestens 8 GByte Arbeits- Invoke-Command -VMName "w2k19-core"
speicher verfügen, besser 16 GByte. Da- -ScriptBlock { Enable-WindowsOptio- Add-VMHardDiskDrive -VMName VM
rüber hinaus wird auf diesem Server nalFeature -FeatureName Microsoft- -Path VHDX-Datei
eine VM ebenfalls mit Windows Server Hyper-V -Online; Restart-Computer }
2019 installiert. Derzeit können Sie die Bei virtuellen SCSI-Controllern können
Technik nur mit Intel-Prozessoren tes- Natürlich können Sie auch die PowerShell Sie Laufwerke im laufenden Betrieb hin-
ten, für die Installation wird Intel VT- in der VM oder den Server-Manager in zufügen. Zunächst lassen Sie sich mit fol-
x benötigt. der VM verwenden. Auch die Installation gendem Befehl die SCSI-Controller der
über das Windows Admin Center ist VM anzeigen:
Bevor Sie auf der VM Hyper-V installie- möglich. Anschließend steht Hyper-V in
ren können, müssen Sie einige Vorberei- der VM zur Verfügung. Die Verwaltung Get-VMScsiController
tungen treffen. Zunächst deaktivieren Sie von Hyper-V erfolgt identisch mit der -VMname Name der VM
den dynamischen Arbeitsspeicher für die Verwaltung von Hyper-V auf einem Hy-
VM in den Einstellungen, falls Sie ihn per-V-Host. Um einem SCSI-Controller eine neue
eingeschaltet haben. Außerdem müssen Festplatte hinzuzufügen, verwenden Sie
Sie die Virtualisierungserweiterungen für Migrieren von
die vCPU aktivieren, genauso wie MAC- Festplattendateien Add-VMHardDiskDrive -VMname Name der
Adress-Spoofing. Die Virtualisierungs- Haben Sie noch VHD-Dateien im Ein- VM -Path Pfad zur VHDX-Datei
erweiterungen aktivieren Sie am besten satz, können Sie diese in VHDX-Dateien -ControllerType SCSI
in der PowerShell des Hosts, indem Sie umwandeln. Sie können zum Konvertie- -ControllerNumber Nummer
den folgenden Befehl eingeben: ren den Hyper-V-Manager nutzen oder
das Cmdlet convert-VHD. Auf dem glei- Mit dem Cmdlet Add-VMScsiController
Set-VMProcessor -VMName "VMName" chen Weg konvertieren Sie auch von fügen Sie einem virtuellen Server einen
-ExposeVirtualizationExtensions VHDX-Dateien zum VHD-Format. Im virtuellen SCSI-Controller hinzu. Natürlich
$true Rahmen der Umwandlung wählen Sie das können Sie virtuelle Festplatten auch direkt
Datenträgerformat aus und können auch am Host anbinden, zum Beispiel um Daten
Das Spoofing der MAC-Adressen wird zwischen dem Typ der Festplatten, also auf die virtuelle Platte zu kopieren und
in den Einstellungen der VM über den feste Größe oder dynamisch erweiterbar diese erst dann dem virtuellen Server an-
Menüpunkt "Erweiterte Features" unter- wechseln. Das Cmdlet convert-vhd steht zubinden: mount-vhd VHD-Datei. Mit
halb des virtuellen Netzwerkadapters ge- auch zur Verfügung, wenn Sie Hyper-V dem Cmdlet unmount-vhd trennen Sie die
steuert. Sie können die Funktion ebenfalls in Windows 10 installiert haben: virtuelle Platte wieder vom System.
in der PowerShell aktivieren:
Convert-VHD -Path Pfad zur VHD(X)- Fazit
Get-VMNetworkAdapter -VMName Datei -DestinationPath Pfad zur Der generelle Umgang mit Hyper-V unter
"VMName" | Set-VMNetworkAdapter Zieldatei Windows Server 2019 ähnelt dem unter
-MacAddressSpoofing On Windows Server 2016. Microsoft hat ver-
Eine weitere Option ist die Möglichkeit, schiedene Funktionen verbessert, wie etwa
Generell müssen Sie darauf achten, dass den Typ der Festplatte zu ändern, zum den Betrieb von Clustern oder die Inte-
bei der Verwendung dieser Virtualisie- Beispiel mit gration von Linux. Die Verwaltung von
rung viele Funktionen in der VM nicht Hyper-V ist weiterhin mit dem Hyper-V-
mehr oder nur eingeschränkt funktionie- Convert-VHD -Path -VHDType Diffe- Manager möglich, aber auch mit dem
ren. Livemigration ist genauso wenig rencing -ParentPath Übergeordnete Windows Admin Center und System Cen-
möglich wie das Erstellen und Verwenden Festplatte ter Virtual Machine Manager. (dr)
von Snapshots. Auch das Speichern des
Zustands der VM ist nicht möglich, die Neben der Möglichkeit, das Format von Link-Codes
VM muss bei Änderungen immer neu Festplatten in der PowerShell umzuwan-
gestartet werden. deln, können Sie auch die Größe von [1] PowerShell-Direct-Anleitung
j3zb5
Festplatten in der PowerShell anpassen.
[2] Microsoft Virtual Machine Converter
Sobald die eingebettete Virtualisierung Dabei hilft das Cmdlet Resize-VHD, zum
e7pe1
aktiviert ist, kann in der VM Hyper-V Beispiel

Software-defined Networking für
verschlüsselte Netzwerke und Virtual Network Peering
In Verbindung
von Thomas Joos
In Windows Server 2019 hat Microsoft auch einige Neuerungen

im Bereich Software-defined-Networking eingeführt. So ist es möglich,
Quelle: nexusplexus – 123RF

verschlüsselte Netzwerke auf einem Server einzusetzen. Laut Microsoft
gehört dies zu den wichtigsten Sicherheitsneuerungen in Windows
Server 2019. Das Betriebssystem kann auf diesem Weg virtuelle
Hyper-V-Netzwerke in einem Peer-Netzwerk zu einem
virtuellen Netzwerk zusammenfassen.
Network Controller in
N
eben den in diesem Beitrag gezeig- ausgedrückt, erweitert HNV die Funk-
ten Sicherheitsfunktionen unter- Windows Server 2019 tionen von virtuellen Servern auf die
stützen alle anderen Security-Features für Bereits mit Windows Server 2016 ist es Netzwerkkonfiguration. In einem physi-
Netzwerke in Windows Server 2019 nun möglich, wichtige Einstellungen mit dem schen Netzwerk lassen sich mehrere vir-
IPv6. Das gilt natürlich auch für die Netz- Network Controller zentral für SDN-Netz- tuelle Netzwerke parallel einsetzen. Diese
werkverschlüsselung und das Netzwerk- werke vorzunehmen. In Windows Server können den gleichen oder einen anderen
Peering. Windows Server 2019 bietet 2019 wurde diese Verbindung noch aus- IP-Adressraum verwenden. Der Daten-
IPv6-Adresskonfiguration für virtuelle gebaut. So lassen sich in der neuen Version austausch zwischen den Netzwerken lässt
Maschinen in der virtualisierten Netz- die verschlüsselten SDN-Netzwerke auch sich mit HNV-Gateways einrichten. Viele
werkumgebung. Für Unternehmen, die mit dem Netzwerkcontroller erstellen und Hardware-Switches von Cisco etwa ar-
IPv6 nutzen oder IPv6 in der System-zu- überwachen. Die Vorgehensweise dazu beiten mit dieser Konfiguration ebenfalls
System-Kommunikation unterstützen hat Microsoft in der Hilfe zu Windows zusammen. Auf diesem Weg fassen Sie
wollen, ist die Möglichkeit in den SDN- Server 2019 beschrieben. Diese zeigt, wie mehrere virtuelle Netzwerke zusammen,
Funktionen verankert. Durch die Unter- Sie Zertifikate zur Verschlüsselung erstel- sodass Server in diesem neuen Netzwerk
stützung von IPv6 in SDN-Konfiguratio- len und virtuelle Subnetze verschlüsseln kommunizieren können.
nen können Unternehmen auch IPv6- lassen. Die Einstellungen und einzelnen
unterstützte Lastverteilung, Gateways und Schritte sind natürlich auch in der Power- In Windows Server 2019 lassen sich die
Firewall-Regeln in SDNs erstellen. Shell möglich. Die Informationen dazu Bandbreiten im Netzwerkbereich steuern
finden Sie auf der Webseite "Configure und auch Treiber von Dritthersteller in
Microsoft verspricht auch eine verbesserte Encryption for a Virtual Subnet" [1]. die virtuellen Switches integrieren. Hy-
Leistung für SDN mit Windows Server per-V Network Virtualization unterstützt
2019. Nutzen Unternehmen IPsec-VPN- Network Virtualization ferner dynamische IP-Adressen. Das ist
Tunnelkommunikation für SDN-Gate- Bereits mit Windows Server 2012 hat Mi- in großen Rechenzentren sinnvoll, um ei-
ways, soll sich die Leistung vervielfachen crosoft die Möglichkeiten der Netzwerk- ne IP-Adress-Failover-Konfiguration ein-
und gleichzeitig die CPU-Last der betei- switches für Hyper-V deutlich erweitert binden zu können. Die zentrale Steuerung
ligten Server reduzieren. Windows Server und verbessert. Mit Hyper-V Network virtueller Netzwerke führen Sie im System
2019 ermöglicht derweil die Überwachung Virtualization (HNV) können Unterneh- Center Virtual Machine Manager 2019
und Protokollierung der Verschlüsselung, men einzelne virtuelle Netzwerke vom durch. Arbeiten Sie mit HNV, werden je-
die in virtuellen Netzwerken stattfindet. physischen Netzwerk trennen. dem virtuellen Netzwerkadapter im Netz-
Die verfügbaren Daten liefern Quell- und werk zwei IP-Adressen zugewiesen: die
Zielverkehrsinformationen und ermögli- Die virtuellen Server in diesen Netzwer- Kundenadresse (Customer Address, CA)
chen ACLs für die Steuerung, Verwaltung ken gehen davon aus, in einem echten und die Anbieteradresse (Provider Ad-
und Protokollierung des Verkehrs. physischen Netzwerk zu laufen. Einfach dress, PA). Die CA ermöglicht den vir-

Virtualisierung Software-defined Networking
tuellen Servern im Netzwerk den Daten- Server 2019 die Möglichkeit, den Port in ckend-Netzwerk weitergeleitet wird. Das
austausch, genau wie eine normale IP- die Firewallregeln zu integrieren, nicht nur System wird außerdem dauerhaft aktua-
Adresse in einem Netzwerk. Die PA dient IP- und MAC-Adresse für die Quelle und lisiert. Die automatische Verschlüsselung
dem Datenaustausch zwischen VM und das Ziel. Diese Funktion arbeitet natürlich zwischen virtuellen Maschinen ist nur
dem Hyper-V-Host sowie dem physischen umfassend mit der Netzwerkvirtualisie- dann verfügbar, wenn der Datenverkehr
Netzwerk. rung in Hyper-V zusammen. Die neue Ver- innerhalb eines Subnetzes stattfindet. Ge-
sion kann Datenverkehr zwischen Netz- hen die Daten an andere Subnetze, sind
Die erste wichtige Änderung in den vir- werkkarten verschieben und unterstützt sie nicht mehr verschlüsselt.
tuellen Switches von Hyper-V seit Win- für dieses Merkmal auch umfassend die
dows Server 2012 R2 ist die direkte Inte- Netzwerkkarten-Teams. Windows Server 2016 bietet die Mög-
gration der Netzwerkvirtualisierung lichkeit der automatischen Anwendung
direkt in den Switch. HNV stellt keinen Netzwerkverschlüsselung von ACLs auf virtuellen Maschinen, die
vorgelagerten NDIS-Filter dar. Dritther- Zur Verschlüsselung von Netzwerken ge- mit den Subnetzen verbunden sind. Mit
stellerprodukte können auf diesem Weg hört in Windows Server 2019 auch die Windows Server 2019 wird diese Fähig-
direkt auf die CA zugreifen und über die automatische Subnetzverschlüsselung, ein keit der automatischen Anwendung von
PA kommunizieren. Dadurch arbeiten verbessertes Firewall-Auditing und die ACLs auf die Fabric erweitert. Wenn Sie
jetzt auch virtuelle Switches und die Net- Erweiterung der Access Control List eine virtuelle Maschine, mit einem
work Virtualization Generic Routing En- (ACLs) auf logische Subnetze, Virtual VLAN-basierten Netzwerk verbunden
capsulation (NVGRE) zusammen. Network Peering und die IPv6-Unterstüt- haben, werden die ACLs automatisch
zung. Diese Komponenten verbessern die zugewiesen.
Das gibt den Drittherstellerprodukten Sicherheit von Netzwerken in Windows
die Möglichkeit, über die Integration in Server 2019 mit Verschlüsselung. Die Setzen Unternehmen ein Software-defi-
den virtuellen Switches auf die Netz- Netzwerkverschlüsselung spielt vor allem ned Networking zwischen verschiedenen
werkvirtualisierung zugreifen zu können für virtuelle Server eine Rolle, die entwe- Rechenzentren, Niederlassungen und
und mit virtuellen Servern, aber auch der mit Windows Server 2019 oder mit der Cloud ein, spielt die sichere Kom-
dem physischen Netzwerk zu kommu- dem kostenlosen Hyper-V-Server 2019 munikation eine wesentliche Rolle. Mit
nizieren. Der komplette Datenverkehr betrieben werden. Die verschlüsselte Sub- Windows Server 2019 kann jetzt, wie er-
in den virtuellen Switches von Windows netzfunktionalität in Windows Server wähnt, der komplette Datenverkehr in
Server 2019 läuft auch über die Netz- 2019 bezieht sich daher auf die Bereit- virtuellen Netzwerken verschlüsselt wer-
werkvirtualisierung und die integrierten stellung der Verschlüsselung von Daten den. Die Verschlüsselung ist direkt in
Drittherstellerprodukte. zwischen virtuellen Maschinen. das Betriebssystem integriert und schützt
die Datentransfers direkt über den Hy-
HNV ist daher keine Schnittstelle mehr Windows Server 2019 bietet eine auto- pervisor zwischen Servern, die mit Hy-
zwischen Netzwerkkarten und extensible matisierte Funktionalität, mit der die Si- per-V virtualisiert werden.
Switches, sondern integraler Bestandteil cherheit des Systems verbessert und die
der virtuellen Switches selbst. Auch aus Möglichkeiten von Diebstahl und Daten- Zusammen mit Hyper-V und der Peer-
diesem Grund arbeiten NIC-Teams we- schnüffeln verhindert wird. Jedes Paket, Funktion von virtuellen Netzwerken kön-
sentlich besser mit der Netzwerkkvirtua- das eine VM verlässt, ist verschlüsselt, nen mit Windows Server 2019 also kom-
lisierung zusammen. Dazu bietet Windows wenn es an andere Ziele im gleichen Ba- plette Subnetze schnell und einfach
verschlüsselt werden. Dies geschieht au-
tomatisch, ohne dass einzelne Server ge-
trennt konfiguriert und überprüft werden
müssten. Die Kommunikation erfolgt bei-
spielsweise beim Einsatz von Webservern
zusammen mit Datenbankservern auf der
Netzwerk- und Subnetzebene.
Um Daten verschlüsselt zu übertragen

sind, wie bereits erwähnt keine weiteren
Einstellungen auf den Servern notwendig.
Werden weitere Server hinzugefügt, lassen
sich diese mit wenigen Klicks dem Ver-
schlüsselungsteam hinzufügen. Da durch
dieses neue System die Verschlüsselung
nicht mehr durch die Anwendung oder
Das Konfigurieren der VLAN-Anbindung im Hyper-V-Manager. das lokale Betriebssystem in der VM

Software-defined Networking Virtualisierung
durchgeführt wird, erhöht sich auch die schickt wird, lässt sich nicht verschlüsseln. der Hyper-V-Hosts in den erweiterten
Leistung und Effizienz. Auch wenn für die einzelnen Subnetze Einstellungen der Netzwerkkarte festle-
die Verschlüsselung aktiv ist, wird diese gen, zu welcher VLAN-ID die Karte ge-
Verbessertes Firewallprotokoll nicht umgesetzt. hören soll. Anschließend starten Sie im
Das Firewallprotokoll ist ein weiteres Si- Hyper-V-Manager den Manager für vir-
cherheitsmerkmal, das mit den SDNs un- Beschränken Sie Anwendungen darauf, tuelle Switches und wählen die Netzwerk-
ter Windows Server 2019 verbessert wur- nur über das verschlüsselte Subnetz zu verbindung aus die Sie an das VLAN an-
de. Die Funktion ist auf allen Hyper- kommunizieren, können Sie Zugriffs- binden wollen. Auch hier geben Sie die
V-Hosts unter Windows Server 2019 ver- kontrolllisten (ACLs) verwenden, um entsprechende VLAN-ID vor. Dazu müs-
fügbar. Die Technik wird verwendet, um die Kommunikation innerhalb des ak- sen Sie aber zunächst die Option "Iden-
das ordnungsgemäße Funktionieren von tuellen Subnetzes zu erzwingen. Daten- tifizierung virtueller LANs für das Ver-
Netzwerkgrenzen zu überprüfen. Die Fi- verkehr in andere Subnetze wird dann waltungsbetriebssystem aktivieren" setzen.
rewall hilft außerdem, Angriffe auf die nicht mehr verschickt. Danach muss die Nachdem Sie die ID angegeben haben,
Netzwerkschnittstellen zu erkennen. Authentifizierung über die PowerShell fließt der Datenverkehr von dieser Ver-
und den Network Controller eingerichtet bindung über die entsprechende ID.
Zusammen mit der Netzwerkverschlüs- werden. Die entsprechenden Anleitun-
selung in Windows Server 2019 sowie gen dazu finden Sie ebenfalls auf der Mi- Auch interne Netzwerke in Hyper-V un-
dem verbesserten Firewall-Auditing bie- crosoft-Seite "Configure Encryption for terstützen die VLAN-Konfiguration. Zu-
tet Windows Server 2019 auch Netzwerk- a Virtual Subnet" [1]. sätzlich können Sie virtuelle Server an
Peering an. Die Stärke im Bereich der Si- VLANs anbinden. Dazu geben Sie in den
cherheit von virtuellen Maschinen in Virtuelle LANs und Hyper-V Einstellungen der virtuellen Server über
Bezug auf die Sicherheit liegt in der Iso- Hyper-V in Windows Server 2019 un- die Eigenschaften der virtuellen Netz-
lierung durch das SDN. Es gibt aber auch terstützt die Verwendung von VLANs. werkkarten ebenfalls die VLAN-ID an.
die Möglichkeit, Server in verschiedenen Bei solchen Netzwerken lassen sich Da- Möchten Sie, dass ein virtueller Server
Netzwerken miteinander kommunizieren tenströme voneinander trennen, um die mit mehreren VLANs kommunizieren
zu lassen. Dazu binden Sie die virtuellen Sicherheit und die Leistung zu erhöhen. kann, fügen Sie dem Server einfach meh-
Netzwerke als ein einziges Netzwerk ein. So lässt sich zum Beispiel der Netzwerk- rere virtuelle Netzwerkkarten hinzu und
Die Technologie kombiniert Router so, verkehr für die Verwaltung des Servers konfigurieren das entsprechende VLAN.
dass sie sich auf der Netzwerkebene mit- vom Netzwerkverkehr der virtuellen
einander austauschen können. Server trennen. Die Technik muss aber Durch diese durchgehende Unterstützung
direkt im Netzwerk integriert sein, Swit- von VLANs können Sie bei entsprechend
Verschlüsselung für ein ches und Netzwerkkarten müssen die kompatiblen Switches zum Beispiel Test-
virtuelles Subnetz konfigurieren Funktion unterstützen. umgebungen aufbauen oder Hyper-V-
Die Netzwerkverschlüsselung ermöglicht Hosts logisch voneinander trennen, auch
das Chiffrieren des virtuellen Netzwerk- Damit die Anbindung funktioniert, müs- wenn diese im selben Netzwerk konfigu-
verkehrs zwischen VMs, die innerhalb sen Sie in den physischen Netzwerkkarten riert sind. Netzwerkkarten-Teams unter-
von Subnetzen miteinander kommuni-
zieren. Die Technik verwendet die Da- Listing 1: Virtuelles Netzwerk erstellen
tagram Transport Layer Security (DTLS)
#Find the HNV Provider Logical Network
im virtuellen Subnetz, um Pakete zu ver-
$logicalnetworks = Get-NetworkControllerLogicalNetwork -ConnectionUri $uri
schlüsseln. Hierfür sind Verschlüsse- foreach ($ln in $logicalnetworks) {
lungszertifikate notwendig, die auf den if ($ln.Properties.NetworkVirtualizationEnabled -eq "True") {
beteiligten Hyper-V-Hosts installiert sein $HNVProviderLogicalNetwork = $ln
}
müssen. Die Technik arbeitet außerdem }
mit dem Network Controller in Windows #Create the Virtual Subnet
Server 2019 zusammen, daher muss das $vsubnet = new-object Microsoft.Windows.NetworkController.VirtualSubnet
$vsubnet.ResourceId = "Contoso"
Zertifikat auch hier hinterlegt sein.
$vsubnet.Properties = new-object Microsoft.Windows.NetworkController.VirtualSubnetProperties
$vsubnet.Properties.AddressPrefix = "24.30.1.0/24"
Wenn Sie die Verschlüsselung in einem $uri=”https://restserver”
Subnetz aktivieren, verschlüsselt Windows #Create the Virtual Network
$vnetproperties = new-object Microsoft.Windows.NetworkController.VirtualNetworkProperties
Server 2019 den Netzwerkverkehr inner-
$vnetproperties.AddressSpace = new-object Microsoft.Windows.NetworkController.AddressSpace
halb des Subnetzes automatisch. Dies ge- $vnetproperties.AddressSpace.AddressPrefixes = @("24.30.1.0/24")
schieht parallel zu eventuellen anderen $vnetproperties.LogicalNetwork = $HNVProviderLogicalNetwork
Verschlüsselungen, die in der VM akti- $vnetproperties.Subnets = @($vsubnet)
New-NetworkControllerVirtualNetwork -ResourceId "Contoso_VNet1" -ConnectionUri $uri -Properties
viert sind. Datenverkehr, der zwischen $vnetproperties
VMs in verschiedenen Subnetzen ver-
Alle Listings zum Download unter www.it-administrator.de Sonderheft II/2019 91

Virtualisierung Software-defined Networking
stützen ebenfalls die Anbindung an lich bearbeiten. Dazu wird das Cmdlet Zusätzlich können Sie festlegen, dass be-
VLANs. Verwenden Sie NIC-Teams in Set-VMSwitch verwendet. Um die Grup- stimmte vNICs und damit VMs auch in
virtuellen Servern, empfiehlt Microsoft, penmitgliedschaft zu ändern, verwenden einer Teamlösung auf eine bestimmte phy-
die VLAN-Anbindung direkt über den Sie zum Beispiel folgenden Befehl: sische Netzwerkkarte gebunden sind, die
virtuellen Switch durchzuführen, nicht wiederum Mitglied des Teams ist. Fällt der
für das virtuelle NIC-Team. Seit den Li- Set-VMSwitch -Name TeamedvSwitch jeweilige Netzwerkadapter jedoch aus, wird
nux Integration Services 3.5 lassen sich -NetAdapterName "SET1","SET4" die VM nicht vom Netzwerk getrennt, son-
VLANs nicht zuletzt auch für virtuelle dern Hyper-V nutzt so lange eine andere
Linux-Server nutzen. Die Einstellungen Bei diesem Vorgang werden die zuvor physische Netzwerkkarte des Teams, bis
dazu sind identisch zu denen für virtuelle hinzugefügten Mitglieder "set2" und der ursprüngliche Adapter wieder funk-
Windows-Server. "set3" aus dem Team entfernt und "set4" tioniert. Für die Verwaltung wird das
hinzugefügt. Alternativ können hier aber Cmdlet Set-VMNetworkAdapterTeamMap-
Switch Embedded Teaming: auch die Cmdlets "Add-VMSwitchTeam- ping verwendet, zum Beispiel:
NIC-Teams für Hyper-V Member" und "Remove-VMSwitchTeam-
Die NIC-Teaming-Funktion ist auch in Member" zum Einsatz kommen. Das Set-VMNetworkAdapterTeamMapping
Windows Server 2019 noch verfügbar. Cmdlet "Set-VMSwitchTeam" verfügt -VMNetworkAdapterName SMB1
Besser ist es jedoch, auf die neue Vari- über die Option "-LoadBalancingAlgo- -ManagementOS
ante "Switch Embedded Teaming" (SET) rithm". Hier lassen sich zwei verschiede- -PhysicalNetAdapterName Ethernet2
zu setzen. SET bietet Hochverfügbarkeit ne Werte definieren: "HyperVPort" oder
für virtuelle Netzwerkswitches. Die vir- "Dynamic". Soll das Team in VMs ge- Alternativ können Sie den Befehl auch so
tuellen Netzwerkadapter der einzelnen nutzt werden, bietet es sich an, auch die ausführen, dass er die Netzwerkadapter
Hosts greifen auf virtuelle Switches zu, Option "HyperVPort" zu verwenden. einer bestimmten VM konfiguriert:
aber auch die VMs können auf den vir- Aber auch die Option "Dynamic" ist
tuellen Switch zugreifen und von der sinnvoll einsetzbar. Die Konfiguration Set-VMNetworkAdapterTeamMapping
Leistung der virtuellen Hyper-V-Switches erfolgt auch hier in der PowerShell: -VMName w2k16
mit SET profitieren. Um ein solches -PhysicalNetAdapterName set2
SET-Switch zu erstellen, verwenden Sie Set-VMSwitch -Name SetSwitch
die PowerShell: -VMSwitchLoadBalancingAlgorithm Natürlich lässt sich die Zuordnung in der
Dynamic PowerShell überprüfen. Dazu steht das
new-vmswitch -name SETswitch
-Netadaptername "set1", "set2", Listing 2: Zweites virtuelles Netz erstellen und verbinden
"set3" -AllowManagementOS $True
#Create the Virtual Subnet
-EnableEmbeddedTeaming $true $vsubnet = new-object Microsoft.Windows.NetworkController.VirtualSubnet
$vsubnet.ResourceId = "Woodgrove"
Dieser Befehl verbindet die drei physi- $vsubnet.Properties = new-object Microsoft.Windows.NetworkController.VirtualSubnetProperties
$vsubnet.Properties.AddressPrefix = "24.30.2.0/24"
schen Netzwerkadapter "set1", "set2" und
$uri=”https://restserver”
"set3" mit einem neuen virtuellen Switch #Create the Virtual Network
namens "SetSwitch". Der Name ist na- $vnetproperties = new-object Microsoft.Windows.NetworkController.VirtualNetworkProperties
$vnetproperties.AddressSpace = new-object Microsoft.Windows.NetworkController.AddressSpace
türlich frei wählbar. Möchten Sie über
$vnetproperties.AddressSpace.AddressPrefixes = @("24.30.2.0/24")
das Team die Verwaltung des Betriebs- $vnetproperties.LogicalNetwork = $HNVProviderLogicalNetwork
systems nicht zulassen, verwenden Sie $vnetproperties.Subnets = @($vsubnet)
die Option "-AllowManagementOS New-NetworkControllerVirtualNetwork -ResourceId "Woodgrove_VNet1" -ConnectionUri $uri -Properties
$vnetproperties
$False". Nachdem Sie den virtuellen
Nachdem entsprechende Netzwerke vorhanden sind, können Sie diese miteinander verbinden,
SET-Switch erstellt haben, rufen Sie des-
indem Sie das Peering erstellen:
sen Informationen mit Get-VMSwitch
$ $peeringProperties = New-Object Microsoft.Windows.NetworkController.VirtualNetworkPeering-
ab. Hier sehen Sie auch die verschiede- Properties
nen Adapter, die Bestandteil des virtu- $vnet2 = Get-NetworkControllerVirtualNetwork -ConnectionUri $uri -ResourceId "Woodgrove_VNet1"
$peeringProperties.remoteVirtualNetwork = $vnet2
ellen Switches sind.
#Indicate whether communication between the two virtual networks
$peeringProperties.allowVirtualnetworkAccess = $true
Ausführlichere Informationen erhalten #Indicates whether forwarded traffic is allowed across the vnets
Sie mit Get-VMSwitchTeam Name. Hier $peeringProperties.allowForwardedTraffic = $true
#Indicates whether the peer virtual network can access this virtual networks gateway
zeigt die PowerShell die Einstellungen $peeringProperties.allowGatewayTransit = $false
des virtuellen Switches an. Möchten Sie #Indicates whether this virtual network uses peer virtual networks gateway
den Switch wieder löschen, verwenden $peeringProperties.useRemoteGateways =$false
New-NetworkControllerVirtualNetworkPeering -ConnectionUri $uri -VirtualNetworkId "Contoso_vnet1” -
Sie das Cmdlet Remove-VMSwitch. Na-
ResourceId "ContosotoWoodgrove” -Properties $peeringProperties
türlich lassen sich Teams auch nachträg-

Software-defined Networking Virtualisierung
Als Subnetzprefix verwenden wir 24

Listing 3: Zweites Netz mit erstem verbinden
(255.255.255.0). Den Wert für "Interfa-
$peeringProperties = New-Object Microsoft.Windows.NetworkController.VirtualNetworkPeeringProperties ceIndex" erhalten Sie mit Get-NetAdapter.
$vnet2=Get-NetworkControllerVirtualNetwork -ConnectionUri $uri -ResourceId "Contoso_VNet1" Hier wird der Switch genutzt, der zuvor
$peeringProperties.remoteVirtualNetwork = $vnet2 erstellt wurde. Anschließend erstellen Sie
# Indicates whether communication between the two virtual networks is allowed
das NAT-Netzwerk mit dem Cmdlet
$peeringProperties.allowVirtualnetworkAccess = $true
# Indicates whether forwarded traffic will be allowed across the vnets
"New-NetNAT":
$peeringProperties.allowForwardedTraffic = $true
New-NetNat -Name NAT-OutsideName
# Indicates whether the peer virtual network can access this virtual network’s gateway -InternalIPInterfaceAddressPrefix
$peeringProperties.allowGatewayTransit = $false NAT Subnet Prefix
# Indicates whether this virtual network will use peer virtual network’s gateway
$peeringProperties.useRemoteGateways =$false
In diesem Beispiel lautet der Befehl:
New-NetworkControllerVirtualNetworkPeering -ConnectionUri $uri -VirtualNetworkId "Woodgrove_vnet1”
-ResourceId "WoodgrovetoContoso” -Properties $peeringProperties
New-NetNat -Name NATnetwork
-InternalIPInterfaceAddressPrefix
Cmdlet Get-VMNetworkAdapterTeam- den ist, müssen Sie auch noch das zweite 192.168.0.0/24
Mapping zur Verfügung. Verbindungen Netzwerk mit dem ersten Netzwerk ver-
zwischen VMs und physischen Netzwerk- binden. Auch das können Sie in der Informationen lassen sich mit Get-NetNat
adaptern in einem Team lassen sich auch PowerShell erledigen (Listing 3). Danach abrufen. Um die Konfiguration zu lö-
wieder rückgängig machen. Dazu nutzen wird die Verbindung hergestellt. schen, verwenden Sie den Befehl Remo-
Sie das Cmdlet Remove-VMNetworkAdap- ve-NetNat. Sobald der NAT-Switch zur
terTeamMapping. NAT in Hyper-V Verfügung steht, kann er VMs zugewiesen
konfigurieren werden. Auf Basis des NAT-Switches kön-
Peering von Interne und private Switches dienen der nen Sie auch mit NAT-Forwarding arbei-
Virtuellen Netzwerken Kommunikation der VMs und des Hosts ten. Sollen zum Beispiel spezielle Ports
Mit Virtual Network Peering können Sie untereinander, während externe Switches des Hosts zu VMs weitergeleitet werden,
zwei virtuelle Netzwerke verbinden. Der für den Austausch mit dem restlichen steht das Cmdlet Add-NetNatStaticMap-
Datenverkehr zwischen virtuellen Ma- Netzwerk genutzt werden. Bisher war die ping zur Verfügung:
schinen in den virtuellen Netzwerken Verwendung von NAT nur durch Umwe-
wird über die Backbone-Infrastruktur ge möglich, zum Beispiel durch Funktio- Add-NetNatStaticMapping -NatName
über private IP-Adressen geleitet. Die nen im Host-Betriebssystem oder zusätz- "H704f0d2f-e492-4bc2-96ea-308095-
Kommunikation zwischen den virtuellen licher Software. ccfd75" -Protocol TCP
Netzwerken erfordert kein öffentliches -ExternalIPAddress 0.0.0.0
Gateway. Die IP-Adressräume der ver- Mit internen Switches lassen sich in Win- -InternalIPAddress 192.168.0.2
bundenen Netzwerke dürfen sich nicht dows-Server-2019-NAT-Umgebungen -InternalPort 80 -ExternalPort 80
überlappen. konfigurieren. Um einen NAT-Switch zu
erstellen, bietet sich die PowerShell als Fazit
Sobald Sie ein virtuelles Netzwerk mit ideales Mittel an, da Sie hier alle notwen- Windows Server 2019 bietet im Bereich
einem anderen verbunden haben, kön- digen Aufgaben vornehmen können. Im Software-defined Networking viele Funk-
nen Sie keine Adressbereiche hinzufügen ersten Schritt richten Sie einen internen tionen für Hyper-V-Hosts. Die meisten
oder entfernen. Wollen Sie Adressberei- Switch ein, der später für die NAT-Kon- SDN-Funktionen benötigen aber den Be-
che anpassen, müssen Sie das Peering figuration verwendet wird: trieb des Network Controllers. Dieser ko-
entfernen und neu erstellen. Jedes virtu- ordiniert die verschiedenen Funktionen der
elle Netzwerk kann weiterhin über ein New-VMSwitch -SwitchName "NAT- Objekte in einem SDN. Aus diesem Grund
eigenes Gateway verfügen. Um ein vir- Switch" -SwitchType Internal sollten Sie sich auch mit dem Network Con-
tuelles Netzwerk mit Subnetzen zu er- troller auseinandersetzen, wenn Sie ein SDN
stellen, können Sie zum Beispiel die Be- Danach erstellen Sie ein NAT-Gateway: mit Windows Server 2019 planen. (dr)
fehle in Listing 1 verwenden. Sie finden
diese Befehle auch auf der Webseite [2]. New-NetIPAddress -IPAddress NAT Link-Codes
Gateway IP -PrefixLength NAT Sub-
Um ein zweites virtuelles Netzwerk zu net Prefix Length -InterfaceIndex [1] Konfigurieren der Verschlüsselung
erstellen, das mit dem ersten verbunden ifIndex für ein virtuelles Subnetz
js2d1
werden kann, können Sie Befehle in Lis-
[2] Peering virtueller Netzwerke
ting 2 einsetzen. Wenn das erste Netz- Die IP-Adresse des NAT-Gateways ist frei
js2d2
werk mit dem zweiten Netzwerk verbun- wählbar, in diesem Beispiel 192.168.0.1.

Windows 2019 hyperkonvergent betreiben
Alles unter
einem Dach
von Thomas Joos
Windows Server 2019 lässt sich auch in einer Hyper-Converged

Infrastructure betreiben. Dabei werden, einfach ausgedrückt,
Quelle: aetb – 123RF

Software-definiertes Computing, Storage und Networking
in einem Cluster konsolidiert. Eine Rolle spielt Azure
Stack, mit dem Sie Azure-Funktionen in das
lokale Netzwerk holen.
E
ine Hyper-Converged Infrastructu- Da in einer HCI Software und Hardware Serverless Computing sowie zahlreiche
re (HCI) ermöglicht eine einfache zu einer gemeinsamen Basis zusammen- weitere Dienste. Microsoft empfiehlt den
und skalierbare Virtualisierung. Hierbei gefasst werden, sollten Sie beim Aufbau Betrieb auf Hardware seiner Azure-Stack-
werden die Funktionen im Bereich Stora- einer Hyper Converged Infrastructure auf Partner [2], um Leistung und Stabilität
ge, Cluster, Virtualisierung und Netzwerk Hardware setzen, die von Microsoft ent- sicherzustellen. Die bekanntesten Her-
zusammengefasst und zentral verwaltet. sprechend zertifiziert ist. steller sind HPE, Dell EMC, Lenovo, Cis-
Hier steht zum Beispiel auch das neue co und Huawei. Diese bieten Hardware,
Windows Admin Center zur Verfügung. Mit Azure Stack zur hyper- vorkonfigurierte Software sowie Support
HCIs werden häufig auch als Software-de- konvergenten Infrastruktur an. Normalerweise erfolgt die Bereitstel-
fined Data Center (SDDC) bezeichnet. In Ergänzend zum Einsatz von Servern unter lung dabei als Cluster.
diesem Fall lassen sich komplette Rechen- Windows Server 2019 bietet sich Azure
zentren hyperkonvergent betreiben. Stack [1] als Alternative an. Dabei handelt Die Abrechnung von Azure Stack erfolgt
es sich um eine lokale Installation der nicht als Kaufsoftware, sondern Unter-
Wichtige Bestandteile einer hyperkonver- Azure-Funktionen im eigenen Rechen- nehmen müssen die Dienste und Zeiten
genten Infrastruktur mit Windows Server zentrum. Unternehmen können auf die- bezahlen, die sie nutzen. Die Abrechnung
2019 sind Hyper-V, Storage Spaces Direct sem Weg mit eigener Hardware eine Pri- erfolgt also generell ähnlich zu Azure. Mi-
und Cluster-Installationen von Windows- vate-Cloud-Umgebung aufbauen, die crosoft bietet zusätzlich noch andere Ab-
Servern. Wir haben die einzelnen Ele- wiederum Azure-Technologien und Ver- rechnungsvarianten an. Diese sollten Sie
mente in diesem Sonderheft behandelt. waltungsmöglichkeiten unterstützt. Die vor dem produktiven Einsatz mit einem
Natürlich spielt in einer hyperkonvergen- private Cloud auf Basis von Azure Stack Lizenzierungsspezialisten besprechen.
ten Infrastruktur auch Software-definied lässt sich auch mit Microsoft Azure ver-
Networking eine Rolle. Hier kommen im binden, sodass die Möglichkeit zum Auf- Voraussetzungen
Wesentlichen virtuelle Switches im Be- bau einer hybriden Cloud besteht. für Azure Stack
reich Hyper-V zum Einsatz. In hyperkon- Die Einrichtung von Azure Stack nehmen
vergenten Umgebungen sollten Sie außer- Azure Stack stellt Infrastructure-as-a-Ser- Sie mit dem Azure Stack Development
dem auf Windows Server 2019 Datacenter vice (IaaS)-Funktionen zur Verfügung Kit vor, wenn die Installation nicht auf
setzen. Denn hier sind alle Funktionen samt Speicher, virtuellen Maschinen und der Hardware eines Azure-Stack-Partners
von Windows Server 2019 enthalten und Netzwerken. Aber auch PaaS-Features erfolgt. Mit dem Development Kit lassen
es lassen sich unbegrenzt virtuelle Server (Platform-as-a-Service) sind umsetzbar. sich Entwicklungs- und Testumgebungen
erstellen. Dazu gehören Container-Dienste oder für Azure aufbauen. Die Bereitstellung

Hyperkonvergenter Server Virtualisierung
crosoft stellt in diesem Bereich auch

SDN Express zur Verfügung [5]. Die zu-
gehörige Datei stellen Sie am besten im
Netzwerk auf einer Freigabe zur Verfü-
gung, damit alle beteiligten Computer
Zugriff auf die Informationen haben.
Auf den Servern selbst können Sie die
Freigabe danach verbinden. Das Skript
für die Bereitstellung sieht zum Beispiel
folgendermaßen aus:
Das "Deployment Checker for Azure Stack Development Kit"
erlaubt die Bereitstellung von Azure Stack. .\SDNExpress.ps1 -ConfigurationData-
File .\your_fabricconfig.PSD1
über das Development Kit erfolgt auf Ba- Use-AzureRmProfile -verbose
sis von VMs, wobei sich der Einsatz von -Profile 2017-03-09-profile -Force
Hyper-V empfiehlt. Der Server, auf dem Die Verwaltung erfolgt auch in diesem
Sie Azure Stack installiert möchten, muss Install-Module -Name AzureStack Fall im Windows Admin Center. Das
über folgende Voraussetzungen verfügen: -RequiredVersion 1.4.0 aktuelle WAC unterstützt die Adminis-
- Datenträger mit mindestens 200 GByte tration einer SDN-Hyper-Converged-
(Betriebssystem) Die einzelnen Dienste von Azure Stack Infrastruktur. Dazu müssen Sie im Netz-
- Vier Datenträger mit jeweils mindes- werden über VMs dargestellt, die Sie wie- werk noch den Netzwerk-Controller von
tens 140 GByte (Azure-Infrastruktur) derum im Failovercluster-Manager ver- Windows Server 2019 einsetzen.
- Zwei-Sockel-CPU mit mindestens 12 walten und starten.
Kernen (16 empfohlen) Fazit
- 96 GByte Arbeitsspeicher Hyperkonvergenz Windows Server 2019 lässt sich problem-
mit Windows Server 2019 los hyperkonvergent betreiben. In die-
Microsoft bietet für die Installation von Für den hyperkonvergenten Betrieb von sem Fall werden Hyper-V und Storage-
Azure Stack ein PowerShell-Skript mit Windows Server 2019 spielt Azure Stack Funktionen, wie Storage Spaces Direct
der Bezeichnung "Deployment Checker HCI eine wichtige Rolle. Hierbei handelt gemeinsam ausgeführt. Zusätzlich kom-
for Azure Stack Development Kit" [3] an. es sich um eine Erweiterung von Azure men die Software-definierten Netzwerk-
Mit diesem Skript können Sie einen Ser- Stack. Azure Stack HCI verfügt über die funktionen in Windows Server 2019
ver darauf hin überprüfen, ob er kompa- gleiche Rechen-, Speicher- und Netz- zum Einsatz.
tibel mit Azure Stack ist. Das Skript hat werksoftware wie Azure Stack. Auch die
die Bezeichnung "Invoke-AzureStackDe- Integration in Azure ist möglich. Natür- Mit Azure Stack HCI lassen sich Azu-
ploymentPreCheck.PS1". lich können Sie Windows Server 2019 re-Funktionen auf Basis von Windows
auch ohne Azure Stack hyperkonvergent Server 2019 im eigenen Rechenzentrum
Azure Stack installieren betreiben. bereitstellen. Aber auch hier ist es wich-
Wenn die Hardware kompatibel zu Azure tig, dass die Hardware korrekt ausge-
Stack ist, kann der Server bereitgestellt Dazu bauen Sie einen entsprechend gro- wählt wird und von Microsoft für den
werden. Die Installation von Azure Stack ßen Cluster auf, nutzen Storage Spaces hyperkonvergenten Betrieb zertifiziert
über das Deployment-Kit erfolgt mit dem Direct und installieren die Funktionen wurde. (dr)
PowerShell-Skript "asdk-installer.ps1" [4]. für das Software-basierte Netzwerk. Die
Administration des hyperkonvergenten
Link-Codes
Die komplette Einrichtung läuft über ei- Clusters erfolgt im Windows Admin Cen-
nen Assistenten. Zur Installation des ter und hier lassen sich auch die Azure- [1] Azure Stack Development Kit
PowerShell-Moduls zur Verwaltung von Funktionen verwalten und lokale Instal- js2b1
Azure Stack registrieren Sie zunächst die lationen von Windows Server 2019 mit [2] Azure-Stack-Partner
Microsoft PowerShell-Gallery mit Microsoft Azure verbinden. js2b2
[3] Deployment Checker for
Set-PSRepository -Name "PSGallery" Konfigurieren von Azure Stack Development Kit
js2b3
-InstallationPolicy Trusted Software-defined Networking
[4] PowerShell-Skript
Eine Hyper-Converged-Infrastruktur,
"asdk-installer.ps1"
Danach installieren Sie die Module: die Sie unter Windows Server 2019 be- js2b4
treiben, kann natürlich auch die soft-
[5] SDN Express
Install-Module waredefinierten Netzwerkfunktionen js2b5
-Name AzureRm.BootStrapper von Windows Server 2019 nutzen. Mi-

Quelle: natara – 123RF
Windows-Server-Container, Docker und Hyper-V-Container
Zu Gast
von Thomas Joos
In Windows Server 2019 baut Microsoft die Container-Technologie weiter aus. So lassen sich zum
Beispiel Windows-Server-Container parallel zu Linux-Containern betreiben. Der Nano-Server ist
mittlerweile Geschichte und als Nano-Image für Container-Hosts verfügbar. In diesem Beitrag
beleuchten wir die Neuerungen in Sachen Container in Windows Server 2019.
D
ie Nutzung von Containern gehört In Windows Server 2019 lassen sich die Mit dem Windows-Docker-Client ver-
in vielen Firmen inzwischen zum Standard-Images "nanoserver" und "win- walten Sie Container auf Basis von Docker
Standard. Auch Microsoft hat die Zeichen dowsservercore" auch mit Curl und Tar sehr einfach. Der Docker-Client dient nur
der Zeit erkannt und unterstützt Contai- ansprechen. OpenSSH ist ebenfalls in der Verwaltung der Container-Technolo-
ner in Windows. Diese lassen sich auf al- Containern nutzbar. Die Verwaltung fin- gie, die direkt in Windows Server 2019
len Arten von Windows-Servern betrei- det vor allem über die PowerShell oder integriert ist, er stellt selbst keinen Ser-
ben. Diese Server wiederum kann der die Befehlszeile statt. Der Verbindungs- verdienst zur Verfügung. Der Client kann
Administrator als Cluster betreiben, so- aufbau zum Container-Host ist über eine die Windows-Server-Container verwalten,
dass die Container hochverfügbar sind. RDP-Sitzung möglich. Container bauen zusätzlich aber auch andere Hosts wie Li-
auf Images auf, die Sie im Container-Host nux-Server und -Container. Die Docker
Daneben steht die Container-Technologie einbinden. Die Windows-Server-Contai- Toolbox [2] ermöglicht für aktuelle Win-
auf dem Desktop in Windows 10 Profes- ner sowie deren Erweiterung Hyper-V- dows-Versionen die Verwaltung von Do-
sional und Enterprise ab Version 1607 Container basieren dabei auf Docker [1]. cker auf Basis von Servern mit Windows
(Anniversary Update) zur Verfügung. Ad- Microsoft arbeitet für die Integration von Server 2019 oder Linux.
ministratoren oder Entwickler können Docker mit dessen Entwicklern zusam-
mit Windows 10 so Container erstellen men. Die Verwaltung von Docker ist mit Um Windows-Server-Container zu ver-
und diese auf Container-Hosts unter dem Docker-Client, in der PowerShell walten, installieren Sie die notwendigen
Windows Server 2019 übertragen. Hier und im System Center möglich. Erweiterungen auf dem Server. Dazu soll-
kann auch der Docker-Hub in der Cloud te der Server über eine Internetverbin-
zum Einsatz kommen, um die Container- Container-Feature installieren dung verfügen, da so die Installation der
Images über das Internet und die Cloud Um Container zu nutzen, müssen Sie das notwendigen Clients und der Download
bereitzustellen. Verwalten lassen sich die Container-Feature installieren. Dabei von Images wesentlich einfacher ist:
Umgebungen mit Kubernetes. spielt es zunächst keine Rolle, ob es sich
um einen vollständig installierten Server Install-Module -Name DockerMsftPro-
Mit Windows Server 2019 hat Microsoft oder um eine Core-Installation handelt vider -Force
die Container-Technologie erweitert und – zum Beispiel, wenn Sie die SAC-Version
zum Beispiel Support von Kubernetes in- von Windows Server nutzen wie Server Install-Package -Name docker -Provi-
tegriert. Windows Server 2019 unterstützt 1903. Auf einem herkömmlichen Server derName DockerMsftProvider -Force
für den Betrieb von Docker-Containern verwenden Sie dazu den Server-Manager
zudem Technologien aus Docker Swarm. oder die PowerShell, auf einem Core-Ser- Restart-Computer -Force
So können zum Beispiel Container auch ver installieren Sie das Feature in der
einen gemeinsamen Port nutzen, um mit PowerShell. Dazu verwenden Sie den Be- Um eine Mindestversion für die Instal-
dem Netzwerk zu kommunizieren. fehl Install-WindowsFeature Containers. lation vorzugeben, verwenden Sie

Container Virtualisierung
Install-Package -Name docker -Provi- [3] erhalten Sie auf der Internetseite des Auch ein Webserver auf Basis des IIS in
derName DockerMsftProvider -Force Docker-Projekts. Windows Server 2019 lässt sich als Con-
-RequiredVersion 18.03 tainer bereitstellen:
Um ein Image auf Basis von Windows
Anschließend steht der Server bereit und Server 2019 zur Verfügung zu stellen, docker run -it -p 80:80
Sie können mit Containern arbeiten. Ge- können Sie die notwendigen Daten direkt microsoft/iis cmd
nerell kann es sinnvoll sein, Docker als bei Microsoft herunterladen:
Windows-Dienst zu starten: Nach dem Start steht der Webserver mit
docker image pull der Standardwebseite bereit. Um die Stan-
Start-Service docker mcr.microsoft.com/windows/ dardwebseite im Container zu löschen,
servercore:1809 verwenden Sie zum Beispiel
Für Entwickler und Administratoren bie-
tet es sich außerdem an, Hyper-V für docker image pull del C:\inetpub\wwwroot\iisstart.htm
Container-Hosts zu nutzen – auch unter mcr.microsoft.com/windows/
Windows 10. Dazu sind auf dem Win- nanoserver:1809 Möchten Sie die Startseite mit einer ei-
dows 10-Host einige Befehle notwendig: genen Seite ersetzen, nutzen Sie
Die neuen Container-Images von Win-
netsh advfirewall firewall add rule dows Server 2019 sind in der Microsoft echo "Test für den IIS im Windows-
name="docker engine" dir=in Container Registry (MCR) verfügbar. Sie Server-Container" >
action=allow protocol=TCP können als Image für Docker-Container C:\inetpub\wwwroot\index.html
localport=2375 neben der Core-Installation auch eine
Nano-Installation verwenden. Der Na- Als Optionen geben Sie den Namen des
Stop-Service docker no-Server steht als Container-Image zur neuen Containers an sowie das Image.
Verfügung. Möchten Sie einen Container Sobald der Container erstellt wurde, kön-
dockerd --unregister-service erstellen und starten, verwenden Sie den nen Sie ihn in der Befehlszeile mit der
Befehl docker run. Mit dem Docker-Client Eingabeaufforderung und der PowerShell
dockerd -H npipe:// -H 0.0.0.0:2375 durchsuchen Sie den Docker-Hub nach verwalten. Um sich eine Liste aller Con-
--register-service Images. Dazu verwenden Sie zum Beispiel tainer auf einem Container-Host anzu-
das Kommando: zeigen, verwenden Sie den Befehl
Start-Service docker
docker search Microsoft docker ps -a
Erste Schritte mit Docker
Der Befehl docker images zeigt die vor- Neben den vollständigen Images für Die installierte Docker-Version und den
handenen Docker-Images auf Ihrem Windows Server 2019 lassen Sich auch Docker-Client lassen Sie sich mit docker
Windows-Server an. Standardmäßig sind .NET Core Images herunterladen: version aufrufen.
noch keine Images vorhanden. Sie müs-
sen diese daher erst herunterladen und docker image pull Windows-Server-Container und der Host
auf dem Container-Host einbinden. Er- microsoft/dotnet:2.1-sdk-nanoser- teilen sich einen Kernel, da die Container
halten Sie bei der Ausführung des Do- ver-1809 den Kernel des Container-Hosts nutzen.
cker-Befehls eine Fehlermeldung, dass Dabei muss das Basis-Image des Contai-
die Authentifizierung fehlt, müssen Sie docker image pull ners mit dem des Hosts übereinstimmen.
sich zuerst mit docker login und Ihrer microsoft/dotnet:2.1-aspnetcore- Windows Server 2019 kennt hier vier Va-
Docker-ID anmelden. Eine Docker-ID runtime-nanoserver-1809 rianten: Hauptversion, Nebenversion,
Build und die Revision. Die Revisions-
nummer wird aktualisiert, wenn Win-
dows-Updates installiert werden. Das
Starten von Windows-Server-Containern
ist nicht möglich, wenn die Build-Num-
mer nicht übereinstimmt. Das kann zum
Beispiel passieren, wenn Sie Vorabversio-
nen von Windows Server einsetzen oder
aktualisierte Container nutzen.
Stimmt die Buildnummer überein, die

Revisionsnummer aber ist unterschied-
Bild 1: Die Container-Technologie in Windows Server 2019 installieren Sie über die PowerShell. lich, startet der Container zwar, allerdings

Virtualisierung Container
ist der produktive Betrieb nicht empfoh- Rechner. Nach der Installation können Sie lassen sich auch solche Anwendungen zum
len und wird von Microsoft auch nicht mit der Tabulator-Taste durch die Befehle Beispiel mit Kubernetes orchestrieren.
unterstützt. Sie erkennen in der Registry und Optionen des Docker-Clients schal-
im Pfad "HKEY_LOCAL_MACHINE / ten. In der PowerShell importieren Sie das Container erstellen und
Software / Microsoft/Windows NT / Cur- Modul mit Import-Module posh-docker. Serverdienste verwalten
rentVersion", welche Version auf einem Erstellen Sie zum Beispiel mit dem fol-
Container-Host installiert ist. Stellen Sie Container nutzen genden Befehl einen neuen Container
sicher, dass die Tags auf Docker Hub oder Sobald Sie den Container-Host installiert und wechseln durch die Option "-it" in
die Image-Hash-Tabelle in der Beschrei- und gestartet haben, können Sie mit Do- die Befehlszeile, können Sie innerhalb des
bung des Images zur Version des Hosts cker Container-Images bei Microsoft he- Containers die PowerShell starten und
passen. Hyper-V-Container verwenden runterladen und starten. Auf Basis von Installationen vornehmen:
derweil eine eigene Instanz des Windows- Containern lassen sich eigene Images er-
Kernels. Daher müssen die Versionen von stellen. Sie können auch in den Contai- docker run -it --name winiis -p
Container-Host und Container-Image nern Serveranwendungen installieren und 80:80 microsoft/windowsservercore
nicht übereinstimmen. bereitstellen. Wie Sie dabei vorgehen, ha-
ben wir in den vorhergehenden Abschnit- Sobald sich die Befehlszeile des Containers
Hyper-V-Container-Host ten bereits gezeigt. öffnet, beginnen Sie mit dem Befehl power-
einrichten shell auf dem Container eine lokale Power-
Möchten Sie Hyper-V-Container nutzen, Microsoft stellt ein neues Image zur Ver- Shell-Sitzung. Anschließend überprüfen
benötigen Sie auf dem Container-Host fügung, mit dem Windows nahezu kom- Sie zunächst, ob der IIS auf dem Container
noch Hyper-V als Serverrolle. Um dabei plett auch in einem Container betrieben installiert ist. Hier verwenden Sie den glei-
mit einer VM zu arbeiten, müssen Sie für werden kann. Das Image namens "win- chen Befehl wie bei herkömmlichen Ser-
diese die eingebettete (nested) Virtuali- dows" soll mehr Möglichkeiten bieten als vern mit Windows Server 2019:
sierung konfigurieren. Nehmen Sie hier- die Nano- und Core-Bereitstellungen. Es
für auf dem Hyper-V-Host, auf dem Sie bietet auch mehr APIs als die Images für Get-WindowsFeature web-server
den Container betreiben, einige Anpas- Nano-Server (nanoserver) und Core-Ser-
sungen in der PowerShell vor: ver (windowsservercore). Das Image rufen Um den IIS zu installieren, nutzen Sie
Sie in Docker über den folgenden Befehl
#Namen der virtuellen Maschine ab. Dazu muss aber Windows Server 2019 Install-windowsfeature web-server
ersetzen im Einsatz sein:
$vm = "virtual-machine" Sobald der IIS im Container installiert ist,
docker pull können Sie über ipconfig die IP-Adresse
#Virtuellen Prozessor konfigurieren mcr.microsoft.com/windows- des Containers anzeigen lassen und zum
Set-VMProcessor -VMName $vm -Expose- insider:latest Beispiel vom Container-Host aus per
VirtualizationExtensions $true Browser auf die IP-Adresse des Containers
-Count 2 Aktuell sind keine weiteren Details be- zugreifen. Da der IIS installiert ist und Sie
kannt, außer dass das Image über einen den Port 80 auf dem Container aktiviert
#Dynamic Memory ausschalten erweiterten API-Satz verfügt, mehr Diens- haben, wird die Startseite des IIS angezeigt.
Set-VMMemory $vm -DynamicMemoryEnab- te als Nano- und Core-Server bietet und
led $false sich Apps sehr viel leichter integrieren las- Mit docker inspect erhalten Sie erweiterte
sen. Microsoft will auch DirectX integrie- Informationen für Container, auch die
#MAC Spoofing aktivieren ren, sodass auch UI-Tests automatisiert IP-Adresse des Containers. In Windows
Get-VMNetworkAdapter -VMName $vm | mit dem Image durchgeführt werden kön- Server 2019 können Docker-Container
Set-VMNetworkAdapter -MacAddress- nen. Bei dem Image handelt es sich um einen gemeinsamen Netzwerkport nut-
Spoofing On eine nahezu vollständige Win dows- zen. Damit das funktioniert, versetzen
Version, die als Container auf einem Con- Sie den Container-Host in den Docker-
In der VM, die Sie als Container-Host für tainer-Host mit Windows Server 2019 ein- Swarm-Modus:
Docker und Hyper-V-Container nutzen gesetzt werden kann.
wollen, können Sie dann noch Hyper-V docker swarm init --advertise-addr
über die PowerShell installieren Mit dem neuen Windows-Container- 127.0.0.1
Image will Microsoft Entwickler dabei un-
Install-WindowsFeature hyper-v terstützen, nicht nur spezielle Microser- Eigene Images erstellen
vices in Containern zu betreiben, sondern Sie können natürlich auch eigene Images
Mit dem Befehl Install-Module posh-docker auch Anwendungen und Dienste, die bis- erstellen und bearbeiten, zum Beispiel auf
laden Sie die Vervollständigungs-Auto- her die vollständige Installation eines Basis bestehender Container, die Sie wie-
matik für den Docker-Client auf einen Windows-Servers benötigten. Dadurch derum mit docker ps -a anzeigen lassen:

docker commit ID Ordner/ powershell new-item docker build -t iis-dockerfile

meincontainerimage c:\build\Dockerfile -Force c:\Build
Hier ein Beispiel: Die Automatisierung nehmen Sie über Sie können jederzeit erstellte Container
Befehle in der Datei vor. Dazu öffnen Sie mit Ihren Änderungen als neues Image
docker commit 662f25d6d835 die Datei "Dockerfile" in Notepad mit no- speichern und dieses Image wiederum
windowsiis/joosimageiis tepad c:\build\Dockerfile. In der Datei le- für neue Container verwenden. So legen
gen Sie beispielsweise fest, dass ein neues Sie Container mit allen Einstellungen an,
In Docker können Sie also auch Contai- Image erstellt werden soll, das den IIS als die Sie benötigen. Um ein Image zu er-
ner mit bereits installierten Anwendun- Basis nutzt. In der Datei können Sie auch zeugen, verwenden Sie zum Beispiel fol-
gen als neues Image speichern und dieses bestimmen, dass Änderungen an der genden Befehl:
für neue Container verwenden. Ob das Konfiguration vorgenommen werden:
Image erstellt wurde, erfahren Sie mit do- docker commit ID meincontainerimage
cker images. Container löschen Sie wie- FROM microsoft/iis
derum mittels docker rm Name des Con- Sobald Sie das Image erstellt haben, kön-
tainers, der Befehl docker rmi Name des RUN echo "Dockerfile-Test für nen Sie es mit dem Befehl docker images
Images löscht Docker-Images. automatische Bereitstellung" > anzeigen lassen und es als Grundlage für
c:\inetpub\wwwroot\index.html einen neuen Container verwenden:
Um nun zum Beispiel einen Container
mit IIS zur Verfügung zu stellen und da- Generell können Sie bei Dockerfiles mit docker run -it --name dockertest2
rauf aubauend weitere Images zu erstellen, der Anweisung From festlegen, auf wel- meincontainerimage cmd
müssen Sie auf Basis des vorgefertigten cher Basis der neue Container erstellt wer-
Images zunächst einen neuen Container den soll, etwa mit: Container in die Cloud laden
anlegen: Mit dem Befehl docker pull laden Sie Con-
FROM windowsservercore tainerimages aus Ihrem Docker-Konto
docker run -d -p 80:80 microsoft/iis auf den Container-Host, um auf Basis des
ping -t localhost Mit Run legen Sie danach fest, was im Images einen neuen Container zu erstel-
neuen Containerimage geschehen soll. len. Sie können aber auch den umgekehr-
Über den Befehl können Sie auch gleich Sie installieren zum Beispiel mit dem fol- ten Weg gehen, und Images in das Cloud-
die Ports aktivieren (-p) und sicherstel- genden Befehl den IIS in einem neuen konto hochladen. Das hat den Vorteil,
len, dass der IIS als Dienst gestartet wird Containerimage: dass Sie dieses Image jederzeit wieder he-
(-d). Alle gestarteten Container sehen runterladen und auch auf anderen Con-
Sie mit docker ps. Nehmen Sie Änderun- RUN dism.exe /online /enable-feature tainer-Hosts nutzen können. Sie benöti-
gen an einem Container vor, können Sie /all /featurename:iis-webserver gen dazu eine Docker-ID und müssen
diesen Container zum Beispiel als neues /NoRestart sich mit docker login anmelden. Für das
Image speichern und auf dieser Basis Hochladen von Containerimages verwen-
weitere Container. Dazu verwenden Sie Wollen Sie das Visual-Studio-Paket in ei- den Sie diesen Befehl:
den Befehl docker ps -a, um sich den Na- nem Container einrichten, verwenden Sie:
men des Containers anzuzeigen. An- docker push /iis-dockerfile
schließend erzeugen Sie das Image mit RUN start-Process
docker commit: c:\vcredist_x86.exe -ArgumentList Nach dem Upload können Sie mit do-
'/quiet' -Wait cker pull das Image auf Container-Hosts
docker commit ID Neuer Name herunterladen. Wollen Sie das Image
Sie können über ein Dockerfile auch nicht mehr verwenden, löschen Sie es
Dockerfiles für eigene PowerShell-Skripte in ein Containerimage mit dem Befehl
Images erstellen kopieren und ausführen, zum Beispiel mit
Auf Basis dieses Images legen Sie weitere docker rmi Benutzername/
Container an. Der Vorgang lässt sich auch FROM windowsservercore iis-dockerfile
automatisieren, in dem Sie ein "Docker- ADD script.ps1
file" verwenden. Dabei handelt es sich um /windows/temp/script.ps1 Datenbankserver als
eine Anweisungsdatei für neue Container. RUN powershell.exe -executionpolicy Container bereitstellen
Erstellen Sie dazu ein Verzeichnis auf dem bypass c:\windows\temp\script.ps1 Die Bereitstellung von Microsoft SQL
Host und in dem Verzeichnis eine Datei Server 2016/2017/2019 kann über ein
"Dockerfile" (ohne Endung). Sie können Um auf Basis dieser Änderungen wieder Container-Image erfolgen. Das ermög-
den Vorgang zum Beispiel mit der Power- ein Image zu erstellen, verwenden Sie in licht eine schnelle Installation in lokalen
Shell durchführen: diesem Beispiel Rechenzentren, aber auch in der Cloud.

Virtualisierung Container
Bild 2: Das Container-Image für Microsoft SQL Server 2017 und 2019 kann bei Docker und Microsoft heruntergeladen werden.
SQL Server 2019 lässt sich auch mit Win- passenden SQL-Server als Container ein- docker pull
dows Server 2019 als Container bereit- richten und zwar mit der Konfiguration, mcr.microsoft.com/mssql/server:201
stellen. Das ist eine ideale Grundlage, da die die spezifische Anwendung benötigt. 9-CTP3.0-ubuntu
hier Docker und Kubernetes gemeinsam
genutzt werden können. Beide Systeme Die Basis hierfür ist die Möglichkeit, Sobald das Image bereitsteht, können Sie
sind die von Microsoft empfohlenen Lö- SQL Server auch auf einem Linux-Sys- neue Container für die Bereitstellung von
sungen, um SQL Server 2019 als Contai- tem zu installieren. Diese Grundlage SQL Server 2017 erstellen, die die herun-
ner laufen zu lassen. Auf diesem Weg be- dient dem Deployment als Container tergeladenen Images nutzen. Der Befehl
treiben Sie Always-On-Gruppen auch in und das Image wird damit als Linux-Va- dazu lautet:
Containern auf Basis von Docker und riante in Docker verwendet. Daher kann
verwalten diese mit Kubernetes. Als Con- der Container mit dem Linux-basierten docker run -e 'ACCEPT_EULA=Y' -e
tainer-Hosts bietet sich dann Windows SQL Server nicht nur in Windows und 'SA_PASSWORD=Kennwort' -p
Server 2019 an. Linux eingesetzt werden, sondern auch 1433:1433 -d
unter macOS. Alle Systeme, auf denen mcr.microsoft.com/mssql/server:201
Sobald ein Container mit SQL Server be- sich Docker-Container betreiben lassen, 7-latest
reitgestellt ist, ist der Zugriff auf den Con- können SQL Server auch als Container
tainern auch von außerhalb des Netz- installieren. Sollen mehrere Container auf Basis eines
werks möglich. Hier unterstützt SQL Images bereitgestellt werden, definieren
Server in der Container-Bereitstellung im Microsoft stellt die Images für SQL Ser- Sie über die Option "-p" jeweils einen ei-
Grunde genommen alle Tools und Pro- ver unter Docker im Docker-Hub zur genen Port:
gramme, die SQL-Verbindungen ermög- Verfügung [4]. Hier ist das Image für
lichen. Dazu gehören grafische Verwal- SQL Server 2017 und SQL Server 2019 Docker run -e "ACCEPT_EULA=Y" -e
tungstools und Programme genauso, wie verfügbar. Für den Download verwenden "MSSQL_SA_PASSWORD=YourStrong!Pass
Shell-Befehle in Windows, Linux und Sie folgenden Befehl: w0rd" -p 1401:1433 -d mcr.micro-
macOS. Auch die Entwicklungsumge- soft.com/mssql/server:2017-latest
bung Visual Studio Code von Microsoft docker pull
erlaubt die Verbindung zu SQL Server in mcr.microsoft.com/mssql/server docker run -e "ACCEPT_EULA=Y" -e
der Container-Installation. "MSSQL_SA_PASSWORD=YourStrong!Pass
Um das aktuelle Container-Image für Mi- w0rd" -p 1402:1433 -d mcr.micro-
Der Vorteil beim Betrieb von SQL Server crosoft SQL Server 2017 herunterzuladen, soft.com/mssql/server:2017-latest
in einer Container-Umgebung besteht nutzen Sie
auch darin, dass auf Hosts eine größere Das Container-Image ist auch in der Mi-
Anzahl an SQL-Containern betrieben docker pull crosoft Container Registry (MCR) verfüg-
werden kann. Das ermöglicht Hochver- mcr.microsoft.com/mssql/server:201 bar, auch von Linux-Servern aus:
fügbarkeitsszenarien mit Always-On- 7-latest-ubuntu
Gruppen und Anwendungen können ihre sudo docker pull
eigene Datenbank auf einem dedizierten Um SQL Server 2019 herunterzuladen, mcr.microsoft.com/mssql/server:201
SQL-Container speichern anstatt auf ei- nutzen Sie aktuell das folgende Kom- 7-latest
nem zentral betriebenen SQL-Server. Ent- mando. Allerdings wird sich dieses än-
wickler können mit der Bereitstellung ei- dern, sobald neuere Versionen zur Ver- Sobald der Container erzeugt wurde,
ner Anwendung auch gleich den dazu fügung stehen: kann auf ihn zugegriffen werden wie auf

einen herkömmlichen SQL-Server. Die dem Prozess auf dem Host, ist dieser arbeiten wieder mit dem eigentlichen
Bereitstellung des Docker-Containers nicht zu sehen. Container-Host.
überprüfen Sie mit Standardbefehlen,
zum Beispiel mit docker ps -a. Auf dem Host wird in diesem Fall aber Beim Erstellen neuer Container spielen
der Prozess einer neuen VM sichtbar. auch die virtuellen Switches auf dem
Hyper-V-Container erstellen Dabei handelt es sich um den virtuellen Host eine Rolle. Diese zeigen Sie in der
und konfigurieren Computer, der den Hyper-V-Container PowerShell mit Get-VMSwitch an. Con-
Haben Sie Container erstellt, können kapselt und die ausgeführten Prozesse tainer verbinden sich über die virtuellen
Sie diese mit der PowerShell und dem vor dem Hostbetriebssystem schützt. Switches mit dem Netzwerk.
Docker-Client verwalten. Hier gibt es
zunächst keine Unterschiede zwischen Neben herkömmlichen Windows-Ser- Sie können in Containern auch Sitzun-
Hyper-V-Containern und Windows- ver-Containern und Hyper-V-Contai- gen unterbrechen und erneut aufbauen.
Server-Containern. Beim Erstellen eines nern können Sie auf einem Hyper-V- Bei unterbrochenen Sitzungen laufen die
Hyper-V-Containers mit Docker ver- Host auch virtuelle Server erstellen, die Cmdlets in der Sitzung weiter. Um Sit-
wenden sie den Parameter "--isolati- wiederum mit Containern kommunizie- zungen anzuhalten, fortzusetzen und
on=hyperv". Möchten Sie einen her- ren können. Container-Host und Hyper- Ausgaben in unterbrochenen Sitzungen
kömmlichen Container mit Docker zu V-Host schließen sich also nicht aus. anzuzeigen, nutzen Sie Disconnect-PSSes-
einem Hyper-V-Container konvertieren, Herkömmliche Installationen von Win- sion, Connect-PSSession und Receive-
setzen Sie eine Isolierungs-Markierung. dows Server 2019 arbeiten mit Contai- PSSession.
Der Befehl sieht dann zum Beispiel fol- nern und Hyper-V-Containern zusam-
gendermaßen aus: men, genauso wie Core-Server. Die Ser- Möchten Sie von einer lokalen Power-
ver und Dienste lassen sich in einem ge- Shell-Sitzung über das Netzwerk Pro-
Docker run --rm -it --isolation= meinsamen Netzwerk betreiben, auch gramme auf einem Container starten, ver-
hyperv ID des Images cmd zusammen mit anderen Betriebssyste- wenden Sie den Befehl
men wie Windows Server 2012/2012 R2/
Die Vorteile lassen sich an einem Beispiel 2016 oder Linux. Invoke-Command -ContainerId ID
zeigen. Erstellen Sie mit dem folgenden -RunAsAdministrator -ScriptBlock
Befehl einen Container und lassen Sie in Windows-Server-Container in { Befehl } - RunAsAdministrator
diesem Container einen dauerhaften der PowerShell verwalten
Ping-Befehl laufen, ist der Prozess auf Container lassen sich recht einfach über Ein Beispiel für die Ausführung ist:
dem Host selbst zu erkennen: die PowerShell verwalten. Das gilt auch
für lokale Installationen von Container- Invoke-Command -ContainerId
docker run -d cf751d69394a ping Hosts. Nachdem ein Container gestartet b2f55c8c-28d7-4c0c-ab2b-
localhost -t ist, öffnen Sie eine PowerShell-Sitzung 9ee62c9ae6ea -RunAsAdministrator
und verbinden sich mit dem Container. -ScriptBlock { ipconfig }
Der erfolgreich erzeugte Container wird Dadurch verwalten Sie auch Einstellungen -RunAsAdministrator
mit docker ps angezeigt. Mit docker top und Serverdienste im Container. Für den
Name des Containers sehen Sie die Pro- Verbindungsaufbau benötigen Sie die ID Fazit
zesse im Container. In diesem Beispiel des Containers. Diese können Sie zum Microsoft hat die Zeichen der Zeit längst
sehen Sie anschließend den Ping-Prozess Beispiel mit docker ps herausfinden. erkannt und unterstützt Container unter
und dessen ID. Mit dem Befehl get-pro- Windows sowie Linux als Gastsystem.
cess -Name ping lassen Sie sich diese In- Nun geben Sie den Befehl Enter-PSSession Die Administration findet wie gewohnt
formationen anzeigen. Anhand dieser ein. Zusammen mit der Container-ID so- über die PowerShell statt. (dr)
Information ist zu erkennen, dass der wie der Option "RunAsAdministrator"
Prozess die gleiche ID hat wie im Con- bauen Sie so eine Verbindung auf. Der Link-Codes
tainer. Erstellen Sie aber einen Hyper-V- Container besitzt übrigens eine eigene IP-
Container mit dem gleichen Befehl, zum Adresse, damit er mit dem Netzwerk [1] Docker
Beispiel mittels kommunizieren kann. Die Syntax des Be- ebp14
fehls sieht folgendermaßen aus: [2] Docker Toolbox
docker run -d --isolation=hyperv gs2a4
cf751d69394a ping -t localhost Enter-PSSession -ContainerId ID [3] Docker-ID erhalten
-RunAsAdministrator js2c3
können Sie jetzt auf dem gleichen Weg
[4] Docker-Images für die
die ID des Prozesses für den Ping-Be- Befehle, die Sie nun eingeben, werden Bereitstellung von SQL-Servern
fehl abrufen. Dazu verwenden Sie wie- im Container durchgeführt. Mit exit ver- js2c4
der docker top. Suchen Sie erneut nach lassen Sie die Sitzung im Container und

Virtualisierung VM-Snapshots
Snapshots von VMs erstellen
Quelle: ljupco – 123RF

VM-Selfie
von Thomas Joos
Snapshots, oder auch Prüfpunkte,

sichern VMs vor Konfigurationsänderun-
gen oder dienen als Backup. Im Idealfall
lassen sich VMs damit bei Problemen in
wenigen Sekunden in den ursprünglichen
Zustand zurücksetzen. Produktionsprüf-
punkte berücksichtigen bei dieser Art der
Sicherung sogar die aktuellen Workloads.
Wir zeigen, wie Sie optimal mit Prüf-
punkten arbeiten und dabei serverseitige
Leistungseinbrüche verhindern.
S
napshots laufen in Windows Ser- Dazu kommt für Prüfpunkte auch der Server 2016 nicht mehr Fall, aber nur,
ver 2019 im Microsoft-Jargon un- Volume Shadow Service innerhalb der wenn Sie Production Checkpoints akti-
ter der Bezeichnung "Prüfpunkte", aber virtuellen Maschine (VM) zum Einsatz. vieren. Der Vorteil dabei ist, dass Sie da-
auch als Checkpoints werden die Mo- Dabei muss in der VM natürlich Win- durch auch Datenbankserver absichern
mentaufnahmen manchmal bezeichnet. dows verwendet werden. Virtuelle Li- können, zum Beispiel Domänencontroller
Zu beachten ist aber stets, dass Prüfpunk- nux-Server profitieren von der Technik oder virtuelle Exchange-Server.
te keine Daten sichern und damit keine aber trotzdem: Hier kommt der System-
Datensicherung ersetzen, sondern nur ei- puffer zum Einsatz, wenn die Distribu- Virtuelle Linux-Server verwenden in
ne Rückversicherung vor einer Konfigu- tion dies unterstützt. Produktionsprüf- Windows Server 2019 den internen Sys-
rationsänderung auf dem Server bieten. punkte (Production Checkpoints) bieten tempuffer, um einen konsistenten Prüf-
Snapshots halten also den Zustand eines dabei eine Point- in-Time-Abbildung ei- punkt zu erstellen. Sie können aber auch
Servers fest. Datensicherungsprogramm, nes virtuellen Servers, die die produkti- weiterhin noch die herkömmlichen Prüf-
die Hyper-V unterstützen, nutzen aber ven Workloads in der VM komplett mit punkte nutzen. Hyper-V in Windows Ser-
wiederum Prüfpunkte für das schnelle einbezieht. ver 2019 greift standardmäßig auf die
Erstellen von Datensicherungen. neuen Production Checkpoints zurück,
In den Vorgängerversionen von Windows wenn Sie mit der Version 7.x für VMs ar-
In der neuen Serverversion hat Micro- Server 2019 hat Hyper-V nur die virtuel- beiten. Nur ab dieser Version unterstützt
soft Verbesserungen bei den Prüfpunk- len Festplatten, den Status der VM, die Hyper-V die neuen Prüfpunkte.
ten integriert, die die Verwendung deut- Konfiguration der virtuellen Hardware
lich vereinfachen. Außerdem hat Micro- und Konfigurationsdateien in Prüfpunkte Hyper-V in Windows Server 2012 R2
soft mit Windows Server 2016 die Hy- mit einbezogen, das virtuelle Betriebssys- nutzte die Version 5.0 von VMs, die auch
per-V-Funktion "Backup Change Tra- tem aber übergangen. Die Anwendungen in Windows Server 2019 noch verfügbar
cking" eingeführt. Softwarehersteller auf den virtuellen Servern wurden also ist, um Kompatibilität in einem Cluster
müssen durch diese Technik keine zu- nicht berücksichtigt. Daher war es bisher zu erreichen. Beachten Sie, dass dies
sätzlichen Treiber mehr installieren, um nicht sinnvoll, Datenbankserver über nichts mit der Generation der VM zu tun
Änderungen in VMs zu überwachen. Prüfpunkte abzusichern, das galt auch für hat, also Generation 1 oder 2, sondern
Das erleichtert und verbessert die Da- Domänencontroller. dass es sich um eine interne Versions-
tensicherung und macht das Installieren nummer handelt. Windows Server 2019
zusätzlicher Treiber obsolet. Durch Prüfpunkte wurden allerdings die kommt mit der Version 9.x.
Datenbankdateien erfasst. Spielten Sie ei-
Workloads snapshotten nen Prüfpunkt zurück, konnte es passie- Erstellen Sie in Windows Server 2019 eine
Microsoft hat die Prüfpunkte in Win- ren, dass die Datenbankdateien davon be- neue VM, erhält diese automatisch Ver-
dows Server 2019 deutlich verbessert. einträchtigt wurden. Das ist seit Windows sion 9.x. Übernehmen Sie eine VM von

VM-Snapshots Virtualisierung
ter, auch wenn die Server virtualisiert

wurden. Auch System Center Virtual
Machine Manager 2019 kann Production
Checkpoints erstellen.
Produktionsprüfpunkte
konfigurieren
Die Einstellungen für die Production
Checkpoints finden Sie im Hyper-V-Ma-
nager oder im System Center Virtual Ma-
chine Manager in den Eigenschaften von
VMs, wenn Sie auf "Prüfpunkte" klicken.
Setzen Sie noch VMs mit der Version 5
ein, verwenden diese weiterhin die her-
kömmliche Technik für Windows Server
2012 R2. Hier können Sie die Option
"Produktionsprüfpunkte" nicht aktivie-
ren, sondern arbeiten weiterhin mit den
altbekannten Standardprüfpunkten. Bei
VMs ab der Version 7.x lassen sich die
Produktionsprüfpunkte aktivieren. Ent-
fernen Sie den Haken bei "Prüfpunkte
aktivieren", verweigert die VM das Er-
stellen eines Prüfpunktes. Standardmäßig
ist das Erstellen von Prüfpunkten aber
Bild 1: Windows Server 2016/2019 und Windows 10 bieten eine Option für Prüfpunkte, aktiviert.
mit denen sich auch Datenbankserver und Domänencontroller besser absichern lassen.
Nachdem Sie die Option "Produktions-
Servern mit Windows Server 2012 R2, sämtliche VM-Versionen finden Sie im prüfpunkte" aktiviert haben, stellen Sie
kommt weiterhin die alte Version zum Internet unter [1]. über "Erstellen Sie Standardprüfpunkte,
Einsatz. Migrieren können Sie die Version wenn das Erstellen eines Produktions-
in der PowerShell mit dem Cmdlet Up- Durch Produktionsprüfpunkte werden prüfpunkts nicht möglich ist" sicher, dass
date-VmConfigurationVersion. Das Cmdlet die VMs davon in Kenntnis gesetzt, dass das Setzen eines Prüfpunktes auch dann
ein Prüfpunkt erstellt wird. Auch die in- durchgeführt wird, wenn das Gastbe-
Get-VM * | Format-Table Name, ternen Serverdienste der VM werden da- triebssystem diese Funktion nicht un-
Version rüber informiert und können mitgesi- terstützt. Sie können jederzeit die Ein-
chert werden. Auf dieser Basis sichern stellungen von Prüfpunkten anpassen,
zeigt Ihnen die Version aller eingesetzten Sie zum Beispiel Domänencontroller, auch im laufenden Betrieb der VM. Der
VMs an. Die Kompatibilitätsmatrix für Datenbankserver und Exchange effizien- Speicherort für Prüfpunktdateien lässt
Bild 2: Die Version einer virtuellen Maschine können Sie auch in der PowerShell abfragen.

sich aber nur ändern, wenn kein Prüf-

punkt für eine VM vorhanden ist. Sobald
ein Prüfpunkt geschaffen wurde, unab-
hängig davon, ob es sich um einen Pro-
duktions- oder um einen Standardprüf-
punkt handelt, können Sie nunmehr den
Speicherort der Prüfpunkte nicht mehr
verändern.
Die Konfiguration der Prüfpunkte lässt

sich auch in der PowerShell steuern. Dazu
verwenden Sie das Set-VM-Cmdlet. Als
Option nutzen Sie den Namen der VM
sowie die Art der Prüfpunkte, die Sie für
die VM nutzen wollen:
- Prüfpunkte komplett deaktivieren: Set-
VM -Name VM-Name -CheckpointType
Disabled
- Aktivierung und Nutzung von Produk-
tionsprüfpunkten. Ist dies nicht mög- Bild 3: Zu viele Prüfpunkte verkomplizieren die Verwaltung der Systemdateien
lich, erstellt Hyper-V einen Standard- und der virtuellen Festplatten von VMs deutlich.
prüfpunkt: Set-VM -Name VM-Name
-CheckpointType Production und ob es übergeordnete Snapshots gibt. einen Prüfpunkt, sperrt Hyper-V die
- Aktivierung und Nutzung von Produk- Sie können sich mit Get-VMSnapshot na- VHD(X)-Datei des virtuellen Servers vor
tionsprüfpunkten. Ist dies nicht mög- türlich noch mehr Informationen zu Prüf- zukünftigen Änderungen und speichert
lich, erstellt Hyper-V gar keinen Prüf- punkten anzeigen lassen. Wollen Sie In- alle zukünftigen Daten in eine neue dif-
punkt: Set-VM -Name VM-Name formationen zu einem speziellen Prüf- ferenzierende Festplatte (AVHD). Erzeu-
-CheckpointType ProductionOnly punkt erhalten, verwenden Sie gen Sie auf Basis dieses Prüfpunkts einen
- Ausschließliche Nutzung von Standard- weiteren Prüfpunkt, verwendet auch die-
prüfpunkten: Set-VM -Name VM-Name Get-VMSnapshot –VMName Name der VM ser eine neue AVHD(X)-Datei, die wie-
-CheckpointType Standard -Name Name des Prüfpunktes derum auf die vorangegangene AVHD-
Datei verweist. Je mehr Prüfpunkte Sie
Die Prüfpunkte erstellen Sie weiterhin Ausführlichere Informationen erhalten also schaffen, desto mehr AVHD-Dateien
über das Kontextmenü von VMs im Hy- Sie mit: werden angelegt, was die Leistung des
per-V-Manager oder in der PowerShell Servers beeinträchtigt.
mit Checkpoint-VM. Wollen Sie einen Get-VMSnapshot –VMName Name der VM |
Prüfpunkt löschen, verwenden Sie Remo- gm -MemberType Properties Nach dem Setzen eines Prüfpunkts fin-
ve-VMSnapshot. den Sie im entsprechenden Ordner meh-
Wollen Sie noch die Größe von Snapshots rere Dateien. Standardmäßig besteht ein
Im unteren Bereich sehen Sie im Hyper- überprüfen, stellt die PowerShell weitere virtueller Server aus einer VHD(X)-Da-
V-Manager bei "Prüfpunkte" die erstellten Kommandos bereit: tei (seiner virtuellen Festplatte), einer
Sicherungen und können diese jederzeit XML-Datei (alte Version bis Windows
aktivieren oder löschen. Die generelle Get-VMSnapshot –VMName Name der VM | Server 2012 R2), die die Einstellungen
Vorgehensweise bei Produktionsprüf- Get-VMHardDiskDrive | des Servers enthält, sowie den Statusda-
punkten unterscheidet sich also nicht von Get-ChildItem teien mit den Endungen BIN und VSV.
den vorherigen Prüfpunkten. Verwenden Sie Versionen für VMs in
Möchten Sie auf einem Host alle Prüfpunk- Windows Server 2019, bestehen die Kon-
Sie können auch in der PowerShell kon- te löschen, fragen Sie zunächst die Prüf- figurationsdateien für virtuelle Server
trollieren, ob Prüfpunkte für virtuelle Ser- punkte aller VMs ab und übergeben dann aus Binärdateien mit den Endungen
ver auf den Hyper-V-Hosts erstellt wur- das Ergebnis an das Cmdlet zum Löschen: VMCX und VMRS.
den. Dazu nutzen Sie den Befehl
Get-VM | Remove-VMSnapshot Erstellen Sie einen Prüfpunkt, legt der
Get-VM | Get-Vmsnapshot Server zunächst eine neue virtuelle Platte
Leistungseinbrüche vermeiden (AVHD) an. Diese Datei verwendet als
Hier sehen Sie auch, um welchen Typ es So praktisch Snapshots auch sind, erzeu- Basis die VHD-Datei. Der Prüfpunkt
sich bei den einzelnen Snapshots handelt gen sie doch ein Dilemma: Erstellen Sie schreibt zukünftige Änderungen des Ser-

vers in die AVHD-Datei. Ab jetzt verweist

die Konfigurationsdatei des virtuellen
Servers auf die AVHD-Datei, die die Än-
derungen seit dem Prüfpunkt enthält.
Diese verwendet wiederum die VHD-Da-
tei als Grundlage.
Ist nun eine Leseanforderung in der VM

notwendig, muss Hyper-V prüfen, ob
die differenzierende Festplatte die er-
forderlichen Daten speichert. Wenn die
zu lesenden Daten nicht auf der diffe-
renzierenden Festplatte gespeichert sind, Bild 4: Den Speicherort für Prüfpunkte können Sie im Hyper-V-Manager und
muss der Host die Daten aus der über- System Center Virtual Machine Manager 2016/2019 anpassen.
geordneten virtuellen Festplatte lesen.
Diese Vorgänge bremsen die Leseleis- um zum Beispiel drei Prüfpunkte zu ver- vers stark einbrechen. Bewahren Sie Prüf-
tung deutlich aus. Tritt wiederum eine wenden. Eine Prüfpunkt-Datei kann in punkte also nur so lange auf, wie es un-
Schreibanforderung auf, schreibt Hy- einem solchen Szenario durchaus größer bedingt notwendig ist. Löschen Sie einen
per-V die Änderung in die AVHD-Datei, werden als die zugrunde liegende origi- Prüfpunkt, entfernt Hyper-V auch die
denn die VHD-Datei ist durch den Prüf- nale VHD/VHDX-Datei. Konfigurationsdateien. Die differenzie-
punkt vor Änderungen geschützt. Jedes renden Festplatten (AVHD) schreibt Hy-
Mal, wenn Datenänderungen auf dem Setzen Sie den Server zum Stand eines per-V in die produktive virtuelle Festplatte
Server auftreten, führt die AVHD-Datei Prüfpunkts zurück, verwendet Hyper-V (VHD), nachdem Sie den Prüfpunkt ge-
die Speicherung durch. Erstellen Sie nicht mehr die AVHD-Datei, sondern löscht haben. Seit Windows Server 2012
mehrere Prüfpunkte, bauen die AVHD- wieder die originale VHD-Datei. Sie se- R2 findet dieser Vorgang online statt, der
Dateien aufeinander auf und verwenden hen den Verweis zu der AVHD-Datei Server muss dazu nicht neu gestartet wer-
als Basis die originale VHD-Datei. Das auch in der XML-Konfigurationsdatei des den (Onlinemerge).
Schreiben und Lesen der Daten wird Servers, wenn Sie die alte Version 5 ver-
noch weiter verzögert. wenden. In der neuen Version ist das Ver- Prüfpunkte in
zeichnis nicht mehr aus den Konfigura- Hyper-V erstellen
Jeder Prüfpunkt in Hyper-V nutzt eine tionsdateien auszulesen. Ein Prüfpunkt Hyper-V ermöglicht das Erstellen von
eigene AVHD-Datei. Diese Datei spei- eines virtuellen Servers besteht aus der Prüfpunkten auch ohne dass Sie Zusatz-
chert die Änderungen von dem Zeitpunkt BIN- und der VSV-Datei mit der Konfi- anwendungen installieren. Den entspre-
an, an dem der Prüfpunkt mit seiner guration des Servers zum Zeitpunkt des chenden Befehl finden Sie im Kontext-
AVHD-Datei erstellt wurde. Das wird so- Prüfpunkts. In Windows Server 2019 mit menü der virtuellen Computer im Hyper-
lange fortgeführt, bis Sie den Prüfpunkt Version 7.x kommen die VMCX- und V-Manager. Auch über System Center
löschen oder einen neuen Prüfpunkt er- VMRS-Binärdateien zum Einsatz. Virtual Machine Manager lassen sich
stellen. Dadurch markiert Hyper-V die Snapshots aufnehmen.
vorhergehende AVHD-Datei als lesend Schaffen Sie einen weiteren Prüfpunkt,
und die neue AVHD-Datei als schreiben- der auf dem Stand des ersten Prüf- Verwenden Sie die Hyper-V-Replikation
de Datei. Wenn also Prüfpunkt 2 erstellt punkts aufbaut, verwendet dieser eben- in Windows Server 2016/2019, überträgt
ist, nutzt Hyper-V den Prüfpunkt 1 nur falls eine neue differenzierende Fest- der Assistent die Daten auf Basis von
lesend. Sobald Prüfpunkt 3 erstellt ist, platte (AVHD). Diese erhält als Quelle Prüfpunkten und erstellt für bereits über-
konfiguriert Hyper-V Prüfpunkt 2 als le- aber nicht die produktive virtuelle Fest- tragene virtuelle Server auf dem Zielser-
send. Prüfpunkt 1 bleibt lesend, genau platte des Servers (VHD(X)), sondern ver erneut Prüfpunkte. Dabei bleibt der
wie die originale VHD. die AVHD-Datei des vorherigen Prüf- Computer online und steht den Anwen-
punkts. Dies liegt daran, dass der neue dern weiterhin zur Verfügung.
Die Verwendung von virtuellen Festplat- Prüfpunkt auf dem alten Prüfpunkt be-
ten kann schnell unübersichtlich werden, ruht. Daher muss hier ein stufenweiser Die erstellten Prüfpunkte zeigt der Hy-
je mehr Prüfpunkte Sie einsetzen. Dieser Aufbau erfolgen. per-V-Manager im mittleren Bereich der
Vorgang verschlechtert natürlich deutlich Kon- sole an. Hyper-V speichert die Snap-
die Leistung von virtuellen Servern und Da heißt, je mehr Prüfpunkte eines Ser- shots in dem Ordner, den Sie in den Ein-
verkompliziert auch deren Verwaltung vers Sie erstellen, desto mehr differenzie- stellungen des virtuellen Computers im
und Konfiguration. Obwohl die VM ge- rende Festplatten (AVHD) setzen Sie ein, Bereich "Prüfpunkt-Dateispeicherort" an-
nerell nicht mehr Daten nutzt, ist teil- die aufeinander aufbauen. Durch diese geben. Sobald ein Prüfpunkt erstellt ist,
weise bis zu 50 Prozent mehr Platz nötig, Konstruktion kann die Leistung eines Ser- können Sie den Ordner aber wie schon

erwähnt nicht mehr ändern. Löschen Sie Verwalten von Prüfpunkten Restore-VMSnapshot -VMName Name der
alle Prüfpunkte, können Sie den Speicher- Auch für die einzelnen Prüfpunkte steht VM -Name Name des Prüfpunkts
ort wieder anpassen. ein Kontextmenü zur Verfügung, über
das Sie diese steuern. Setzen Sie eine Hy- Die Daten des Prüfpunktes bleiben auf
Rufen Sie den Befehl "Zurücksetzen" im per-V-kompatible Datensicherung ein, der Festplatte erhalten. Diese werden nur
Kontextmenü der VM auf, wendet Hy- kann diese ebenfalls automatisiert einen dann entfernt, wenn Sie einen Prüfpunkt
per-V den letzten erstellten Prüfpunkt solchen Prüfpunkt erstellen und dessen nicht anwenden, sondern löschen. Wollen
an und setzt den Computer auf diesen Daten sichern. Im Kontextmenü von Sie zum Beispiel für alle VMs auf einem
Stand zurück. Prüfpunkten stehen verschiedene Mög- Host den aktuellsten Prüfpunkt anwen-
lichkeiten zur Verfügung: den, verwenden Sie:
Prüfpunkte erzeugen Sie manuell über den
Befehl "Prüfpunkt" im Kontextmenü einer Über "Einstellungen" rufen Sie die Set- Get-VM | Foreach-Object { $_ |
VM oder in der PowerShell mit Checkpoint- tings des virtuellen Computers auf, zu
VM. Sie können dazu auch verschiedene dem dieser Prüfpunkt gehört. Es han- Get-VMSnapshot | Sort CreationTime
Optionen in der PowerShell mitgeben, zum delt es sich dabei um die Einstellungen, | Select -Last 1 | Restore-
Beispiel den Namen der VM, für die Sie die zum Zeitpunkt des Erstellens gültig VMSnapshot -Confirm:$false }
einen Prüfpunkt erstellen wollen und die waren. Haben Sie die Konfiguration
Beschreibung des Prüfpunkts: nach dem Erzeugen des Prüfpunkts ge- Beim "Exportieren" von virtuellen Ser-
ändert, sind diese an dieser Stelle nicht vern in Windows Server 2019 können
Checkpoint-VM zu sehen. Auf diese Weise schützen Sie Sie auch Prüfpunkte berücksichtigen.
-Name Servername auch die Einstellungen von virtuellen Über das Kontextmenü eines Prüfpunkts
-SnapshotName Name des Checkpoint Servern. können Sie daher einen virtuellen Server
mit dem Stand des Prüfpunkts exportie-
Um über das Netzwerk einen Prüfpunkt Über die Option "Anwenden" setzt der ren und auf anderen Servern wieder im-
für eine VM zu erstellen, verwenden Sie: Assistent den virtuellen Computer wie- portieren. Diese Vorgänge lassen sich im
der auf den Stand zurück, an dem Sie laufenden Betrieb der VM durchführen.
Get-VM Name der VM -ComputerName den Prüfpunkt erstellt haben. Vorher Mit "Umbenennen" weisen Sie dem Prüf-
Name des Hyper-V-Hosts | Check- erscheint aber ein Abfragefenster, das punkt einen anderen Namen zu. Hyper-
point-VM Sie auf die Folgen hinweist. Alle nicht V verwendet als Namen normalerweise
gespeicherten Daten gehen verloren, da das Datum und die Uhrzeit. Über diesen
Durch diesen Vorgang erstellt der Server Hyper-V alle Einstellungen und Daten Menübefehl können Sie zum Beispiel
eine neue differenzierende Festplatte aus dem Prüfpunkt in die VM schreibt. noch Informationen hinzufügen, warum
(AVHD) der virtuellen Festplatten (VHD). Außerdem können Sie vorher noch ein- Sie den Prüfpunkt erstellt haben.
Für jede virtuelle Festplatte fertigt Hy- mal einen aktuellen Prüfpunkt erstellen.
per-V eine eigene AVHD-Datei an. Set- Dieser sichert dann den aktuellen Zu- Prüfpunkte löschen
zen Sie auf VHDX-Dateien, dann erstellt stand. Im Gegensatz zum Zurücksetzen Das Löschen von Prüfpunkten ist eine
Hyper-V AVHDX-Dateien. Beim Zu- über das Kontextmenü der VM können wichtige Aufgabe. Dazu stehen im Hy-
rücksetzen eines virtuellen Servers gehen Sie hier nicht nur den letzten Prüfpunkt per-V-Manager im Kontextmenü der
keine Änderungen verloren, sondern die- verwenden, sondern beliebige Prüf- Prüfpunkte verschiedene Menüpunkte
se werden wiederum in einem neuen punkte. Diesen Befehl können Sie auch zur Verfügung. Mit "Prüfpunkt löschen"
Prüfpunkt erfasst. in der PowerShell durchführen: entfernen Sie den Prüfpunkt und die da-
zugehörigen Daten vom Server
Wenn Sie einen Server zurück- und überführen die Daten der
setzen oder einen älteren Prüf- AVHD-Dateien in die produk-
punkt anwenden beziehungs- tiven virtuellen Festplatten
weise Prüfpunkte löschen und (VHD). Beim Löschen eines
die differenzierende Festplatte Prüfpunkts gehen keine Daten
des Prüfpunkts in die überge- verloren, sondern Änderungen,
ordnete VHDX-Datei überfüh- die Sie seit dem Erstellen des
ren, vergrößert sich diese Datei Prüfpunkts in der VM durch-
unter Umständen. In diesem geführt haben, werden in die
Fall sollten Sie diese im Hyper- virtuellen Festplatten des Ser-
V-Manager bearbeiten und ver- vers geschrieben. Anschließend
kleinern. Sie finden dazu im werden der Prüfpunkt und sei-
Aktionen-Bereich den Eintrag ne differenzierende Festplatte
"Datenträger bearbeiten". Bild 5: Prüfpunkte verwalten Sie über deren Kontextmenü. gelöscht.

Windows Server 2019 beherrscht diesen Get-VMSnapshot -VMName TestVM | rationID und mit Windows Server 2016
Vorgang online. Das heißt, der virtuelle Where-Object {$_.CreationTime und 2019 durch die Produktionsprüf-
Server kann weiter in Betrieb sein. Hän- -lt (Get-Date).AddDays(-90) } | punkte besser im Griff, aber generell ist
gen von einem Prüfpunkt aber weitere Remove-VMSnapshot das Sichern von Servern, die eine Da-
Prüfpunkte ab, weil Sie diese nachträglich tenbank bereitstellen, über Prüfpunkte
erstellt haben, dann bleibt die AVHD-Da- Sonderfall Hyper-V-Cluster nicht uneingeschränkt empfehlenswert,
tei vorhanden, nur die Konfiguration der Setzen Sie Hyper-V im Cluster ein, müs- zumindest wenn es sich vermeiden lässt.
Systemdateien wird durchgeführt. Und sen Sie bei der Datensicherung und der Das gleiche gilt übrigens für alle Server,
mit "Prüfpunktunterstruktur löschen" ent- Erstellung von Prüfpunkten einige Dinge die eine Datenbank nutzen, auch Ex-
ledigen Sie sich des aktuellen Prüfpunkts beachten. Sie sollten es möglichst vermei- change und SQL. Sie sollten solche Da-
sowie aller Sicherungen, die Sie nach dem den, Prüfpunkte von laufenden virtuellen tenbanken niemals über Prüfpunkte zu-
Prüfpunkt erstellt haben und die auf die- Maschinen in Clustern zu erzeugen. Set- rücksetzen, und wenn dann nur, wenn
sen aufbauen. Der Vorgang verläuft ähn- zen Sie nämlich einen solchen Prüfpunkt Sie Produktionsprüfpunkte einsetzen.
lich zu "Prüfpunkt löschen", führt aber zurück, setzt dieser nicht nur den Inhalt
alle zusammengehörigen Prüfpunkte zu- der virtuellen Festplatten zurück, sondern In Hyper-V haben Sie weiterhin die Mög-
sammen. Durch diesen Vorgang tilgen Sie auch den des Arbeitsspeichers der VM. lichkeit, einem Gastsystem eine differen-
auch alle untergeordneten Prüfpunkte. zierende virtuelle Festplatte zuzuweisen.
Dieser Umstand bereitet vor allem im Dazu bauen die Festplatten auf eine über-
Liegen für eine VM zum Beispiel die drei Zusammenhang mit der Livemigration geordnete Festplatte mit einer Windows-
Prüfpunkte "Prüfpunkt 1", "Prüfpunkt 2" Probleme. Wenn Sie also Prüfpunkte von Installation auf und speichern die Daten
und "Prüfpunkt 3" vor und bauen die drei VMs in einem Cluster durchführen wol- auf einer eigenen Festplatte. Für DCs ist
Prüfpunkte aufeinander auf, können Sie len, fahren Sie die VM sicherheitshalber das nicht empfohlen, da sich solche Fest-
jederzeit zu Prüfpunkt 2 zurück wechseln herunter. Auch wenn Sie einen Prüf- platten zu leicht wieder in den Ursprungsz-
und die Daten von Prüfpunkt 3 löschen. punkt auf eine VM anwenden wollen, ustand zurückversetzen lassen. Hier gibt
Dazu klicken Sie mit der rechten Maus- sollten Sie die Maschine dazu kurz außer es das gleiche Problem wie auch mit den
taste auf Prüfpunkt 2 und wählen "An- Betrieb nehmen. Prüfpunkten.
wenden" aus dem Menü. Die aktive Mar-
kierung "Jetzt" des virtuellen Servers zeigt Bei Domänencontrollern sichern Prüf- Fazit
den Status des virtuellen Servers an. punkte auch die Active-Directory-Da- Prüfpunkte sind ein wichtiges Hilfsmit-
Durch das Anwenden von Prüfpunkt 2 tenbank. Setzen Sie auf einem Domä- tel in Hyper-V-Umgebungen. Allerdings
wird das "Jetzt" vor Prüfpunkt 3 gescho- nencontroller einen Prüfpunkt zurück, sollten Sie diese Funktion mit Bedacht
ben. Sie können Prüfpunkt 3 nun löschen, kann es zu Inkonsistenzen der AD-Da- einsetzen und nur so viele Prüfpunkte
wenn Sie diesen nicht mehr benötigen. tenbank kommen, die auch die anderen vorhalten, wie notwendig. Prüfpunkte
Durch das Löschen wird er nicht mehr Domänencontroller beeinflusst. Das beeinträchtigen die Leistung von VMs
mit dem virtuellen Server zusammenge- liegt daran, dass im Active Directory und sollten nur dann Verwendung fin-
führt, da sich der Status "Jetzt" oberhalb alle Objekte eine bestimmte Nummer den, wenn auch die Konfiguration der
des Prüfpunktes befindet. besitzen, die Update Sequence Number VM angepasst wird. Setzen Sie mehrere
(USN). Jeder Domänencontroller hat Snapshots ein, kann es schnell passieren,
Löschen Sie Prüfpunkt 3 aber, ohne dass eine eigene Liste dieser USNs und be- dass der Status eines Servers oder dessen
Sie Prüfpunkt 2 anwenden, werden alle findet sich auch selbst in dieser Liste. Daten verloren gehen. Es ist wichtig zu
Änderungen aus Prüfpunkt 3 in Prüf- Setzen Sie einen Prüfpunkt zurück, än- verstehen, wie Hyper-V bei Snapshots
punkt 2 übertragen. Erst dann löscht der dern sich die USNs zahlreicher Objekte, generell vorgeht und welche Daten ge-
Server Prüfpunkt 3. Prüfpunkte können was mit hoher Wahrscheinlichkeit zu löscht werden oder erhalten bleiben.
Sie natürlich auch in der PowerShell lö- Inkonsistenzen führt. In jedem Fall aber
schen. Wollen Sie zum Beispiel Snapshots trennen die anderen Domänencontrol- Mit den neuen Produktionsprüfpunkten
einer bestimmten VM löschen, nutzen ler den wiederhergestellten Domänen- optimiert Microsoft zwar die generelle
Sie den Namen, auf Wunsch auch mit controller vom Netzwerk, um das Pro- Vorgehensweise in Hyper-V, die grund-
Platzhalter: blem zu beheben. sätzliche Struktur der Snapshots bleibt
aber beim Alten. (ln/jp)
Get-VM TestVM | Remove-VMSnapshot Vermeiden Sie daher möglichst Prüf-
–Name Experiment* punkte auf DCs, wenn Sie mit Standard-
Link-Codes
prüfpunkten arbeiten. Bei den neuen
Sie können Snapshots aber auch auf Basis Produktionsprüfpunkten wird auch die [1] Kompatibilitätsmatrix
der Erstellungszeit löschen. Wollen Sie Active-Directory-Datenbank erfasst. für VM-Versionen
alle Snapshots entfernen, die älter als 90 Zwar hat Microsoft das Problem seit jsk11
Tage sind, nutzen Sie Windows Server 2012 R2 mit der Gene-

Virtualisierung Shielded-VMs und Host Guardian Service
Security mit Shielded-VMs und Host Guardian Service
Abschirmung
von Thomas Joos
Qu
ell
e:
int
Der Host Guardian Service sorgt in der
ue
ri –
123
Datacenter Edition für die Sicherheit von VMs.
RF
Virtuelle Server lassen sich so härten und vor
anderen Administratoren, Angreifern und
unberechtigten Zugriffen abschotten. Zu-
sammen mit Shielded-VM verweigert dieser
Sicherheitsmechanismus Angreifern und
Malware den Zugriff auf die Daten der VM.
Auch Netzwerke, die von Angreifern über-
nommen wurden oder bei denen andere
Bereiche kompromittiert sind, stellen keine
Gefahr für derart gesicherte VMs dar.
D
er Host Guardian Service (HGS) Windows Server 2019 unterstützt die Datenverkehr zur Livemigration lässt sich
trennt VMs in Hyper-V besser Ausführung von Ubuntu, Red Hat Enter- mit HGS verschlüsseln.
voneinander. Wenn eine VM durch einen prise Linux und SUSE Linux Enterprise
Angreifer kompromittiert ist, verhindert Server auf abgeschirmten VMs. Sie können in Windows Server 2019 ab-
dieser Dienst die Ausbreitung des Hackers geschirmte VMs auf Maschinen mit in-
oder der Malware. Zusätzlich bietet der Voraussetzungen termittierender Konnektivität zum Host
Host Guardian Service auch Verschlüs- für Shielded-VMs Guardian Service ausführen, indem Sie
selungstechnologien und ermöglicht das Um virtuelle Festplatten einer VM zu ver- die neuen Fallback-HGS- und Offline-
Absichern von VMs auf vielfältigen We- schlüsseln, müssen nicht unbedingt Shiel- Modus-Funktionen nutzen. Der Offline-
gen. So lassen sich die Festplatten mit Bit- ded-VMs zum Einsatz kommen. Seit Modus ermöglicht, geschützte VMs weiter
Locker verschlüsseln, der Zugriff auf die Windows Server 2016 lassen sich auch zu starten, auch wenn HGS nicht erreich-
Konsole einschränken und festlegen, auf virtuelle Trusted Platform Modules bar ist.
welchen Hyper-V-Hosts eine gesicherte (TPM) zu VMs hinzufügen. Dazu steht
VM starten darf. in den VM-Eigenschaften der Menüpunkt Mit "VMConnect Enhanced Session Mo-
"Sicherheit" zur Verfügung. Schalten Sie de" und PowerShell Direct stellen Sie für
Sie können mit dem HGS Hyper-V-Ser- "Trusted Platform Module aktivieren" ein, VMs in Windows Server 2019 die Netz-
ver ab Windows Server 2016 Datacenter um der VM ein virtuelles TPM für die werkverbindung zu Ihrer VM wieder her
Edition schützen. Ältere Versionen oder Verschlüsselung mit BitLocker bereitzu- und aktualisieren deren Konfiguration zu-
Windows Server 2019 Standard Edition stellen. VMs, die Sie auf Basis von BitLo- vor, damit dieser Zugriff funktioniert. Die-
lassen sich nicht mit HGS verbinden. In cker mit einem vTPM verschlüsseln, las- se Funktionen sind automatisch verfügbar,
den abgesicherten VMs können Sie ne- sen sich jederzeit in eine Guarded Fabric wenn Sie eine abgeschirmte VM auf einem
ben Windows Server 2016/2019 auch mit Shielded-VMs integrieren und auch Hyper-V-Host mit Windows Server Ver-
Win-dows Server 2012/2012 R2 betrei- Livemigration ist möglich. Wichtig ist, sion 1803 oder höher platzieren.
ben. Sowohl Windows Server 2019 Da- dass es sich bei der VM um eine Gene-
tacenter als auch der kostenlose Hyper- ration-2-VM handelt. Windows Server 2019 erlaubt Ihnen,
V-Server 2019 können Shielded-VMs den Attestation-Mode des HGS im lau-
auch mit Linux nutzen. Neben dieser VMs können über den Host Guardian fenden Betrieb anzupassen. Dieser Mo-
Neuerung hat Microsoft die Technik der Service auch verschlüsselte Festplatten dus bestimmt, wie sich die geschützten
Shielded-VMs weiter verbessert. Diese nutzen, auch mit vTPM. Dazu setzt Hyper-V-Hosts in der HGS-Infrastruk-
können jetzt auch starten, wenn der HGS Windows Server 2019 auf BitLocker. VMs tur authentifizieren. Microsoft unter-
nicht kontaktiert werden kann. Dazu gibt lassen sich vom non-Shielded-Modus in stützt hier die Authentifizierung mit ei-
es den Offline-Modus. den Shielded-Modus versetzen. Auch der nem TPM-Chip (Hardware-Attestation)

Shielded-VMs und Host Guardian Service Virtualisierung
dem Host Guardian Service. Nur dadurch

ist sichergestellt, dass der Dienst immer
hochverfügbar zur Verfügung steht und
Shielded-VMs auch dann starten können,
wenn ein HGS-Server ausfällt. Shielded
-VMs lassen sich auf Guarded Hosts nur
dann starten, wenn der dazugehörige
HGS verfügbar ist.
Die Absicherung der virtuellen Maschinen

erfolgt durch eine eigene Active-Directo-
ry-Gesamtstruktur, die von der herkömm-
lichen Gesamtstruktur getrennt ist. Diese
wird bei der Einrichtung des HGS auto-
matisch erstellt.
Außerdem legt der Assistent selbstständig

einen Failover-Cluster im Rahmen der
Einrichtung der Serverrolle an. Neben
Bild 1: Grundlage für den Host Guardian Service ist eine Serverrolle, dem Server-Manager können Sie den
die Sie im Server-Manager installieren. Host Guardian Service auch in der Power-
Shell installieren:
oder der Mitgliedschaft in einer Acti- Shielded-VMs", während die abgesicherten
ve-Directory-Gruppe (Admin-Attesta- VMs als "Shielded" oder abgeschirmte be- Install-WindowsFeature
tion). Den Modus im laufenden Betrieb ziehungsweise geschützte VMs bezeichnet -Name HostGuardianServiceRole
zu wechseln, ist zum Beispiel sinnvoll, werden. Für die Verwendung des Dienstes -IncludeManagementTools
wenn Sie zwischen Active Directory und müssen Sie eine VM nicht neu erstellen, -Restart
TPM wechselt möchten, während die sondern können wie erwähnt vorhandene
VMs gestartet bleiben. Ihnen steht al- VMs konvertieren. Für eine neue ge- Durch die Installation der notwendigen
lerdings kein gemischter Modus zur Ver- schützte VM arbeiten Sie mit Vorlagen, Dateien auf dem Server nehmen Sie aber
fügung, sondern Sie müssen zwischen die sich auch in SCVMM nutzen lassen. noch keine Einrichtung vor. Wichtig ist
Hardware-Attestation und Admin-At- jedoch, dass Sie die Hyper-V-Hosts vom
testation wählen. Microsoft empfiehlt den Aufbau eines Host Guardian Service trennen – eine In-
Cluster beziehungsweise den Betrieb von stallation auf einem gemeinsamen Server
Der beste Weg zur Konfiguration und mindestens drei physischen Hosts mit ist nicht möglich.
Überwachung des HGS führt über die
PowerShell. So lassen sich fehlerhafte
Konfigurationen und Probleme schnell
und zuverlässig erkennen und beheben.
Eine Wiederherstellung von Shielded-
VMs unter Server 2019 erfolgt durch den
Transfer der VMs in eine Wiederherstel-
lungsumgebung, die die gleichen Sicher-
heitsanforderungen erfüllt wie die ur-
sprüngliche Umgebung.
Host Guardian Service

als Serverrolle einrichten
Auf die Funktionen zur Absicherung von
VMs greifen Sie über die Installation der
HGS-Serverrolle auf dem Host zu. HGS
installieren Sie dabei getrennt von Hy-
per-V. Der Cluster, in dem Sie HGS instal-
lieren, schützt "Guarded Hosts". Her-
kömmliche VMs tragen in diesem Zusam- Bild 2: Hyper-V-Hosts werden durch ein zusätzliches Serverfeature
menhang die Bezeichnung "Non- an den Host Guardian Service angebunden.

Bild 3: Das Einrichten des HGS in der PowerShell.
VMs mit HGS absichern terstützung durch Host Guardian" instal- Die Absicherung von Hyper-V-Hosts in
Damit der HGS auf einem Hyper-V-Host lieren, was Hyper-V-Funktionen für den der Fabric-Gesamtstruktur erfolgt nor-
als Guarded Host Shielded-VMs betrei- Betrieb von Shielded VMs freischaltet. malerweise über die Mitgliedschaft in ei-
ben kann, muss der Hyper-V-Host vom ner AD-Gruppe, wenn Sie nicht auf UEFI
Host Guardian Service akzeptiert wer- Außerdem müssen Sie bei der Installation und TPM setzen. Wenn Sie nicht wissen,
den. Dazu ist auf den Hyper-V-Hosts in des Hyper-V-Hosts sowie der Anbindung ob ein Host bereits mit einem HGS-Ser-
produktiven Umgebungen ein TPM- an HGS sicherstellen, die Remoteserver- ver verbunden ist, können Sie das mit den
Chip ab Version 2 notwendig, wenn Sie Verwaltungstools für Shielded-VMs zu Cmdlets Get-WindowsFeature HostGuar-
mit der Hardware-Attestation arbeiten. installieren. Diese tragen die Bezeichnung dian und Get-HgsClientConfiguration
Dieser sichert später auch die Shielded- "Abgeschirmte VM-Tools" und werden überprüfen. Dadurch können Sie recht
VMs entsprechend ab. Der Server muss nicht automatisch auf Hyper-V-Hosts in- schnell sicherstellen, ob ein Host ord-
außerdem EFI 2.3.1 mit Secure Boot nut- stalliert, sondern müssen immer manuell nungsgemäß mit der HGS-Infrastruktur
zen. Für die Einrichtung ist in diesem aufgebracht werden. Neue Shielded-VMs verbunden ist.
Fall keine Vertrauensstellung zwischen müssen Sie immer mit dem Typ "Gene-
der Active-Directory-Gesamtstruktur ration 2" anlegen. Host Guardian
des Host Guardian Service und der AD- Service konfigurieren
Gesamtstruktur mit den Hyper-V-Hosts Um bei der HGS-Absicherung den virtu- Wenn Sie auf einem Server die HGS-Ser-
(Fabric) notwendig. Die Einrichtung ist ellen TPM-Chip einzubinden, können Sie verrolle installiert haben, zum Beispiel in
allerdings recht kompliziert. auf das Add-VMTPM-Cmdlet in der der PowerShell mit
PowerShell zurückgreifen. Gleiches gilt für
Setzen Sie Hyper-V-Hosts ein, die weder die notwendigen Tools, um Hyper-V mit Install-WindowsFeature -Name HostGu-
TPM noch UEFI unterstützen, können dem Host Guardian Service zu verbinden: ardianServiceRole -IncludeManage-
Sie die Hosts auch über das Active Di- mentTools -Restart
rectory absichern und an den HGS an- Install-WindowsFeature
binden. Die Absicherung erfolgt in die- -Name HostGuardian erstellen Sie auf dem Server zunächst ei-
sem Fall über AD-Sicherheitsgruppen. ne neue AD-Domäne. Danach initiali-
Dazu erstellen Sie eine weitere AD-Ge- Install-WindowsFeature sieren Sie den HGS-Server. Im ersten
samtstruktur für den HGS und legen eine -Name RSAT-Shielded-VM-Tools Schritt öffnen Sie dazu eine PowerShell-
entsprechende Vertrauensstellung an. Sitzung und konfigurieren die neue Do-
Install-WindowsFeature mäne für HGS:
Um Shielded-VMs zu nutzen, benötigen -Name FabricShieldedTools -Restart
Sie zunächst einen Server beziehungsweise Install-HgsServer -HgsDomainName
Cluster mit HGS. Auf den zu schützenden Dadurch findet aber noch keine Verbin- "hostgs.com" -SafeModeAdministra-
Hyper-V-Hosts müssen Sie neben Hyper- dung statt, sondern es werden lediglich torPassword (read-host -prompt
V noch das Serverfeature "Hyper-V-Un- die notwendigen Daten installiert. Kennwort -assecurestring) -Restart

Bild 4: Hyper-V-Hosts lassen sich in der PowerShell an HGS-Server anbinden.
Danach richten Sie die Umgebung ein. besten mit bedingten Weiterleitungen in Guarded Hosts befinden. In der Power-
Sie können für Testumgebungen ein beiden Umgebungen. Ihr DNS-Server Shell erledigen Sie dies beispielsweise
selbstsigniertes Zertifikat verwenden, in kann nur Anfragen der Clients beantwor- wie folgt:
produktiven Umgebungen ist jedoch ein ten, für die Zonen hinterlegt wurden.
Zertifikat aus den AD-Zertifikatsdiensten Wollen Sie auch andere Zonen auflösen, $HGSDomainName = "hostgs.com"
zu bevorzugen. Die Konfiguration ist am müssen Sie im DNS konfigurieren, welche $ADDomainName = "contoso.int"
einfachsten, wenn Sie die einzelnen Wer- Server gefragt werden sollen. Der DNS- $ADDomainUser = "Administrator"
te, die Sie in der PowerShell angeben müs- Server überprüft zunächst, ob er für die $ADAdminPasswd = "Kennwort"
sen, zuvor in Variablen speichern, wie im Domäne zuständig ist. Wenn er weder netdom trust $HGSDomainName /do-
Listing "Zertifikat für HGS erzeugen" ge- Zone noch Delegation findet, werden die main:$ADDomainName /userD:$ADDo-
zeigt. Tragen Sie bei den jeweiligen Be- DNS-Server gefragt, die über den Eintrag mainName\$ADDomainUser /pass-
fehlen die Daten Ihrer Umgebung ein. "Bedingte Weiterleitungen" in der Kon- wordD:$ADAdminPasswd /add
Die Ausführung der Befehle darf keine solenstruktur hinterlegt sind.
Fehler verursachen. Die Hyper-V-Hosts, die Sie mit HGS ab-
Sobald die Namensauflösung funktio- sichern wollen, müssen Mitglied einer neu-
Anschließend müssen Sie sicherstellen, niert, können Sie auf dem HGS-Server en AD-Gruppe sein. Dazu legen Sie die
dass die Namensauflösung zwischen den die Vertrauensstellung zwischen HGS- AD-Gruppe an und nehmen die Hyper-
beiden Active-Directory-Gesamtstruktu- AD und dem Fabric-AD einrichten, also V-Hosts auf. Zusätzlich müssen Sie noch
ren funktioniert. Dazu arbeiten Sie am Ihrem produktiven AD, in dem sich die die SIDs der Hyper-V-Hosts auslesen und
auf dem HGS-Server importieren. In dieser
Listing: Zertifikat für HGS erzeugen Umgebung gehen wir davon aus, dass die
Fabric-Domäne die Bezeichnung "conto-
$certificatePasswd = "Kennwort"
so.int" hat und der erste Guarded Host die
$signingCertPath = "C:\signingCert.pfx"
$encryptionCertPath = "C:\encryptionCert.pfx" Bezeichnung "hpdl20.contoso.int":
$certStoreLocation = "Cert:\LocalMachine\My"
$certificatePassword = ConvertTo-SecureString -AsPlainText $certificatePasswd -Force
$GuardedGroupName="GuardedHosts"
$signingCert = New-SelfSignedCertificate -DnsName "signing.$env:userdnsdomain" -CertStoreLocation
$certStoreLocation $guardedhost="hpdl20.contoso.int"
Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath $signingCertPath $GroupMember="CN=hpdl20,OU=Compu-
$encryptionCert = New-SelfSignedCertificate -DnsName "encryption.$env:userdnsdomain" ters,DC=contoso,DC=int"
-CertStoreLocation $certStoreLocation
Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath
$guardedGroup = New-ADGroup -Name
$encryptionCertPath $GuardedGroupName -SamAccountName
$HgsServiceName = "hgscontoso" "GuardedHosts" -GroupCategory
Initialize-HGSServer -HgsServiceName $HgsServiceName -SigningCertificatePath $signingCertPath
Security -GroupScope Global
-SigningCertificatePassword $certificatePassword -EncryptionCertificatePath $encryptionCertPath
-EncryptionCertificatePassword $certificatePassword -TrustActiveDirectory -Force Add-ADGroupMember -Identity $Guar-
dedGroupName -Members $GroupMember
Alle Listings zum Download unter www.it-administrator.de Sonderheft II/2019 111

In der PowerShell lesen Sie auch die SID

aus, die Sie später wiederum auf dem
HGS-Server einlesen, um den Hyper-V-
Host als Guarded Host zu konfigurieren.
Danach legen Sie fest, welche AD-Gruppe
in der Fabric-Domäne die sicheren Hy-
per-V-Host enthält:
Add-HgsAttestationHostGroup -Name
"GuardedHosts" -Identifier
"S-1-5-21-260484123-1724494931-
1379840826-1109"
Den Befehl führen Sie wiederum in der

PowerShell des HGS-Servers aus. Die SID
können Sie auch in der PowerShell mit
get-adgroup Name der Gruppe
auslesen. Sind alle notwendigen Features

für die HGS-Anbindung von Hyper-V in-
stalliert, melden Sie sich in der PowerShell
des Hyper-V-Hosts am HGS an. Dazu ist
es wichtig, dass in der Gesamtstruktur mit
den Hyper-V-Hosts die HGS-Domäne als
DNS-Weiterleitung konfiguriert ist und Bild 5: Die Konfiguration einer Shielded VM in
umgekehrt. Im folgenden Beispiel ist der Windows Server 2016 erfolgt über den Reiter "Sicherheit".
Name der GHS-Domäne "hostgs. com".
Den Befehl führen Sie auf dem Hyper-V- in Erfahrung. Vor allem in Umgebungen, In produktiven Umgebungen sollten Sie
Host aus. Beachten Sie, im Befehl die kor- in denen Sie die Bereitstellung erst testen noch die Einträge in der Ereignisanzeige
rekten Daten Ihrer Umgebung einzugeben: und dann aktiv schalten, sollten Sie vor der HGS-Server überwachen. Entweder
der Übernahme in die Produktivumge- nutzen Sie dazu Tools wie System Center
Set-HgsClientConfiguration bung einen Blick auf das Ergebnis dieses Operations Manager oder andere Über-
-AttestationServerUrl Cmdlets werfen. Microsoft bietet White- wachungswerkzeuge. Sie können dazu
"http://hostgs.com/Attestation" paper [1] zur Fehlerbehandlung, wenn auch ein Ereignisabonnement erstellen.
-KeyProtectionServerUrl einzelne Bereiche nicht korrekt funktio- Im Rahmen des Abonnements können
"http://hostgs.com/KeyProtection" nieren. Zusätzlich rufen Sie mit Sie die Ereignisse filtern:
-confirm:$false
Get-HgsServer Microsoft-Windows-HostGuardianSer-
Die erfolgreiche Anmeldung testen Sie vice-Attestation/Admin,Microsoft-
am Guarded Host durch Get-HgsAttestationPolicy Windows-HostGuardianService-Attes-
tation/Operational,Microsoft-Windo
Get-HgsClientConfiguration Informationen zur erstellten Umgebung ws-HostGuardianService-KeyPro-
ab. Hier sollten die URLs und Daten feh- tection/Admin,Microsoft-Windows-
Auf dem HGS-Server überprüfen Sie die lerfrei erscheinen. Die geschützten Hy- HostGuardianService-KeyProtecti-
Konfiguration des Host Guardian Services per-V-Hosts und die angebundenen on/Operational
mit dieser Zeile: SCVMM-Server müssen über diese URLs
mit den Servern kommunizieren können. Shielded-VMs erstellen
Get-HgsTrace Zum Anlegen einer Shielded-VM benö-
-RunDiagnostics Außerdem sollten Sie mit dem Internet tigen Sie eine entsprechende Vorlage so-
Explorer auf dem Server überprüfen, ob wie eine PDK-Datei, die alle Daten des
Die korrekte Konfiguration der Umge- der HGS auf Anfragen antwortet. Dazu Guarded Hosts und seine Zertifikate ent-
bung bringen Sie in der PowerShell mit rufen Sie die URL "http://localhost / Key- hält. Dazu installieren Sie eine neue VM
Protection / service / metadata / 2014-07 / und weisen dieser eine VHDX-Datei zu.
Test-HGSServer -HgsDomainName metadata.xml" auf. Als Antwort erscheint Generell bereiten Sie diese Bereiche auf
HGS-Domäne eine XML-Seite mit Informationen. einem Hyper-V-Host vor, der (noch) nicht

an HGS angebunden ist. Auf diesem in-

stallieren Sie zunächst die notwendigen
Rollen und Features, um Shielded-VMs
zu verwalten. Das geht wieder am ein-
fachsten in der PowerShell mit:
Install-WindowsFeature
-Name RSAT-Shielded-VM-Tools
Install-WindowsFeature
-Name FabricShieldedTools -Restart
Auf dem Hyper-V-Host erzeugen Sie eine

neue VM mit neuer virtueller Festplatte
für die Vorlage. Achten Sie darauf, dass Sie
für die virtuelle Festplatte zwei Partitionen
anlegen, die Sie mit dem NTFS-Dateisys-
tem formatieren. Auch im SCVMM müs-
sen Sie zuerst eine Vorlage für Shielded-
VMs erstellen. Die virtuelle Festplatte, die
Sie als Vorlage verwenden, sollten Sie in Bild 6: Mit dem Assistenten zum Erstellen von geschützten Datendateien sichern Sie Shielded-VMs ab.
einer produktiven Umgebung mit dem
GPT-Partitionsstil initialisieren. Bei der -Version $Version -Certificate lungen dazu finden Sie in den Eigenschaf-
virtuellen Festplatte darf es sich nicht um $certificate ten der Cloud in der SCVMM-Verwal-
einen dynamischen Datenträger in der tungskonsole über "In dieser privaten
Festplattenverwaltung handeln, sondern Ist die Vorlage erzeugt, richten Sie auf Ba- Cloud unterstützt" bei der Option "Un-
Sie müssen einen Basis-Datenträger ver- sis dieser VHDX-Datei eine neue VM ein. terstützung für geschützte VMs". Micro-
wenden. Das liegt daran, dass BitLocker In den Eigenschaften dieser VM können soft empfiehlt, Guarded Hosts in einer ei-
keine dynamischen Festplatten unterstützt. Sie über den Menüpunkt "Sicherheit" Ein- genen Hostgruppe zu betreiben.
stellungen bezüglich der Shielded-VM vor-
Sind alle Features installiert und die vir- nehmen. Wichtig ist, dass Sie das Betriebs- Um Shielded-VMs verwalten zu können,
tuelle Festplatte der VM wurde mit Sysprep system, das in der VHDX-Datei installiert müssen Sie auch SCVMM mit dem HGS-
verallgemeinert, erstellen Sie ein selbstsig- ist, mit Sysprep generalisiert haben. Erst Server verbinden. Dazu benötigen Sie auf
niertes Zertifikat, das Sie für die Shielded- danach bereiten Sie das Betriebssystem dem HGS-Server zunächst einige Informa-
VM-Vorlage verwenden. Damit Sie das mit dem TemplateDiskWizard wie be- tionen, an die Sie mit Get-HgsServer gelan-
Zertifikat später weiter nutzen können, schrieben vor. Dabei setzen Sie entweder gen. Hier sind vor allem die verschiedenen
speichern Sie die Daten in einer Variablen: auf die grafische Oberfläche des Tools URLs von Interesse. In der SCVMM-Kon-
oder auf das Protect-ServerVHDX- sole finden Sie bei "Settings" den Bereich
$certificate = New-SelfSignedCerti- Cmdlet in der PowerShell. Die Konfigu- "General". Hier klicken Sie doppelt auf
ficate -DnsName cert.contoso.int ration ist an dieser Stelle aber noch nicht "Host Guardian Service Settings" (auf deut-
-CertStoreLocation $certStoreLoca- abgeschlossen. Alle notwendigen Sicher- schen Servern "Einstellungen für den Host-
tion -KeyExportPolicy Exportable heitseinstellungen finden Sie im erwähn- Überwachungsdienst").
ten Whitepaper [1].
Anschließend erstellen Sie die signierte Tragen Sie an dieser Stelle die URLs so
Vorlage für die Shielded-VM. Hier ver- Shielded-VMs ein, wie Sie diese mit dem Get-HgsSer-
wenden Sie entweder die PowerShell oder mit SCVMM verwalten ver-Cmdlet abgerufen haben. Danach öff-
den Assistenten "TemplateDiskWizard.exe" Grundsätzlich ist die Verwaltung von nen Sie in der SCVMM-Konsole in der
im Verzeichnis "C:\Windows\System32". Shielded-VMs am besten mit System Cen- Fabric-Ansicht die Eigenschaften des
In der PowerShell gehen Sie so vor: ter Virtual Machine Manager ab Version Hosts, den Sie als Guarded Host konfi-
2016 durchzuführen. Dazu richten Sie die guriert haben. Navigieren Sie jetzt in den
$TemplatePath = "C:\protected_tem- HGS-Infrastruktur ein und konfigurieren Eigenschaften des Hosts zu den HGS-Ein-
plate.vhdx" einen Hyper-V-Host als Guarded Host. stellungen und aktivieren Sie die Unter-
$TemplateName = "MyTemplate" Der Guarded Host muss in SCVMM an- stützung für den Host Guardian Service.
$Version = "1.1.1.1" gebunden sein. Für die Cloud in SCVMM Darüber hinaus setzen Sie hier die Opti-
Protect-ServerVHDX -Path $Template- müssen Sie die hierzu die Unterstützung on, dass der Host die gleichen URLs nut-
Path -TemplateName $TemplateName für Shielded-VMs aktivieren. Die Einstel- zen soll, die Sie bereits in den Eigenschaf-

ten für SCVMM konfiguriert haben. Ru- über das Webportal, zur Verfügung gestellt Nachdem Sie das Zertifikat eingerichtet
fen Sie über das Kontextmenü den Status und gewartet werden sie über die beteiligen und exportiert haben, binden Sie es in
des Hosts auf, dürfen keine Fehler erschei- Microsoft-Server-Produkte, also Windows den HGS-Server ein. Achten Sie dabei da-
nen und die Anbindung an HGS muss Server und SCVMM. rauf, dass die jeweiligen Variablen korrekt
aktiviert und fehlerfrei hinterlegt sein. definiert sind beziehungsweise geben Sie
An dieser Stelle spielen vor allem die Op- Die Installation des Microsoft Azure direkt den jeweiligen Dienstnamen ein:
tionen bei "HGS Client Overall" eine Packs erfolgt über den kostenlosen "Mi-
wichtige Rolle. crosoft Web Platform Installer" [2]. Die- Initialize-HgsServer -HgsServiceName
sen laden Sie herunter und starten die In- $HgsServiceName -EncryptionCerti-
Ist die Vorlage für die Shielded-VM vor- stallation auf dem Server. Dieser bedarf ficateThumbprint $encryptionCert.
bereitet, kopieren Sie diese in die Biblio- dazu einer Internetverbindung, da die Thumbprint -SigningCertificate-
thek von SCVMM und legen auf dieser notwendigen Komponenten herunterge- Thumbprint $signingCert.Thumbprint
Basis eine neue Shielded-VM an. Dazu laden werden müssen. -CommunicationsCertificateT-
müssen Sie lediglich die VHDX-Datei ko- humbprint $signingCert.Thumbprint
pieren. Beim Einsatz von Shielded-VMs Wechseln Sie nach dem Start der Instal- -TrustActiveDirectory -http -https
spielen noch die "Shielded Data Files" eine lationsdatei auf die Registerkarte "Pro- -HttpsCertificatePath ‘C:\Https-
wichtige Rolle. Diese erzeugen Sie mit dukte" und geben Sie im Suchfeld "Azure Certificate.pfx’ -HttpsCertifica-
dem Tool "ShieldingDataFileWizard.exe" Pack" ein. Klicken Sie bei "Windows Azu- tePassword $certificatePassword
aus dem Verzeichnis "C:\Windows\Sys- re Pack: Portal and API" auf "Hinzufügen" -Force
tem32". Auf Basis dieses Assistenten er- und danach auf "Installieren". Ist dies ab-
stellen Sie PDK-Dateien, mit denen Sie geschlossen, rufen Sie auf dem Server zu- Arbeiten Sie mit SCVMM 2016, müssen
neue Shielded VMs aufbauen. Legen Sie nächst die Webseite "https://localhost: Sie noch darauf achten, dass Sie die URLs
in SCVMM eine neue VM an, können Sie 30101 auf ". Zum Azure-Portal gelangen zur Anbindung an den Host Guardian Ser-
bereits während des Vorgangs durch die Sie über die Seite "https://localhost:30091/ vice auf SSL umstellen. Nutzen Sie selbst-
Option "Schutzunterstützung nach der #Workspaces/ WebSystemAdminExten- signierte Zertifikate und nicht die Zertifi-
Bereitstellung in der virtuellen Maschine sion/quickStart". katdienste aus dem Active Directory,
aktivieren" die VM als Shielded-VM kon- müssen Sie das Zertifikat auf den beteiligten
figurieren. Im Rahmen des Einrichtungs- Mit SCVMM haben Sie die Möglichkeit, Servern noch in die Liste der vertrauens-
assistenten benötigen Sie dann die erstellte eine VM Cloud im Portal zu erstellen. würdigen Stammzertifizierungsstellen in-
PDK-Datei. Microsoft zeigt im bereits Anschließend registrieren Sie einen Sys- tegrieren. Auch das erledigen Sie am ein-
vorgestellten Dokument [1] Wege der tem Center Service Provider. Die Vorge- fachsten in der PowerShell:
Fehlerbehandlung dieser nicht ganz ein- hensweise dazu finden Sie ebenfalls über
fachen Aufgabe. das Whitepaper [1]. Sobald Sie die Ein- Import-Certificate -FilePath
richtung vorgenommen haben, erzeugen "C:\temp\HttpsCertificate.cer"
Windows Azure Pack Sie neue VMs mit der Option "Allow Vir- -CertStoreLocation Cert:\LocalMa-
und Shielded VMs tual Machines To Be Shielded" im Web- chine\Root
Unter Windows Server in Verbindung mit portal des Azure Packs.
SCVMM können Sie mit dem "Azure Pack" Fazit
ebenfalls eine Private Cloud mit Shielded- HTTPS für HGS aktivieren Shielded-VMs können sensible virtuelle
VMs aufbauen. Dazu müssen Sie System Per Default kommunizieren Hyper-V- Server mit heiklen Daten recht zuverlässig
Center Service Provider Foundation und Hosts und SCVMM über das HTTP-Pro- schützen. Die Konfiguration ist nicht ein-
das Azure Pack einsetzen. Über dieses Pack tokoll miteinander. In einer produktiven fach und Sie benötigen dazu mehrere Ser-
erhalten Sie ein einfach zu verwendendes Umgebung sollten Sie hier natürlich am ver, auf denen der Host Guardian Service
Webportal, mit dem Sie verschiedene besten SSL aktivieren. Dazu öffnen Sie die installiert ist. In einer idealen Umgebung
Dienste im Netzwerk zur Verfügung zu PowerShell auf dem HGS-Server und legen setzen Sie noch auf den System Center
stellen. Dabei kann es sich um Datenban- ein selbstsigniertes Zertifikat an, das Sie Virtual Machine Manager. Doch auch
ken, Webseiten, virtuelle Server und andere für die Kommunikation per SSL nutzen: wenn es sich lohnt, sich mit Shielded-VMs
Services handeln – und eben auch Shiel- auseinanderzusetzen, ist der Betreib al-
ded-VMs. Verwaltet werden diese Dienste $HttpsCertificate = New-SelfSigned- lerdings eher teuer. Sie benötigen min-
Certificate -DnsName "$HgsService- destens einen Cluster mit Windows Ser-
Link-Codes Name.$env:userdnsdomain" -CertSto- ver 2016 Datacenter Edition und viel Zeit
reLocation Cert:\LocalMachine\My für die Einrichtung, denn für Shielded-
[1] Guarded Fabric and Shielded VMs
gs2m1 Export-PfxCertificate -Cert VMs sind Vorlagen die Voraussetzung.
$HttpsCertificate -Password $cer- Das Setup ist also nicht in wenigen Mi-
[2] Microsoft Web Platform Installer
gs2m2 tificatePassword -FilePath nuten abgeschlossen, sondern benötigt
"c:\HttpsCertificate.pfx" viel Planung und Konzeption. (jp)

Storage Replica Storage
Replikation mit Storage Replica
Identisch
von Thomas Joos
Mit Storage Replica lassen sich ganze

Festplatten blockbasiert zwischen Servern
verschiedener Rechenzentren und der Cloud
replizieren. So sind Daten georedundant
Quelle: Serhii Yaremenko – 123RF

gesichert und im Katastrophenfall sehr gut
geschützt. Aber auch in der Virtualisierung
bieten Storage Replica Vorteile. Doch beim
Einsatz der Technologie sind einige Anforde-
rungen zu beachten. Wir erklären, wie Ad-
mins diese Technik am besten anwenden.
S
torage Replica ist der Replikation und steht danach zur Verfügung. Die Ver- Die beiden Szenarien lassen sich auch
von DFS (Distributed File System) waltung erfolgt zum großen Teil über die zu einem gemeinsamen Einsatzszenario
deutlich überlegen. Deshalb ist zu erwar- PowerShell. Die Lösung dient aber nicht verbinden. In diesem replizieren Sie die
ten, dass Unternehmen, die bisher auf dem Datenschutz, sondern überwiegend Daten eines Clusters zu einem anderen
DFS-Replikation setzen, mit Windows Ser- der Replikation von Daten in einem Clus- Cluster in einem anderen Rechenzen-
ver 2019 auf Storage-Replikation umstellen. ter. Daher findet die Verwaltung in der trum (von Cluster-Knoten 1, Cluster 1
Auch diese arbeitet mit DFS zusammen, grafischen Oberfläche auch vor allem zu Cluster-Knoten 1, Cluster 2). Dabei
kann aber besser Daten replizieren als das über den Failover-Clustermanager statt. sind die Cluster aber nicht auf verschie-
Dateisystem. Zusätzlich erlaubt Storage dene Rechenzentren aufgeteilt, sondern
Replica die Verschlüsselung von Daten. Szenarien für Storage Replica Bestandteil eines einzelnen Rechenzen-
Nicht zuletzt kooperiert Storage Replica Die Speicherreplikation bietet vor allem trums. Die Daten werden also nicht in-
auch perfekt mit Storage Spaces Direct, drei verschiedene Einsatzszenarien. Im nerhalb eines Clusters repliziert, sondern
dem Zusammenfassen mehrerer physi- ersten Szenario replizieren Sie wichtige zwischen verschiedenen Clustern. Die
scher Festplatten von Cluster-Knoten zu Datenträger schnell und einfach auf an- Cluster selbst sind dann natürlich idea-
einem gemeinsamen Datenspeicher. dere Server (von Server A auf Server B), lerweise über verschiedene Rechenzen-
auch in andere Rechenzentren. Dadurch tren verteilt.
In Windows Server 2012 R2 waren die Sto- erhalten Sie eine recht hohe Absicherung
rage-Funktionen der Editionen Standard Ihrer Daten, vor allem im Katastrophen- Das kann Storage Replica
und Datacenter noch identisch. Mit Win- fall. Sie können also auch ohne Cluster Einfach ausgedrückt bietet Storage Replica
dows Server 2016 hat Microsoft allerdings komplette Server oder deren Datenträger die Möglichkeit, auf Block-Level den In-
Unterschiede in den Storage-Features inzwischen verschieden Servern replizieren. halt ganzer Festplatten zwischen Servern
tegriert. So unterstützt nur die Datacen- Das geht natürlich auch zwischen RZs. mit Windows Server 2019 zu replizieren.
ter-Edition alle Funktionen, während in Administratoren verfügen dazu über zahl-
der Standard-Edition Storage Spaces Direct Das zweite Einsatzgebiet ist das Replizie- reiche Einstellungsmöglichkeiten. Die Re-
und Storage Replica fehlen. Wollen Sie also ren von wichtigen Daten in einem Geo- plikation kann synchron und asynchron
die Speicherreplikation nutzen, müssen Cluster, auch Stretched Cluster genannt konfiguriert werden. Mit dem Server-Fea-
Sie auf einen Cluster mit Windows Server (also von Cluster-Knoten 1 zu Cluster- ture von Windows Server 2019 lassen sich
2019 auf Basis der Datacenter-Edition set- Knoten 2). Ein Anwendungsfall kann Dateiserver oder andere Server absichern
zen. Wobei Windows Server 2019 auch in zum Beispiel die Replikation von virtu- und hochverfügbar betreiben, indem Da-
der Standard-Edition erlaubt, ein Volume ellen Servern und deren Konfigurations- ten zwischen den Servern automatisiert
mit einem Ziel zu replizieren. daten sowie virtueller Festplatten zwi- repliziert werden. Größere Unternehmen
schen verschiedenen Rechenzentren sein. können mit der Technologie auch auf
Die Funktion wird als neues Server-Fea- Dabei sind die Cluster-Knoten auf ver- Cluster-Ebene Daten zwischen Rechen-
ture über den Server-Manager installiert schiedene Rechenzentren verteilt. zentren replizieren (Stretched Cluster).

Storage Storage Replica
band und RDAM over Converged Ether-

net (RoCE) sinnvoll. Übertragen lassen
sich die Daten aber auch mit TCP/IP, ohne
dass RDAM im Einsatz ist.
Storage Replica unterstützt zudem andere

Speicherfunktionen. Sie können BitLo-
cker-Laufwerke replizieren sowie Daten-
träger, auf denen die Datendeduplizierung
aktiviert ist. Ebenso sind Multichannel
und Multipath möglich, was vor allem
für die Replikation in Clustern eine wich-
tige Rolle spielt. Die Daten lassen sich
während der Übertragung zwischen
Quell- und Zielserver verschlüsseln und
signieren. Wollen Sie Failover-Szenarien
umsetzen, können Sie auch nur einzelne
Laufwerke verwenden, Sie müssen das
Failover nicht für alle replizierten Lauf-
Bild 1: Storage Replica wird als Server-Feature mit der Bezeichnung "Speicherreplikat" werke eines Servers auf einmal starten.
auf Servern mit Windows Server 2019 installiert.
Einer der sinnvollsten Einsatzgebiete von
Dadurch lassen sich Geo-Cluster aufbau- statische IP-Adressen und die DNS-Na- Storage Replica ist mit Sicherheit die Ver-
en, also Cluster, deren Knoten interna- mensauflösung sicher. Beide Server müs- wendung mit Hyper-V-Clustern. Sie kön-
tional in verschiedenen Rechenzentren sen sich gegenseitig im Netzwerk auflö- nen zum Beispiel zwei Cluster in physisch
verteilt sind. sen können. getrennten Rechenzentren betreiben und
den gemeinsamen Speicher beider Cluster
Der Vorteil der Technologie ist die voll- Storage Replica bietet die synchrone Re- replizieren lassen. Fällt ein Rechenzen-
ständige Unabhängigkeit von Speicher- plikation ganzer Festplatten zwischen trum aus, kann das andere Rechenzen-
produkten und -herstellern. Sie können Standorten und kann daher dem Daten- trum sofort übernehmen.
jeden beliebigen Speicher replizieren, so- verlust durch defekte Server oder Proble-
lange dieser mit einem Server auf Basis men mit dem Dateisystem vorbeugen. Sie Mit GPT-Partitionen
von Windows Server 2019 verbunden ist können in der Konfiguration des Dienstes und ReFS arbeiten
und funktioniert. Die Replikation erfolgt aber auch mit einer asynchronen, also Nutzen Sie Storage Replica, sollten Sie am
über das SMB-Protokoll 3.x. Dabei kann zeitverzögerten Replikation arbeiten. besten mit GPT-Datenträgern und dem
das Protokoll auf die ganze Bandbreite ReFS-Dateisystem arbeiten. Aktuelle Fest-
zurückgreifen, die durch die Adapter zur RDMA mit Storage Replica platten sind so groß, dass neue Partiti-
Verfügung gestellt werden. Sie müssen Interessant für Cluster ist das Zusammen- onstabellen und Dateisysteme gefordert
natürlich darauf achten, dass die Fest- spiel mit RDMA (Remote Direct Memory sind, um die Daten sicher und vor allem
platten des Zielsystems mindestens so Access). Bei dieser Funktion tauschen Ser- performant zu speichern. Das GPT-For-
groß sind wie die des Quellsystems. Sie ver über das Netzwerk Daten des Arbeits- mat für große Festplatten gibt es schon
können auf NTFS oder das ReFS-Datei- speichers auf anderen Servern aus. Diese länger, findet jetzt aber immer mehr Ein-
system setzen, um Daten mit Storage Re- Technik wird vor allem im Hochverfüg- satz, eben vor allem bei Storage Replica.
plica zu synchronisieren. Wichtig dabei barkeitsbereich von Hyper-V-Clustern ge-
ist aber, dass Sie auf dem GPT-Partiti- nutzt. Darüber hinaus ist SMB Direct zwi- Bauen Sie in einen Server eine neue Fest-
onsformat aufbauen. Die Einrichtung der schen Servern mit Windows Server 2012 platte ein, haben Sie die Möglichkeit, zwi-
beteiligten Datenträger müssen Sie vor R2 und höher ständig aktiv. Sie müssen schen zwei Datenträgerpartitionsformaten
der Konfiguration von Storage Replica dazu keine Einstellungen vornehmen oder auszuwählen. Große Datenträger mit mehr
vornehmen. Funktionen installieren. Damit Netzwerk- als 3 TByte profitieren deutlich davon,
verbindungen optimal funktionieren und wenn Sie als Datenträgerformat GPT nut-
Die Netzwerkverbindung zwischen den Sie große Datenmengen über das Netz- zen und als Dateisystem ReFS verwenden.
Servern muss leistungsstark sein, am werk oder WAN mit Storage Replica über- Das Datenträgerpartitionsformat MBR
besten verwenden Sie eine 10-GbE-Ver- tragen können, muss das Netzwerk natür- (Master Boot Record) unterstützt Festplat-
bindung. Für Testzwecke reichen aber lich extrem schnell sein und die Netzwerk- ten mit einer Größe von bis zu 2 TByte.
auch langsamere Verbindungen. Stellen adapter die Funktion unterstützen. Hier Im Vergleich dazu unterstützt das Partiti-
Sie für die beteiligten Windows-Server sind Adapter der Typen iWARP, Infini- onsformat GPT (GUID-Partitionstabelle)

HDDs mit einer Größe von bis zu 18 Exa- Windows den Datenträger mit der rech- die Platten im System an. Anschließend
bytes und bis zu 128 Partitionen. ten Maustaste an und wählen den ent- schalten Sie die Platte mit dem folgenden
sprechenden Befehl aus. Sie können die Befehl online:
Datenträger mit dem GPT-Partitionsfor- Konvertierung aber auch in der Befehls-
mat sind besser vor Ausfällen geschützt. zeile durchführen: Set-Disk Nummer -isOffline $false
Sie besitzen redundante Primär- und Si- 1. Starten Sie eine Eingabeaufforderung Den Partitionierungsstil legen Sie dann
cherungspartitionstabellen. Nachdem Sie 2. Tippen Sie diskpart ein. mit diesem Kommando auf GPT fest:
den Partitionierungsstil festgelegt haben, 3. Geben Sie list disk ein.
arbeiten Sie auf beiden Systemen iden- 4. Tippen Sie select disk Nummer der Initialize-Disk Nummer
tisch. Für die Verwaltung spielt es keine Disk, die Sie konvertieren wollen ein. -PartitionStyle GPT
Rolle, ob Sie auf MBR oder GPT setzen. 5. Geben Sie clean ein.
Sie legen Partitionen und Volumes an, er- 6. Tippen Sie convert gpt ein, den umge- Ein weiteres Beispiel, um einen Daten-
stellen Verzeichnisse und Freigaben und kehrten Weg gehen Sie mit convert mbr. träger zu erstellen und danach gleich zu
vergeben Berechtigungen. formatieren, lautet:
Beim Einsatz von Servern oder Compu-
Auch wenn Sie zwischen MBR und GPT tern mit UEFI-System können Sie GPT Get-Disk 1 | Clear-Disk
wechseln können, sollten Sie die Aus- und MBR-Datenträger zwar mischen, –RemoveData New-Partition
wahl des Partitionierungsstils genau aber 32-Bit-Systeme können dann nur -DiskNumber 1
überdenken. Auf dem Datenträger, auf sehr eingeschränkt oder gar nicht mehr -Use-MaximumSize -IsActive
dem Sie das Betriebssystem und die An- zugreifen. -DriveLetter Z | Format-Volume
wendungen installieren, müssen Sie bei -FileSystem NTFS
einer Konvertierung alles neu installie- In der Datenträgerverwaltung (diskmgmt. -NewFileSystemLabel Data
ren. Das lohnt sich in den seltensten Fäl- msc) finden Sie den Partitionierungsstil
len. Die Konvertierung eines MBR-Da- auf der Registerkarte "Volumes" bei den ReFS versus NTFS
tenträgers in einen GPT-Datenträger Eigenschaften des Datenträgers. Neben dem Partitionsstil spielt noch das
und umgekehrt kann nur durchgeführt Dateisystembei der Replikation eine wich-
werden, wenn der Datenträger leer ist. In der PowerShell lassen Sie sich den Par- tige Rolle. Für Datenfestplatten bietet
Die Vorgänge sollten Sie daher in jedem titionierungsstil mit Windows Server seit Version 2012 wie
Fall vor der Einrichtung von Storage Re- angesprochen das Dateisystem ReFS (Re-
plica vornehmen, da ansonsten alle be- Get-Disk | select FriendlyName, silent File System). Es ist stabiler und
reits replizierten Daten neu repliziert PartitionStyle schützt besser vor Ausfällen des Servers
werden müssen. sowie vor Schäden der Hardware als
anzeigen. Sie können auf diesem Weg eine NTFS. In ReFS können Dateien nur sehr
Für eine solche Konvertierung klicken Festplatte auch offline oder online schal- unwahrscheinlich beschädigt werden. Das
Sie in der Datenträgerverwaltung von ten. Dazu zeigen Sie mit get-disk zunächst spielt bei der Replikation natürlich eine
besonders wichtige Rolle. Außerdem kann
ReFS mit einer größeren Anzahl an Da-
teien und größeren Datenträgern umge-
hen und sich selbst bei Ausfall schneller
reparieren. Das alles sind Punkte, die für
die Storage-Replikation von großer Be-
deutung sind.
ReFS arbeitet besser mit Storage Spaces

Direct zusammen und bietet vollständige
Kompatibilität mit NTFS-Anwendungen
und -Dateifreigaben. Windows-Rechner,
die auf Windows Server 2019 zugreifen
können, haben auch die Möglichkeit,
ReFS zu lesen. Entdeckt ReFS einen Feh-
ler in einem Speicherplatz, veranlasst das
Dateisystem eine Reparatur. Dazu ver-
wendet es gespeicherte Prüfsummen und
Metadaten des Systems. Allerdings ist
dazu bei der Erstellung eines Speicher-
Bild 2: Den Partitionsstil einer Festplatte wählen Sie beim Initialisieren aus. platzes eine Ausfallsicherheit notwendig.

Storage Storage Replica
Auf der anderen Seite lässt sich auf ReFS- auch die Protokolle entsprechend ange- stellen Sie für beide Knoten zwei eigene
Datenträgern weder die Komprimierung passt (Schritt 6). iSCSI-Ziele und weisen diese als Lauf-
noch das verschlüsselte Dateisystem ein- werke zu. Verbinden Sie die Laufwerke
setzen, auch Windows-Datenträgerkon- Um die Speicherreplikation zu nutzen, mit dem iSCSI-Initiator. Erstellen Sie
tingente funktionieren nicht. Außerdem müssen Sie über den Server-Manager danach einen Cluster und fügen Sie die
können Sie Datenträger nicht verklei- das Feature "Speicherreplikat" installie- beiden iSCSI-Laufwerke des Quellser-
nern oder vergrößern wie mit NTFS. Das ren. Die Installation erfolgt nicht über vers als CSV-Laufwerke hinzu (Cluster
spielt bei der Storage-Replikation aber die Serverrollen, sondern als Serverfea- Shared Volume).
ohnehin keine Rolle. ture wie die Cluster-Funktion. Die Ser-
ver, die Sie mit Storage Replica synchro- Für die Verwaltung Storage-Replica-
Um einen Datenträger von FAT32 zu nisieren, müssen in einer gemeinsamen Funktion in der grafischen Oberfläche in
NTFS umzuwandeln, arbeiten Sie in der Active-Directory-Gesamtstruktur be- einem Cluster nutzen Sie den Failover-
Eingabeaufforderung mit dem Befehl con- trieben werden. Hier bedarf es aber nicht Clustermanager. Über den Bereich "Spei-
vert Laufwerksbuchstabe/fs:ntfs. Ein sol- eines Active Directory mit Windows Ser- cher / Datenträger" sehen Sie alle Daten-
ches Kommando gibt es für ReFS aber ver 2016 oder 2019, auch Server 2012 träger, die an den Cluster angebunden
nicht, hier müssen Sie für eine Umwand- R2 ist möglich. Die beteiligten Server sind. Über das Kontextmenü der Daten-
lung immer neu formatieren. müssen aber mit Windows Server 2016 träger starten Sie den Assistenten für die
oder 2019 installiert sein. Die Features Einrichtung von Storage Replica über "Re-
Sie können die Formatierung aber ohne für "Windows-Clustering" und "Spei- plikation / Aktivieren".
weiteres in der Befehlszeile durchführen: cherreplikat" installieren Sie entweder
über den Server-Manager oder in der Im Failover-Clustermanager nehmen Sie
format /fs:ReFS Laufwerksbuchstabe: PowerShell mit: die Einstellungen im Assistenten vor.
Nachdem Sie das Quelllaufwerk im As-
Auch in der PowerShell klappt das gut: Install-WindowsFeature -Name sistenten des Failover-Clustermanagers
Storage-Replica,FS-FileServer ausgewählt haben, wählen Sie das Ziel-
Format-Volume –DriveLetter Lauf- -IncludeManagementTools -Restart laufwerk für die Replikation aus. In die-
werksbuchstabe: -FileSystem ReFS sem Rahmen bestimmen Sie auch ein
–Full Die Features müssen Sie natürlich auf bei- Laufwerk für das Speichern der Logda-
den Servern installieren, deren Festplatten teien. Dieses erreichen Sie in der Power-
Eine Schnellformatierung starten Sie in Sie replizieren. Dazu können Sie ebenfalls Shell durch die Option "DestinationLog-
der Befehlszeile mit die PowerShell nutzen, indem Sie die Na- VolumeName".
men der Server in die Variablen speichern
format /fs:ReFS /q und dann auf den Servern die notwendi- Danach können Sie im Failover-Cluster-
Laufwerksbuchstabe: gen Features aufspielen: manager noch auswählen, ob die Zielfest-
platte schon Daten der Quellfestplatte ent-
Auch für Software-RAIDs in Windows $Replica = " SRV1", "SRV2" hält. In diesem Fall muss der Server nur
Server 2019 lässt sich ReFS verwenden. geänderte Daten übertragen, was Band-
Die Erstellung und Verwaltung ist iden- $ReplicaServer | % {Install-Wind- breite spart. Vor allem bei der Replikation
tisch mit der Verwendung von NTFS. owsFeature -ComputerName $_ -Name in Geo-Clustern kann es daher sinnvoll
Storage-Replica,FS-Fileserver sein, die erste Replikation offline vorzu-
Storage Replica in der Praxis -IncludeManagementTools} nehmen und anschließend erst die Spei-
Die Storage-Replikation läuft im Grunde cherreplikation einrichten. Danach ist der
genommen immer gleich ab. Das Betriebs- Für die Einrichtung benötigen Sie min- Assistent abgeschlossen und beginnt mit
system oder Anwendungen schreiben Blö- destens zwei Server mit Windows Server der Einrichtung der Replikation. Den Sta-
cke auf den Quellserver (Schritt 1). Storage 2019, die Mitglied der Domäne sind und tus sehen Sie im Failover-Clustermanager.
Replica erkennt das und speichert die jeweils über einen Datenträger verfügen, In der Oberfläche ist auch zu erkennen,
Vorgänge in der Protokolldatei. Außer- den Sie replizieren. Sie können dazu ob es sich bei diesem Datenträger um die
dem überträgt der Quellserver die Daten SAS, JBODs, Fibre-Channel-SAN oder Quelle, das Ziel, oder den Datenträger
mit SMB 3.1.1 sowie RDMA zum Ziel- iSCSI-SAN nutzen. Am besten verwen- für Logdateien handelt.
server (Schritt 2). Anschließend schreibt den Sie einen Mix aus HDD und SSD.
der Server im Zielstandort die Daten in Sie können aber problemlos auch iSCSI- Den Status der Replikation ermitteln Sie
sein Protokoll (Schritt 3). Danach bestä- Ziele auf Windows Server 2012 R2 oder in der PowerShell mit dem Get-SRGroup-
tigt der Zielserver die erfolgreiche Repli- Windows Server 2016/2019 erstellen oder Get-SRPartnership-Cmdlet. Die La-
kation (Schritt 4) und der Quellserver und den Cluster-Knoten zuweisen. Da- tenz und die Leistung der Replikation
meldet, dass er die Bestätigung empfan- mit die Replikation eingerichtet werden überprüfen Sie mit dem Test-SRTopolo-
gen hat (Schritt 5). Anschließend werden kann, auch für eine Testumgebung, er- gy-Befehl.

Storage Replica und Druckerfreigabe müssen Sie auf je- GroupNameDest -DestinationCompu-
per PowerShell steuern den Fall freischalten. Das ist notwendig, terName Node01 -DestinationRGName
Für die Replikation alleinstehender Server damit die Kommunikation funktioniert. GroupNameSource -Confirm $true
oder für Skripte können Sie auch die Am besten verwenden Sie die PowerShell
PowerShell verwenden, um die Replika- und folgende Befehle auf einem der be- Sie müssen bei der Einrichtung darauf
tion einzurichten. Dazu definieren Sie die teiligten Server: achten, wie der Name des Zielservers und
wichtigsten Werte zunächst als Variablen der Zielgruppe ist. Arbeiten Sie mit Va-
und erstellen dann auf Basis der Variablen Enable-NetFirewallRule -CimSession riablen, ist die alte Quelle das neue Ziel
die Replikations-Partnerschaft. Quellserver,Ziel-Server -Display- und umgekehrt. Das müssen Sie in den
Group "Remote Desktop","File and Befehlen natürlich berücksichtigen. Um
Wollen Sie zwei Datenträger auf allein- Printer Sharing" die Replikationspartner zu löschen und
stehenden Servern mit Storage Replica neu einzurichten verwenden Sie:
replizieren, benötigen Sie auch hier zwei Nach der Einrichtung überprüfen Sie in
Server mit Windows Server 2016 oder der Ereignisanzeige auf den Servern, ob die Get-SRPartnership |
2019, die Mitglied einer Domäne sind. entsprechenden Einträge für die Erstellung Remove-SRPartnership
Bei der Domäne kann es sich auch um der Gruppe vorhanden sind. Sie finden die
eine Vorgängerversion von Windows Ser- Informationen in der Ereignisanzeige über Get-SRGroup | % { Remove-SRGroup
ver 2016 handeln. Zunächst richten Sie "Anwendungs- und Dienstprotokolle / Mi- -Name $_.name }
auf dem Quellserver eine Storage-Repli- crosoft / Windows / StorageReplica / Ad-
ca-Partnerschaft ein, zum Beispiel mit: min". Auch mit Hilfe der PowerShell brin- Storage Spaces Direct
gen Sie die Informationen auf den Schirm: und Storage Replica
New-SRPartnership -SourceComputer- Zusammen bieten Storage Spaces Direct
Name win1001 -SourceRGName rg01 Get-WinEvent –ProviderName Micro- und Storage Replica die Möglichkeit, geo-
-SourceVolumeName e: -SourceLog- soft-Windows-StorageReplica grafisch getrennte Cluster aufzubauen und
VolumeName e: -DestinationCompu- -MaxEvents 15 | fl deren Daten zu synchronisieren. Dabei
terName win10 -DestinationRGName kommt kein gemeinsamer Speicher im
rg02 -DestinationVolumeName e: Als Ereignisse für den Quellserver kom- Cluster zum Einsatz, sondern die lokal an-
-DestinationLogVolumeName e: men die Events 5002, 2200 und 5015 in geschlossenen Datenträger im Cluster stel-
-LogSizeInBytes 8gb Betracht, während für den Zielserver die len den gemeinsamen Datenträger zur
Ereignisse 2200, 5005, 5015, 5001 und Verfügung. Sinnvolles Einsatzgebiet ist das
Alternativ können Sie die wichtigsten 5009 möglich sind. Mit Replizieren von Daten zwischen verschie-
Daten als Variable speichern und danach denen Clustern, die in unterschiedlichen
die Einrichtung vornehmen. Hier legen Get-NetFirewallRule -CimSession Rechenzentren verteilt sind. Jedes Cluster
Sie auch gleich die Namen der Gruppen Server1,Server2 -DisplayGroup nutzt dabei sein eigenes Storage-Spaces-
fest, in denen sich Quell- und Zielserver "Remote Desktop","File and Printer Direct-System. Die Daten in den beiden
befinden. Sharing" Storage Spaces Direct werden dann durch
Storage Replica zwischen verschiedenen
$quelle = "Node01" lassen Sie sich die Einstellungen anzeigen. Rechenzentren synchronisiert. Natürlich
$Ziel = "Node02" Stellen Sie sicher, dass die Datenträger auf lassen sich Storage Spaces Direct und Sto-
$GroupNameSource = "SyncA" beiden Servern verbunden sind, deren Spei- rage Replica auch getrennt nutzen.
$GroupNameDest = "SyncB" cher Sie replizieren wollen. Legen Sie auf
New-SRPartnership -ReplicationMode den Datenträgern zum Beispiel zwei Par- Fazit
Synchronous -SourceComputerName titionen an, wenn Sie die Funktion testen. Storage Replica erlaubt die Absicherung
$quelle -SourceRGName $ GroupName- Eine Partition dient für Protokolldateien, von wichtigen Servern durch Replikation
Source -SourceVolumeName D: die andere für Daten, die Sie in der Test- in verschiedene Rechenzentren oder den
-SourceLogVolumeName L: umgebung replizieren. In einer produktiven Aufbau eines Geo-Clusters. Damit lassen
-DestinationComputerName $Ziel Umgebung speichern Sie die Protokollda- sich vor allem Hyper-V-Cluster oder Da-
-DestinationRGName $GroupNameDest teien natürlich am besten auf einer eigenen teiserver absichern. Durch die Möglichkeit,
-DestinationVolumeName D: Festplatte. Da das System auf Basis der Pro- einzelne Server, Cluster-Knoten und ganze
-DestinationLogVolumeName L: tokolldateien repliziert, bietet es sich an, Cluster zu replizieren, bietet Storage Re-
-LogSizeInBytes 8GB auf einen sehr schnellen NVMe-Datenträ- plica eine sehr effiziente Replikation von
ger zu setzen. Wollen Sie die Replikations- Daten. Unternehmen, die bisher auf DFS-
Generell kann es sinnvoll sein, die Win- quelle umdrehen, verwenden Sie: Replikation setzen, sollten besonderes Au-
dows-Firewall auf den beteiligten Ser- genmerk auf Storage Replica richten, da
vern zu deaktivieren – vor allem, wenn Set-SRPartnership -NewSourceCompu- die neue Replikationsvariante in jedem
Sie die Funktion noch testen. Die Datei- terName Node02 -SourceRGName Fall effizienter repliziert. (ln/jp)

Quelle: Ian Iankovskii – 123RF
Storage Migration Services
Beweglich
von Thomas Joos
Eine wichtige Aufgabe bei der Servermigration ist

die Übernahme von Dateien und Freigaben auf
den neuen Windows Server 2019. Neu ist hier der
Storage-Migration-Dienst, aber auch mit Robocopy
und dem Dateiserver-Migrationstoolkit lassen sich
Daten übernehmen. Wir zeigen, wie Sie Daten mit
diesen drei Werkzeugen bewegen.
D
en Anfang unseres Workshops mit den Optionen "/w" und "/r" steuern Die Option "/mir" kopiert nur geänderte
macht Robocopy, das die schnelle sowie mit "/reg" als Standard in der Regis- Dateien und löscht Dateien im Zielord-
und einfache Übernahme von Daten über try festlegen. Bei jedem Vorgang verwendet ner, die im Quellordner nicht mehr vor-
die Kommandozeile erlaubt. der Kopiervorgang die Optionen "/w" und handen sind. Das heißt, der erste Ko-
"/r". Sind im Befehlsaufruf diese Optionen piervorgang dauert recht lang, da erst
Robocopy im Einsatz nicht gesetzt, nutzt das Tool die Standard- alle Dateien kopiert werden müssen. Der
Robocopy ist ein Tool für die Eingabeauf- werte. Die Optionen verwendet es dabei zweite geht aber deutlich schneller, da
forderung, das ähnlich wie Xcopy funk- von links nach rechts. Nach unserer Er- nur geänderte Dateien kopiert werden.
tioniert, aber deutlich mehr Möglichkeiten fahrung greifen die meisten Administra- Löschen Sie im Quellordner eine Datei,
bietet. Das Tool gehört zu den Bordmitteln toren auf die Option "/mir" zurück, um so entfernt der Kopiervorgang diese auch
von Windows. Der einfache Aufruf von schnell und einfach eine Spiegelung eines im Backupordner. So erhalten Sie immer
Robocopy sieht folgendermaßen aus: Ordners anzulegen. Wenn Sie Datei- oder eine 1:1-Kopie Ihrer wichtigsten Daten.
Ordnernamen kopieren, die ein Leerzei- Sie können ohne weiteres auch mehrere
robocopy Quelle Ziel Datei(en) chen enthalten, geben Sie den Pfad in An- Ordner sichern. Verwenden Sie in die-
/Option führungszeichen an, zum Beispiel sem Fall einfach mehrmals den Befehl
nacheinander in einem Skript.
Platzhalter sind erlaubt. Wenn Sie keine Robocopy "\fs01\einkauf\
Dateien oder Platzhalter eingeben, verwen- lieferanten 2011" Nur Freigaben und
det Robocopy standardmäßig *.*, kopiert deren Rechte übernehmen
also alle Dateien. Als Quelle und Ziel kann Um die Daten in einer Freigabe auf einen Wollen Sie keine Daten kopieren, sondern
ein Ordner, ein Laufwerk oder auch ein anderen Rechner zu spiegeln, schreiben nur die bestehenden Freigaben und Rech-
UNC-Pfad angegeben sein ("\\Server\Frei- Sie am besten ein Skript mit dem Befehl te vom Quell- auf den Zielserver über-
gabe"). Die Optionen werden hinter dem tragen, benötigen Sie die Registry:
Befehl angehängt. Sie können beliebig viele robocopy Quellordner Sicherungslauf- 1. Öffnen Sie auf dem Server die Registry
Optionen miteinander kombinieren. werk:\Sicherungsordner /mir durch Eingabe von regedit.
2. Navigieren Sie zu "HKEY_LOCAL_
Schlägt der Kopiervorgang einer Datei fehl, Mit dem Kommando MACHINE \ SYSTEM \ CurrentControl-
führt Robocopy innerhalb eines definierten Set \ services \ LanmanServer \ Shares".
Zeitraums einige weitere Versuche durch, robocopy c:\users\thomas\documents 3. Exportieren Sie diesen Schlüssel über
um den Kopiervorgang noch erfolgreich y:\backup /mir das Kontextmenü.
abzuschließen. Robocopy wartet standard- 4. Wollen Sie nicht alle Freigaben über-
mäßig 30 Sekunden und eine Millionen kopiert Windows die Ordner und Da- nehmen, öffnen Sie die exportierte Da-
Versuche, um den Kopiervorgang durch- teien aus dem "Dokumente"-Ordner auf tei und löschen Sie die Einträge der ent-
zuführen. Diese beiden Werte lassen sich das Laufwerk Y: in den Ordner "backup". sprechenden Freigaben.

Storage Migration Services Storage
Gateway installieren. Dadurch wird die

alte Version aktualisiert und Sie können
die neuen Funktionen nutzen.
Die Installation des Admin Centers kann

auch über die Befehlszeile laufen. Das ist
zum Beispiel sinnvoll, wenn das Gateway
auf einem Core-Server installiert werden
soll. Die Installation erfolgt in der Form
msiexec /i InstallerName.msi /qn

Bild 1: Daten lassen sich mit dem Storage Migration Service übernehmen. /L*v log.txt SME_PORT=Port
SSL_CERTIFICATE_OPTION=generate
5. Kopieren Sie die Datei auf den Zielser- Die Übernahme von Daten kann aber
ver und klicken Sie doppelt auf die Da- nicht nur von älteren Windows-Versionen Ein Beispiel sieht so aus:
tei, um sie auf dem Zielserver zu im- aus erfolgen. Auch andere Storage-Syste-
portieren. Beachten Sie aber, dass me wie NAS-Server lassen sich dazu nut- msiexec /i WindowsAdminCenter-
dieser Import die Einträge der vorhan- zen, um Daten zu übernehmen. Aktuell 1809.msi /qn /L*v log.txt
denen Freigaben auf dem Zielserver unterstützt der Windows Storage Migra- SME_PORT=6516 SSL_CERTIFICATE_
überschreibt. tion Service alle Windows-Server ab 2003 OPTION=generate
6. Starten Sie nun den Server neu. bis hin zu 2019. Wenn Windows Server
7. Überprüfen Sie auf dem Server, ob die 2019 verfügbar ist, können auch Daten msiexec /i WindowsAdminCenter-
Freigaben vorhanden sind. von anderen Servern übernommen wer- 1809.msi /qn /L*v log.txt
den; in der Vorschauversion müssen die SME_PORT=Port SME_THUMBPRINT=
Windows Server Storage Server alle Mitglied in einem Active Di- Thumbprint SSL_CERTIFICATE_
Migration Service rectory sein. OPTION=installed
Mit dem in Windows Server 2019 vor-
handenen Dienst lassen sich Daten von Die Verwaltung erfolgt über das neue Wenn das Admin Center auf dem Core-
Freigaben einfacher auf die neue Server- Windows Admin Center. Wenn auf einem Server installiert ist, ist auch hier der
version migrieren. Der Windows Server Server das Feature für den Storage Migra- Zugriff über das Netzwerk mit einem
Storage Migration Service nimmt dabei tion Service installiert ist, zeigt das Win- Webbrowser möglich. Um Core-Server
auch die Benutzerrechte und weitere Ein- dows Admin Center beim Verbinden den wiederum mit dem Admin Center zu ver-
stellungen für die Freigaben mit. Gesteu- Menüpunkt an. Durch einen Klick auf walten, muss auf dem entsprechenden
ert wird der Service über das Windows "Storage Migration Service" starten Sie die Server die Remoteverwaltung aktiviert
Admin Center und die PowerShell. Er Migration. Die Datenübernahme kann sein. Eine zusätzliche Software ist auf den
lässt sich parallel zu Robocopy oder dem daneben auch mit der PowerShell erfolgen. Servern, die mit dem Admin Center ver-
Dateiserver-Migrationstoolkit einsetzen. Hierzu dient ein PowerShell-Modul mit waltet werden, nicht notwendig. Nur das
Der Dienst kann über einen Assistenten der Bezeichnug "StorageMigration-Ser- Gateway muss installiert sein. Die Ver-
auch die IP-Adressen, DNS-Namen und vice". Die zur Verfügung stehenden Be- waltung der angebundenen Server erfolgt
lokale Benutzer übernehmen. Microsoft fehle werden über get-command -Module mit den Standard-Verwaltungstools von
beschreibt in einem Blog-Beitrag [1] die StorageMigrationService angezeigt. Windows Server, die Verbindung über
Vorgehensweise. den Webbrowser.
Migration Service einrichten
Als Quellserver dienen ältere Windows- Zur Steuerung des Storage Migration Ser- Im Netzwerk können durchaus auch
Server, als Zielserver Windows Server vice dient das Windows Admin Center. mehrere Proxys für den Windows Server
2019. Der Hintergrund: Bisher war die Um Daten auf Server mit Windows Server Storage Migration Service zum Einsatz
Übernahme von Daten und Freigaben auf 2019 zu migrieren, installieren Sie wie er- kommen, die durch einen zentralen Or-
neue Dateiserver sehr kompliziert. Das wähnt den Storage Migration Service und chestrator-Dienst gesteuert werden; das
will Microsoft mit Windows Server 2019 den Storage Migration Service Proxy als beschleunigt Migrationen. Wird der Ser-
ändern. Sollen Daten von einem auf einen Serverfeature. Außerdem benötigen Sie ver an das Windows Admin Center an-
anderen Server übertragen werden, kann das angesprochene Windows Admin Cen- gebunden, steht der Menüpunkt zur Mi-
das über einen Storage-Migration-Proxy ter. Die Installation des Gateways besteht gration als eigenständiger Bereich im
erfolgen. Dieser kann als Serverfeature in aus der Bestätigung weniger Fenster. Hier Windows Admin Center zur Verfügung.
Windows Server 2019 installiert werden. richten Sie auch Zertifikate und Ports ein.
Der Dienst selbst wird über den Punkt Erscheint eine neue Version des Windows Über den Bereich der Storage Migration
"Storage Migration Service" aufgespielt. Admin Centers, können Sie diese auf dem erstellen Sie anschließend neue Migrati-

Storage Storage Migration Services
noch problemlos für die Migration zu

Windows Server 2019. Das Tool über-
nimmt komplette Ordner, legt Verzeich-
nisse und Freigaben an, kopiert Dateien
und setzt die NTFS-Rechte korrekt um.
Auch Berichte erstellt die Software. Die
ganze Übernahme findet mit einem ein-
fach zu bedienenden Assistenten statt.
Beim Kopieren der Daten zeigt sich das

Tool sehr fix, sodass auch mehrere hun-
dert GByte kein Problem darstellen. Selbst
das Kopieren nur geänderter Daten ist
Bild 2: Das Hinzufügen vom Servern zur Migrationsliste. möglich, sodass Sie zunächst eine Daten-
sicherung zurücksichern können und
onsjobs, ähnlich zum Umzug von Post- nommen wie die Daten in den Freigaben. dann erst die Daten übernehmen. Das
fächern auf Exchange-Servern. Zunächst Der Status ist im Fenster zu sehen. Die Dateiserver-Migrationstoolkit führt alle
legen Sie einen neuen Auftrag an und Daten auf dem Quellserver bleiben er- Aufgaben in einem Aufwasch durch und
wählen mit "Gerät hinzufügen" die Server halten, Sie können diese bei Bedarf aber Sie können die Konfiguration sehr detail-
und Speichergeräte aus, deren Daten auch löschen. liert über einen Assistenten oder durch
Sie zu Windows Server 2019 migrieren Anpassen einer XML-Datei steuern.
möchten. Sobald die Server angebunden Nach der erfolgreichen Übertragung be-
sind, muss eine Inventur der Quellserver ginnt Schritt 3 der Migration. Hier führen Ein weiterer Vorteil des Dateiserver-Mi-
stattfinden. Dazu wählen Sie "Überprü- Sie die letzten Einstellungen der Migra- grationstoolkits liegt in der Möglichkeit,
fung starten". Hier legen Sie fest, welche tion über einen Assistenten durch. Im mehrere Dateiserver auf einen neuen Ser-
Daten übernommen werden sollen. Tau- Rahmen der Umstellung wird zunächst ver umzuziehen, auch zu DFS – und zwar
chen Fehler auf, können Sie über den wieder der Quellserver gescannt. Auch unabhängig vom Betriebssystem. Mit
Link "Ereignisse" überprüfen, was diese lokale Benutzer und Gruppen lassen sich dem Dateiserver-Migrationstoolkit kön-
verursacht. Die Inventur dauert natürlich auf neue Dateiserver mit Windows Server nen Sie sowohl zu DFS-Stämmen als
einige Zeit, da der Storage Migration Ser- 2019 umziehen. Dabei kann der Dienst auch zu ganz normalen Dateiservern mi-
vice alle Freigaben, Daten und Berechti- auch Dateien migrieren, die derzeit in grieren. DFS als Quelle ist jedoch nicht
gungen einlesen und verarbeiten muss. Verwendung sind, sowie Dateien und möglich, sondern nur als Zielsystem. Da
Bei diesem Schritt der Migration werden Freigaben übernehmen, für die der Ad- die Software auch Server 2008 R2 unter-
noch keine Daten übernommen. Klicken ministrator keine Zugriffsrechte hat. Die stützt, lässt sich die Migration von der
Sie nach der Überprüfung den Server an, Datei-Attribute finden ebenfalls ihren bald nicht mehr unterstützten Version
erhalten Sie einen Überblick zu den Da- Weg auf den neuen Server. Gleiches gilt zum aktuellen Server-Betriebssystem
ten, die sich transferieren lassen. für Netzwerkeinstellungen und den Na- deutlich vereinfachen.
men des Servers.
Danach erfolgt die Verschiebung der Da- Selbst Clusterdienste unterstützt das Tool
ten auf Basis der Einstellungen, die Sie Der Storage Migration Service über- als Quelle und als Ziel. Gibt es bei der
festgelegt haben. Über den Assistenten nimmt übrigens nicht nur lokale Daten, Datenübernahme Probleme, kann das
geben Sie nochmals die Anmeldedaten sondern unterstützt auch hybride Umge- Toolkit einen Rollback durchführen. Er-
für die Migration ein und wählen den bungen. So migrieren Sie beispielsweise kennt das Tool bei der Eintragung von
Zielserver aus, auf den die Daten über- Daten von verschiedenen Dateiservern, Rechten, dass sich bestimmte SIDs nicht
nommen werden sollen. Anschließend auch Windows Server 2019, zu Microsoft auflösen lassen, entfernt es automatisch
wird auch der Zielserver gescannt. Nun Azure. Dabei verwenden Sie als Ziel "Azu- die problematischen Berechtigungen von
kann der Zielserver die Identität des re File Sync" oder "Azure Files" sowie an- den Freigaberechten. Diese Option kön-
Quellservers übernehmen. Die Konfigu- dere Freigaben in der Cloud. Der Storage nen Sie aber einstellen, dazu später mehr.
ration findet dabei über einen Assistenten Migration Service bildet so eine Schnitt- Der generelle Ablauf ist ganz einfach:
statt. Mit "Überprüfen" testet der Storage stelle zwischen verschiedenen Servern in 1. Sie installieren einen neuen Server mit
Migration Service das Zielgerät. Anschlie- allen Richtungen. Windows Server 2019.
ßend starten Sie den Vorgang mit "Über- 2. Im Anschluss installieren Sie das Da-
tragung starten". Dabei wird auch die Installieren des teiserver-Migrationstoolkit und kon-
Namensauflösung entsprechend konfi- Dateiserver-Migrationstoolkit figurieren den Prozess der Migration.
guriert. Bei der Übernahme werden Frei- Auch wenn das Dateiserver-Migrations- Sie benötigen für den Einsatz die .NET
gabe und Berechtigungen genauso über- kit [2] schon älter ist, funktioniert es Framework-Features, die Sie als Ser-

Storage Migration Services Storage
verfeature über den Server-Manager Migrationsprojekt beginnen, erscheint Sie sollten sicherstellen, dass Sie diese Mi-
installieren. zunächst der Willkommensbildschirm gration außerhalb der Geschäftszeiten
3. Wollen Sie nachträglich noch Daten am des Dateiserver-Migrationstoolkit. durchführen, da während des Kopiervor-
Prozess anpassen, konfigurieren Sie ein- gangs alle Anwender von ihren Freigaben
fach die entsprechende XML-Datei des Nachdem Sie diesen Bildschirm bestätigt auf dem Quelldateiserver getrennt wer-
Projekts. Das ist zum Beispiel sinnvoll, haben, legen Sie einen Projektnamen und den. Bis zu dieser Stelle brauchen Sie
wenn Sie den Zielpfad ändern wollen, den Speicherort für die Projektdatei fest. nichts zu befürchten. Hier nehmen Sie
da das Tool als Stammordner immer Die Daten des zu migrierenden Datei- nur allgemeine Angaben vor, ohne Ak-
den Namen des Quellservers verwen- servers werden nicht in diesen Ordner tionen durchzuführen.
det. Diese Konfiguration können Sie migriert. Im Projektordner liegen nur die
nur in der XML-Datei vornehmen. Konfigurationsdaten des Projekts, die Sie Nach dem Beenden des Assistenten be-
4. Sie starten das Projekt und kopieren die bei einem erneuten Start laden können. ginnt die eigentliche Migration. Zunächst
Daten auf den neuen Server. Das Da- Die Konfiguration speichert das Tool in müssen Sie mit "Server hinzufügen" den
teiserver-Migrationstoolkit kopiert die einer XML-Datei, die Sie nachträglich Namen des zu migrierenden Quellservers
Daten, die Ordnerstruktur und die Be- bearbeiten können. Sie können später eingeben. Nachdem Sie den Server hin-
rechtigungen auf den neuen Server. Die den Ordner festlegen, in den die Daten zugefügt haben und der Assistent den Na-
Daten auf dem alten Server bleiben er- kopiert werden. men des Servers auflösen kann, zeigt das
halten, die Freigaben auf Wunsch auch. Tool alle Freigaben auf diesem Server in
Im nächsten Fenster des Assistenten legen der Liste an und markiert diese automa-
Dateiserver-Migrationstoolkit Sie fest, ob Sie einen DFS-Stamm migrie- tisch. Sie können mit dem Tool auch Da-
in der Praxis ren möchten. Wenn Sie einen normalen ten zwischen Dateiservern mit Windows
Nachdem Sie das Dateiserver-Migrati- Dateiserver migrieren wollen, können Sie Server 2019 migrieren.
onstoolkit auf dem neuen Dateiserver in diesem Fenster das Kontrollkästchen
installiert haben, rufen Sie aus der Pro- deaktivieren. Im nächsten Fenster legen Fazit
grammgruppe den Dateiservermigrati- Sie den Speicherort der Dateien und Ord- Um Dateifreigaben auf einen neuen Server
ons-Assistenten auf. Dieser führt Sie ner fest, die von dem zu migrierenden zu migrieren, können Administratoren
durch die Migration. Wollen Sie zu DFS Dateiserver auf den neuen Server kopiert entweder auf Robocopy, den Windows
migrieren, müssen Sie zunächst Vorar- werden sollen. Wenn Sie diese Angaben Server Storage Service oder auf das betagte
beiten durchführen. Dazu später mehr. vorgenommen haben, beenden Sie den Dateiserver-Migrationstoolkit setzen. Na-
Wenn Sie den Assistenten gestartet haben, Assistenten mit "Fertigstellen". An dieser türlich stellt der Server Storage Migration
können Sie entweder ein neues Migrati- Stelle sind keine weiteren Maßnahmen Service in Windows Server 2019, zusam-
onsprojekt anfangen oder ein abgespei- notwendig und der Assistent ist bereit zur men mit der Verwaltung über das Win-
chertes fortsetzen. Wenn Sie ein neues Migration. dows Admin Center, die modernste Mög-
lichkeit dar und kann auch Dateien von
NAS-Systemen zu Windows Server 2019
migrieren.
Durch die Möglichkeit, auch die Namen

und andere Einstellungen anpassen zu
können, bietet der Windows Storage Mi-
gration Service sicher die besten Mög-
lichkeiten, aber auch die beiden anderen
Methoden haben ihre Berechtigungen,
unter Umständen sogar parallel. Vor der
eigentlichen Migration sollten Sie sich
aber mit den einzelnen Möglichkeiten
auseinandersetzen und diese in einer Um-
gebung testen. (dr)
Link-Codes
[1] Vorstellung des

Storage Migration Toolkits
j3p71
[2] Dateiserver-Migrationskit
fs1a2
Bild 3: Die Übertragung der Daten auf den neuen Dateiserver mit dem Migration Service.

Exchange 2019 auf
physischem Server einrichten
Handarbeit
von Christian Schulenburg
Es muss nicht immer virtuell oder in der Wolke

sein: In diesem Workshop zeigen wir Ihnen die
Schritte hin zu einer lokalen und hochverfügba-
ren Exchange-2019-Umgebung. So durchlaufen
wir zunächst die eigentliche Installation und
beschäftigen uns dann mit dem Einrichten der
Zugriffspunkte, die für den ein- und ausgehen-
den Datenverkehrs eine entscheidende Rolle F
3R
12
spielen. Auch das Anbinden via Connectoren o int
–
lfp
ha
sowie die Absicherung des Exchange-Servers uel
le:
Q
stehen auf der Agenda.
P
hysisch oder virtuell ist heute Weiterhin steht durch das Setzen einer platten mit 7200 RPM in einem JBOD.
kaum noch eine Frage, denn in Rolle auf allen Servern ein größerer Pool SAS-Festplatten sind SATA-Festplatten
den meisten Serverräumen haben virtu- an Servern dieser Rolle zur Verfügung, so- aufgrund der besseren Performance und
elle Strukturen Einzug gehalten. Im Be- dass sich die Last besser verteilt und die der geringeren Fehlerrate vorzuziehen.
reich von Exchange hat Microsoft diesen Ausfallsicherheit weiter erhöht. Ein teure SAN-Umgebung ist für einen
Pfad seit Exchange 2016 jedoch verlassen hochverfügbaren Betrieb von Exchange
und bevorzugt den Einsatz von physi- Als Client unterstützt Exchange 2019 Out- nicht nötig. Um die Performance weiter
schen Low-Cost-Servern – nicht zuletzt, look ab 2013. Die Installationsmedien von zu optimieren, setzt Microsoft auf ein op-
um die Komplexität der zusätzlichen Vir- Exchange 2019 lassen sich leider nicht tionales Tiering mit SSDs. Auf diesen wer-
tualisierungsschicht zu entfernen. In die- mehr direkt bei Microsoft-Downloads he- den die sogenannten MetaCache Data-
sem Beitrag schaffen wir eine Umgebung runterladen. Sie beschaffen es zukünftig bases (MCDB) abgelegt, die bis zu 10
aus zwei Windows-2019-Servern, die über nur noch über das Volume Licensing Ser- Prozent der eigentlichen Postfachdaten
Database Availability Groups (DAG) und vice Center, eine Volume-Lizenz voraus- enthalten und die Nutzererfahrung zum
DNS Round Robin (DNS RR) abgesichert gesetzt. Alternativ besteht nur die Mög- Beispiel bei der Anmeldung oder den Da-
werden. Sollten Sie bereits über eine vir- lichkeit über ein Visual-Studio-Abon- tenabruf weiter verbessern. Details zur
tuelle Umgebung verfügen, ist eine Inte- nement, das eine Testversion bereithält. MCDB finden Sie in einem eigenen Bei-
gration von Exchange natürlich problem- Das aktuellste Kumulative Update (CU) trag in diesem Heft auf Seite 150.
los möglich. Wie Sie hier vorgehen, lesen enthält die vollständigen Installationsda-
Sie in im Beitrag auf Seite 141. teien [1], sodass die Exchange-Umgebung Microsoft hat für das Sizing der Umge-
sich im Anschluss direkt auf dem neusten bung einen Requirement Calculator für
Über die Verteilung der Rollen müssen Sie Stand befindet. Exchange 2019 veröffentlicht, der auch
sich keine Gedanken machen, denn Mi- MCDB berücksichtigt und an dem Sie
crosoft hat diese weiter reduziert und es Sizing der Server sich orientieren. In der Excel-Tabelle ge-
ist nur noch die Rolle "Mailbox" übrigge- War in vorangegangenen Exchange-Ver- ben Sie Ihre Rahmendaten ein und am
blieben. "Hub/Transport", "Client Access" sionen die Festplattenperformance noch Ende erhalten Sie eine Konfigurations-
und "Unified Messaging" sind in der Rolle ein wichtiger Faktor, so hat sich dies seit empfehlung für die Zusammenstellung
"Mailbox" aufgegangen. Auf diesem Weg Exchange 2016 deutlich verändert und der Festplatten und die Verteilung der
kommen immer der gleiche Installations- die notwendigen Festplatten-IOPS haben Datenbanken (Bild 1). Den Kalkulator
prozess und die gleiche Konfiguration zum sich bezogen auf Exchange 2003 über 90 und eine Beschreibung zum Sizing [2]
Einsatz. Durch die Vereinheitlichung ver- Prozent reduziert. Die Datenbanken ver- finden Sie ebenfalls im TechNet sowie im
einfacht sich auch die Administration. teilen Sie auf möglichst große SAS-Fest- Artikel ab Seite 132.

Exchange 2019 auf physischem Server einrichten Exchange 2019
.\setup.exe /PrepareDomain
/IAcceptExchangeServerLicenseTerms
Die Befehle bauen aufeinander auf – ein

nachgelagerter Befehl fragt die vorherge-
henden Anpassungen ab und holt diese
gegebenenfalls nach. Die Vorbereitung
des Active Directory wird auch beim Star-
ten des Exchange-Setups geprüft und not-
falls nachgeholt, sofern der Installations-
benutzer über die nötigen Rechte verfügt.
Ist die Aktualisierung abgeschlossen, fra-
gen Sie mit repadmin ab, ob die Replizie-
rung zu allen Domaincontrollern durch-
geführt wurde. In größeren Umgebungen
kann das etwas Zeit in Anspruch nehmen.
Beachten Sie, dass sich nach Abschluss
des Vorganges keine älteren Exchange-
Bild 1: Der Exchange Server Role Requirements Calculator unterstützt Sie bei der Planung der Server
Server mehr installieren lassen.
und befindet sich in der ISO-Datei im Verzeichnis "Support".
Installation von
Umgebung vorbereiten mit Install-WindowsFeature RSAT-ADDS Exchange Server 2019
Für Exchange 2019 müssen alle Domain- die Remoteverwaltungstools für das Acti- Nachdem nun alle Vorbereitungen im
controller auf Windows 2012 R2 Server ve-Directory unter Windows Server 2019 Active Directory getroffen wurden, kön-
laufen. Das Gleiche gilt für die Gesamt- installieren. nen Sie mit der Installation des ersten Ex-
strukturfunktionsebene sowie die Domä- change-Servers beginnen. Die dafür be-
nenfunktionsebene. Um die Gesamtstruk- Führen Sie nun die Exchange-2019-Se- nötigten Windows-Features spielen Sie
turfunktionsebene zu prüfen, öffnen Sie tupdatei mit den folgenden Erweiterun- vorab über folgenden Befehl auf:
das Active-Directory-Domänen und -Ver- gen aus. Den Namen der Exchange-Or-
trauensstellungen-Snap-In und klicken mit ganisation legen Sie über den zweiten Install-WindowsFeature Server-Media-
der rechten Maustaste auf "Active Directo- Schritt fest. Im Beispiel lautet diese Or- Foundation, NET-Framework-45-Fea-
ry-Domänen und -Vertrauensstellungen" ganisation FirstOrg: tures, RPC-over-HTTP-proxy, RSAT-
und danach auf "Gesamtstrukturfunkti- Clustering, RSAT-Clustering-
onsebene heraufstufen". Für die Domä- .\setup.exe /PrepareSchema CmdInterface, RSAT-Clustering-
nenfunktionsebene klicken Sie im gleichen /IAcceptExchangeServerLicenseTerms Mgmt, RSAT-Clustering-PowerShell,
Snap-In mit rechts auf die Domäne und .\setup.exe /PrepareAD WAS-Process-Model, Web-Asp-Net45,
schauen nach der Domänenfunktionsebe- /IAcceptExchangeServerLicenseTerms Web-Basic-Auth, Web-Client-Auth,
ne. Sind die Voraussetzung für Exchange /on:FirstOrg Web-Digest-Auth, Web-Dir-Browsing,
2019 nicht erfüllt, können Sie an dieser
Stelle Funktionsebenen heraufstufen.
Im nächsten Schritt bereiten wir die Acti-

ve-Directory-Struktur vor. Zunächst er-
stellen Sie mit der Setup-Erweiterung
"/PrepareSchema" die Exchange-Attribute
global. Im Anschluss heben Sie mit "/Pre-
pareAD" die globalen Exchange-Objekte
und universelle Sicherheitsgruppen aus
der Taufe. Als Nächstes passt "/Prepare-
Domain" noch einzelne Domänen an, in
denen Exchange auch genutzt wird. Zum
Ausführen müssen Sie Mitglied der Grup-
pen Schema-Admins, Domänen-Admins
und Organisations-Admins sein. Erwei-
tern Sie das Schema direkt von dem zu-
künftigen Exchange-Server, müssen Sie Bild 2: Die Verwaltung von Exchange 2019 erfolgt über das Exchange Administration Center.

Exchange 2019 Exchange 2019 auf physischem Server einrichten
Web-Dyn-Compression, Web-Http-Er- Weitere Informationen zum Setupverlauf nie" und fügen die neue Domain hinzu.
rors, Web-Http-Logging, Web-Http- hält das Exchange-Setup-Log vor, das Sie Damit diese Richtlinie zum Tragen
Redirect, Web-Http-Tracing, Web- im Verzeichnis "C:\ ExchangeSetupLogs \ kommt, nutzen Sie den Link "anwenden"
ISAPI-Ext, Web-ISAPI-Filter, ExchangeSetup.log" finden. Dies ist eine im linken Fenster.
Web-Lgcy-Mgmt-Console, Web-Metaba- gute Anlaufstelle, falls es während der In-
se, Web-Mgmt-Console, Web-Mgmt- stallation zu Problemen kommt. Installie- Einrichten der Zugriffspunkte
Service, Web-Net-Ext45, Web-Re- ren Sie nach der Bereitstellung des ersten In Exchange 2019 wird ein Großteil des
quest-Monitor, Web-Server, Servers direkt den zweiten Exchange-2019- Datenverkehrs über HTTPS abgewickelt,
Web-Stat-Compression, Web-Static- Server nach dem gleichen Muster. weshalb die Zugangspunkte umso wich-
Content, Web-Windows-Auth, Web- tiger sind. Um zu verstehen, welche URLs
WMI, Windows-Identity-Foundation, Administration Center Sie für welchen Dienst nutzen, finden Sie
RSAT-ADDS und Installationsprüfung im Folgenden einen Überblick über die
Die Administration erfolgt in Exchange verschiedenen virtuellen Verzeichnisse
Alternativ lassen sie sich während der In- 2019 über das Exchange Administration und ihrer Funktion:
stallation von Exchange automatisch Center (EAC), das Sie im Browser über - Outlook Anywhere: Dabei handelt es
nachinstallieren. Während des Setups "https://servername/ecp" aufrufen. Das sich um den Zugriffspunkt für Outlook.
müssen Sie hierfür den Punkt "Für die EAC unterstützt alle gängigen Browser. - Exchange ActiveSync (EAS): Über die-
Installation von Exchange Server erfor- Alternativ erfolgt die Konfiguration per sen Dienst kommunizieren mobile
derlichen Windows Server-Rollen und - Exchange Management Shell (EMS), über Clients mit dem Server. Auch Windows
Funktionen automatisch installieren" ak- die Sie wesentlich mehr Konfigurations- Mail und Outlook ab Version 2013 las-
tivieren. Einzig das Windows-Feature möglichkeiten als über das EAC haben. sen sich über dieses Protokoll anbinden.
"Media Foundation" müssen Sie bereits Das EAC als auch die EMS können Sie - Exchange-Webdienste (EWS): Diese
vorab mit Install-WindowsFeature Server- über den Startbildschirm aufrufen. Um sind eine wichtige Schnittstelle für Ap-
Media-Foundation auf die Hardware brin- sicherzustellen, dass alles funktioniert plikationen, um auf Inhalte von Ex-
gen, damit sich die Unified Communica- und richtig installiert wurde, prüfen Sie change zuzugreifen. Outlook nutzt die
tions Managed API aufspielen lässt. zunächst mit Dienste unter anderem zum Abrufen
des Verfügbarkeitsdienstes und den Ab-
Als Nächstes installieren Sie Visual C++ Get-ExchangeServer |ft Name, wesenheitsassistenten.
und das .NET Framework 4.8, das in ServerRole –AutoSize - Offline Address Book (OAB): stellt den
kommenden CUs zur Voraussetzung wird Clients das Offline-Adressbuch zur Ver-
[3]. Installieren Sie im Anschluss noch welche Server mit welcher Rolle sich nun fügung.
die Microsoft Unified Communications im Netzwerk befinden. Schauen Sie auch - Outlook Web App (OWA): bietet den
Managed API 4.0 Runtime [4]. gleich mit Test-ServiceHealth und Get- Nutzern einen Browserclient zur E-
HealthReport nach, ob alle Dienste auf Mail-Bearbeitung.
Damit sind alle Voraussetzung erfüllt. Ru- den neuen Servern laufen. Bevor es wei- - Exchange Admin Center (ECP): ist die
fen Sie nun das Exchange-2019-Setup auf tergeht, verschieben Sie am besten die be- Administrationsoberfläche in Exchange
und folgen Sie den Anweisungen auf dem reits angelegten Datenbanken an den vor- 2019 und wird über das IIS-Verzeichnis
Bildschirm. Während Sie die Setup-Routine gesehenen Ort und geben Sie ihnen einen ECP angesprochen.
ausführen, wird auch die Bereitschaft des sprechenden Namen. Am schnellsten geht - Autodiscover: Über die URL fragen die
Servers geprüft, was nun ohne Beanstan- das mit folgendem Befehl: Clients die Zugriffspunkte am Server ab.
dungen durchlaufen sollte, sodass am Ende - Powershell: ist der Zugriffspunkt bei
Exchange 2019 installiert wird. Kommt es Get-MailboxDatabase -Server EX1 | der Nutzung der RemotePowerShell.
während der Installation zu Fehlern, kön- Set-MailboxDatabase -Name DB01
nen Sie das Setup durch ein erneutes Auf- Move-DatabasePath DB01 -EdbFilePath Seit Exchange 2007 empfiehlt Microsoft
rufen fortsetzen. Das Setup erkennt dabei D:\Datenbanken\DB01\MBXDB01.edb die Nutzung des gleichen Namensbereichs
die offenen Punkte und holt diese nach. -LogFolderPath für die interne und externe Anbindung.
D:\Datenbanken\DB01\ Als Name für sämtliche Clientzugriffe auf
Eine unbeaufsichtigte Installation ist eben- allen Servern einer Umgebung reicht
so möglich. Hierfür müsse Sie die Setup- Richten Sie nun im EAC über den Punkt "mail.domäne.de". Neben dem Zugriffs-
datei mit den entsprechenden Parametern "Nachrichtenfluss / Akzeptierte Domä- punkt für die Clients erstellen Sie als zwei-
in einer Commandline ausführen: nen" eine neue akzeptierte Domain ein, ten DNS-Eintrag ein Autodiscovereintrag:
für die Sie senden und empfangen möch- "autodiscover.domäne.de". Optional rich-
Setup /mode:Install /role:MB ten. Im letzten Schritt erstellen Sie, eben- ten Sie noch Namen für andere Dienste,
/OrganizationName:"FirstOrg" falls im Bereich "Nachrichtenfluss" im wie "imap.domäne.de" oder "smtp.domä-
/IAcceptExchangeServerLicenseTerms EAC, noch eine neue Adressrichtlinie ne.de" ein. Einen Überblick zur Namens-
/InstallWindowsComponents unter dem Punkt "E-Mail-Adressrichtli- auflösung finden Sie in Bild 3.

Sofern die interne Domäne nicht dem ex-

ternen Domänennamen entspricht, führen
Sie ein Split-DNS in Ihrer Domain ein.
Beim Split-DNS richten Sie eine lokale Zo-
ne mit dem externen Namen ein, die mit
den passenden Namen auf die internen IP-
Adressen der Server referenziert. Dies wird
auch notwendig, da offizielle Zertifikats-
stellen zukünftig keine internen Domänen-
namen beziehungsweise IP-Adressen in
neuen Zertifikaten hinterlegen, sodass Sie
um eine einheitliche Benennung kaum he-
rumkommen. Für ein Split-DNS legen Sie
zunächst im DNS eine zusätzliche Reverse
Lookup Zone mit dem öffentlichen Do-
mänennamen an. Im Anschluss erstellen
Sie A-Records für die externen Namen mit
den IP-Adressen der internen Server. Bild 3: Über DNS Round Robin richten Sie in Exchange 2019 eine Hochverfügbarkeit des Client-
zugriffs ein. Client-Anfragen werden automatisch zum richtigen Mailboxserver weitergeleitet.
Sollte der Name Ihrer Website der E-
Mail-Domäne entsprechen, wird die Den Eintrag für "Autodiscover" finden Neben den internen DNS-Einträgen rich-
Auflösung der Website intern zunächst Sie in der EAC unter dem Punkt "Server". ten Sie auch die externen Einträge für je-
nicht mehr funktionieren. Generieren Diese Einstellung müssen Sie für jeden den Server bei Ihrem Provider ein. Hier
Sie zur Fehlerbeseitigung einen zusätz- Server gezielt eintragen. Alternativ nutzen sind ebenso die MX-Einträge zu erstellen,
lichen A-Record mit dem Name "www" Sie den Befehl Set-OutlookAnywhere mit damit Ihre E-Mail-Domäne zu Ihren Ser-
und geben Sie diesem Eintrag die IP- dem Paramater "InternalHostname" und vern aufgelöst wird. Extern testen Sie die
Adresse der externen Website. Die IP- "ExternalHostname". Darüber hinaus set- Exchange-Funktionalitäten mit dem Mi-
Adresse der Website erhalten Sie über zen Sie zum Abschluss noch die Autodis- crosoft Remote Connectivity Analyzer
eine nslookup-Abfrage von einem Client, cover-URL – dies erfolgt ausschließlich (ExRCA) [6]. Dabei handelt es sich um
der noch Zugriff auf die Domäne hat, über die EMS: ein kostenloses webbasiertes Tool, mit
also nslookup www.domäne.de. Eine aus- dem Sie die verschiedenen Exchange-
führliche Beschreibung zur Einrichtung Set-ClientAccessService Funktionen abfragen.
eines Split-DNS finden Sie im Web [5]. -Identity Ex1
-AutoDiscoverServiceInternalUri Zertifikat einrichten
Die Namen der Zugriffspunkte ändern https://autodiscover.domäne.de/ Zur sicheren Kommunikation zum Ex-
Sie im Exchange Administration Center Autodiscover/Autodiscover.xml change-Server benötigen Sie Zertifikate.
unter dem Punkt "Server / Virtuelle Ver- Dabei bringt Exchange von Haus aus ein
zeichnisse". Als weitere Möglichkeit zur Haben Sie die DNS-Einträge und die vir- Zertifikat mit, das aber noch nicht die Na-
Einrichtung der URLs steht Ihnen die tuellen Verzeichnisse konfiguriert, kön- men der neuen Zugriffspunkte enthält.
PowerShell mit den folgenden Befehlen nen Sie die HA-Funktion über DNS Grundsätzlich haben Sie drei Möglichkeit
und den Parametern "InternalUrl" und Round Robin bereits testen. Durch die Zertifikate zu erstellen: Neben einem öf-
"ExternalUrl" zur Verfügung: zwei DNS-Einträge je Name mit der IP- fentlichen Zertifikat können Sie ein Zer-
Adresse der verschiedenen Server sollte tifikat einer internen Zertifizierungsstelle
Set-ActiveSyncVirtualDirectory immer ein Server erreichbar sein. Sofern oder ein selbstsigniertes Zertifikat ver-
Outlook eine Verbindung zu Ihrem Ex- wenden. Letzteres können Sie zwar nut-
Set-EcpVirtualDirectory change-Server aufgebaut hat, sehen Sie zen, aber es bedarf eines hohen zusätzli-
anhand der IP-Adresse im Ressourcen- chen Aufwands, damit Clients diesem
Set-MapiVirtualDirectory monitor, mit welchem Server Sie ver- uneingeschränkt vertrauen. Sollen nur do-
bunden sind. Fahren Sie den Server nun mänenintegrierte Clients auf den Server
Set-OabVirtualDirectory herunter oder deaktivieren Sie temporär zugreifen, können Sie die Kosten für ein
die Netzwerkverbindung, baut Outlook öffentliches Zertifikat einsparen. In diesem
Set-OwaVirtualDirectory automatisch eine Verbindung zum alter- Fall bietet sich eine eigene domaininte-
nativen DNS-Eintrag auf. Ist Outlook grierte Zertifizierungsstelle (CA) an.
Set-PowerShellVirtualDirectory weiterhin verbunden, haben Sie die
Hochverfügbarkeit des Clientzugriffes Da nur ein Zertifikat auf den IIS-Dienst
Set-WebServicesVirtualDirectory erfolgreich getestet. gebunden werden kann, müssen Sie ein

SAN-Zertifikat (Subject Alternate Name)

mit verschiedenen Namen hinterlegen.
Als Namen werden die Zugriffspunkte
definiert. Servernamen sollten nicht im
Zertifikat stehen. Wie bereits beschrieben
ist es sinnvoll, die Anzahl der Namen
möglichst zu minimieren.
Alles zu den Zertifikaten finden Sie im

Hauptmenüpunkt "Server" im Bereich "Zer-
tifikate". Um mit einer Zertifikatanforde-
rung zu beginnen, wählen Sie über das "+"
die Erstellung eines neuen Exchange-Zer-
tifikats. Beginnen Sie die Anforderung eines
Zertifikats über eine Zertifikatstelle. An Bild 4: Kurz vor Abschluss zum Erstellen einer Zertifikatanforderung werden
diesem Punkt erzeugen Sie alternativ auch Ihnen alle Namen für das Zertifikat angezeigt.
ein selbstsigniertes Zertifikat. Tragen Sie
im nächsten Schritt den Anzeigenamen für Übersicht der Connectoren erhalten Sie über stück zu den Front-End-Connectoren
das Zertifikat ein und übergehen Sie das das EAC im Bereich "Nachrichtenfluss / und nimmt die E-Mails vom Clientzu-
Wildcard-Zertifikat. Nachdem Sie den Ser- Empfangsconnectors". Die vielen Con- griffsdienst entgegen.
ver ausgewählt haben, wählen Sie die zu nectoren sind eine Folge der verschiedenen
nutzenden Dienste des Servers aus. Da- Transportinstanzen, die sich auf Clientzu- Müssen Sie einen weiteren Server vorhal-
durch werden automatisch die nötigen griffsdienst und Postfach-Server aufteilen. ten, um speziellen Rechnern das anonyme
URLs ergänzt, die im folgenden Schritt zu- Relayen zu ermöglichen, richten Sie einen
sammengefasst werden (Bild 4). Die eingehende Kommunikation sollte mit Empfangsconnector am FrontEnd ein. Auf
den vorhandenen Connectoren gewähr- diesem Weg vereinfachen und vereinheit-
Den Request speichern Sie in einer Netz- leistet sein, trotzdem schadet es nicht, ein lichen Sie den Nachrichtenfluss. Intern kön-
werkfreigabe und reichen ihn an einer Zer- Grundverständnis für die verschiedenen nen Sie auch direkt den HubTransport an-
tifizierungsstelle ein. Das Erstellen der Zer- Connectoren mitzubringen. Ein neuer geben, sodass die E-Mails direkt am Post-
tifikatsanforderung kann alternativ über Multi-Role-Server hat insgesamt fünf Emp- fachdienst auflaufen. Testen können Sie
den PowerShell-Befehl New-ExchangeCer- fangsconnectoren. Drei davon sind dem den eingehenden E-Mailverkehr über einen
tificate erfolgen. Nachdem Sie das Zertifikat Clientzugriff mit der Funktion FrontEnd- SMTP-Client oder direkt über Telnet.
von der Zertifikatstelle erhalten haben, Transport und zwei dem Mailboxserver
schließen Sie die Zertifikatanforderung mit dem HubTransport zugeordnet. Um das Senden zu gewährleisten, richten
über das EAC ab und weisen dem Zertifikat Sie in der EAC einen neuen Sendecon-
im Anschluss die nötigen Dienste (IIS, Die Funktion FrontEndTransport fungiert nector ein. Das erledigen Sie im Bereich
SMTP, POP3 und IMAP) zu. Zum Testen in Exchange 2019 als Proxy für den ein- "Nachrichtenfluss". Wählen Sie hier als
starten Sie die OWA-Website des Servers und ausgehenden SMTP-Verkehr. Mit Hil- Adressraum "*", damit über den Con-
und prüfen über das Schloss im Browser, fe der Connectoren "Default Frontend nector der gesamte E-Mailverkehr abge-
ob das neue Zertifikat genutzt wird. Server" (Port 25) und "Client Frontend wickelt wird, und als Typ "Internet". An
Server" (Port 587) wird der Standardemp- dieser Stelle konfigurieren Sie weiterhin,
Es sei noch kurz erwähnt, dass vor dem fang zur Exchange-Umgebung gewähr- ob E-Mails direkt oder über einen Smar-
Auslaufen eines Zertifikats in Exchange leistet. Darüber hinaus existiert der "Out- thost versendet werden. Zum Abschluss
2019 im EAC gewarnt wird. Ältere Ex- bound Proxy Frontend Server", der alle fügen Sie die neuen Server in der Be-
change-Versionen haben diese Meldung Nachrichten von einem Sendeconnector reichsdefinition als Quellserver hinzu,
nur im EventLog angezeigt, sodass der eines Mailbox-Servers annimmt, sofern damit beide Server über den Connector
eine oder andere Administrator von dem der Front-End-Proxy aktiviert ist und die senden können. Nach dem Erstellen öff-
Auslaufen eines Zertifikats überrascht Nachrichten nach extern weiterleitet. nen Sie den Sendeconnector und tragen
wurde. Die Benachrichtigung startet im unter dem Punkt "FQDN" im Bereich
Übrigen 30 Tage vor dem Ablauf und Weiterhin existieren zwei Empfangscon- "Bereichsdefinition" den Hostnamen
wird täglich fortgesetzt. nectoren auf dem Postfachserver. Der "mail.domain.de" ein, der ebenfalls im
Connector "Default Server" (Port 2525) Zertifikat vorkommen muss.
Connectoren einrichten akzeptiert primär Verbindungen von
Exchange 2019 geht nach der Installation Mailbox-Servern, auf denen der Trans- Postfachserver hochverfügbar
automatisch auf Empfang und richtet die portdienst ausgeführt wird. Der "Client- Bisher haben wir zwei Server installiert und
nötigen Empfangsconnectoren ein. Eine proxy Server" (Port 465) ist das Gegen- den Zugriff hochverfügbar ausgelegt. Um

auch die Mailbox-Funktion abzusichern,

greifen Sie auf die Database Availability
Group (DAG) zurück. Dabei werden Da-
tenbankkopien über die Windows-Clus-
ter-Technologien auf bis zu 16 verschiedene
Mailbox-Server verteilt, um eine passive
Kopie kurzfristig zu aktivieren.
Die Einrichtung erfolgt dabei komplett über

Exchange, ohne dass Sie sich mit dem Fai-
lover-Cluster-Manager näher beschäftigen
müssen. Bei der Nutzung einer DAG laufen
alle DAG-Mitglieder unter der gleichen
Betriebssystemversion und weisen die glei-
che Verzeichnisstruktur für die Datenban-
ken auf. Darüber hinaus laufen alle Mem- Bild 5: Exchange 2019 bringt nach der Installation fünf Empfangsconnectoren mit
ber-Server einer DAG unter der gleichen und ist direkt empfangsbereit.
Exchange-Version. Eine DAG richten Sie
mit folgendem Befehl ein: Add-MailboxDatabaseCopy -Identity - Die Sicherungen erfolgen auf Volume-
DB01 -MailboxServer Ex1 -Activati- Ebene und zum Sichern einer Daten-
New-DatabaseAvailabilityGroup -Name onPreference 2 bank und deren Protokolle muss das
DAG01 -DatabaseAvailability- komplette Volume gesichert werden,
GroupIpAddresses ([system.net. Damit haben Sie die Datenbank DB01 auf sodass Sie nicht gezielt einzelne Daten
ipaddress])::none zwei Servern hochverfügbar gemacht und auswählen können.
bei einem Ausfall übernimmt die Post- - Darüber hinaus muss die Sicherung lo-
Den Vorgang können Sie ebenfalls über fachkopie automatisch die Arbeit. kal erfolgen; es ist keine Remotesiche-
das EAC durchführen. Fügen Sie dabei rungen möglich.
die DAG-IP-Adresse 0.0.0.0 in der Kon- Sicherung mit - Sie können nur vollständige Sicherun-
figurationsmaske hinzu. Durch die gerade Windows Server Backup gen durchführen und nach einer er-
Anzahl an Servern in der DAG müssen Bevor Sie in den produktiven Betrieb ge- folgreichen Sicherung wird das Proto-
Sie noch einen Witness Server definieren. hen, sollten Sie das Thema Backup bedacht koll abgeschnitten.
Nutzen Sie hierfür einen Windows Server haben. Exchange 2019 bringt eine Erwei- - Bei einem Restore können Sie gezielt
Share mit Berechtigungen für die Gruppe terung für die Windows-Server-Sicherung Exchange-Datenbanken wiederherstel-
"Exchange Trusted Subsystem". (WSB) mit, damit sich VSS-basierte Siche- len. Diese können am ursprünglichen
rungen von Exchange mit Bordmitteln von oder einem temporären Speicherort ab-
Beim Hinzufügen eines Servers zur DAG Windows durchführen lassen. Die Erwei- gelegt werden.
wird auch weiterhin automatisch das Fail- terung hört auf den Namen "Microsoft Ex- - Das direkte Recovery in eine Wiederher-
over-Cluster-Feature installiert. Im Unter- change Server Extension for Windows Ser- stellungsdatenbank (Recovery Database,
schied zu einer klassischen DAG werden ver Backup", kurz WSBExchange und läuft RDB) ist nicht möglich und die wieder-
Ihnen im Failover-Cluster-Manager zur als eigenständiger Dienst, der bei Anfor- hergestellten Daten müssen an den RDB-
DAG beziehungsweise zum Cluster keine derung gestartet wird. Speicherort verschoben werden.
Informationen mehr angezeigt. - Es können während einer Wiederherstel-
Bei der Sicherung über WSB müssen Sie lung keine einzelnen DBs wiederherge-
Wundern Sie sich also nicht, wenn Sie ei- folgende Punkte beachten: stellt, sondern nur alle DBs zusammen,
nen Blick in den Manager werfen und Ih-
nen augenscheinlich Informationen fehlen.
Im nächsten Schritt fügen Sie die Server
der DAG hinzu und verteilen die Mail-
boxdatenbanken auf die Exchange-Server.
Im folgenden Beispiel wird der Server
"Ex1" der DAG01 hinzugefügt und auf
dem Server "Ex1" eine Kopie der Daten-
bank DB01 eingerichtet:
Add-DatabaseAvailabilityGroupServer Bild 6: Mit einer DAG verteilen Sie Kopien von Postfachdatenbanken über mehrere Postfachserver,
-Identity DAG01 -MailboxServer Ex1 wodurch Sie den Ausfall eines Servers absichern.

Set-TransportConfig -Internal-
SMTPServers @{Add="10.0.0.5",
"10.0.0.6"}
Das Microsoft-Werkzeug bringt verschie-

dene Agenten mit, um Spam-E-Mails ab-
zufangen. Auf einem Postfach-Server sind
die folgenden Filter vorhanden:
- Die Absenderfilterung überprüft den
Absender im SMTP-Befehl "MAIL
Bild 7: Windows kann Exchange über Windows Server Backup mit Bordmitteln sicher – Sie müssen FROM:" mit einer definierten Liste der
nur das Laufwerk mit den Datenbanken angeben. Absender oder Absenderdomänen, die
keine Nachrichten an die Organisation
die gesichert wurden. Dabei spielt es keine ein Postfach nicht mit einem Benutzerkon- senden dürfen.
Rolle, ob die Datenbanken auf einem to verbunden werden. Mehr zum Thema - Der Sender ID-Agent verwendet die
oder verschiedenen Volumes lagen. Sicherung und Wiederherstellung finden IP-Adresse des sendenden Servers und
Sie ebenfalls im TechNet [8]. die angegebene Antwortadresse (Pur-
Um Ihren Exchange-Server mit den Win- ported Responsible Address, PRA) des
dows-Bordmitteln zu sichern, installieren Exchange absichern: Absenders, um zu bestimmen, ob der
Sie zunächst über den PowerShell-Befehl Anti-Spam und Anti-Malware Absender gefälscht ist.
Add-WindowsFeature Windows-Server- Ein wichtiger Aspekt bei der Implemen- - Die Inhaltsfilterung beurteilt den Inhalt
Backup die Windows-eigene Sicherungs- tierung einer E-Mail-Umgebung ist das einer Nachricht und führt definierte
software nach. Danach können Sie die GUI Thema Spam und Malware. Sofern Sie Aktionen aus. Um zu verhindern, dass
nutzen oder die Sicherung über die Power- nicht über eine vorgelagerte Anti-Spam- fälschlicherweise erkannte E-Mails
Shell konfigurieren. Weitere Details zu den Lösung verfügen, bringt Exchange 2019 nicht mehr zugestellt werden können,
Befehlen finden Sie im TechNet [7]. eine kostenlose Lösung mit, die aber stan- werden E-Mails in einem Spam-Qua-
dardmäßig nicht installiert ist. Installieren rantänepostfach aufbewahrt.
Standardmäßig erfolgt ein Copy-Backup, können Sie die Funktion über das Skript - Der Protokollanalyse-Agent implemen-
bei dem die Transaktionsprotokolle nicht "Install-AntispamAgents.ps1", das sich im tiert die Absenderzuverlässigkeitsfunk-
abgeschnitten werden. Um diese ab- Installationsverzeichnis von Exchange be- tion (Sender Reputation Level, SRL),
schneiden zu lassen, wählen Sie während findet. Aufrufen können Sie das Verzeichnis die eine E-Mail aufgrund verschiedener
des Backups in den "Erweiterten Optio- am schnellsten über die Variable "$Ex- Merkmale klassifiziert.
nen" die "Vollsicherung" aus. Die Art der Scripts". Im Anschluss müssen Sie den
Sicherung prüfen Sie über Get-Mailbox- Transportdienst mit Restart-Service MSEx- Darüber hinaus bietet die Rolle des Edge-
Database -status | fl Name, *Backup* und changeTransport neu starten und die inter- Server noch einen Verbindungsfilter-Agen-
die Felder "LastCopyBackup" bezie- nen SMTP-Server bekannt machen: ten, der die IP-Adresse des Remoteservers
hungsweise "LastFullBackup". Um eine
Sicherung von Exchange durchzuführen,
starten Sie Windows Server Backup. Be-
ginnen Sie mit einer Einmalsicherung
und wählen Sie das Laufwerk mit den
Datenbanken und dem Exchange-Pro-
grammverzeichnis aus. Dadurch sichern
Sie die Exchange-Datenbanken und Ex-
change-Protokolldateien.
Bei der Wiederherstellung stellen Sie zu-

nächst die Datenbanken wieder her und
binden diese über die Exchange-Wieder-
herstellungsdatenbank ein, bevor Sie aus
dieser die Daten extrahieren. Bei der Ex-
change-Wiederherstellungsdatenbank han-
delt es sich um eine spezielle Datenbank,
deren Verwaltung nur über die PowerShell
erfolgt. Ein direkter Zugriff auf die Daten Bild 8: Über Install-AntispamAgents.ps1 installieren Sie die Anti-Spam-Funktion von Exchange 2019,
über OWA ist nicht möglich. Auch kann die nicht automatisch vorhanden ist.

den. Als Aktion legen Sie fest, ob nur die

PowerShell-Cmdlets für Anti-Spam in Exchange 2019 Anlage oder die gesamte E-Mail zu lö-
schen ist und wer zu benachrichtigen ist.
Cmdlet Funktion Neben der Standardrichtlinie erstellen Sie
Über das Cmdlet ändern Sie die Konfiguration des benutzerdefinierte Richtlinien, die auf de-
Set-SenderFilterConfig finierte Benutzer oder Gruppen wirken.
Absenderfilter-Agenten.
Verwenden Sie das Cmdlet, um die Konfiguration des In der PowerShell richten Sie die Richtli-
Set-SenderIDConfig
SenderID-Agenten durchzuführen. nien über Set-MalwareFilterPolicy ein.
Set-ContentFilterConfig Durch das Cmdlet ändern Sie die Inhaltsfilterkonfiguration.
Die Definitions-Updates zur Erkennung
Über das Cmdlet steuern Sie die Konfiguration der von Schadsoftware werden automatisch
Set-SenderReputationConfig
Absenderzuverlässigkeit. von Microsoft heruntergeladen. Den Sta-
Das Cmdlet ändert die Konfiguration der Liste zugelasse- tus prüfen Sie über den Befehl Get-Engi-
Set-IPAllowListConfig ner IP-Adressen, die vom Verbindungsfilter-Agenten auf neUpdateInformation. Vorab müssen Sie
Edge-Transport-Servern verwendet wird.
allerdings das folgende Kommando ein-
Verwenden Sie das Cmdlet, um die Konfiguration der geben, damit Exchange den PowerShell-
Liste blockierter IP-Adressen zu ändern, die vom
Set-IPBlockListConfig Befehl überhaupt kennt:
Verbindungsfilter-Agent auf Edge-Transport-Servern
verwendet wird.
Add-PsSnapin Microsoft.Forefront.
Durch das Cmdlet ändern Sie die Einstellungen der
Set-IPAllowListProvidersConfig konfigurierten IP-Zulassungslistenanbieter auf dem Filtering.Management.Powershell
Edge-Transport-Server.
Verwenden Sie das Cmdlet zum Ändern der Einstellun- Über das Script "Update-MalwareFiltering-
Set-IPBlockListProvidersConfig gen, die sich auf alle auf dem Edge-Transport-Server Server.ps1" aus dem Exchange-Skriptver-
konfigurierten IP-Sperrlistenanbieter auswirken. zeichnis stoßen Sie ein Update gezielt an.
gegen verschiedene IP-Adress-Sperrlisten tentFilterConfig". Über die folgenden At- Fazit

prüft, einen Anlagenfilter-Agenten, der die tribute lassen sich die Aktionen steuern: Der Beitrag zeigte die wichtigsten Schritte
Anlagen tiefergehend prüft sowie einen - SCLDeleteEnabled zur Einrichtung einer hochverfügbaren
Empfängerfilter, der die Nachrichtenemp- - SCLDeleteThreshold Umgebung und deren Absicherung. Dabei
fänger im SMTP-Befehl "RCPT TO:" mit - SCLRejectEnabled haben wir vor allem dargelegt, dass Ad-
einer vom Administrator definierten Emp- - SCLRejectThreshold ministratoren in kleineren Umgebungen
fängersperrliste prüft. Der Empfängerfilter - SCLQuarantineEnabled nicht auf Hochverfügbarkeit und Sicherheit
vergleicht darüber hinaus Empfänger in - SCLQuarantineThreshold verzichten müssen und beides mit Bord-
eingehenden Nachrichten mit dem lokalen - SCLJunkThreshold mitteln umsetzen können. (ln/dr)
Empfängerverzeichnis, um zu bestimmen,
ob die Nachricht an gültige Adressen ge- In den Organisationseinstellungen defi- Link-Codes
richtet ist. Ist das nicht der Fall, wird sie nieren Sie über das Cmdlet Set-Organi-
[1] Kumulatives Update 2
zurückgewiesen. Die Konfiguration der zationConfig allgemein gültige Schwel- für Exchange Server 2019
verschiedenen Filter findet in Exchange lenwerte, die Sie bei Bedarf für Mailboxen h4z12
2019 komplett in der PowerShell statt. gezielt anpassen: [2] Exchange 2019 Server Role
Wichtige Befehle zur Konfiguration ent- Requirements Calculator
nehmen Sie der Tabelle "PowerShell- Set-Mailbox User -SCLJunkEnabled i2p23
Cmdlets für Anti-Spam in Exchange 2019". $True -SCLJunkThreshold 6 [3] Microsoft .NET Framework 4.8
h4z14
Sämtliche Prüfungen werden im Header Neben einer Anti-Spam-Lösung bringt [4] Unified Communications Managed
API 4.0 Runtime
einer E-Mail vermerkt, sodass Sie jederzeit Exchange auch eine Anti-Malware-Funk- h4z15
nachvollziehen können, wie eine E-Mail tion mit, die Exchange vor Schadsoftware [5] Setting Up Split DNS
bewertet wurde und wie vertraulich diese wie Viren oder Spyware schützt. Im Ge- h4z16
ist. Dazu zählt auch der SpamConfidence- gensatz zur Anti-Spam-Lösung erfolgt die [6] Remote Connectivity Analyzer
Level (SCL), der die E-Mail beurteilt. Konfiguration über das Exchange Admi- h4z17
Über den SCL definieren Sie verschiedene nistration Center (EAC) im Menüpunkt [7] Windows Server Backup Cmdlets
Regeln, zum Beispiel wann eine E-Mail "Schutz / Schadsoftware". Alternativ nut- in der PowerShell
h5p81
abgelehnt, in ein Quarantänepostfach zen Sie die PowerShell zur Konfiguration.
[8] Exchange: Sicherung, Wiederherstel-
oder in den Outlook-Junk-Ordner ver- Über Antischadsoftware-Richtlinien de-
lung und Notfallwiederherstellung
schoben wird. Die Konfiguration erfolgt finieren Sie organisationsweit Aktionen, h5p82
über das PowerShell-Cmdlet "Set-Con- die bei einer Erkennung umgesetzt wer-

Exchange 2019 Migration zu Exchange 2019
Migration zu Exchange 2019
Umsteigen
Wer schon von Exchange 2013 nach 2016 migriert ist,

kann viel von diesem Wissen in den Übergang zur
Version 2019 einbringen. Dennoch gibt es einige
RF
an – 123
Besonderheiten und Stolpersteine, die wir in diesem
Workshop betrachten, um sicherzustellen, dass der
g Chinnap
Umstieg reibungslos abläuft.
mroen
Quelle: Su
E
ine Migration zu Exchange 2019 unter anderem das Power-
ist nur von den Versionen 2013 Shell-Skript namens "Ex-
und 2016 möglich. Sollten Sie von Ex- change Environment Re-
change 2007 oder 2010 auf Exchange 2019 port" [2]. Damit erhalten Sie
migrieren wollen, müssen Sie eine Zwi- einen grafischen Einblick in
schenmigration auf Exchange 2013 oder die Anzahl der Server und
2016 durchführen. Exchange 2013, 2016 deren genauen Versionsstän-
und 2019 sind sich sehr ähnlich, wodurch de. Weiterhin sehen Sie die
sich eine Migration zwischen diesen Ver- Datenbanken und die genaue Zahl der Connectoren und
sionen im Vergleich zu einer Migration Postfächer mit ihren Durchschnittsgrößen URLs dokumentieren
von Exchange 2010 sehr einfach darstellt. je Datenbank. Auf diese Infos kommen wir Beim Dokumentieren der Einstellungen
später während des Sizings zurück. für die Sende- und die Empfangsconnecto-
Ein Inplace-Upgrade, also die direkte Ak- ren stellt sich oft die Frage, wer über wel-
tualisierung eines Servers, ist jedoch auch Wichtig bei der Planung eines neuen Ex- chen Sendeconnector sendet und welcher
bei Exchange 2019 nicht möglich. Sie in- change-Servers ist weiterhin die Erfassung Empfangsconnector als Relay zum Einsatz
stallieren bei einer Exchange-Migration da- statistischer Daten, wie die durchschnitt- kommt. Sollten Sie bei der Relay-Nutzung
her in den allermeisten Fällen einen neuen liche Größe der E-Mails sowie die Anzahl unsicher sein, finden Sie mit folgendem
Server in die Organisation und übertragen gesendeter und empfangener E-Mails pro PowerShell-Befehl heraus, welche Con-
die Funktionen nach und nach auf diesen. Tag. Diese Informationen rufen Sie bei nectoren sich zum Relayen nutzen lassen:
Diese sogenannte Swing-Migration werden Exchange 2013/2016 über das PowerShell-
wir im Folgenden detailliert betrachten. Skript "MessageStats.ps1" [3] ab. Get-ReceiveConnector | Get-ADPermis-
sion | Where-Object { $_.Extended-
Exchange 2019 fügt sich übrigens nahtlos Das Skript wertet die Message Tracking Rights -like "*ms-Exch-SMTP-
in eine vorhandene 2013/2016-Umgebung Logs eines Tages nach den Benutzern aus Accept-Any-Recipient*" }
ein und arbeitet mit Outlook ab Version und speichert das Ergebnis in einer CSV-
2013 als E-Mail-Client zusammen. Für die Datei ab. In Excel importieren Sie das Er- Oft ist ein Exchange-Server schon meh-
Migration dürfen sich in der Organisation gebnis und fügen dann noch die Funktio- rere Jahre produktiv im Einsatz und es ist
keine Exchange-2010-Server oder älteren nen hinzu, um genaue Werte für die immer wieder interessant, wer ihn alles
Versionen befinden. Sollte dies der Fall gesendeten und empfangenen E-Mails pro nutzt. Abgesehen von Management- und
sein, müssen Sie diese zunächst deinstal- Tag und deren Durchschnittsgröße zu er- Backupprogrammen kommen oft unbe-
lieren, bevor Sie auf Exchange 2019 wech- halten. Das genaue Vorgehen beschreibt kannte Clients zum Vorschein, angefan-
seln können. Ausführliche Hinweise zu die- die verlinkte Seite detailliert. Auch diese gen von lokalen Newsletter-Tools bis hin
ser Migration finden Sie unter anderem im Daten nutzen Sie später im Sizing. Den zu alten POP3/SMTP-Clients.
IT-Administrator Sonderheft I/2018 [1]. Pfad zu den benötigten Protokollen fragen
Sie am Exchange-Server über folgendes Verschaffen Sie sich vor der Umstellung
Pre-Migration-Check durchführen Cmdlet ab: einen Überblick über die Postfachbegren-
Bevor Sie mit der Migration beginnen, geht zungen. Die Limits lesen Sie direkt über
es darum, sich einen Überblick über die Get-TransportServer |fl MessageTra- das Exchange Admin Center (EAC) an
Infrastruktur zu verschaffen. Dabei hilft ckingLogPath den Datenbanken aus. Alternativ ist die

Migration zu Exchange 2019 Exchange 2019
in Exchange Server 2016 ist dabei riesig.

Da Exchange so viele Daten wie möglich
im Arbeitsspeicher ablegt, sollten Sie hier
nicht geizen. Die Voraussetzungen spie-
geln jetzt das wirkliche Nutzungsverhal-
ten von Exchange wider.
Microsoft hat für das Sizing für Exchange

2019 erst kürzlich einen eigenen Require-
ments Calculator veröffentlicht. Diesen
finden Sie auf der Exchange-DVD, eine
Alietung bietet das TechNet unter [4]. Um
die Tabelle möglichst schnell an Ihre Be-
Bild 1: Einen ersten Überblick zu den Servern und Postfachgrößen gewinnen Sie dürfnisse anzupassen, sind nun die Daten
mit dem Exchange Environment Report. aus dem Pre-Migration-Check wie die An-
zahl der Postfächer und das Sendeverhal-
Abfrage der Postfachbeschränkungen Get-EcpVirtualDirectory | fl ten relevant. Am Ende erhalten Sie dann
über die PowerShell möglich: id*,*url* den empfohlenen Aufbau der Server.
Get-MailboxDatabase | ft Name, Get-MapiVirtualDirectory | fl Umgebung vorbereiten

ProhibitSend*,Issue* id*,*url* Für Exchange 2019 müssen sich alle DCs
auf Windows 2012 R2 befinden und die
Da die Standardvorgaben direkt an einem Achten Sie darauf, dass diese URLs auch Gesamtstrukturfunktionsebene sowie die
Postfach verändert werden können, lassen im Zertifikat hinterlegt sind. Versuchen Domänenfunktionsebene müssen mindes-
sich die Ausnahmen zusammentragen: Sie die Anzahl der Namen auf möglichst tens auf Windows Server 2012 R2 laufen.
wenige zu beschränken. Auf dem neuen Um dies zu überprüfen, öffnen Sie das
Get-Mailbox -ResultSize Unlimited | Server kommen die gleichen Namen für Snap-in "Active Directory-Domänen und
Where {$_.UseDatabaseQuotaDefaults die Dienste zur Anwendung. -Vertrauensstellungen" und klicken mit der
-eq $False} | ft Name, rechten Maustaste auf "Active Directory-
ProhibitSend*,Issue* Korrektes Sizing tut Not Domänen und -Vertrauensstellungen" und
Bevor Sie sich an die Migration machen, danach auf "Gesamtstrukturfunktionsebene
Dokumentieren Sie im nächsten Schritt definieren Sie den Sollzustand der Um- heraufstufen". Für die Domänenfunktions-
die Exchange-URLs. Mit Hilfe der Power- gebung und führen Sie ein Sizing durch. ebene klicken Sie im gleichen Snap-in mit
Shell (oder einem Blick ins EAC) verschaf- Exchange Server 2019 hat gegenüber Ex- der rechten Maustaste auf die Domäne und
fen Sie sich Überblick über die URLs der change 2016 andere und höhere Anfor- schauen nach der Domänenfunktionsebe-
internen und externen Zugriffspunkte: derungen an Arbeitsspeicher und CPU. ne. Sind die Voraussetzung für Exchange
Als Voraussetzung benötigt Exchange 2019 nicht erfüllt, können Sie an dieser
Get-ClientAccessServer | fl Server 2019 128 GByte Arbeitsspeicher. Stelle die Funktionsebenen heraufstufen,
id*,*uri* Der Sprung von unrealistischen 8 GByte sofern alles vorbereitet ist.
Get-OutlookAnywhere | fl id*,*host*
Get-OabVirtualDirectory | fl
id*,*url*
Get-OwaVirtualDirectory | fl
id*,*url*
Get-WebServicesVirtualDirectory | fl
id*,*url*
Get-ActiveSyncVirtualDirectory | fl
id*,*url*
Get-AutodiscoverVirtualDirectory | Bild 2: Die Domänen- und die Gesamtstrukturebene müssen für Exchange 2019 mindestens
fl id*,*url* auf Windows Server 2012 R2 ausgeführt werden.

Bevor Sie nun das Schema aktualisieren, setup /PrepareDomain /IAccept- Communications Managed API 4.0 Run-
schauen Sie, ob die vorhandenen Exchange- ExchangeServerLicenseTerms time ein. Was Exchange betrifft, haben
Server auf einem aktuellen Stand sind. Bei Sie nun alle Voraussetzung für das Setup
einem Upgrade von Exchange 2013 muss Die Befehle bauen aufeinander auf; ein getroffen. Bevor Sie es jedoch starten,
mindestens das Cumulative Update 21 für nachgelagerter Befehl fragt die vorherge- richten Sie Ausnahmen für den Virens-
Exchange 2013 auf allen Exchange-2013- henden Anpassungen ab und holt diese canner ein, damit es während der Instal-
Servern in der Organisation, einschließlich gegebenenfalls nach. Die Vorbereitung lation und des Betriebs von Microsoft Ex-
Edge-Transport-Servern, installiert sein. des Active Directory wird auch beim Star- change zu keinen Verzögerungen kommt.
Welche Exchange-Versionen im Einsatz ten des Exchange-Setups geprüft und not- Eine genaue Beschreibung zu den Aus-
sind, erkennen Sie unter anderem im En- falls nachgeholt, sofern der Installations- nahmen bei Antivirusprogrammen fin-
vironment Report. Für eine Koexistenz mit benutzer über die nötigen Rechte verfügt. den Sie unter [5].
Exchange 2016 spielen Sie mindestens des-
sen Cumulative Update 11 auf. Ist die Aktualisierung abgeschlossen, fragen Als Installationsmedium nutzen Sie wie
Sie mit repadmin ab, ob die Replizierung bereits beschrieben das aktuellste kumu-
Active Directory aktualisieren zu allen Domaincontrollern erfolgt ist. In lative Update für Exchange. Rufen Sie
Im nächsten Schritt bereiten Sie die AD- größeren Umgebungen kann das etwas Zeit einfach das Setup auf und folgen Sie den
Struktur vor. Zunächst aktualisieren Sie in Anspruch nehmen. Das Ergebnis des Anweisungen auf dem Bildschirm. Die
mit der Setup-Erweiterung "/PrepareSche- Schema-Updates prüfen Sie mit dsquery. Routine prüft auch die Bereitschaft des
ma" die Exchange-Attribute global. Im Beachten Sie, dass nach Abschluss keine Servers und sollte ohne Beanstandungen
Anschluss kümmert sich "/PrepareAD" älteren Exchange-Server installiert werden durchlaufen, sodass am Ende Exchange
um die globalen Exchange-Objekte und können, sofern sich diese nicht während 2019 installiert wird.
universellen Sicherheitsgruppen. Als der Migration in der Umgebung befinden.
Nächstes passt "/PrepareDomain" noch Kommt es während der Installation zu
einzelne Domänen an, in denen Exchange Eigentlicher Installationsbeginn Fehlern, können Sie das Setup durch das
genutzt wird. Zum Ausführen müssen Sie Nachdem nun alle Vorbereitungen ge- erneute Aufrufen fortsetzen. Offene
Mitglied der Gruppen "Schema-Admins", troffen sind, beginnen Sie mit der Instal- Punkte werden erkannt und automatisch
"Domänen-Admins" und "Organisations- lation auf einem Windows-2019-Server. nachgeholt. Weitere Informationen zum
Admins" sein. Ältere Versionen sind nicht nutzbar. Die Setupverlauf finden Sie im Exchange-Se-
reine Installation des neuen Servers hat tup-Log im Verzeichnis "C:\Exchange-
Erweitern Sie das Schema direkt von dem dabei keine Auswirkungen auf die Pro- SetupLogs\ExchangeSetup.log" – eine
zukünftigen Exchange-Server, müssen Sie duktivumgebung. Die Windows-Features gute Anlaufstelle, falls es während der
die Remoteverwaltungstools für das Active können Sie bereits vorab aufspielen oder Installation zu Problemen kommt.
Directory mit Install-WindowsFeature Sie lassen diese automatisch während des
RSAT-ADDS vorab installieren. Führen Sie Setups nachinstallieren. Aktivieren Sie Prüfen der Installation
nun die Exchange-2019-Setupdatei mit hierfür den Punkt "Für die Installation Um sicherzustellen, dass alles richtig in-
den folgenden Erweiterungen aus: von Exchange Server erforderliche Win- stalliert wurde, prüfen Sie zunächst mit
dows-Server-Rollen und -Funktionen au-
setup /PrepareSchema /IAccept- tomatisch installieren". Get-ExchangeServer |ft Name,
ExchangeServerLicenseTerms ServerRole –AutoSize
setup /PrepareAD /IAcceptExchange- Spielen Sie zunächst noch Visual C++
ServerLicenseTerms und im Anschluss die Microsoft Unified welche Server mit welchen Rollen sich
nun im Netzwerk befinden. Sehen Sie
dabei gleich mit Test-ServiceHealth und
Get-HealthReport nach, ob alle Dienste
auf dem neuen Server laufen. Nach der
Installation befinden sich die Mailboxen
noch auf dem Exchange-2013/2016-Ser-
ver und der Traffic läuft ebenfalls über
diese Server.
Bevor es weitergeht, verschieben Sie am

besten die bereits angelegten Datenban-
ken an den vorgesehenen Ort und geben
ihnen einen sprechenden Namen. Am
Bild 3: Mit Get-ExchangeServer und Test-ServiceHealth prüfen Sie, ob der neue Server schnellsten geht dieser Vorgang mit dem
die gewünschten Rollen besitzt und ob alle Dienste laufen. folgenden Befehl:

Migration zu Exchange 2019 Exchange 2019
Anschluss steht es Ihnen im EAC zur Ver-

fügung, wo Sie beim Zertifikat noch die
Exchange-Dienste SMTP, IMAP, POP
und IIS aktivieren.
URLs und Namespace umstellen

Als Nächstes richten Sie auf dem neuen
Server die URLs im Serverbereich des
EAC unter den virtuellen Verzeichnissen
ein. Die internen URLs wurden bereits
während der Konfiguration auf den Na-
men des Servers gesetzt. Interne Server-
namen sollten Sie nach Möglichkeit nicht
verwenden. Orientieren Sie sich an den
ausgelesenen URLs des alten Servers. Da-
Bild 4: Die virtuellen Verzeichnisse sind im EAC in einem eigenen Menüpunkt zusammengefasst rüber hinaus konfigurieren Sie den ex-
und lassen sich in Exchange 2019 schnell bearbeiten. ternen Outlook-Anywhere-Zugangspunkt
in den Eigenschaften des neuen Servers.
Get-MailboxDatabase MailboxDataba- Um das Senden zu gewährleisten, müssen Diese Einstellung finden Sie ebenfalls im
seEX19 | Set-MailboxDatabase Sie dies dem neuen Server über die vor- EAC-Menüpunkt "Server", aber im Un-
-Name DB01 handenen Sendeconnectoren ermögli- terpunkt "Outlook Anywhere".
chen. Das erledigen Sie direkt im EAC,
Move-DatabasePath DB01 ebenfalls im Bereich "Nachrichtenfluss Nun würde der DNS-Name der Zugriffs-
-EdbFilePath D:\Datenbanken\DB01\ durchführen". Öffnen Sie zur Anpassung punkte auf den neuen Server umgelegt
MBXDB01.edb den gewünschten Connector und fügen werden, sodass der Verkehr über diesen
-LogFolderPath D:\Datenbanken\DB01\ Sie den neuen Server in der Bereichsde- läuft. Bevor Sie jetzt im zentralen DNS
finition als Quellserver hinzu. die IP-Adressen der virtuellen Namen än-
Richten Sie die Postfachdatenbanken und dern, empfiehlt es sich zunächst, die
Datenbankverfügbarkeitsgruppen (DAG) Vergessen Sie bei dieser Gelegenheit Hosts-Datei an einem Client anzupassen
auf dem neuen Server nach Ihren Vor- nicht, die Limits der Connectoren zu und die IP-Adresse auf den Namen zu
gaben ein. Sofern Sie bereits eine DAG prüfen und gegebenenfalls anzupassen, binden. Auf diesem Weg führen Sie erste
nutzen, dürfen Sie in dieser nur Exchange- damit E-Mails nicht unerwartet abgelehnt Tests mit einem Client durch. Läuft alles
Server mit der gleichen Version hinzufü- werden. Standardmäßig liegt das Limit erwartungsgemäß, lenken Sie die DNS-
gen. Das EAC lässt zwar das Hinzufügen für Sende-/Empfangsconnectoren bei 35 Einträge auf Exchange-2019-Server um.
eines Exchange-2019-Servers zu einer MByte. Für andere Beschränkungen bei
DAG mit Exchange 2016 zu, Sie sollten OWA oder EWS müssen Sie wieder die Nutzen Sie den kostenlosen Microsoft
davon aber dringend Abstand halten. Datei "web.config" anpassen – eine An- Remote Connectivity Analyzer (ExRCA)
leitung hierzu finden Sie im Web [6]. Än- [8], um den externen Zugriff zu testen.
Connectoren und dern Sie dabei die Grenzwerte der Da-
Zertifikat einrichten tenbanken und der Postfächer, die bei Postfächer verschieben
Exchange 2019 bringt wieder eine Viel- neuen Datenbanken automatisch gesetzt Im nächsten Schritt verschieben Sie die
zahl von Empfangsconnectoren mit. Eine sind. Weitere Informationen finden Sie Postfächer hin zu den neuen Postfachda-
Übersicht erhalten Sie über das EAC im unter [7]. Die Organisationslimits sind tenbanken. Übertragen Sie zunächst die
Bereich "Nachrichtenfluss" und den Punkt durch die Installation des Servers in eine Systempostfächer auf den neuen Server.
"Empfangsconnectors". Die vielen Con- vorhandene Umgebung bereits definiert. Führen Sie die Aktion auf dem Exchange-
nectoren sind eine Folge der verschiede- 2019-Server mit der PowerShell durch:
nen Transportinstanzen, die sich auf CAS In Abhängigkeit von den Zugriffspunkten
und Mailbox-Server aufteilen. Die einge- nutzen Sie das vorhandene Zertifikat des Get-Mailbox -Database DB16
hende Kommunikation sollte mit den Exchange-2016/2019-Servers oder gene- -Arbitration | New-MoveRequest
vorhandenen Connectoren gewährleistet rieren ein neues. Für diesen Beitrag nut- -TargetDatabase DB19
sein. Richten Sie gegebenenfalls noch zu- zen wir das vorhandene Zertifikat des
sätzliche ein oder passen Sie die Rechte Servers. Alles zu den Zertifikaten finden Den Abschluss der Verschiebeaktion prü-
der Connectoren entsprechend des Pre- Sie im Hauptmenüpunkt "Server" im Be- fen Sie mit dem Cmdlet Get-MoveRequest.
Migration-Tests an. Testen können Sie reich "Zertifikate". Am einfachsten ist es, Warten Sie, bis die Aktion abgeschlossen
bereits jetzt über einen SMTP-Client oder das Zertifikat über die MMC und das ist, bevor Sie weitermachen. Alles zu den
über Telnet. Snap-in "Zertifikate" zu importieren. Im Verschiebeanforderungen finden Sie im

EAC-Menüpunkt "Empfänger" unter dem schiebung vor dem Abschluss angehalten. Get-Mailbox -PublicFolder |
Punkt "Migration". Dort sehen Sie eine Auf diese Weise bereiten Sie Migrationen New-MoveRequest -TargetDatabase
Übersicht aktueller Verschiebeaktionen gezielt vor und haben mehr Kontrolle MBX19PF01
und über das "+" starten Sie eine neue über den Abschluss, sodass der Einfluss
Aktion, um die Mailboxen der Benutzer auf den Client minimiert wird. Fände der Den Erfolg der Aktion testen Sie wieder
zu bewegen. In unserem Fall wählen Sie Abschluss während einer aktiven Out- mit Get-MoveRequest. Je nach Größe der
den Eintrag "In eine andere Datenbank look-Verbindung statt, würde der Mitar- öffentlichen Ordner kann etwas Zeit ver-
verschieben", durch den Sie eine lokale beiter zum Neustart des E-Mail-Clients gehen, bis die Migration abgeschlossen
Verschiebeaktion starten. aufgefordert werden. Führen Sie den letz- ist. Am Ende sollten sich alle öffentlichen
ten Schritt in Ruhe in einem Wartungs- Ordner auf dem neuen Server befinden.
Hier wählen Sie zunächst die zu verschie- fenster durch. Das Fortsetzen und andere Sie prüfen den Ablageort der öffentlichen
benden User aus. Alternativ lesen Sie eine Aktionen zu einer Verschiebeaktion zeigt Ordner mit folgendem Befehl:
CSV-Datei mit den primären E-Mail- das EAC nach dem Status einer Anfor-
Adressen ein. Bewegen Sie mehrere User derung individuell an. Get-Mailbox -PublicFolder |
zusammengefasst, spricht man von einem ft Name,Alias,Servername,Database
Batch-Move. Im EAC starten Sie einzelne Eine interessante Funktion ist die auto-
Moves und Batch-Moves über den glei- matische Benachrichtigung per E-Mail Altes Exchange deinstallieren
chen Assistenten. In der Shell unterschei- bei Abschluss eines Migrationsschrittes. Der letzte Schritt der Migration ist es, den
den sich die Befehle. Hier kommen New- So bekommen Sie alle Informationen zu alten Server aus der Organisation zu ent-
MoveRequest und New-MigrationBatch dem Abschluss in Ihr Postfach und sehen fernen. Sicherheitshalber lassen Sie den
zum Einsatz. über den verknüpften Report die Details Exchange-2013/2016-Server aber zu-
ein. Es empfiehlt sich, zunächst Benut- nächst noch etwas mitlaufen oder fahren
Haben Sie die Nutzer ausgesucht, wählen zerpostfächer zu verschieben, bevor Sie diesen nur herunter, um das Verhalten
Sie im nächsten Schritt das Ziel und den mit Shared Mailboxes, Raumpostfächern zu beobachten.
Postfachtyp (Archiv und/oder Postfach) und Gerätepostfächern weitermachen.
aus. Nachdem Sie diese Punkte mit "Wei- Wenn fast alle Postfächer verschoben Tauchen dann keine Probleme auf, ent-
ter" bestätigt haben, definieren Sie, ob sind, sollten sich als Letztes noch die Dis- fernen Sie den Server komplett und schal-
die Aktion direkt starten soll oder zu- covery Search Mailbox und die AuditLog ten ihn nicht einfach dauerhaft aus, bevor
nächst ausgesetzt wird. Gleiches legen Mailbox auf dem alten Server befinden. Sie ihn aus dem Rack herausnehmen. Ex-
Sie auch für den Abschluss der Aktion Deren Verschiebung starten Sie wie folgt: change speichert seine Konfiguration im
fest. In diesem Fall würde die Mailbox AD und nur über die Deinstallation be-
in der Zieldatenbank erstellt und die Ver- Get-Mailbox -Database DB16 kommen Sie die Hinterlassenschaften kor-
-AuditLog | New-MoveRequest rekt gelöscht. Bevor Sie die Deinstallation
Link-Codes -TargetDatabase DB19 starten, entfernen Sie zunächst die Daten-
banken auf dem alten Server über das
[1] IT-Administrator Sonderheft I/2018
Get-Mailbox -Database DB16 EAC. Dadurch stellen Sie sicher, dass keine
Exchange Server 2016
j3p21 -RecipientTypeDetails Discovery Postfächer mehr auf dem Server liegen
Mailbox | New-MoveRequest und dies nicht erst bei der Deinstallation
[2] Exchange Environment Report
j3p22 -TargetDatabase DB19 auffällt. Rufen Sie im nächsten Schritt die
[3] Skript MessageStats.ps1
Deinstallation des Exchange-Servers über
is163 Nachdem die Move Requests abgeschlos- die Systemsteuerung unter "Programme
[4] Exchange 2019 Server Role sen wurden, räumen Sie etwas auf und lö- und Funktionen" auf und folgen Sie den
Requirements Calculator schen die zugehörigen Informationen: Hinweisen des Assistenten. Wählen Sie alle
i2p23 Rollen und die Verwaltungstools ab. Nach-
[5] Running Antivirus Software Get-MoveRequest | where {$_.status dem die Deinstallation abgeschlossen wur-
on Exchange Server -eq "Completed"} | Remove-Move- de, entfernen Sie den Server noch aus der
j3p25 Request AD-Domäne, damit auch das Computer-
[6] Clientspezifische konto gelöscht wird.
Nachrichtengrößenbegrenzungen Migration öffentlicher Ordner
j3p26
Über die Migration der öffentlichen Ord- Fazit
[7] Größenbeschränkungen ner müssen Sie sich mit Exchange 2013/ Die Migration auf Exchange Server 2019
von Nachrichten
2016 keine allzu großen Gedanken mehr gleicht früheren Exchange-Migrationen.
j3p27
machen, da diese in eigenen Postfächern In Abhängigkeit von der Größe der alten
[8] Remote Connectivity Analyzer
(ExRCA)
liegen. Verschieben Sie die öffentlichen Datenbanken ist die Migration jedoch eine
h4z17 Ordner einfach in eine Datenbank auf zeitliche Herausforderung, die sich über
dem Exchange-2019-Server: Wochen ziehen kann. (ln)

Quelle: rawpixel – 123RF
Exchange 2019 Preferred Architecture
Gut geplant
Exchange ist ein äußerst komplexes Produkt, das verschiedenste Konfigurationsmöglichkeiten

kennt. Dieser Workshop bringt Ihnen einige Empfehlungen zur Konfiguration von Exchange
2019 näher, damit Sie sich bei der Entwicklung Ihrer Umgebung besser an den Vorgaben von
Microsoft orientieren können. Dabei gehen wir unter anderem auf Server, Storage, Lastenver-
teilung und DNS-Namen ein.
M
icrosoft hat bereits viele White- Je komplexer die Umgebung, desto un- physischen Low Cost-Servern – vor allem
paper und Best-Practice-Anlei- vorhersehbarer sind Fehler. Es gibt keinen um Ressourcen umfänglicher zu nutzen
tungen veröffentlicht. Für Exchange 2019 Bereich in der IT, der gegen Fehler gefeit und die Komplexität durch die zusätzliche
wurden die vielen Änderungen für Ex- ist. Microsoft hat dies als Grundsatz ge- Virtualisierungsschicht zu entfernen. Da-
change 2016 weitestgehend übernom- nommen, um die Architektur der emp- bei wird auf verschiedenste Redundanzen
men, da die beiden Versionen vom Ent- fohlenen Installation deutlich zu verän- auf Serverebene verzichtet und auf inte-
wicklungsstand sehr nahe beieinander dern. Redundanzen, angefangen von grierte Sicherungsmechanismen für Ex-
liegen. Microsoft Engineers haben dabei einem zweiten Netzteil bis hin zu einer change gesetzt.
die Federführung übernommen und ein ausgereiften SAN-Infrastruktur, spielen
empfohlenes Deployment [1] veröffent- in der Betrachtung für Exchange 2019 kei- In diesem Zusammenhang spricht Mi-
licht, dass sich vor allem auf das eigene ne Rolle. Die Umgebung wird vereinfacht crosoft von "Exchange Native Data Pro-
Rollout für Office 365 bezieht. Die dabei und der Fehlerfall planbar, sodass alles in tection", das auch ohne Backup die Mail-
betrachteten Aspekte wollen wir in die- einem vorhersehbaren Wiederherstel- box-Datenbank umfänglich schützt.
sem Artikel näher beschreiben und teil- lungsmodel mündet. Gerade die Verein- Dabei müssen mindestens drei Kopien
weise ausbauen. fachung – Symplicity – ist ein sehr wich- einer Mailbox-Datenbank vorhanden
tiger Punkt, der uns durch den Artikel sein, damit im Fehlerfall eine andere Da-
Jede Umgebung birgt eigene Anforderun- begleiten wird. Dies bezieht sich nicht nur tenbank aktiviert und ein Reseed der de-
gen, sodass für die Erarbeitung immer auf die reine Konfiguration, sondern auch fekten Datenbank nach Fehlerbeseitigung
betriebliche Anforderungen zugrunde lie- auf die Ausstattung der Server. durchgeführt wird. Eine vierte Kopie läuft
gen. Das Thema Hochverfügbarkeit im zusätzlich als Lagged Mailbox Database
Bereich Rechenzentrum als auch auf Da- Keine Virtualisierung, Copy. Ein Backup ist nur noch optional
tenbankebene spielt eine wichtige Rolle, weniger IOPS und richtet sich an die Bedürfnisse der
genauso wie die Kostenreduzierung der Physisch oder virtuell ist heute kaum Organisation.
Infrastruktur sowie die Erhöhung der noch eine Frage, denn in die meisten Re-
Verfügbarkeit durch Reduzierung der chenzentren haben virtuelle Strukturen Ein wichtiger Faktor bei der Konfiguration
Komplexität. Andere Architekturen wer- Einzug gehalten, um Ressourcen effizient eines Servers war bisher die Festplatten-
den unterstützt und finden Support, Mi- zu nutzen. Im Bereich von Exchange hat performance. Die Anforderungen in die-
crosoft bemerkt aber ganz klar, dass diese Microsoft diesen Pfad seit Exchange 2016 sem Bereich hat Microsoft in Exchange
nicht empfohlen sind. verlassen und bevorzugt den Einsatz von 2019 bezogen auf ältere Versionen deutlich

Exchange 2019 Exchange 2019 Preferred Architecture
reduziert. Im Vergleich zu Exchange 2003 Alle Rollen auf allen Servern flexibler, bietet mehr Auswahl und ist we-
verringern sich die notwendigen IOPS um Exchange 2016 arbeitete nur noch mit einiger komplex.
über 90 Prozent. Dies hat auch Auswir- ner Rolle, in der die früheren Rollen Hub
kungen auf die Speicherarchitektur: Für Transport, Client Access und Unified Mes- Zur Auswahl standen bisher nur Win-
das Betriebssystem, die Exchange-Dateien saging (UM) aufgegangen sind. Exchange dows Network Loadbalancing (WNLB)
sowie -Protokolle sollte jedem Server ein 2019 arbeitet auch weiterhin nur mit einer oder Hard-/Software-Loadbalancer. Ge-
RAID1-Festplattenpaar zur Verfügung ste- Rolle, aber aus dieser verabschieden sich gen WNLB sprachen vor allem die feh-
hen. Neu ist seit Exchange 2013, dass die nun die Unified-Messaging-Bestandteile. lende Diensteprüfung und die fehlende
Datenbanken auf möglichst große SAS- Für Umgebungen, bei denen UM im Ein- Kompatibilität des Windows-Netzwerk-
Festplatten mit 7.200 RPM in einem JBOD satz ist, kann das ein Show Stopper für eine lastenausgleichs mit Windows-Failover-
verteilt werden. SAS-Festplatten sind SA- Migration sein. Microsoft empfiehlt hier clustering, das die Voraussetzung für Da-
TA-Festplatten aufgrund der besseren Per- die Nutzung von Clouddiensten. Der Fo- tabase Availability Groups (DAG) ist. Da
formance und der geringeren Fehlerrate kus von Exchange liegt somit auf einem sich WLNB nicht auf einem DAG-Server
vorzuziehen. Als Dateisystem sollte für performanten Enterprise-Messaging-Sys- einrichten lässt, sind zusätzliche Server
die Datenbanken das Resilient File System tem und nicht auf Collaboration. zu installieren, was die Komplexität deut-
(ReFS) zum Einsatz kommen und Bit- lich erhöht. Ein Ausfall eines Webdienstes
Locker sorgt in dabei für die Verschlüs- Mit nur einer Rolle kommen immer der auf einem Exchange-Server wird durch
selung der Daten. Eine teure SAN-Um- gleiche Installationsprozess und die gleiche WLNB nicht erkannt und Anfragen wer-
gebung ist für einen hochverfügbaren Konfiguration zum Einsatz. Durch diese den weitergeleitet, solange die IP-Adresse
Betrieb von Exchange nicht nötig. Vereinheitlichung soll sich auch die Ad- des Servers erreichbar ist.
ministration vereinfachen lassen. Weiter-
Mit Exchange 2019 hat sich das Storage hin steht durch diesen Schritt ein größerer Die Gründe, die gegen WLNB sprechen,
Design geändert und es wurde ein Tiering Pool an Servern für jede Aufgabe zur Ver- sprechen für Loadbalancer: Diensteprü-
mit Solid State Disks (SSDs) eingeführt. fügung, sodass die Last besser verteilt und fung und die Nutzung von Multi-Role-
Nachdem das Exchange-Team über Jahre die Ausfallsicherheit weiter erhöht wird. Servern. Mit der beschriebenen Archi-
rein auf Low-Cost-Speicher gesetzt hat, tekturveränderung ab Exchange 2013
kam es hier zu einer Strategieänderung. Ausfallsicherheit und können Sie in Exchange 2019 DNS Round
Auf den SSDs werden bestimmte Daten Lastenverteilung neu aufgelegt Robin als zusätzliche Option nutzen. Ge-
ausgelagert, um die User-Experience zum Die Auswirkungen des Ausfalls eines rade in Hinblick auf die Vereinfachung
Beispiel bei der Anmeldung oder den Da- Clientzugriffsservers (CAS) an einem ist dies der empfohlene Weg von Micro-
tenabruf weiter zu verbessern. Die neue Standort kompensieren Sie üblicherweise soft. Hierüber erfolgt keine Lastenvertei-
Cache-Datenbank hat den Namen Meta- über Loadbalancing-Mechanismen. Unter lung, aber eine erhöhte Verfügbarkeit ist
Cache Database (MCDB) und wird auf Exchange 2010 wurde meist eine Client- gegeben. Browser und Outlook-Clients
den schnellen SSDs ausgelagert. Diese zugriffsserver-Array zusammen mit einem wenden diese Art der Auflösung nahezu
Datenbank enthält bis zu 10 Prozent der Hard-/Software-Loadbalancer bereitge- ohne Einschränkungen an und finden oh-
eigentlichen Postfachdaten. Ein Disk-Lay- stellt, um Fehlertoleranz und eine effizien- ne Probleme das richtige Ziel, selbst wenn
out nach Microsoft Best Practice sieht zu- te Auslastung von Servern zu erzielen. Die ein CAS nicht erreichbar ist. Loadbalancer
künftig wie folgt aus: Loadbalancer mussten dabei eine Sitzung sind weiterhin eine nützliche Ergänzung,
- Zwei HDDs für das Betriebssystem und zwischen dem Client und einem bestimm- im Exchange-Umfeld spielen Sie aber eine
Exchange 2019, ten Clientzugriffsserver herstellen und untergeordnete Rolle.
- 12 HDDs für Exchange Datenbanken halten (Sitzungsaffinität). Durch diese Vo-
und Logs, raussetzung war bei Exchange 2010 die Über interne und
- eine HDD als DAG AutoReseed Spare Verwendung einer Layer-7-Lastenaus- externe Namensbereiche
Disk und gleichslösung Voraussetzung, die als "Las- Eine der großen Diskussionen bei der Pla-
- vier SSDs für die Metacache Database. tenausgleich auf Anwendungsebene" be- nung einer Exchange-Umgebung ist im-
kannt ist. mer wieder die Festlegung der DNS-Na-
Microsoft hat für das Sizing der Umge- men. Microsoft empfiehlt die Nutzung
bung einen Requirement Calculator für Seit Exchange 2013 ist dies nicht mehr des gleichen Namensbereiches für die in-
Exchange 2019 veröffentlicht, an dem Sie nötig. Der CAS arbeitet als statusloser terne und externe Anbindung. Sofern die
sich zu den Anforderungen an die Hard- Lightweight-Proxyserver, über den Clients interne Domain nicht dem externen Do-
ware orientieren sollten [2]. Leider wird eine Verbindung zu Exchange-Postfach- mainnamen entspricht, führen Sie ein
der Calclator in der aktuellen Version servern herstellen. Sitzungsaffinität ist Split-DNS in Ihrer Domain ein. Beim
nicht mehr direkt veröffentlicht, sondern keine Voraussetzung mehr und eingehen- Split-DNS richten Sie eine lokale Zone
über das Installationsmedium von Ex- de Verbindungen werden an einen verein, die mit den passenden Namen auf
change bereitgestellt. Die Excel-Datei fin- fügbaren Mailboxserver umgeleitet. Die die internen IP-Adressen referenziert.
den Sie im Unterordner "Support". Lastenausgleichsarchitektur ist dadurch Dies ist auch notwendig, da offizielle Zer-

Exchange 2019 Preferred Architecture Exchange 2019
tifikatstellen zukünftig keine internen Do- Namensentscheidung ist auch von der Set-PowerShellVirtualDirectory
mänennamen beziehungsweise IP-Adres- Netzwerktopologie abhängig und es kann Get-MapiVirtualDirectory
sen in neuen Zertifikaten hinterlegen, so- Sinn ergeben, einen gebundenen Namens-
dass Sie um eine einheitliche Benennung bereich zu nutzen. Dies ist zum Beispiel Einzig die Autodiscover-URL richten Sie
kaum herumkommen. der Fall, wenn ein Datencenter in Europa direkt über den Server ein:
und eines in Nordamerika angesiedelt ist
Für ein Split-DNS legen Sie zunächst im und Sie den Traffic zwischen den Locations Set-ClientAccessServer -Identity
DNS eine zusätzliche Reverse Lookup Zone begrenzen wollen. LABEX19 –AutoDiscoverService-
mit dem öffentlichen Domänenamen an. InternalUri https://autodiscover.
Im Anschluss erstellen Sie A-Records für Zum Einsatz kommt also nur ein Name domain.de/Autodiscover/Autodisco-
die externen Namen mit den IP-Adressen für sämtliche Clientzugriffe auf allen Ser- ver.xml
der internen Server. Sollte der Name Ihrer vern einer Umgebung: "mail.domain.de".
Website der E-Mail-Domäne entsprechen, Neben dem Zugriffspunkt für die Clients DAG richtig konfiguriert
wird die Auflösung der Website intern zu- erstellen Sie als zweiten DNS-Eintrag ein Seit Exchange 2010 gehören DAGs zum
nächst nicht mehr funktionieren. Autodiscover-Eintrag: "autodiscover. festen Bestandteil von Exchange und sind
domain.de". Optional richten Sie noch der einfachste Weg, um Mailbox-Server
Richten Sie zur Fehlerbeseitigung einen Namen für andere Dienste ein, etwa abzusichern. Dabei werden Datenbank-
zusätzlichen A-Record mit dem Namen "imap.domain.de" oder "smtp.domain.de". kopien über die Windows-Cluster-Tech-
www ein und geben Sie diesem Eintrag die nologien auf bis zu 16 verschiedene Mail-
IP-Adresse der externen Website. Die IP- Die Namen der Webzugriffe ändern Sie box-Server verteilt, um eine passive Kopie
Adresse der Website erhalten Sie über eine im Exchange Administration Center un- kurzfristig zu aktivieren. Die Einrichtung
nslookup-Abfrage von einem Client, der ter dem Punkt "Server / Virtuelle Ver- erfolgt dabei komplett über Exchange,
noch Zugriff auf die Domain hat: zeichnisse". Als weitere Möglichkeit zur ohne dass Sie sich mit dem Failover-Clus-
Einrichtung der URLs steht Ihnen die ter-Manager näher beschäftigen.
nslookup www.domain.de PowerShell mit den folgenden Befehlen
und den Parametern "InternalUrl" und Bei der Nutzung einer DAG laufen alle
Eine ausführliche Beschreibung zur Ein- "ExternalUrl" zur Verfügung: DAG-Mitglieder unter der gleichen Be-
richtung eines Split-DNS finden Sie unter triebssystemversion und weisen die glei-
[3] in Internet. Set-ActiveSyncVirtualDirectory che Verzeichnisstruktur für die Daten-
banken auf. Darüber hinaus verfügen alle
So bestimmen Sie Set-WebServicesVirtualDirectory Member-Server einer DAG über die glei-
den DNS-Namen che Exchange-Version. Bis Exchange 2013
Nachdem geklärt ist, dass interne und ex- Set-OabVirtualDirectory benötigte jede DAG ein Cluster Name
terne Namen identisch sind, stellt sich die Object (CNO). Dabei handelt es sich um
Frage, welche Namen zur Anwendung Set-OwaVirtualDirectory ein AD-Objekt, das Exchange für die in-
kommen und damit in das Zertifikat müs- terne Cluster-Kommunikation nutzt. Der
sen. Zunächst einige Hintergrundaspekte: Set-EcpVirtualDirectory Name der DAG entspricht dem CNO.
Beim Namen wählen Sie ein ungebunde-
nen Namensbereich für Ihre Rechenzen-
tren, sofern Sie über verschiedenen Zu-
gangspunkte aus dem Internet verfügen.
Im Gegensatz zum gebundenen Namens-
bereich findet ein Name für alle Rechen-
zentren Verwendung. Die öffentlichen IP-
Adressen der verschiedenen Zugriffspunkte
werden über den gleichen Namen im öf-
fentlichen DNS registriert und die Auflö-
sung erfolgt, wie bereits beschrieben, extern
über DNS Round Robin.
Auf diesem Weg erhalten anfragende

Clients abwechselnd eine andere IP-Adres-
se zurück. Der Netzwerkverkehr wird in-
folge auf beide Rechenzentren verteilt und
circa 50 Prozent der Anfragen werden zwi- Bild 1: Sofern mehrere Rechenzentren zum Einsatz kommen,
schen den Datacentern weitergeleitet. Die verwenden Sie einen einheitlichen DNS-Namen.

Exchange 2019 Exchange 2019 Preferred Architecture
eine Trennung aus Sicherheitsgründen

wenig Sinn ergibt. Ein Fehler des Servers
oder im Netzwerkbereich führt immer
zur Aktivierung einer Kopie eines ande-
ren DAG-Mitglieds und eine Vereinfa-
chung der Konfiguration ist zu empfeh-
len. Eine manuelle Konfiguration ist
nicht notwendig. Ein Eingriff ist nur bei
iSCSI-Netzwerken nötig. Deaktivieren
Sie diese, sofern diese vorhanden sind:
Set-DatabaseAvailabilityGroupNetwork
-Identity DAG10\DAGNetwork02
Bild 2: In Exchange 2019 lautet die Empfehlung, dass interne und externe Namensbereiche identisch -ReplicationEnabled:$false
sind. Die Konfiguration nehmen Sie über das EAC oder die PowerShell vor. -IgnoreNetwork:$true
Bei Exchange 2013 vor dem SP1 muss- Hier gibt es keine Änderungen zum bis- Zeugenserver kommen weiterhin nur
ten Sie zunächst das CNO vorbereiten. herigen Vorgehen. Im folgenden Beispiel dann zur Anwendung, wenn eine gerade
Mit dem Update auf Exchange 2013 SP1 fügen wir den Server LABEX161 der Anzahl von Mitgliedern in der DAG vor-
und in Verbindung mit Windows 2012 DAG01 hinzu und richten auf dem Ser- liegt. Ist eine DAG über zwei Standorte
R2 führt Microsoft die AD-unabhängige ver LABEX162 eine Kopie der Datenbank verteilt und kommt ein Witness-Server
Cluster-Konfiguration ein. Damit sind DB01 ein: zum Einsatz, sollte der Server nach Mög-
auch keine IP-Adressen aus den Subnet- lichkeit in einem dritten Standort liegen.
zen der DAG-Mitglieder mehr nötig. Add-DatabaseAvailabilityGroupServer Sofern keine dritte Lokation vorhanden
Ein Pre-Staging des CNOs ist somit -Identity DAG01 -MailboxServer ist, bietet sich auch die Nutzung von Mi-
nicht mehr erforderlich und die Ein- LABEX161 crosoft Azure an. Voraussetzung ist, dass
richtung fällt deutlich leichter. Eine ein Netzwerkfehler zwischen den pri-
DAG neuen Typs richten Sie mit folgen- Add-MailboxDatabaseCopy -Identity mären Standorten keinen Einfluss auf
dem Befehl ein: DB01 -MailboxServer LABEX162 den dritten Standort hat. Dadurch kann
–ActivationPreference 2 immer ein automatischer Failover erfol-
New-DatabaseAvailabilityGroup -Name gen, egal welches Rechenzentrum be-
DAG01 -DatabaseAvailabilityGroup- Dieses Vorgehen stellt ein weiterer Schritt troffen ist.
IpAddresses ([system.net.ipad- zur Vereinfachung der Architektur dar
dress])::none und beschleunigt die Einrichtung einer Fazit
DAG deutlich. Bei der Konfiguration von Microsoft Ex-
Eine AD-unabhängige DAG können Sie change 2019 hat sich nur wenig verändert.
ebenfalls über die EAC einrichten. Fügen DAG-Netzwerk Vor allem durch das Tiering mit SSD-
Sie bei der Erstellung einfach die DAG- und Zeugenserver Festplatten für MCDB müssen Sie bei der
IP-Adresse 255.255.255.255 in der Kon- DAG-Netzwerke werden bei der Einrich- Festplattenkonfiguration einmal genauer
figurationsmaske hinzu. tung einer DAG automatisch angelegt und hinschauen. Dem Weg zurück auf physi-
für den Replikations- oder MAPI-Verkehr sche Server mit einfachen Festplatten
Beim Hinzufügen eines Servers zur DAG verwendet. Jede DAG enthält maximal ein bleibt Microsoft treu. Das Mantra "ein-
wird auch weiterhin automatisch das Fai- MAPI-Netzwerk und beliebige Replikati- facher ist besser" ist stark spürbar und er-
lover-Cluster-Feature installiert. Im Un- onsnetzwerke. Bei Exchange 2010 war die leichtert die Arbeit der Administratoren
terschied zu einer klassischen DAG wer- Trennung zwischen Clientzugriffs- und deutlich. (ln/dr)
den Ihnen im Failover-Cluster-Manager das Replikationsnetz noch Best Practice,
zur DAG beziehungsweise zum Cluster während Microsoft von der logischen Link-Codes
keine Informationen mehr angezeigt. Trennung zu Gunsten der Vereinfachung
Wundern Sie sich nicht, wenn Sie zukünf- ab Exchange 2013 abrückt. Dies ist zum [1] The Exchange 2019
tig einen Blick in den Manager werfen einen der höheren Netzwerkbandbreiten Preferred Architecture
f7p51
und Ihnen augenscheinlich Informatio- geschuldet – 10 GBit verbreitet sich immer
nen fehlen. mehr – sodass Performanceengpässe der [2] Exchange 2019 Server Role
Requirements Calculator
Vergangenheit angehören.
i2p23
Im nächsten Schritt fügen Sie die Server
[3] Setting Up Split DNS
der DAG hinzu und verteilen die Mail- Zum anderen nutzt Exchange meist die f7p53
boxdatenbanken auf die Exchange-Server. gleiche Netzwerkinfrastruktur, sodass

Quelle: flynt – 123RF
Exchange Server virtualisieren
Stolperfallen
vermeiden
Auch wenn Microsoft eine andere Empfehlung ausspricht, liebäugeln doch viele IT-Abteilung
mit dem Gedanken, Exchange genauso virtuell zu betreiben wie die meisten der anderen Server
im Unternehmen. Dieser Artikel zeigt, welche Stolperfallen beim lokalen Betrieb eines
virtualisierten Exchange-Servers drohen.
O
b Exchange 2019 virtualisiert wird, gung, wovon allein VMware neun durch nig Einfluss auf die eingesetzte Hardware
hängt hauptsächlich von der Stra- die verschiedenen Versionen beisteuert. und den Hypervisor, weshalb Sie hier ge-
tegie des Unternehmens ab. In den meis- nau prüfen müssen, ob die Installation
ten Unternehmen ist die Virtualisierung Das heißt aber nicht, dass der Betrieb von Exchange in der virtuellen Umge-
fester Bestandteil des IT-Plans und es von Exchange über andere Hypervisoren bung vom Anbieter unterstützt wird.
spricht nichts dagegen, auch Exchange in mit allen Funktionen direkt unterstützt
diese einzubeziehen. Microsoft bevorzugt wird. Dies wird innerhalb des SVVP Bei Azure ist es zum Beispiel Vorausset-
jedoch grundsätzlich einen physischen nicht getestet und eine detailliertere Aus- zung, dass Sie für alle Laufwerke mit Ex-
Rollout, was wir im Artikel zur Microsoft sage gegenüber Drittanbietern gibt es change-Datenbanken und -Protokollen
Preferred Architecture für Exchange 2019 nicht. Achten Sie unbedingt auf die Kon- Azure Premium Storage nutzen. Zudem
ab Seite 137 im Detail aufgreifen. figurationsempfehlung des Lieferanten, bringt Azure mit sich, dass Sie E-Mails
damit Sie im Problemfall einen zuver- an externe Domänen von Azure nur über
208 Hypervisoren zur Wahl lässigen Ansprechpartner auch auf dieser definierte Smart Hosts oder SMTP-Re-
Als Hypervisor unterstützt Exchange sämt- Seite haben. lay-Anbieter wie Microsoft Exchange
liche Versionen von Hyper-V. Darüber hi- Online Protection versenden können.
naus finden Hypervisoren von Drittanbie- Sofern Microsoft bei einem Support-Call Andere Dienstleister haben andere Vo-
tern Unterstützung, die über das "Windows von einem Problem des Hypervisors aus- raussetzungen und oft gibt es umfang-
Server Virtualization Validation Program" geht, sind Sie in Pflicht, das Problem in reiche Ressourcen und Guides, wie auch
(SVVP) validiert wurden. Über dieses sind einer physischen Umgebung oder in Hy- bei Amazon [2].
aktuell über 230 Hypervisoren von ver- per-V zu reproduzieren. Exchange 2019
schiedensten Herstellern gegen verschie- installieren Sie dann innerhalb des Hy- Sizing von CPU und RAM
dene Windows-Versionen zertifiziert. Hier- pervisors auf Windows Server 2019. Die Beim Sizing orientieren Sie sich an den
zu zählen nicht nur die bekannten wie physische Host-Maschine nutzen Sie aus- grundsätzlichen Exchange-Vorgaben. Die
VMware oder Citrix, sondern auch eine schließlich für virtuelle Maschinen. Auf Umgebung planen Sie mit dem "Office
ganze Reihe von Exoten [1]. dem Host darf nur Managementsoftware Exchange Server Role Requirements Cal-
wie Antivirus oder Backup installiert wer- culator" [3]. Leider wird der Calculator
Über die verlinkte Liste des SVVP stellen den. Andere Applikationen wie SQL Ser- in der aktuellen Version nicht mehr di-
Sie sicher, dass die gewählte Plattform zuver oder Active Directory hingegen nicht. rekt veröffentlicht, sondern über das In-
sammen mit dem Guest-Betriebssystem stallationsmedium von Exchange bereit-
supported ist. Das ist die Grundvoraus- Einfluss von Cloudumgebungen gestellt. Die Excel-Datei finden Sie im
setzung für eine von Microsoft unterstüt- Heute spielt nicht nur die eigene virtuelle Unterordner "Support". Einige Punkte
ze Exchange-Installation. Da Exchange Umgebung eine Rolle in der IT-Strategie, sind dabei in einer virtuellen Umgebung
2019 zwingend Windows 2019 voraus- sondern auch Infrastructure-as-a-Service zu beachten: Bei der Berechnung der
setzt, stehen nur 17 Produkte zur Verfü- (IaaS). Gerade bei IaaS haben Sie oft we- Prozessoren geben Sie im Requirements

Exchange 2019 Exchange Server virtualisieren
stress, um sicherzustellen, dass der Sto-

rage Ihren Anforderungen genügt. Die
Konfiguration des Exchange-Servers fra-
gen Sie nach der Installation mit dem
PowerShell-Skript "Healthchecker" [4]
ab. Dies liefert Ihnen neben allgemeinen
Hinweisen zu Exchange, wie Informatio-
nen zur genauen Exchange- oder .Net-
Version, Details zur den eingesetzten
CPUs und anderen wichtigen Punkten
der Voraussetzungen.
Failover und
Snapshots in der Praxis
Ein geplantes Verschieben eines virtuellen
Exchange-Servers von einem Host zu ei-
Bild 1: Beim Sizing des Exchange-Servers für eine virtuelle Umgebung spielt bei der Berechnung nem anderen über Livemigration oder
der CPUs im "Office Exchange Server Role Requirements Calculator" die Anzahl der virtuellen vMotion ist supported. Anders verhält es
Prozessoren eine wichtige Rolle. sich im Fehlerfall des Hosts, bei dem der
virtuelle Server auf einem anderen Host
Calculator an, dass es sich um eine vir- den ist. Dabei müssen Sie den Arbeits- durch eine Cluster-Funktion verfügbar
tuelle Umgebung handelt. Dabei sollte speicher dem Exchange-Server fest zutei- gemacht wird. Hier unterstützt Exchange
das Verhältnis der logischen Prozessoren len – eine dynamische Speicherzuweisung nur den "Cold Boot", bei dem der virtuelle
bezogen auf die im Hypervisor zugewie- ist nicht gestattet! Dies ist eine logische Server auf der Gegenseite ganz normal
senen virtuellen Prozessoren den Wert Konsequenz, da Exchange viele Daten im gestartet wird.
von eins zu zwei nicht übersteigen. Emp- Arbeitsspeicher-Cache hält und dynami-
fohlen wird ein Verhältnis von eins zu scher Speicher somit zu einer schlechten Würde der Server auf einem alternativen
eins. Bei einem Server mit zwei Prozes- Systemperformance führt. Host aus einem Standby aktiviert, vergin-
soren, die je über acht Kerne verfügen, gen auch in diesem Fall einige Sekunden,
darf die Anzahl virtuellen Prozessoren Storage für in denen der Heartbeat zwischen den
32 nicht übersteigen. virtualisiertes Exchange DAG-Mitgliedern unterbrochen ist und
Speicherseitig unterstützt ein virtuali- ein Exchange-Failover zu einem anderen
Während Sie Hyperthreading in physi- siertes Exchange nur Blocklevel-Storage. Exchange-Server stattfindet. Wird nun
schen Umgebungen zwingend deaktivie- Zum Einsatz als Speicher für die Daten- der virtuelle Server einfach aus dem
ren sollten, spielt dies in virtuellen Um- banken kommt fest zugeordneter Storage Standby reaktiviert, kommt es zu einem
gebungen keine Rolle. Durch die Er- und bei Hyper-V auch dynamischer Spei- inkonsistenten Zustand, den es zu vermei-
höhung der logischen Prozessoren, cher zur Anwendung. Hinzu gesellen sich den geht.
kommt es bei physischen Servern zu einer SCSI-Pass-Through-Speicher und iSCSI-
erhöhten Speichernutzung und gelegent- Storage, den Sie direkt aus der virtuellen Erst mit Windows 2016 und den neuen
lich auch zu einer erhöhten CPU-Belas- Maschine ansprechen. NAS wird nicht "Production Checkpoints" von Hyper-V
tung. Virtuelle Server sind davon nicht unterstützt und es ist auch nicht suppor- wird die Snapshot-Technologie auch für
betroffen, da sie die zusätzlichen Prozes- ted, diesen in der virtuellen Maschine als Exchange wieder unterstützt. Dabei wer-
soren nicht direkt im Zugriff haben. Ach- Blocklevel-Storage einzubinden. den über den Volumenschattenkopie-
ten Sie aber darauf, dass Sie nicht mehr Dienst (VSS) innerhalb der virtuellen Ma-
CPUs als im Calculator vorgegeben zu- Sofern Windows Server 2012 Hyper-V schinen Checkpoints des Servers erstellt,
weisen, da es ansonsten zu ähnlichen Pro- zum Einsatz kommt, lassen sich auch vir- sodass auch Programme korrekt gesichert
blemen wie in physischen Umgebungen tuelle Festplatten mit einer festen Größe werden. Trotz dieser Möglichkeit sollten
kommen kann. Beim Thema Hyperthrea- auf einer SMB-3.0-Freigabe nutzen. Eine Sie die Funktion nur mit Bedacht anwen-
ding richten Sie sich nach den Vorgaben direkte Einbindung des SMB-3.0-Shares
Ihres Virtualisierungsanbieters. innerhalb von Exchange ist nicht möglich. Azure einfach testen
Um die Virtualisierung von Exchange mit

Beim Arbeitsspeicher sind die Support- Speichern Sie die virtuellen Festplatten
Azure und IaaS-Schritte zu testen, liefert [7]
richtlinien wesentlich strenger und es darf des Betriebssystems und der Datenban-
eine detaillierte Beschreibung, wie Sie sich in
den virtuellen Servern nicht mehr Spei- ken auf unterschiedlichen Festplatten- Azure eine Exchange-2019-Test- und Ent-
cher zugewiesen werden, als physischer spindeln. Prüfen Sie die Umgebung vor wicklungsumgebung aufbauen.
Arbeitsspeicher im Host-System vorhan- der Installation von Exchange mit Jet-

Exchange Server virtualisieren Exchange 2019
Server betreiben, da im Fehlerfall des

Hosts gegebenenfalls die gesamte Ex-
change-Umgebung ausfällt.
Bei der Virtualisierung von Exchange be-

denken Sie immer, dass es dabei lediglich
um die physische Hochverfügbarkeit des
Servers handelt und diese nicht anwen-
dungsorientiert ist. Die Hochverfügbarkeit
des Exchange Servers muss immer geson-
dert betrachtet werden – mehr zu dem The-
ma lesen Sie im HA-Beitrag ab Seite 144.
Nutzen Sie Hyper-V 2012 und erhalten

Sie eine Fehlermeldung beim Erstellen
beziehungswiese beim Hinzufügen eines
Exchange-Servers zu einer DAG, prüfen
Sie den Microsoft Knowledge Base Artikel
"2872325" [6]. Das Problem wird durch
den "Microsoft Failover Cluster Virtual
Adapter Performance Filter" verursacht
und der Artikel beschreibt, wie Sie das
Bild 2: Das Healthchecker-Skript gibt nützliche Hinweise zu den Exchange-Voraussetzungen und zeigt Problem lösen.
auch die Anzahl der Prozessoren an – egal, ob physisch oder logisch.
Fazit
den, da Exchange oft in einer Datenbank- das Shutdown-Verhalten an und setzen Beim Aufbau einer virtuellen Exchange-
verfügbarkeitsgruppe (DAG) läuft und die Sie es auf "Herunterfahren des Gastes". Umgebung gibt es die betrachteten Punk-
meisten Konfigurationen direkt im Active te, die es zu beachten gilt. Ob das Thema
Directory speichert. Zeitsynchronisation Virtualisierung von Exchange, trotz der
und Hochverfügbarkeit Empfehlung eines physischen Rollouts
Neben Snapshots ist auch das Starten des In den Eigenschaften des virtuellen Ser- infrage kommt, muss jedes Unternehmen
Exchange-Servers aus einem gespeicherten vers deaktivieren Sie unbedingt die Zeit- individuell erwägen. Grundsätzlich stellt
Status oder einem Standby-System nicht synchronisation zwischen Host und sich hier die Frage, ob nicht direkt Ex-
gestattet. Aus diesem Grund beachten Sie, Gast. Exchange ist Mitglied der Active- change Online mit Office 365 eine Alter-
dass beim Beenden oder Neustarten des Directory-Domäne und die Zeit sollte native ist. (jp/dr)
Hypervisors dieser den Exchange-Server der Server unbedingt über die Mecha-
herunterfährt und nicht einfriert. Dadurch nismen eines Domänencontrollers syn- Link-Codes
werden alle Änderungen in die Exchange- chronisieren. Bei Hyper-V konfigurieren
[1] Windows Server Catalog /
Datenbanken geschrieben und der Server Sie dies in den Eigenschaften der VM
Server Virtualization
ordentlich heruntergefahren. Optimal wäre unter dem Punkt "Integrationsdienste", is101
es, wenn Sie im virtuellen Exchange aktive in VMware nutzen Sie unter anderem [2] Microsoft Exchange Server on AWS
Datenbanken vor dem Beenden des Hosts den vSphere-Client zur Konfiguration is102
auf andere Server verteilen, um einen Fail- über die erweiterten Einstellungen der [3] Office Exchange Server Role
over im Exchange zu vermeiden. virtuellen Maschine [5]. Grundsätzlich Requirements Calculator
sollten Sie die Zeitsynchronisierung bei i2p23
Die Konfiguration zum Verhalten beim jedem virtuellen Domänenmitglied dau- [4] Healthcheck-Skript
Herunterverfahren des Hypervisors neh- erhaft deaktivieren. is103
men Sie bei Hyper-V zum Beispiel in den [5] VMware: Disabling Time
Eigenschaften jedes virtuellen Servers un- Durch den Hypervisor erhalten Sie eine Synchronization
ter dem Punkt "Automatische Stoppakti- physische Hochverfügbarkeit. Dies be- is104
on" vor. Bei VMware konfigurieren Sie zieht sich nicht auf die Anwendungsebene [6] Guest Cluster nodes in Hyper-V
die Einstellungen zum Herunterfahren und damit nicht auf Exchange, sodass die- may not be able to create or join
is105
der virtuellen Maschine für jeden Server ses weiterhin durch Datenbankverfüg-
in den allgemeinen Einstellungen im barkeitsgruppen abgesichert werden [7] Exchange dev/test environment
in Azure
vSphere-Client unter "Verwalten / Ein- muss. Achten Sie dabei darauf, dass Sie is106
stellungen". Passen Sie bei jedem Server Server einer DAG nicht auf dem gleichen

Exchange 2019 Hochverfügbarkeit
Hochverfügbarkeit für Exchange Server 2019
Robust
Das E-Mail-System ist das Rückgrat der

Unternehmenskommunikation – Ausfälle
sind kaum zu tolerieren. Dieser Workshop zeigt
den Aufbau einer hochverfügbaren Exchange-
Umgebung. Dabei gehen wir vor allem darauf
ein, was Exchange 2016 und 2019 von Haus aus
gegen Datenverlust mitbringen.
S
eit Exchange 2016 gibt es nur noch Safety Net abgesichert.
die Mailbox-Rolle – neben der Die Shadow-Redun-
Edge-Rolle, die in diesem Beitrag außen danz erstellt redundan-
vor bleibt. Die Mailbox-Rolle entspricht te Kopien aller einge-
dem empfohlenen Multi-Rollen-Server henden Nachrichten
bei Exchange 2013, der aus den Rollen auf einem weiteren
Client Access und Mailbox bestand. Diese Mailbox-Server, bevor
Funktionalitäten wurden in die Mailbox- diese dem sendenden
Rolle aufgenommen. Clientzugriff und Server bestätigt werden Quelle: kostsov – 123RF
Transportdienst sind weiterhin wichtige und die Nachrichten

Bestandteile und bei der Absicherung der weiterverarbeitet werden. Auf diesem Weg QueueViewer anschauen. Sie erkennen
Verfügbarkeit sind alle Bestandteile zu ist sichergestellt, dass von allen Nachrichten die Warteschlange am Delivery Type "Sha-
berücksichtigen. in der Exchange-Transportpipeline eine re- dow Redundancy".
dundante Kopie vorhanden ist. Die E-Mail
Grundsätzlich bieten Exchange 2016 und wird in der Transportdatenbank von Ex- Nachdem die E-Mail die Shadow-Redun-
2019 bei der Hochverfügbarkeit nahezu change erst gelöscht, wenn der nächste Hop danz verlassen hat, übernimmt das Safety
die gleichen Möglichkeiten wie vorange- im Übermittlungspfad die Übermittlung Net. Beide Funktionen arbeiten Hand in
gangene Exchange-Versionen. Es gibt aber beendet hat. Sofern beim nächsten Hop ein Hand und das Safety Net ist eine Weiter-
auch Unterschiede und so ist die Instal- Fehler auftritt, bevor der Hop die erfolgrei- entwicklung des Transportdumpsters aus
lation eines Clients Access Servers (CAS) che Übermittlung bestätigt, wird die Nach- Exchange 2010. Dabei handelt es sich um
als reiner Front-End-Server nicht mehr richt erneut gesendet. eine Warteschlange des Transportdienstes,
möglich. Hier bietet sich sowohl bei Ex- in der erfolgreich verarbeitete E-Mails auf-
change 2016 als auch bei Exchange 2019 Shadow-Redundanz ist bei Exchange 2016 bewahrt werden. Die erneute Zustellung
DNS Round Robin an. Damit können Sie und Exchange 2019 standardmäßig aktiv kommt bei zwei Szenarien zum Tragen:
eine hochverfügbare Umgebung bereits und den Status prüfen Sie über "Sha- zum einen bei einem automatischen oder
mit zwei Exchange-Servern aufbauen, so- dowRedundancyEnabled" mit dem Power- manuellen Failover einer Postfachdaten-
wohl für die Postfachdatenbanken als Shell-Cmdlet "Get-TransportConfig". bank in einer DAG und zum anderen nach
auch für den Clientzugriff. Bei älteren Ex- Voraussetzung ist eine DAG mit zwei dem Aktivieren einer verzögerten Kopie
change-Versionen benötigten Sie hingegen Mailbox-Servern oder mindestens zwei einer Postfachdatenbank. Für Safety Net
zwingend zusätzliche Loadbalancer oder Exchange-Server an einem lokalen Acti- muss die Funktion Shadow-Redundanz
zwei CAS in einem Hochverfügbarkeits- ve-Directory-Standort. Die Einstellungs- aktiv sein und es müssen ebenfalls mehrere
verbund vor den Datenbankservern – auf möglichkeiten bringen Sie mit Get-Trans- Server vorhanden sein. Die erneute Über-
die Loadbalancer können Sie verzichten. portConfig | fl *Shadow* auf den Schirm. mittlung wird durch den Active Manager
Gespeichert werden die E-Mails in der automatisch ausgelöst und es ist kein Ein-
Transporthochverfügbarkeit Datei "mail.que", die durch Shadow-Re- greifen nötig. Die Aufbewahrungszeit im
Der Transportdienst als Bestandteil des dundanz und Safety Net größer ist als in Sicherheitsnetz konfigurieren Sie über das
Postfach-Servers wird automatisch durch den vorangegangenen Exchange-Versio- Cmdlet "Set-TransportConfig" und das At-
die Funktionen Shadow-Redundanz und nen. Die E-Mails können Sie sich im tribut "SafetyNetHoldTime".

Hochverfügbarkeit Exchange 2019
veröffentlichen Sie mindestens zwei MX-

Records, die zu verschiedenen E-Mail-
Servern Ihrer Domain zeigen.
Ausfallsicherheit
bei CAS-Servern
Den Ausfall eines Clientzugriffsservers an
einem Standort kompensieren Sie übli-
cherweise über Loadbalancing-Mechanis-
men. In älteren Exchange-Versionen wurde
meist ein Clientzugriffsserver-Array zu-
sammen mit einem Hard-/Software-Lo-
adbalancer (LB) bereitgestellt, um Fehler-
toleranz und eine effiziente Auslastung
von Servern zu erzielen. Mit der Architek-
turveränderung ab Exchange 2013 hielt
DNS Round Robin als zusätzlicher Redun-
danzmechanismus Einzug. Dies ist – seiner
Einfachheit geschuldet – der von Microsoft
empfohlene Weg zur Absicherung des
Clientzugriffs. Hierüber erfolgt keine Las-
tenverteilung, aber eine erhöhte Verfüg-
barkeit ist gegeben. Browser und Outlook-
Bild 1: Schon bevor eine eingehende E-Mail dem sendenden Server quittiert wird, Clients wenden diese Art der Auflösung
erstellt Exchange automatisch eine Kopie auf einem anderen Server. nahezu ohne Einschränkungen an und fin-
den ohne Probleme das richtige Ziel, auch
E-Mails absichern Get-SendConnector | ft Name, wenn ein CAS nicht erreichbar ist. Load-
Um das Senden von E-Mails sicherzustel- SourceTransportServers -autosize. balancer sind weiterhin eine nützliche Er-
len, reicht es aus, beim Sendeconnector gänzung, im Exchange-Umfeld spielen sie
einfach mehrere Exchange-Server einzu- Alternativ sehen Sie sich die Einträge unter aber eine untergeordnete Rolle.
tragen, die E-Mails nach extern versenden dem Punkt "Quellserver" im Exchange
dürfen. Ein häufiger Fehler ist es, für jeden Administrator Center (EAC) an, zu finden Um DNS Round Robin nutzen zu kön-
Exchange-Server einen eigenen Sendecon- in den Eigenschaften des Sendeconnectors nen, müssen Sie für die Zugriffsnamen
nector einzurichten. Das sollten Sie ver- unter "Nachrichtenfluss / Sendeconnector / zwei A-Records im DNS registrieren. Mi-
meiden, da bei gleichen Kosten und glei- Bereichsdefinition" (Bild 2). crosoft empfiehlt die Nutzung des glei-
cher Nähe immer der Connector mit dem chen Namensbereichs für die interne und
niedrigsten alphanumerischen Wert zum Sofern bei der ausgehenden Übermittlung externe Anbindung. Sofern die interne
Einsatz kommt, auch wenn dieser nicht mehrere Smarthosts zum Einsatz kom- Domain nicht dem externen Domain-
verfügbar ist. Durch die Zuordnung von men, tragen Sie diese in den gleichen Sen- namen entspricht, führen Sie ein Split-
zwei Servern zu einem Sendeconnector deconnector ein. Exchange sorgt auf diese DNS in Ihrer Domain ein. Dies ist not-
lässt sich der Ausfall eines Servers beim Weise für das Loadbalancing über Round wendig, da offizielle Zertifikatsstellen
Versand kompensieren. Die zugeordneten Robin und die Fehlertoleranz zwischen keine internen Domainnamen bezie-
Server eines Connectors prüfen Sie am den Smarthosts. Um den eingehenden E- hungsweise IP-Adressen in neuen Zerti-
einfachsten über die PowerShell: Mail-Traffic ausfallsicher zu gestalten, fikaten hinterlegen. Für ein Split-DNS
legen Sie zunächst im DNS eine zusätz-
liche Reverse Lookup Zone mit dem öf-
fentlichen Domainnamen an. Im An-
schluss erstellen Sie A-Records für die
externen Namen mit den IP-Adressen
der internen Server. Im Internet richten
Sie die entsprechenden Namen mit den
A-Records zu den öffentlichen IP-Adres-
sen beider E-Mail-Server ein.
Als Subdomain für sämtliche Clientzugriffe

Bild 2: Das Senden über Exchange sichern Sie mittels mehrerer Quellserver in einem Sendeconnector ab. auf allen Servern einer Umgebung reicht

Exchange 2019 Hochverfügbarkeit
ein Name, etwa "mail.domain.de". Neben sen. Bei der Nutzung einer DAG laufen move-MailboxDatabaseCopy zunächst alle
dem Zugriffspunkt für die Clients erstellen alle DAG-Mitglieder unter der gleichen Datenbankkopien vom Server. Im An-
Sie mit "autodiscover.domain.de" als zwei- Betriebssystemversion und weisen die schluss tilgen Sie den Server auch aus der
ten DNS-Eintrag einen Autodiscover-Ein- gleiche Verzeichnisstruktur für die Da- DAG, und zwar mit dem PowerShell-Be-
trag. Optional richten Sie noch Namen für tenbanken auf. Darüber hinaus verfügen fehl Remove-DatabaseAvailabilityGroup-
andere Dienste ein, etwa "imap.domain.de" alle Member-Server einer DAG über die Server. Danach können Sie den Server mit
oder "smtp.domain.de". gleiche Exchange-Version. der Option "RecoverServer" wiederher-
stellen. Zum Abschluss fügen Sie den Ser-
Die Namen der Webzugriffe ändern Sie Seit Exchange 2013 SP1 und in Verbin- ver der DAG mit den Befehlen Add-Da-
im Exchange Administration Center unter dung mit Windows 2012 R2 bietet Micro- tabaseAvailabilityGroupServer und Add-
dem Punkt "Server / Virtuelle Verzeich- soft die AD-unabhängige Cluster-Konfi- MailboxDatabaseCopy wieder hinzu.
nisse". Als weitere Möglichkeit zu Einrich- guration an. Damit sind keine IP-Adressen
tung der URLs stehen Ihnen PowerShell- aus den Subnetzen der DAG-Mitglieder Bei der Wartung in einer hochverfügba-
Befehle mit den Parametern "InternalUrl" mehr nötig. Ein Pre-Staging des CNOs ist ren Umgebung sind ebenfalls einige
und "ExternalUrl" zur Verfügung. Einzig somit nicht mehr erforderlich und die Ein- Punkte zu beachten. Theoretisch laufen
die Autodiscover-URL richten Sie über richtung wird um einiges vereinfacht. Eine die hochverfügbaren Dienste weiter und
einen gesonderten PowerShell-Befehl ein. DAG neuen Typs richten Sie mit folgen- ändern automatisch aktive Knoten. Einen
Ein vollständiges Skript [1] liefert Ihnen dem Befehl ein: Failover-Test sollten Sie aber geplant
alle URLs in einem Durchgang. durchführen und nicht bei einem Update
New-DatabaseAvailabilityGroup -Name oder ähnlichen Aktionen. Als Erstes len-
Haben Sie die DNS-Einträge und die vir- DAG01 -DatabaseAvailabilityGrou- ken Sie die Clientanfragen zu einem an-
tuellen Verzeichnisse konfiguriert, können pIpAddresses ([system.net.ipad- deren Server um. Kommt DNS Round
Sie die HA-Funktion testen. Sofern Out- dress])::none Robin zum Einsatz, löschen Sie einfach
look eine Verbindung zu Ihrem Exchange- temporär den DNS-Eintrag des zu war-
Server aufgebaut hat, sehen Sie anhand der Eine AD-unabhängige DAG können Sie tenden Servers, damit Clients die IP des
IP-Adresse im Ressourcenmonitor, mit ebenfalls über die EAC einrichten. Tippen Servers nicht mehr erhalten. Sofern ein
welchem Server Sie verbunden sind. Fah- Sie bei der Erstellung einfach die DAG-IP Loadbalancer Verwendung findet, deak-
ren Sie den Server nun herunter oder de- "0.0.0.0" in der Konfigurationsmaske ein. tivieren Sie den Zugriff auf den Server.
aktivieren Sie temporär die Netzwerkver-
bindung, baut Outlook automatisch eine Im nächsten Schritt fügen Sie die Server Bezüglich der DAG ist der Aufwand etwas
Verbindung zum alternativen DNS-Eintrag der DAG hinzu und verteilen die Mailbox- größer: Zunächst leeren Sie die Transport-
auf. Ist Outlook auch weiterhin verbunden, datenbanken auf die Exchange-Server. Hier komponente des Servers und leiten alle E-
haben Sie die Hochverfügbarkeit des gibt es keine Änderungen zum bisherigen Mails aus der Warteschlange zu einem an-
Clientzugriffs erfolgreich getestet. Vorgehen. Im folgenden Beispiel wird der deren Server. Im nächsten Schritt pausieren
Server "Ex191" der "DAG01" hinzugefügt Sie den Cluster-Knoten und deaktivieren
Hochverfügbarer Postfach-Server und auf dem Server "Ex192" eine Kopie die automatische Aktivierung einer Mail-
Seit Exchange 2010 gehören DAGs zum der Datenbank "DB01" eingerichtet: boxkopie. Aktive Datenbanken werden in
festen Bestandteil von Exchange und sind diesem Schritt auf anderen DAG-Mitglie-
der einfachste Weg, um Mailbox-Server Add-DatabaseAvailabilityGroupServer dern aktiviert. Auf dem Server sollten sich
abzusichern. Dabei werden Datenbank- -Identity DAG01 nun keine aktiven Datenbanken mehr be-
kopien über die Windows-Cluster-Tech- -MailboxServer Ex191 finden. Als Letztes aktivieren Sie den War-
nologien auf bis zu 16 verschiedene Mail- tungsmodus. Sie können nach diesen
box-Server verteilt, um eine passive Kopie Add-MailboxDatabaseCopy -Identity Schritten den Server in Ruhe aktualisieren.
kurzfristig zu aktivieren. Die Einrichtung DB01 -MailboxServer Ex192
erfolgt dabei komplett über Exchange, -ActivationPreference 2 Die Aktivierung nach einer erfolgreichen
ohne dass Sie sich näher mit dem Fail- Wartung erfolgt in umgekehrter Reihen-
over-Clustermanager beschäftigen müs- Mit diesen Schritten haben Sie die Da- folge. Das genaue Vorgehen beschreibt
tenbank DB01 schnell auf zwei Servern Microsoft unter [2].
Link-Codes hochverfügbar gemacht.
Fazit
[1] Exchange 2016/2019: URLs und Host- Wiederherstellung und Exchange 2019 macht es Administratoren
namen per PowerShell konfigurieren Upgrade bei HA mit den etablierten Verfahren der DAG und
j6z31
Bei der Wiederherstellung eines Servers den Möglichkeiten von DNS Round Robin
[2] Ausführen des Wartungsprozesses
aus einer DAG mit der Option "Recover- einfach, auch in kleinen Umgebungen mit
auf DAG-Mitgliedern
j6z32
Server" ist einiges zu beachten. Entfernen wenigen Handgriffen eine hochverfügbare
Sie vor der Wiederherstellung mit Re- Umgebung aufzubauen. (ln)

E-Mail-Sicherheit in Exchange Server 2019
Ungebetene Gäste
Ein großer Anteil der täglichen E-Mails ist nach wie vor
Spam. Als harmlose Werbung raubt er den Anwendern Zeit,
als Träger für Malware stellt diese Unart der Kommunikation
ein ernstes Sicherheitsrisiko dar. Unser Workshop zeigt, wie
Sie diese unerwünschten Nachrichten aussortieren. Quelle: olegdudko – 123RF
D
er Großteil der Nutzer einer loka- senderfilterung" prüft den Absender im in einer E-Mail gültige als auch ungültige
len Exchange-Version hat eine ei- SMTP-Befehl "MAIL FROM:" mit einer Empfänger, würde die E-Mail für alle
genständige Anti-Spam- und Anti-Mal- definierten Liste der Absender oder Ab- Empfänger abgelehnt werden. Neben die-
ware-Lösung im Einsatz. Sofern Sie noch senderdomänen, die keine Nachrichten sen Filtern bietet die Rolle des Edge-Ser-
keinen Schutz haben, bringt Exchange an die Organisation senden dürfen. Der vers noch einen Verbindungsfilter-Agen-
2019 Bordmittel mit, die eine Grundab- "Empfängerfilter" vergleicht die Nach- ten, der die IP-Adresse des Remoteservers
sicherung bieten. Die Möglichkeiten von richtenempfänger im SMTP-Befehl gegen verschiedene IP-Sperrlisten prüft,
Office 365 sind hingegen so umfangreich, "RCPT TO:" mit einer vom Administrator sowie einen Anlagenfilter-Agenten, der
dass sie eine Alternative zu selbstgehos- definierten Empfängersperrliste. Bei einer die Anlagen tiefergehend prüft.
teten Security-Tools darstellen. Übereinstimmung darf die Nachricht
nicht in die Organisation gelangen. Der Spam klassifizieren
Anti-Spam-Filter einrichten Empfängerfilter vergleicht darüber hinaus Sämtliche Prüfungen werden im Header
Das Exchange-2019-eigene, kostenlose An- Empfänger in eingehenden Nachrichten einer E-Mail vermerkt, sodass Sie jederzeit
ti-Spam ist standardmäßig nicht installiert. mit dem lokalen Empfängerverzeichnis, nachvollziehen können, wie eine E-Mail
Sie nehmen die Funktion über das Skript um zu bestimmen, ob die Nachricht an bewertet wurde und wie vertraulich diese
"Install-AntispamAgents.ps1" in Betrieb, gültige Empfänger adressiert ist. Wenn ist. Dazu zählt auch der "SpamConfidence-
das sich im Installationsverzeichnis von eine Nachricht nicht an gültige Empfän- Level" (SCL), der die E-Mail beurteilt. Über
Exchange findet. Das Verzeichnis rufen ger gerichtet ist, wird sie zurückgewiesen. den SCL definieren Sie verschiedene Re-
Sie am schnellsten über die Variable "$Ex- geln, zum Beispiel, wann eine E-Mail ab-
Skripts" auf. Nach der Installation starten Als weiterer Filter verwendet der "Sender gelehnt wird in ein Quarantänepostfach
Sie den Transportdienst neu (Restart-Ser- ID-Agent" die IP-Adresse des sendenden beziehungsweise in den Outlook-Junk-
vice MSExchangeTransport) und machen Servers und die angegebene Antwortadres- Ordner verschoben wird. Die Konfigura-
die internen SMTP-Server mit folgendem se (Purported Responsible Address; PRA) tion erfolgt über das Set-ContentFilter-
Befehl bekannt: des Absenders, um zu bestimmen, ob der Config-Cmdlet mit folgenden Attributen:
Absender gefälscht ist. Die "Inhaltsfilte- - SCLDeleteEnabled
Set-TransportConfig -Internal- rung" beurteilt den Inhalt einer Nachricht - SCLDeleteThreshold
SMTPServers @{Add="10.0.2.4", und führt definierte Aktionen aus. Um zu - SCLRejectEnabled
"10.0.2.5"} verhindern, dass fälschlicherweise erkannte - SCLRejectThreshold
E-Mails nicht mehr zugestellt werden kön- - SCLQuarantineEnabled
Jetzt helfen Ihnen verschiedene Agenten, nen, landen diese in einem Spam-Quaran- - SCLQuarantineThreshold
um Spam-E-Mails auszusperren. Die tänepostfach. Der "Protokollanalyse-Agent" - SCLJunkThreshold
Konfiguration der verschiedenen Filter implementiert schließlich die Absender-
findet in Exchange 2019 komplett in der zuverlässigkeitsfunktion (Sender Reputa- In den Organisationseinstellungen defi-
Exchange Management Shell (EMS) statt, tion Level; SRL), die eine E-Mail aufgrund nieren Sie über das Set-OrganizationCon-
wichtige Befehle zur Konfiguration ent- verschiedener Merkmale klassifiziert. fig-Cmdlet allgemeine Schwellenwerte, die
nehmen Sie der entsprechenden Tabelle. Sie bei Bedarf für Mailboxen anpassen:
Der Empfängerfilter ist auf Mailbox-Ser-
Auf einem Postfach-Server stehen nun vern vorhanden, von einer Konfiguration Set-Mailbox User -SCLJunkEnabled
einige Spamfilter zur Verfügung. Die "Ab- sehen Sie aber besser ab. Findet der Filter $True -SCLJunkThreshold 6

Exchange 2019 E-Mail-Sicherheit
Anti-Spam-Benutzeroberfläche, die Sie

Anti-Spam-Konfiguration per PowerShell in Exchange 2019 über das Exchange Admin Center (EAC)
aufrufen. Die PowerShell-Befehle können
Cmdlet Beschreibung
Sie für Exchange Online nicht nutzen. Ge-
Set-SenderFilterConfig Konfiguration des Absenderfilter-Agenten. genüber der lokalen Exchange-Version bie-
Set-SenderIDConfig Konfiguration des Sender-ID-Agenten. tet Office 365 ebenfalls ein wesentlich bes-
Set-ContentFilterConfig Anpassung der Inhaltsfilterkonfiguration. seres Reporting und bringt einige Berichte
Set-SenderReputationConfig Steuerung der Absenderzuverlässigkeit. zum Thema gleich mit. Darüber hinaus
Konfiguration der Liste zugelassener IP-Adres- bietet EOP eine verbesserte Verbindungs-
Set-IPAllowListConfig sen, die vom Verbindungsfilter-Agenten auf filterung, die ansonsten einen Edge-Trans-
Edge-Transport-Servern verwendet wird. port-Server bedingt sowie einen umfang-
Anpassung der Liste blockierter IP-Adressen, reicheren Inhaltsfilter.
Set-IPBlockListConfig die vom Verbindungsfilter-Agenten auf Edge-
Transport-Servern verwendet wird. Bordmittel gegen Malware
Einstellung der konfigurierten IP-Zulassungslis- Exchange 2019 bringt auch eine Anti-
Set-IPAllowListProvidersConfig
tenanbieter auf dem Edge-Transport-Server. Malware-Funktion mit, die Exchange vor
Einstellungen aller auf dem Edge-Transport-Ser- Schadsoftware wie Viren oder Spyware
Set-IPBlockListProvidersConfig
ver konfigurierten IP-Sperrlistenanbieter.
schützt. Im Gegensatz zur Anti-Spam-
Lösung erfolgt die Konfiguration über
SCL kann Werte zwischen "-1" und "9" 365 oder es ist bereits Bestandteil einer das EAC im Menüpunkt "Schutz / Schad-
aufweisen, die grob gesagt Folgendes be- Exchange-Online-Subskription. Die Li- software". Alternativ nutzen Sie in der
deuten: Eine SCL-Bewertung von "-1" zenzierung von EOP erfolgt dabei direkt PowerShell die Set-MalwareFilterPolicy-
kennzeichnet eine E-Mail als kein Spam über einzelne Benutzer. Die Kosten liegen und Set-MalwareFilterRule-Cmdlets.
von einem sicheren Absender, Empfänger aktuell bei 0,84 Euro je Benutzer und Mo-
oder einer als sicher gelisteten IP-Adresse nat. Alternativ gibt es aus der lokalen Ex- Über Antischadsoftware-Richtlinien de-
(vertrauenswürdiger Partner). Die Werte change-Umgebung auch eine spezielle finieren Sie organisationsweit Aktionen,
"0" und "1" besagen, dass es sich ebenfalls Enterprise-CAL mit Diensten, die eben- die bei einer Erkennung umgesetzt werden.
nicht um Spam handelt, weil die Nach- falls die Nutzung von EOP beinhaltet. Als Aktion legen Sie fest, ob nur die Anlage
richt überprüft und als spamfrei einge- oder die gesamte E-Mail zu löschen ist und
stuft wurde. Werte von "5" oder "6" deu- Dient die lokale Lösung einer Grundabsi- wer benachrichtigt wird. Neben der Stan-
ten eindeutig auf eine Spamnachricht, cherung, ist EOP die bessere Wahl, da die dardrichtlinie erstellen Sie benutzerdefi-
bei einem Wert von "9" können Sie ganz Erkennungsrate wesentlich höher ist. nierte Richtlinien, die auf definierte Be-
sicher von Spam ausgehen. Nachdem sich Microsoft aus dem Bereich nutzer oder Gruppen wirken. Damit die
der lokalen Sicherheitslösungen mit Fore- Signaturen immer die aktuellsten Defini-
Für einen Überblick der durch die Anti- front zurückgezogen hat, ist EOP der von tionen erhalten, lädt Exchange diese regel-
Spam-Agenten getätigten Aktionen bleibt Microsoft favorisierte Weg zur Absiche- mäßig aus dem Internet. Grundsätzlich
Ihnen nur das Auswerten der Agenten- rung von lokalen Exchange-Umgebungen. werden die Defintionsupdates zur Erken-
Protokolle. Die Eigenschaften der Proto- Im Vergleich zur lokalen Version bietet es nung von Schadsoftware automatisch bei
kolle inklusive des Ablageortes prüfen Sie eine einfachere Konfiguration durch eine Microsoft heruntergeladen. Den Status
mit dem Befehl
Get-TransportService|fl Agent*
Über Get-AgentLog und das Skript "Get-

AntiSpamFilteringReport.ps1" durchsu-
chen Sie die Protokolle. Letzteres befindet
sich im Exchange-Skriptverzeichnis, wo
Sie auch weitere Skripte wie "Get-Anti-
spamTopBlockedSenderDomains.ps1"oder
"Get-AntispamTopRecipients.ps1" finden.
Anti-Spam mit EOP

Als Alternative zur lokalen Anti-Spam-
Lösung bietet Microsoft "Exchange On-
line Protection" (EOP) an. EOP buchen Bild 1: Exchange Online Protection bietet im Gegensatz zum lokalen Exchange-Server
Sie direkt als Subskription über Office die Konfiguration der E-Mail-Sicherheit über das Exchange Admin Center.

E-Mail-Sicherheit Exchange 2019
den Dienst aktiviert, erfolgt die Konfigu-

ration über das EAC in dem Punkt "Kom-
plexe Bedrohungen". Die Richtlinien für
den Schutz vor böswilligen Anlagen und
Links sind hier schnell eingerichtet und er-
möglichen einen ausführlicheren Schutz.
Die Konfiguration über die EMS erfolgt
mit den Set-SafeAttachmentPolicy- und
Set-SafeLinkPolicy-Cmdlets. Berichte dazu
liefert Ihnen das EAC über den Punkt
"Berichte anzeigen". Informationen zu
Schadlinks erhalten Sie im Bereich "Nach-
richtenfluss" im Abschnitt "URL-Ablauf-
verfolgung".
Bild 2: Richtlinien gegen Schadsoftware lassen sich in EOP und lokal über das EAC konfigurieren.
EOP mit lokalem Server nutzen
prüfen Sie über den Get-EngineUpdateIn- Mail-System. Erweitern lässt sich der EOP lässt sich relativ einfach auch zur
formation-Befehl. Über das Skript "Up- Schutz durch "Advanced Threat Protec- Absicherung lokaler Exchange-Versionen
date-MalwareFilteringServer.ps1" stoßen tion" (ATP), das ausschließlich online zur nutzen. Dabei bleiben die Postfächer in
Sie ein Update gezielt an. Verfügung steht und gegen unbekannte der lokalen Instanz und nur der ein- und
Schadsoftware hilft. Dadurch wird ein bes- ausgehende Datenverkehr fließt über
Anti-Malware serer Schutz vor bisher unbekannten Ze- EOP. E-Mails innerhalb der Organisation
und ATP in Office 365 ro-Day-Attacken gewährleistet. Zur Prü- werden dabei nicht mittels EOP über-
In EOP ist direkt eine Anti-Malware- fung werden alle Anlagen mit einer unbe- prüft. Der Vorteil ist, dass Sie keine zu-
Funktion eingebunden, die immer aktiv kannten Signatur einer Verhaltensanalyse sätzliche Hard- beziehungsweise Software
ist und alle E-Mails und Anlagen scannt. unterzogen. Erst wenn Microsoft keine benötigen und Sie die Prüfung außerhalb
Eine Konfiguration durch den Adminis- Auffälligkeiten festgestellt hat, wird die E- Ihres Netzwerks durchführen.
trator ist nicht nötig und die Signaturen Mail in das Benutzerpostfach zugestellt.
gegen Viren, Schadsoftware, Rootkits, Neben den Anlagen prüft ATP auch die Zur Einrichtung verifizieren Sie zunächst
Würmer und so weiter werden ständig Links in E-Mails. Hyperlinks zu böswilli- in Ihrem Office-365-Mandanten alle Do-
auf dem Laufenden gehalten. Ähnlich der gen Seiten, wie zum Beispiel Pishing-Sei- mains, über die Sie E-Mails senden und
lokalen Version konfigurieren Sie die ten, die Anmeldedaten erschleichen wol- empfangen. Im Anschluss passen Sie die
Standardrichtlinie im EAC. So deaktivie- len, werden automatisch ersetzt. Connectoren sowohl lokal als auch online
ren Sie zum Beispiel spezielle Dateitypen an, damit die Nachrichten zwischen der lo-
oder passen Benachrichtigungseinstel- Die Funktion ist nur in wenigen Office- kalen Instanz und EOP ausgetauscht wer-
lungen im EAC an. 365-Plänen wie "Office 365 Enterprise E5" den. Als Letztes erfolgt der Schwenk der
enthalten. In den meisten Fällen abonnie- MX-Records, damit im Anschluss der ge-
Die bisher vorgestellten Komponenten bie- ren Sie ATP als zusätzlichen Dienst für circa samte E-Mail-Verkehr über Exchange On-
ten bereits einen Grundschutz für Ihr E- 2 Euro je Benutzer und Monat. Haben Sie line geführt wird [1].
Fazit
E-Mails stellen oft das zentrale Einfallstor
für Cyberattacken dar. Phishing- und Vi-
renmails sehen zunehmend täuschen echt
aus und lassen sich von Mitarbeitern nur
noch schwer von seriösen E-Mails unter-
scheiden. Microsoft bietet mit seiner Anti-
Spam- und Anti-Malware-Lösung einen
Schutz, der mit Office 365 Advanced Threat
Protection auch eine Alternative zur selbst
gehosteten Lösung darstellt. (jp)
Link-Codes
[1] Einrichten des EOP-Diensts

Bild 3: EOP bietet über das "Security & Compliance Center" ausführliche
j5z41
Informationen zur aktuellen Bedrohungslage bei E-Mails.

Exchange 2019 MetaCache Database
Höhere
Quelle: Aleksandr Baidin – 123RF

Drehzahlen
Eine der spektakulären Neuerungen in

Exchange 2019 ist die MetaCache Database,
die die Speicherstruktur des E-Mail-Servers
auf den Kopf stellt. Bisher setzte Exchange
ausschließlich auf langsame SATA-Festplat-
ten, nun sorgt ein Tiering mit SSDs als Basis
der MetaCache- Datenbanken für mehr
Dampf unter der Haube, wenn die Nutzer
auf ihre Nachrichten zugreifen.
S
eit Exchange 2007 reduziert Mi- Die Funktion richtet sich primär an grö- Benchmarks fehlen. Microsoft hat im
crosoft in jeder Version kontinu- ßere Umgebungen und so setzt sie Micro- Mai 2019 einen Guide [2] veröffentlicht,
ierlich die IOPS. Einfache SATA-Fest- soft auch in Office 365 ein. Hier arbeiten der aber einige Fragen aufwirft, die wir
platten wurden für Exchange in den über 175.000 physische Server mit über im Folgenden klären. Auf jeden Fall soll-
letzten Versionen als ausreichend dekla- 5,5 Milliarden Postfächern [1] und die An- ten Sie mit MCDB zunächst in einer
riert, doch mit Exchange 2019 hat sich wendererfahrung ist dabei enorm wichtig. Testumgebung Erfahrungen sammeln,
das Storage-Design geändert und Micro- Neben der MCDB trägt auch eine opti- bevor Sie es in einer produktiven Um-
soft führte ein Tiering mit Solid State mierte Arbeitsspeichernutzung zur Per- gebung nutzen.
Disks (SSDs) ein. Nachdem das Ex- formanceverbesserung bei. Zusammen mit
change-Team über Jahre rein auf Low- MCDB soll die Mailboxanmeldung 50 Pro- Voraussetzungen
Cost-Speicher gesetzt hatte, kam es hier zent und der E-Mail-Zugriff zwei- bis drei- des Speichersystems
zu einer Strategieänderung. Die SSDs la- mal schneller vonstattengehen. Auch sind Die Voraussetzungen für MCDB sind über-
gern bestimmte Daten, um die User Ex- durch die Funktion bis zu 20 Prozent mehr schaubar und neben Exchange 2019 muss
perience zum Beispiel bei der Anmel- Nutzer auf einem Server möglich. Sogar eine Database Availability Group (DAG)
dung oder dem Datenabruf weiter zu in kleineren Umgebungen kann sich somit mit mindestens zwei Servern vorhanden
verbessern. Die neue Cache-Datenbank der Einsatz von MCDB lohnen, weil da- sein, die auf "Auto-Reseed" eingestellt ist.
hat den Namen "MetaCache Database" durch weniger Server nötig sind. Kontrollieren Sie die Einstellung mit
(MCDB) und werkelt auf den schnellen
SSDs. Diese Datenbank enthält bis zu 10 Anleitungen zu MCDB sucht man im Get-DatabaseAvailabityGroup|fl
Prozent der eigentlichen Postfachdaten. Internet noch vergebens und auch valide Name, Auto*
Bild 1: Das Einrichten der MetaCache Database erfolgt in der PowerShell über das Manage-MCDB-Cmdlet.
Anschließend finden sich die Pfade in den Eigenschaften der Datenbanken.

Der Wert "AutoDagAutoReseedEnabled" MCDB einrichten
muss dabei auf "True" stehen. Werfen Sie Die Verwaltung der neuen Datenbank er-
auch gleich einen Blick auf die Einträge folgt über den Befehl Manage-MCDB.
"AutoDagTotalNumberOfDatabases" und Dieser ist in den Standard-Exchange-
"AutoDagTotalNumberOfServers", die
nicht auf Null stehen dürfen.
Cmdlets nicht enthalten und Sie müssen
ihn zunächst aus dem Skriptverzeichnis
Worüber
Ein entsprechendes Disk-Layout gehört
"C:\Program Files\Microsoft\Exchange\
V15\Scripts" (alternativ öffnen Sie den Administratoren
ebenfalls zu den Anforderungen. Dabei
sollte pro drei klassischen Festplatten eine
Pfad über die Variable "$ExScripts") über
den Aufruf MetaCacheDatabase.ps1 ein- morgen reden
SSD eingesetzt werden, die über eine Ka- binden. Sollte der Befehl nicht verfügbar
pazität von 5 bis 10 Prozent der HDDs sein, nutzen Sie zu dessen Import
verfügen sollte. Ein RAID ist für die SSDs
nicht erforderlich, da diese als Read- Import-Module "C:\Program Files\
Cache anzusehen sind. Bei Problemen Microsoft\Exchange Server\V15\
mit einer SSD erfolgt ein Failover zu ei- Scripts\Manage-MetaCache-Data-
nem anderen DAG-Knoten. base.ps1"
Sichern Sie sich den
E-Mail-Newsletter des
Die Festplatten sollten mindestens einen Mit dem Befehl und verschiedenen Pa-
"Drive Writes Per Day" (DWPD) von "1" rametern richten Sie nun die MCDB in IT-Administrator und
aufweisen. Dies bedeutet, wie häufig eine drei Schritten ein. Zunächst bereiten Sie
Festspeicherplatte pro Tag in der Garan- mit dem Attribut "ConfigureMCDBPre-
erhalten Sie Woche für
tiezeit mit ihrer vollen Kapazität über- requisite" den Active-Directory-Status für Woche die
schrieben werden kann. Um die Festplat- das DAG-Objekt vor. In größeren Um-
teneinschübe zu reduzieren, sind M.2- gebungen warten Sie, bis die Änderungen
SSDs favorisiert. Ein Disk-Layout nach zu allen Domaincontrollern repliziert
Microsoft Best Practises sieht zukünftig wurden. Bei der Ausführung müssen Sie > neuesten TIPPS & TRICKS
wie folgt aus: den DAG-Namen, die Speichergröße und
- Zwei HDDs für das Betriebssystem und
Exchange 2019
die Anzahl der SSDs je Server angeben:
> praktischsten TOOLS
- Zwölf HDDs für Exchange-Datenban- Manage-MCDB -DagName Name der DAG
ken und -Logs -ConfigureMCDBPrerequisite
> interessantesten WEBSITES
- Eine HDD als DAG AutoReseed Spare -SSDSizeInBytes 9663676416
Disk -SSDCountPerServer 1 > unterhaltsamsten GOODIES
- Vier SSDs für die MetaCache Database
Die Speichergröße entspricht dabei nicht
Die MCDB-Pfade sind auf Datenbank- der zur Verfügung stehen Festplattengrö-
ebene eingerichtet und lassen sich in den ße, sondern dem zu nutzenden Speicher- sowie einmal im Monat
Eigenschaften der Datenbank einsehen. platz für die MCDBs.
Die Pfade müssen auf allen DAG-Mit-
die Vorschau auf die
glieder identisch sein (Bild 1). Im Ver- Im nächsten Schritt aktivieren Sie die kommende Ausgabe des
zeichnis "C:\ExchangeMCDBVolumes" MCDB-Beschleunigung für jeden Server.
sind die aktuell genutzten SSD-Volumes Dies geschieht mit der Erweiterung "Ser- IT-Administrator!
als Mountpoints zu sehen. Im Unterver- verAllowMCDB" und muss für jeden Ser-
zeichnis "ExchangeMetaCacheDbs" fin- ver einzeln ausgeführt werden:
den Sie wiederum Mountpoints zu den
MCDBs der einzelnen Datenbanken. Manage-MCDB -DagName Name der DAG
-ServerAllowMCDB:$true
Die Festplatte muss vom Media-Typ "SSD" -ServerName "EX19"
sein, was Sie mit Get-PhysicalDisk prüfen.
Der "PartitionStyle" muss auf "RAW" ste- Über "ServerAllowMCDB" können Sie
Jetzt einfach
hen, was Sie mit Get-Disk kontrollieren. MCDB auch wieder deaktivieren: anmelden unter:
Die SSD darf somit noch nicht partitio-
niert und formatiert sein. Mit dem Disk- Manage-MCDB -DagName Name der DAG
part-Befehl "Clean" setzen Sie eine Fest- -ServerAllowMCDB:$false
platte wieder zurück. -ServerName "EX19"
www.it-administrator.de/newsletter
Link-Codes eingeben auf www.it-administrator.de
Bild 2: Im letzten Schritt der MCDB-Einrichtung wird die SSD formatiert und über einen Mountpoint eingebunden.
Im dritten Schritt konfigurieren Sie die erwirken. Alternativ ist der Aufruf über Dies ist der Zustand, in dem sich MCDB
Server. Dabei werden die unformatierten den Parameter "ForceFailover" mit dem nach einem SSD-Fehler befindet.
SSDs erkannt, formatiert und die ent- Manage-MCDB-Befehl möglich: - Offline: Logischer Fehler, wie etwa eine
sprechenden Mountpoints eingerichtet. nicht vorhandene MCDB-Instanz.
Dazu nutzen Sie das Attribut "Confi- Manage-MCDB -DagName Name der DAG - Initializing: Vorübergehender Zustand.
gureMCDBOnServer": -ServerName "EX19" Das System bestimmt, in welchem an-
-ForceFailover:$true deren Zustand es sich befinden soll.
Manage-MCDB -DagName Name der DAG - Healthy: Bereit.
-ConfigureMCDBOnServer Auf dem Exchange-Server wird nun die
-ServerName "EX19" Datenbank auf dem zusätzlichen Daten- Fazit
-SSDSizeInBytes 9663676416 träger eingerichtet. Das Volume findet MCDB hat das Potenzial, die Perfor-
sich als verknüpftes Volume unter Lauf- mance Ihrer Exchange-Umgebung spür-
Sollte Ihnen hier eine Fehlermeldung mit- werk "C:" im Verzeichnis "ExchangeMe- bar zu verbessern. Leider gibt es bisher
teilen, dass die definierten Festplatten taCacheDbs". Hier ist ein Ordner mit nur sehr wenige Anleitungen, was an-
nicht zur Verfügung stehen, prüfen Sie dem Namen der Datenbank enthalten, gesichts der Verbreitung von Exchange
zunächst "Mediatyp" und "PartitionStyle", in dem sich die MCDB befindet. Ex- doch überrascht. In einer einfachen Um-
wie in den Voraussetzungen beschrieben. change nutzt nun den zusätzlichen Ca- gebung lässt sich MCDB leicht einrich-
Hat alles geklappt, wird an dieser Stelle che und verbessert damit die Anwen- ten. Offen sind aber weiterhin Themen
die SSD-Festplatte mit NTFS und einer dererfahrung. wie zum Beispiel das Einbinden neuer
Blockgröße von 64K formatiert. Außer- Datenbanken oder die Zuordnung der
dem legt das System den Mountpoint zur MCDB-Status prüfen HDDs zu den SSDs – beide Aspekte sind
Festplatte unter "C:\ExchangeMCDBVol- Den Status der MCDB prüfen Sie über nirgends beschrieben. Durch die nied-
umes" an. Den letzten Befehl nutzen Sie das Get-MailboxDatabaseCopyStatus- rigen Preise für SSDs lässt sich aber mit
ebenfalls, um eine defekte SSD auszutau- Cmdlet, wobei Sie explizit die Meta- überschaubaren Kosten die Nutzerer-
schen und neu einzubinden. CacheDatabase-Attribute abfragen: fahrung deutlich verbessern. Hoffen wir,
dass Microsoft mehr Informationen zu
Sind alle Schritte ausgeführt, wird der Get-MailboxDatabaseCopyStatus|fl diesem Thema veröffentlicht und die
MCDB-Status zunächst als "Storage Off- Name, Meta* Funktion dann auch eine größere Ver-
line" markiert. Das bedeutet, dass die Um- breitung erfährt. (jp)
gebung vorbereitet ist, die Meta-Cache- Neben allgemeinen Informationen zum
Datenbanken aber noch nicht angelegt Cache, wie den Pfad, erhalten Sie hierbei Link-Codes
sind und die Beschleunigung nicht aktiv auch den Status. Dieser kann folgende
[1] Accelerating Exchange 2019
ist. Das Aktivieren erreichen Sie erst durch Einstellungen aufweisen:
with SSDs
einen Failover der Postfachdatenbank, den - Disabled: MCDB ist deaktiviert. j9z41
Sie über - StorageOffline: Die Basisinfrastruktur
[2] MetaCache Database Setup
fehlt oder ist nicht zugänglich, wie zum j9z42
Move-ActiveMailboxDatabase Beispiel Mountpoints oder Dateipfade.

Über Office 365 senden Exchange 2019
E-Mail-Versand für Kopierer

und Anwendungen über Office 365
Quelle: NejroN – 123RF

Zusatzqualifikation
Sind alle E-Mail-Dienste zu Office 365 ausgelagert, stellt

sich schnell die Frage, wie Scan-to-E-Mail am Kopierer
oder das Weiterleiten aus einer Fachanwendung funk-
tioniert. Wir zeigen Ihnen in diesem Beitrag die notwen-
digen Schritte, um Office 365 zu mehr als dem reinen
Senden über Outlook zu bewegen.
V
oraussetzung für das Senden über nächst als interne Nachricht angesehen dass TLS vom Gerät unterstützt wird, denn
Office 365 sind in der Firewall frei- und es erfolgt keine Spamprüfung bei den SSL 3.0 darf nicht mehr verwendet werden.
geschaltete ausgehende Ports für die Geräte Empfängern. Der Versand kann von jedem Auch TLS 1.0 und TSL 1.1 werden nächs-
und Anwendungen. Zum Senden von E- beliebigen Ort erfolgen. Es ist somit egal, tes Jahr deaktiviert, weshalb TLS 1.2 zur
Mails über Office 365 steht sowohl die ob die E-Mails aus dem lokalen Netzwerk Anwendung kommen sollte [1]. Durch die
SMTP-Clientübermittlung als auch die di- oder von einem Hostinganbieter gesendet genutzte SMTP-Clientübermittlung sind
rekte SMTP-Übermittlung ohne Authen- werden – eine Überprüfung der IP-Adresse die Absender an die Grenzwerte von 30
tifizierung bereit (siehe Tabelle). Der ein- findet nicht statt. Nachrichten pro Minute oder 10.000 Emp-
fachste und von Microsoft empfohlene fängern pro Tag gebunden.
Weg ist die Clientübermittlung mittels ei- Zur Nutzung tragen Sie im Gerät als
nes Office-365-Postfachbenutzers. Dieser SMTP-Server "smtp.office365.com" ein. Direktes Senden einrichten
Benutzer wird am Gerät oder der Anwen- Die DNS-Auflösung des SMTP-Servers Sofern der erste Weg nicht in Betracht
dung zur Authentifizierung hinterlegt und muss dabei am Gerät möglich sein, denn kommt und Sie nur E-Mails an Postfächer
benötigt dabei eine feste Lizenz. Ein Res- die Eingabe einer IP-Adresse zur Verbin- in Ihrem Unternehmen zustellen müssen,
sourcenpostfach kann hier somit nicht dung mit Office 365 ist nicht möglich. Als können Sie E-Mails auch direkt an den
zum Einsatz kommen. Über diesen Weg Port nutzen Sie 578 oder 25. TLS/StartTLS Office-365-mx-Record senden lassen. Da-
senden Sie E-Mails an Personen innerhalb muss aktiviert sein und als Benutzername bei sind keine Anmeldeinformationen
und außerhalb der Organisation. Die in und Kennwort hinterlegen Sie die Anmeld- nötig. Als SMTP-Server hinterlegen Sie
Office 365 eingehende E-Mail wird zu- einformationen des Benutzers. Wichtig ist, im Gerät den mx-Eintrag Ihrer Subskrip-
Übersicht der E-Mail-Weiterleitung an Office 365
Clientübermittlung Direktes Senden SMTP-Relay
Authentifizierung Office-365-Anwenderkonto Nicht nötig Über IP-Adresse oder Zertifikat
contoso- contoso-
Server smtp.office365.com
com.mail.protection.outlook.com com.mail.protection.outlook.com
Innerhalb und außerhalb Innerhalb und außerhalb
Empfänger Innerhalb der Organisation
der Organisation der Organisation
TLS erforderlich Ja Optional Optional
Anti- Keine Anti-SPAM-Prüfung bei internen

Anti-SPAM-Prüfung Anti-SPAM-Prüfung
Spam-Prüfung Empfängern.
10.000 Empfänger pro Tag beziehungs-
Beschränkungen Keine Keine
weise 30 Nachrichten pro Minute
Eigener Receive-Connector in Office 365
Bemerkung Keine Anpassung des SPF-Eintrags nötig
und Anpassung des SPF-Eintrags nötig

Exchange 2019 Über Office 365 senden
tion ein. Nachvollziehen können Sie den

Namen in den DNS-Einstellungen der Do-
mainkonfiguration in der Office-365-Ad-
ministration im Punkt "Domänen". Der
Eintrag entspricht Ihrer Domain, wobei
die Punkte durch Striche ersetzt und um
".mail.protection.outlook.com" ergänzt
werden. Der Name unserer Domain "schu-
lenburg.co" lautet somit "schulenburg-
co.mail.protection.outlook.com".
Als Port kommt wieder Port 25 zur An-

wendung und TLS sollte aktiviert sein,
dies ist aber optional. Als Absenderad-
resse nutzen Sie eine beliebige Adresse
einer in Office 365 akzeptierten Domäne.
Diese Adresse muss dabei keinem Benut-
zer zugeordnet sein, wir empfehlen eine
Adresse wie "do_not_reply@contoso. Bild 1: Das Senden über einen Benutzer in Office 365 ist der schnellste
com". Da die E-Mail von extern zugestellt und empfohlene Weg, um E-Mails zu versenden.
wird, erfolgt in Office 365 eine Absen-
derprüfung, weshalb Sie die öffentliche Beachten Sie, dass jeder, der über die öf- von Microsoft zunächst blockiert und Sie
IP-Adresse, von der die E-Mail kommt, fentliche IP-Adresse surft auch E-Mails zu müssen Sie unter [3] freischalten. Auf der
im SPF-Record ergänzen müssen. Den Ihrem Office-365-Server weiterleiten kann. Seite geben Sie die freizugebene IP-Adresse
SPF-Eintrag erweitern Sie einfach um den Es erfolgt keine zusätzliche Autorisierung sowie eine administrative E-Mail-Adresse
IP4-Eintrag "v=spf1 ip4:Statische IP- und Sie sollten an Ihrer Firewall genau de- an, die im Anschluss eine Freischaltungs-
Adresse include:spf.protection.outlook. finieren, wer Port 25 nutzen darf – nicht, E-Mail erhält.
com". Den Standardeintrag des SPF-Re- dass ein unbedarfter Client Massen an E-
cords finden Sie ebenfalls in den Domain- Mails versendet und Sie auf einer Blacklist Relayen ermöglichen
einstellungen. landen. Die Antispam-Listen sollten Sie Möchten Sie auf ein Postfach verzichten
dabei unbedingt im Blick behalten. Sollte und auch E-Mails an externe Adressaten
Das Senden an lokale Empfänger sollte Ihre IP-Adresse hier auftauchen, wird ein senden, müssen Sie einen Schritt mehr
nun möglich sein und Sie können es testen. Senden zu Office 365 von Ihrer öffentlichen machen und das Relayen über Office 365
Versuchen Sie so, E-Mails an unbekannte IP-Adresse sehr schnell unterbunden. Ob ermöglichen. Hierfür benötigen Sie einen
Personen oder Personen außerhalb Ihrer Sie auf einer Blacklist stehen, zeigt Ihnen Empfangs-Connector in Office 365. Die-
Umgebung zu senden, werden diese zu- zum Beispiel [2]. ser nimmt die E-Mails von Ihrem Gerät
rückgewiesen. Das direkte Senden unter- entgegen und hat die entsprechenden
liegt dabei keinen Sendegrenzwerten und Sollten Ihre ersten Sendeversuche Richtung Rechte, diese auch nach extern weiterzu-
Sie können auch mehr als 30 Nachrichten Office 365 mit dem Fehler "550 5.7.606- leiten. Am Gerät kommen zunächst wie-
pro Minute beziehungsweise an mehr als 649 Access denied, banned sending IP" der die zuvor beschriebenen Verbindungs-
10.000 Empfänger pro Tag senden. fehlschlagen, ist Ihre genutzte IP-Adresse einstellungen zu Anwendung, wobei auch
der SPF-Eintrag gesetzt werden muss.
Nutzen Sie Port 25 und aktivieren Sie
nach Möglichkeit TLS/StartTLS. Als Ab-
senderadresse dient wieder eine beliebige
Adresse Ihrer Subskription.
Wechseln Sie nun in das Exchange Admin

Center von Exchange Online zum Punkt
"Nachrichtenfluss / Connectoren". Hier
richten Sie einen Connector für den Emp-
fang von E-Mails von der lokalen Umge-
bung ein. Der Empfangs-Connector ist
schnell eingerichtet. Starten Sie den Vor-
Bild 2: Am Gerät muss der SMTP Server hinterlegt sein. Bei der direkten SMTP-Übermittlung wie hier gang über das Pluszeichen und wählen Sie
sind keine Credentials zur Authentifizierung nötig. im Bereich "Von" den Eintrag "E-Mail-Ser-

Über Office 365 senden Exchange 2019
ver Ihrer Organisation" und bei "An" "Of-

fice 365". Geben Sie dem neuen Connector
einen Namen und tragen Sie die externe
IP-Adresse der sendenden Geräte ein. Al-
ternativ können Sie auch eine Domain hin-
terlegen, sodass eine Authentifizierung über
das Zertifikat erfolgt. Ist der neue Con-
nector gespeichert, steht Office 365 auf
Empfang und leitet über den Connector
eingehende E-Mails nach extern weiter.
Ausnahmefälle behandeln
Unterstützt die Anwendung oder der
Drucker nur SSL 3.0, ist eine direkte
Übermittlung nicht möglich. Auch wenn
kein direkter Internetzugang verfügbar
ist, müssen Sie einen kleinen Umweg ge-
hen und einen lokalen SMTP-Relay-Ser- Bild 3: Soll kein Postfachnutzer verwendet und auch E-Mails an extern gesendet werden,
ver einrichten. Dieser dient als zentraler ist in Office 365 ein zusätzlicher Empfang-Cconnector notwendig.
Knoten zum Weiterleiten an Office 365.
Bei dem Server muss es sich nicht um Ex- "Allgemein" zunächst die IP-Adresse des men Zugriff " aus und aktivieren Sie TLS.
change handeln, denn es reicht die Rolle lokalen SMTP-Servers, auf der der Server In den "Erweiterten Übermittlungsein-
des SMTP-Servers auf einem Windows- E-Mails annehmen soll, und den Port hin- stellungen" hinterlegen Sie nun den mx-
IS zu aktivieren. zu. Als Port nutzen Sie im Standard wieder Eintrag Ihrer Subskription als Smarthost,
Port 25. In der Registerkarte "Zugriff " etwa "contoso-com.mail.protection.out-
Installieren Sie zunächst über den Server- wählen Sie in der Zugriffssteuerung den look.com". Das genaue Vorgehen zum
Manager auf einem Windows-Server die "Anonymen Zugriff für die lokalen Clients" Einrichten eines lokalen SMTP-Servers
Rolle "Webserver (IIS)". Ist das geschehen, aus. Tragen Sie ebenfalls auf der Register- über einen Windows-Webserver zeigt [4].
spielen Sie im Anschluss das Feature karte in den Computerlisten die Geräte Nun müssen Sie noch an den Geräten den
"SMTP-Server" auf dem gleichen Server ein, die an den Server senden und weiter- lokalen SMTP-Server hinterlegen. Ist das
ein. Nun öffnen Sie über das Startmenü leiten dürfen. Mit diesen Einstellungen ha- geschehen, ist alles bereit und E-Mails
oder den Server-Manager unter "Tools" ben Sie nun definiert, wie E-Mails zum lo- von den Geräten werden über den lokalen
die Konsole "Internet Informationsdienste kalen Server gelangen. SMTP-Server an Office 365 weitergeleitet.
(IIS) 6.0". Erweitern Sie den aktuellen Ser-
ver und klicken Sie mit der rechten Maus- Im nächsten Schritt richten Sie den Ver- Fazit
taste auf den virtuellen SMTP-Server. Wäh- sand zu Office 365 ein. Wählen Sie in der Es gibt verschiedene Wege, um E-Mails
len Sie im Folgenden die Eigenschaften Registerkarte "Zustellung" bei der ausge- von lokalen Geräten oder Anwendungen
aus und fügen Sie unter der Registerkarte henden Sicherheit zunächst den "Anony- an Office 365 weiterzuleiten. Mit den be-
schriebenen Technologien sind Sie in der
Lage, auch ohne lokalen Exchange-Server
E-Mails weiterzuleiten. So können die Kol-
legen dann auch komfortable Scans per E-
Mail senden und werden den lokalen E-
Mail-Server nicht missen. (jp)
Link-Codes
[1] Preparing for TLS 1.2 in Office 365

js2x1
[2] Blacklist-Check
js2x2
[3] Office 365 Anti-Spam IP Delist Portal
js2x3
[4] Konfigurieren von IIS
für Relay mit Office 365
Bild 4: Können Geräte nicht direkt an Office 365 senden, bietet ein lokaler Windows-SMTP-Server js2x4
die Möglichkeit, E-Mails intern zu Office 365 zu relayen.

Quelle: alphaspirit – 123RF
Sicherheit im E-Mail-Verkehr
Genau geprüft
Neben den verschiedenen Möglichkeiten im Bereich Anti-

Spam und Anti-Malware gilt es auch, die eigene E-Mail-Do-
mäne abzusichern. Dieser Workshop bringt Ihnen die Aspek-
te der Absenderreputation über SPF, DKIM und DMAC näher,
um so Phishern das Leben schwer zu machen.
K
ein Unternehmen möchte, dass Während SPF, DKIM und DMARC schnell berechtigt ist, E-Mails zu versenden. Da-
von seiner E-Mail-Domäne aus einzurichten sind, ist die Voraussetzung bei werden bei jedem Verbindungsaufbau
bösartige E-Mails versendet werden, doch von DNS-based Authentication of Named die Domänenangaben des Sendeservers
ausschließen können Administratoren Entities (DANE) wesentlich umfangreicher. ausgelesen und zusammen mit der Ab-
entsprechende Versuche von Angreifern DANE verknüpft das Zertifikat mit dem senderadresse verifiziert. Server, für die
nicht. Verfahren in Sachen Sender- und Domänenamen. Der Grundschutz mittels es keinen Eintrag gibt, sind nicht auto-
Empfängerreputation gibt es seit Jahren, einer Transportverschlüsselung (TLS) ver- risiert, im Namen der angegebenen Ab-
doch ist die Durchdringung in Firmen hindert nur das Mithören und mit DANE senderdomäne Nachrichten zu versen-
nicht sehr hoch. Durch die immer neuen wird dieser um eine sichere Identifizie- den. Wie der Empfangsserver mit dem
und intelligenteren Bedrohungen, die in rungsfunktion erweitert. DANE benötigt Fehler umgehen soll, beschreiben wir im
vielen Fällen per E-Mail ihren Weg in die zwingend DNSSEC und die zusätzlichen Laufe des Workshops unter dem Punkt
Unternehmen finden, gilt es hier aufzu- Informationen werden im DNS über einen DMARC ausführlicher.
klären. Mit verhältnismäßig geringen Mit- TLSA-Record veröffentlicht. Aufgrund der
teln lässt sich eine wesentlich höhere Si- schnellen Einrichtung konzentrieren wir Im DNS-Eintrag wird auch eine Anwei-
cherheit erreichen. uns im folgenden Artikel auf die Verfahren sung für empfangende Server hinterlegt,
SPF, DKIM und DMARC. die festlegt, wie diese verfahren sollen,
Dabei gilt es vor allem festzustellen, ob wenn E-Mails von unautorisierten Ser-
eine E-Mail von dem Absender stammt, SPF ist der Anfang vern eintreffen. Dabei stehen "Hard Fail
von dem sie zu kommen scheint. Darüber Das Sender Policy Framework (SPF) ist (-all)", "Soft Fail (~all)" und "Neutral
hinaus gilt es herauszufinden, ob der sen- eine einfache Methode, um gefälschte Ab- (?all)" zur Auswahl. Bei einem Hard Fail
dende Server auch berechtigt ist, von die- sender zur identifizieren und zu blockie- sollen E-Mails direkt abgelehnt werden,
ser Domäne zu senden. Möglich wird das ren. SPF geht von der Annahme aus, dass während bei einem Soft Fail noch andere
durch spezielle Methoden der Absende- alle E-Mails einer Senderdomäne von au- Kriterien zur Bewertung herangezogen
ridentifizierung, die zu Standardinstru- torisierten Mailservern versendet werden. werden. Neutral weist den Empfangs-
menten der E-Mail-Sicherheit gehören: Um die Mailserver zu autorisieren, wird server an, E-Mails ebenfalls anzuneh-
SPF, DKIM und DMARC. Mit DANE in der DNS-Zone ein TXT-Record als men, was die SPF-Funktion mit dieser
kommt noch eine Möglichkeit zur Vali- SPF-Eintrag hinterlegt. In diesem Eintrag Einstellung aushebelt. Bei SPF ist zudem
dierung des Empfängers hinzu. sind IP-Einträge, A-Records oder MX- darauf zu achten, dass E-Mails oft von
Records gespeichert, über die der Versand verschiedenen Servern gesendet werden,
Bei allen Verfahren veröffentlichen Sie erfolgt. In folgendem Beispiel darf somit wie zum Beispiel Massenmailern oder
Informationen, die externen Kommuni- nur der Server von der angegebenen IP- der eigenen Homepage, die Sie ebenfalls
kationspartnern zur Verfügung gestellt Adresse autorisiert E-Mails versenden: autorisieren müssen.
werden. Auf diesem Weg kann zum ei-
nen Ihr Partner zweifelsfrei feststellen, v=spf1 ip4: 194.59.16.20 -all Die aktuelle Einstellung Ihrer Domäne
ob eine E-Mail tatsächlich von Ihnen prüfen Sie am besten mit einem der vielen
kommt und zum anderen steigt Ihre ei- Der empfangende Mailserver kann nun Onlinetools, wie auf der Webseite von
gene Reputation. im DNS prüfen, ob der sendende Server Mx-Toolbox [1] (Bild 1). an gleicher Stelle

S i c h e r h e i t i m E - M a i l - Ve r k e h r Exchange 2019
einem privaten und einen öffentlicher

Schlüssel. Nutzen Sie Exchange Online,
übernimmt diesen Teil Microsoft für Sie
und Sie müssen nur die DNS-Einträge
veröffentlichen und DKIM aktivieren.
Erstellen Sie im DNS zunächst zwei "cna-

me Selector"-Einträge. Der Name des
Eintrags lautet "Keyselector" und auf die-
sen wird im Header einer E-Mail hinge-
wiesen, sodass der richtige Schlüssel ge-
funden wird. Das Ziel des Eintrags ist
dynamisch auf Ihre Subskription bezo-
gen und beinhalten einen Hinweis zur
E-Mail-Domäne als auch die Initialdo-
mäne bei Microsoft:
Bild 1: Auf mxtoolbox.com prüfen Sie alle sicherheitsrelevanten Einträge Ihrer E-Mail-Domäne,
hier am Beispiel von SPF. Host name: selector1._domainkey
Value: selector1-domainGUID._domain-
finden Sie auch gleich einen SPF Wizard, SMTP-Kommunikation sowie die Adresse key.initialDomain
der Sie bei der Erstellung eines korrekten aus dem Nachrichtenkopf geprüft. Gän-
Eintrags unterstützt. gige E-Mail-Programme zeigen lediglich Eine genaue Beschreibung zu den DNS-
die "Body from"-Adresse einer E-Mail an Einträgen finden Sie unter [2]. Prüfen
Sofern Sie Office 365 nutzen, wird Ihnen und Empfänger lassen sich so leicht täu- können Sie den Eintrag im Anschluss
bei der Domänenkonfiguration automa- schen. Diesen Umstand machen sich bei- wieder mit MxToolbox unter [3]. Sind die
tisch ein SPF-Eintrag angezeigt. Dieser spielsweise Angreifer zunutze, die einem DNS-Einträge gesetzt, aktivieren Sie im
muss gegebenenfalls noch um zusätzliche Unternehmen mit der Chef-Betrugsma- Anschluss DKIM über das Exchange Ad-
Server ergänzt werden, falls Sie nicht aus- sche, die häufig auch CEO-Fraud bezeich- ministration Center unter dem Punkt
schließlich über Office 365 senden. net wird, angreifen. "Schutz / dkim" für die entsprechende
Domäne. Die Einrichtung ist in Exchange
DKIM stellt Um DKIM zu nutzen, benötigen Sie zu- Online somit sehr einfach möglich und
Authentizität her nächst ein Schlüsselpaar bestehend aus es ist bereits fast alles vorbereitet.
DKIM (DomainKeys Identified Mail) ist
ein Verfahren, um die Authentizität einer
E-Mail festzustellen. Dabei werden vom
sendenden Server die Prüfsummen des
Bodys und des Headers erzeugt und im
Header einer E-Mail mit einem privaten
Schlüssel abgelegt. Der empfangende
Server berechnet die Prüfsummen eben-
falls und vergleicht diese mit dem Ein-
trag. Hierfür nutzt er den öffentlichen
Schlüssel, um sicherzustellen, dass der
Header-Eintrag von einem gültigen Ser-
ver erstellt wurde. Sind die Werte iden-
tisch, gilt die E-Mail als unverfälscht und
sie kann zugestellt werden. Wird die
Nachricht nach dem Absenden verän-
dert, ist die Signatur nicht stimmig und
die Manipulation wird ersichtlich.
Im Unterschied zu SPF kommt bei DKIM

im Übrigen die Absenderdomäne aus
dem "Body from" der E-Mail zum Tragen.
Nutzen Sie sowohl SPF als auch DKIM, Bild 2: Office 365 zeigt Ihnen bei der Einrichtung einer Domäne den empfohlenen TXT-Eintrag an.
werden die Umschlagsadresse aus der Aufpassen müssen Sie nur, wenn auch von anderer Stelle versendet wird.

Exchange 2019 S i c h e r h e i t i m E - M a i l - Ve r k e h r
In einer lokalen Exchange-Umgebung E-Mail an die folgende Adresse "check- Nutzung von DMARC wird wieder ein
müssen Sie ein paar Schritte mehr gehen. auth@verifier.port25.com". Als Antwort TXT-Eintrag im DNS veröffentlich. Die-
Zu beachten ist, dass Exchange selbst kein auf Ihre E-Mail erhalten Sie einen aus- ser enthält die DMARC-Einstellungen
DKIM unterstützt und die Header-Ergän- führlichen Report mit einem Hinweise mit den folgenden Möglichkeiten:
zung durch Zusatzsoftware oder eigene zur Nutzung von DKIM. - v: Kennzeichnet die aktuelle Version 1.
Appliances erfolgt. Oft ist diese Funktion - p: Definiert, wie der Empfänger mit E-
in den E-Mail-Sicherheitslösungen der Umgang mit Missbrauch Mails umgehen soll, die nicht korrekt
verschiedenen Anbieter integriert. über DMARC-Regeln mit SPF oder DKIM überprüft werden
Die Funktion "Domain-based Message konnten. Zur Wahl stehen "none", "qua-
Zur Einrichtung von DKIM erstellen Sie Authentication, Reporting and Confor- rantine" und "reject".
zunächst ein Schlüsselpaar. Am Schnells- mance" (DMARC) ist kein eigenständiges - pct: Beschreibt den Prozentsatz der E-
ten geht das mit dem Programm Open- Sicherheitsfeature, sondern baut auf SPF Mails, die von "p" gefiltert werden.
SSL [4]. Die Anwendung installiert sich und DKIM auf. SPF und DKIM geben - rua: An diese Adresse wird ein Sum-
in das Programmverzeichnis, von dem nämlich keinen Aufschluss darüber, wie menbericht gesendet, was in der Regel
Sie es über die Kommandozeile die mit einer fehlgeschlagenen Prüfung weiter einmal täglich erfolgt.
openssl.exe mit entsprechenden Parame- umgegangen werden soll. Diese Lücke - ruf: An diese Adresse sendet der Emp-
tern aufrufen. Einen privaten Schlüssel schließt DMARC. fänger einen forensischen Report über
erstellen Sie mit die fehlerhafte E-Mail.
Das Verfahren hilft, die eigene Domäne - adkim: Hier definieren Sie, wie restrik-
openssl.exe genrsa -out DKIM_Priva- gegen Missbrauch zu schützen, indem ver- tiv die DKIM-Prüfung vorgeht. Bei "s"
te_Key_2019.key 2048 öffentlicht wird, wie der Empfänger einer (=Strict) muss die Domäne genau über-
E-Mail den Domäneninhaber bei Miss- einstimmen, während bei "r" (Relaxed)
Der öffentliche Schlüssel wird im An- brauch informieren soll. Mit DKIM findet auch Subdomänen gestattet sind.
schluss mit dem privaten Schlüssel er- also keine zusätzliche Prüfung über SPF - aspf: Hier definieren Sie, wie restriktiv
zeugt, sodass eine Schlüsselpaar vorliegt: und DKIM hinaus statt, sondern es defi- die SPF-Prüfung ist, vergleichbar zu
niert Statusmeldungen und Zusammen- adkim.
openssl.exe rsa -in fassungen. Dabei zeigt sich, dass Domänen
DKIM_Private_Key_2019.key -out mit DMARC-Einstellungen seltener Opfer In folgendem Beispiel wird nur eine Zu-
DKIM_Public_Key.public -pubout von Phishing-Angriffen werden. sammenfassung gesendet und der Emp-
-outform PEM fänger soll dabei E-Mails zunächst weiter-
Voraussetzung für DMARC ist, dass SPF hin, unabhängig vom Testergebnis, weiter
Die beiden Dateien liegen nun im "Bin"- als auch DKIM eingerichtet sind. Zur annehmen:
Verzeichnis unterhalb des OpenSSL-In-
stallationsverzeichnisses. Damit der öf-
fentliche Schlüssel im DNS hinterlegt
werden kann, entfernen Sie die Zeilen-
umbrüche sowie die erste und die letzte
Zeile mit "—–BEGIN PUBLIC KEY—–"
und "—–END PUBLIC KEY—–". Der
Schlüssel wird im Anschluss im DNS als
TXT-Eintrag zusammen mit der DKIM-
Version (v=DKIM1) und dem Schlüssel-
typ (k=rsa) veröffentlicht. Der Name des
Eintrags entspricht wieder dem Keyse-
lector, auf den im Header einer E-Mail ver-
wiesen wird, sodass der korrekte Schlüssel
für den empfangenen Server verfügbar ist.
Den Eintrag prüfen Sie mit dem bereits

erwähnten Tool auf der MxToolbox-Seite.
Im nächsten Schritt hinterlegen Sie den
privaten Schlüssel in Ihrer Security-Lö-
sung und konfigurieren DKIM, damit bei
ausgehenden E-Mails der Hash gebildet
wird. Um nun die Header-Erweiterung
einer E-Mail zu testen, senden Sie eine Bild 3: MxToolbox hält auch für die DMARC-Prüfung alles bereit.

S i c h e r h e i t i m E - M a i l - Ve r k e h r Exchange 2019
v=DMARC1; p=none; rua=mailto:chris- um sich mit den Meldungen in Ruhe zu porting gegebenenfalls auch vertrauliche
tian@schulenburg.co; adkim=r; beschäftigen. Damit Sie den Eintrag nicht Daten weitergibt, weshalb nicht alle Funk-
aspf=r; pct=100; sp=none manuell erstellen müssen, gibt es wieder tionen mit der EU-Datenschutz-Grund-
einige Wizards, die Sie dabei unterstützen verordnung vereinbar sind. So sind ag-
Gerade für die ersten Schritt mit DMARC [5]. Die Einstellungen testen Sie ebenfalls gregierte Reports (rua) bezogen auf ihre
wählen Sie zunächst die Aktion "p=none", mit der MxToolbox und dem entspre- Versand-IP bedenklich, während Failure
chenden Tool [6]. Reports (ruf) eine Vielzahl personenbe-
zogener Daten enthält und von der Nut-
Link-Codes
Die definierten Reporte kommen klassi- zung abzuraten ist. Eine Empfehlung zur
[1] MxToolbox scherweise in einzelnen E-Mails mit einer Vereinbarkeit von DMARC mit der EU-
js2y1 XML-Anlage. Die Auswertung kann unter Datenschutz-Grundverordnung wurde
[2] DKIM zum Überprüfen von E-Mails Umständen etwas Zeit in Anspruch neh- von der eco-Kompetenzgruppe E-Mail
js2y2 men. Hier haben sich einige Anbieter unter [8] veröffentlicht.
[3] Eintrag mit MxToolbox prüfen dem Thema angenommen und die Be-
js2y3 richte lassen sich an diese direkt senden Fazit
oder einfach weiterleiten. Die Anbieter Phishing- und Virenmails sehen zuneh-
[4] OpenSSL
bereiten die Daten entsprechend auf und mend täuschend echt aus und lassen sich
js2y4
Sie bekommen schnell einen guten Über- von Mitarbeiter nur noch schwer von
[5] DMARC Deployment Tools blick. An dieser Stelle sei exemplarisch seriösen E-Mails unterschieden. Mit den
js2y5
auf den kostenlosen Service von Postmark vorgestellten Funktionen SPF, DKIM
[6] DMARC-Tool auf MxToolbox [7] verwiesen. und DMAC können Sie Ihre Domäne
js2y6 sehr gut absichern. Vergessen Sie aber
[7] Postmark Wie bereits erwähnt, stellen Sie durch die nicht, auch selber diese Funktionen zu
js2y7 Kombination sicher, dass die Envelope- nutzen, wenn Sie E-Mails annehmen. Je
[8] DMARC und die DSGVO Sender-Adresse mit der "Body from"- mehr die Funktionen Sie einsetzen, desto
js2y8 Adresse einer E-Mail übereinstimmt. Zu besser lassen sich SPAM und Co. früh-
beachten ist, dass DMARC über das Re- zeitig aussortieren. (dr)
Praxis-Know-how für Admins:

Das IT-Administrator Sonderheft I/2019
Erfahren Sie auf 180 Seiten

alles rund um das Thema:
Virtualisierung
Infrastrukturen mit vSphere, Hyper-V
und Open Source planen und umsetzen
Bestellen Sie jetzt zum Abonnenten-

Vorzugspreis* von nur 24,90 Euro!

* IT-Administrator Abonnenten erhalten das Sonderheft I/2019 für € 24,90. Nichtabonnenten zahlen € 29,90.
IT-Administrator Alle Preise verstehen sich inklusive Versandkosten und Mehrwertsteuer.
Herr Stephan Orgel
D-65341 Eltville
Fax: 06123/9238-252
leserservice@it-administrator.de shop.heinemann-verlag.de
Exchange 2019 TLS 1.2 mit Exchange nutzen
TLS 1.2 mit Exchange nutzen
Sicherer Transport
Seit dem 31. Oktober 2018 nimmt

Office 365 nur noch Verbindungen von
Exchange-Servern über TLS in der Version
1.2 an. Alle anderen Versionen und
Verschlüsselungsprotokolle werden nicht
mehr unterstützt. Doch auch ohne
Nutzung von Microsofts Cloudangebot
bringt es ein Plus an Sicherheit, Exchange-
Quelle: andreacrisante – 123RF

Server für TLS 1.2 vorzubereiten. Denn
neben möglichen Einschränkungen in der
Kommunikation ist auch die Absicherung
der eigenen Umgebung ein wichtiger
Aspekt für den Umstieg auf TLS 1.2.
T
LS steht für "Transport Layer Secu- 1.1 abgeschaltet, sodass Office 365 nur ist nach der Installation als einziges aktiv,
rity" und ist ein Protokoll zur siche- noch die Kommunikation über TLS 1.2 sodass Sie hier keine Anpassungen vorneh-
ren Übertragung von Daten über das In- ermöglicht [2]. Aus diesem Grund sollten men müssen. Achten Sie hierbei vor allem
ternet. TLS ist unter seinem alten Namen Sie sicherstellen, dass Ihre lokale Ex- auf die Clients. Setzen Sie noch Windows-
SSL weitläufiger bekannt. SSL 3.0 war dabei change-Installation ebenfalls über TLS 7-Clients ein, werden diese zunächst keine
die letzte Version unter diesem Namen und 1.2 kommunizieren kann und dies nicht Verbindung zu Exchange 2019 aufnehmen
wurde beginnend mit der Version TLS 1.0 deaktiviert ist. Unser Workshop betrachtet können, da TLS 1.2 in Windows 7 stan-
weiterentwickelt. TLS kommt dabei nicht nur Exchange-Versionen ab Exchange dardmäßg nicht aktiviert ist [3].
nur beim Zugriff auf Webseiten über 2010, denn ältere Versionen befinden sich
HTTPS zur Anwendung, sondern auch zur nicht mehr im Support und werden von Vorraussetzungen für TLS 1.2
Absicherung bei anderen Protokollen wie Microsoft nicht weiterentwickelt. Viele Teile der Verschlüsselung waren in
LDAP, SIP, IMAP, POP3 oder SMTP. Exchange hart codiert, doch wurden diese
Setzen Sie bereits Exchange 2019 ein, müs- nach und nach ausgetauscht, sodass zur
TLS 1.0 wurde 1999 veröffentlicht und TLS sen Sie nicht tätig werden, denn TLS 1.2 Verschlüsselung die Funktion der darun-
1.2 ist bereits 2008 erschienen. Aufgrund
dieser langen Verfügbarkeit unterstützen Exchange-Voraussetzung zur Nutzung von TLS 1.2
es bereits nahezu alle Anwendungen. Es
kommen aber weiterhin verschiedenste Exchange-Version Voraussetzung
Protokollversionen zum Einsatz, die oft
- TLS 1.2 wird als einziges Protokoll direkt nach der Installation
weniger sicher sind. Dies hat sich unter an- Exchange 2019
unterstützt.
derem die Sicherheitslücke "Poodle" zu
- Cumulative Update (CU) 8 für die Nutzung von TLS 1.2 und
Nutze gemacht, sodass ein Fallback auf SSL
Exchange 2016 CU9, sofern TLS 1.0 und TLS 1.1 deaktiviert werden sollen.
3.0 erfolgte und die Verschlüsselung ange- - Aktuellste .NET-Version und relevante Patches (aktuell 4.7.1).
griffen werden konnte. Die darauf folgende - Cumulative Update 19 für die Nutzung von TLS 1.2 und CU20,
Empfehlung war, SSL 3.0 zu verbieten [1]. Exchange Server 2013
sofern TLS 1.0 und TLS 1.1 deaktiviert werden sollen.
- Aktuellste .NET-Version und relevante Patches (aktuell 4.7.1).
Für mehr Sicherheit in dem Verfahren - SP3 Rollup (RU) 19 für die Nutzung von TLS 1.2 und RU20,
Exchange Server 2010
gehen große Firmen hier voran und Mi- sofern TLS 1.0 und TLS 1.1 deaktiviert werden sollen.
crosoft hat bei Office 365 bereits 2014 - Aktuellste .NET-Version und relevante Patches (aktuell 3.5.1).
SSL 3.0 deaktiviert. Zum 31. Oktober Exchange Server älter - Diese Produkte sind aus dem Support und eine Unterstützung
2018 wurden nun auch TLS 1.0 und TLS als Exchange 2010 ist nicht mehr gegeben.

TLS 1.2 mit Exchange nutzen Exchange 2019
terliegenden Windows-Schicht genutzt

wird. Auch änderten sich oft Exchange- Windows-Voraussetzung zur Nutzung von TLS 1.2
Konfigurationen nach einem Update und
führten gerne dazu, dass eigene Einstel- Version Voraussetzung
lungen nach einer Aktualisierung zurück- - TLS 1.2 ist das Standard-Sicherheitsprotokoll und ist als
Windows Server 2019
gesetzt wurden. Dieses Verhalten galt einziges aktiviert
auch für die Verschlüsselung, was das Ex- - TLS 1.2 ist das Standard-Sicherheitsprotokoll für Secure Chan-
change-Team jedoch mittlerweile geän- nel und wird von WinHTTP verwendet.
dert hat, sodass die Einstellungen nicht Windows Server 2016 - Stellen Sie sicher, dass Sie das neueste monatliche Qualitäts-
Update zusammen mit allen anderen angebotenen Windows-
mehr zurückgesetzt werden.
Updates installiert haben.
- TLS 1.2 ist das Standard-Sicherheitsprotokoll für Secure
Anders verhält es sich bei einer Neuin-
Channel und wird von WinHTTP verwendet.
stallation von Exchange oder der Repa- - Stellen Sie sicher, dass Ihr Server bei den Windows-Updates
ratur mit /M:RecoverServer. In diesen bei- Windows Server 2012 R2
auf dem neuesten Stand ist. Dies sollte das Sicherheitsupdate
den Fällen übernimmt der Mailserver die KB3161949 für die aktuelle Version von WinHTTP enthalten.
Standardeinstellungen. Sollten Sie eigene - Wenn Sie sich SHA512-Zertifikate nutzen, muss auch das
Update KB2973337 installiert sein.
Standardeinstellungen haben, müssen Sie
diese nach der ersten Installation von Ex- - TLS 1.2 ist das Standard-Sicherheitsprotokoll für Secure
Channel.
change erneut ausrollen. Die Vorausset-
- Stellen Sie sicher, dass Ihr Server bei den Windows-Updates
zungen zum Aktivieren von TLS 1.2 auf dem neuesten Stand ist. Dies sollte das Sicherheitsupdate
müssen Sie nach Exchange und dem in- Windows Server 2012
KB3161949 für die aktuelle Version von WinHTTP enthalten.
stallieren Betriebssystem getrennt be- - Wenn Sie sich SHA512-Zertifikate nutzen, muss auch das
trachten. Eine Übersicht der Bedingun- Update KB2973337 installiert sein.
- Bei Exchange 2010: Installieren Sie das Update KB3154519
gen finden Sie für Exchange in und für
für .NET Framework 3.5.1.
in den gleichnamigen Tabellen.
- TLS 1.2 wird vom Betriebssystem unterstützt, ist aber standard-
mäßig deaktiviert.
TLS 1.2 aktivieren - Stellen Sie sicher, dass Ihr Server auf dem neuesten Stand ist.
Da Exchange bei eingehenden Verbin- Dies sollte neben dem Update KB3080079 auch das Sicher-
dungen meist als Server und bei ausge- heitsupdate KB3161949 für die aktuelle Version von WinHTTP
henden Verbindung als Client fungiert, Windows Server 2008 R2 enthalten.
SP1 - Das Update KB3080079 sollte auch auf allen Windows-7-
unterscheiden wir zwischen Server- und
Rechnern, von denen Sie eine Verbindung über Remote Destop
Clienteinstellungen. Als Client agiert Ex- herstellen möchten, eingespielt werden.
change zum Beispiel beim Senden einer - Wenn Sie SHA512-Zertifikate nutzen, muss auch das
E-Mail zu einem anderen Server, während Update KB2973337 installiert sein.
es bei eingehenden Clientverbindungen - Bei Exchange 2010: Installieren Sie das Update KB3154518 für
selbst als Server arbeitet. .NET Framework 3.5.1.
- TLS 1.2 wird standardmäßig nicht unterstützt.
- Stellen Sie sicher, dass Ihr Server auf dem neuesten Stand ist.
Das Aktivieren oder Deaktivieren ist stark
Dies sollte das Update KB4019276 enthalten. Dieses Update
vom Betriebssystem abhängig und erfolgt fügt die TLS-1.2-Fähigkeit als sicheres Standardprotokoll für
über die Registry, wobei jede TLS-Version Secure Channel hinzu. Weiterhin sollte das Sicherheitsupdate
Windows Server 2008 SP2
gezielt aktiviert und deaktiviert werden KB3161949 für die aktuelle Version von WinHTTP in dieser
kann. Die Pfade sind auf allen Betriebs- Konstellation installiert sein.
systemen identisch. Aktivieren Sie zu- - Wenn Sie SHA512-Zertifikate nutzen, muss auch das
Update KB2973337 installiert sein.
nächst TLS 1.2 für den SChannel (Secure
- Bei Exchange 2010: Installieren Sie 3154517 für .NET
Channel) über folgende Registry-Werte Framework 3.5.1.
unter den aufgeführten Schlüsseln:
- HKEY_LOCAL_MACHINE \ SYSTEM \ Über "DWORD Enabled" definieren Sie, sprochen wird, steht DisabledByDefault
CurrentControlSet \ Control \ SecurityP- ob das Protokoll genutzt werden kann. auf "0" wird es zur Nutzung angeboten.
roviders \ SCHANNEL \ Protocols \ TLS Steht der Wert auf "0" lässt sich TLS 1.2 in
1.2 \ Client: DisabledByDefault DWORD keiner Situation einsetzen. Der Wert "Dis- Für Exchange 2010 und das .NET-Fra-
= 0; Enabled DWORD = 1 abledByDefault" kommt zum Tragen, mework 3.5 müssen Sie darüber hinaus
-HKEY_LOCAL_MACHINE \ SYSTEM \ wenn das Protokoll nicht direkt angespro- folgende Werte konfigurieren:
CurrentControlSet \ Control \ SecurityP- chen wird und es über die Standardliste - HKEY_LOCAL_MACHINE \ SOFT-
roviders \ SCHANNEL \ Protocols \ TLS der verfügbaren Protokolle zur Verfügung WARE \ Microsoft \ .NETFramework \
1.2 \ Server: DisabledByDefault DWORD steht. Stehen beide Werte auf "1" kann TLS v2.0.50727: SystemDefaultTlsVersions
= 0; Enabled DWORD = 1 nur genutzt werden, wenn es direkt ange- DWORD = 1

Exchange 2019 TLS 1.2 mit Exchange nutzen
Neben HTTP ist der Status zur Verschlüs-

selung auch beim SMTP-Protokoll rele-
vant. Hier prüfen Sie zunächst den Hea-
der einer E-Mail, um zu ermitteln, ob
diese über TLS 1.2 eingegangen ist. Die
entsprechenden Informationen werden
Ihnen bei den übermittelten Servern und
dessen Typ angezeigt. Um diese Informa-
tion schneller zu identifizieren, nutzen
Sie den "Message Header Analyzer" [7].
In dieses Online-Werkzeug kopieren Sie
den gesamten Header und erhalten die
Details übersichtlich angezeigt.
Die Prüfung des einzelnen Headers ist

umständlich und betrifft nur eingehende
E-Mails. Einfacher geht es über SMTP.
Bei einer eingehenden Verbindung finden
Bild 1: Mit dem kostenlosen IIS Crypto setzen Sie die TLS-Einstellungen etwas schneller als über regedit. Sie je nach TLS-Version folgende Infor-
mationen im Log:
- HKEY_LOCAL_MACHINE \ SOFT- lassen sich auch in einer GPO einbinden. - TLS protocol SP_PROT_TLS1_0_
WARE \ Wow6432Node \ Microsoft \ Alternativ nutzen Sie das Tool "IIS Cryp- SERVER
.NETFramework \ v2.0.50727: System- to" [4], das die Einstellungen über eine - TLS protocol SP_PROT_TLS1_1_
DefaultTlsVersions DWORD = 1 grafische Oberfläche setzt. SERVER
- TLS protocol SP_PROT_TLS1_2_
Ist "SystemDefaultTlsVersions" auf "0" ge- Prüfung der SERVER
setzt, kommt SSL 3.0 oder TLS 1.0 zum genutzten TLS-Version
Einsatz, steht der Wert auf "1", kommt die Wie schon beschrieben, kommt TLS bei In den ausgehenden Verbindungen werden
Standardliste der verfügbaren Protokolle verschiedensten Diensten zur Anwendung die Informationen entsprechend abgelegt:
aus dem ersten Teil über "DisabledByDe- und je nach Dienst erfolgt die Prüfung - TLS protocol SP_PROT-TLS1_0_
fault" zum Tragen. Sofern kein Wert de- über verschiedene Wege. Ab Windows CLIENT
finiert ist, wird dieser als "0" angenommen 2012 R2 loggen Sie Informationen zur Ver- - TLS protocol SP_PROT-TLS1_1_
und in diesem Fall automatisch SSL 3.0 schlüsselung bei HTML, das bei OWA CLIENT
und TLS 1.0 eingesetzt. oder MAPI over HTTP aktiv ist, im IIS- - TLS protocol SP_PROT-TLS1_2_
Log. Diese Informationen werden nicht CLIENT
Nutzen Sie Exchange 2013 oder 2016 zu- standardmäßig im Protokoll abgelegt, son-
sammen mit dem .NET-Framework 4.x, dern Sie aktivieren es zunächst in der Kon- Auf diesem Weg identifizieren Sie Clients,
tätigen Sie folgende Einstellungen: figurationsdatei "applicationHost.config" die ältere Protokolle nutzen, die Sie ab-
- HKEY_LOCAL_MACHINE \ SOFT- des Exchange-Servers. Die Datei finden lösen sollten. Darüber hinaus lassen sich
WARE \ Microsoft \ .NETFramework \ Sie im Verzeichnis "\ system32 \ inetsrv \ mit Logparser den Protokollen ausführ-
v4.0.30319: SystemDefaultTlsVersions config". Nach dem Aktivieren erhalten Sie liche Statistiken entlocken. Weitere In-
DWORD = 1 weitere Information in den Protokollen formationen zu den Protokollen und der
- HKEY_LOCAL_MACHINE \ SOFT- des IIS-Servers [5]. Ablageort bietet [8].
WARE \ Wow6432Node \ Microsoft \
.NETFramework \ v4.0.30319: System- In Windows 2008 und 2012 gibt es diese TLS 1.0 und 1.1 abschalten
DefaultTlsVersions DWORD = 1 Möglichkeit nicht und Sie müssen auf die Die Abschaltung alter Protokollversionen
Protokolle von Firewall und Loadbalancer muss gut geplant sein, stellt es doch einen
Bei einem Wert von "1" kommen die ver- zurückgreifen. Sofern Ihr Server von ex- kritischen Eingriff da, der bei einem feh-
fügbaren Protokolle aus dem ersten Teil tern erreichbar ist, nutzen Sie den On- lerhaftem Vorgehen die Kommunikation
wieder zum Tragen. line-Test von "Qualys SSL Labs" [6]. Hier komplett unterbrechen kann. Teilbereiche
erhalten Sie eine ausführliche Information können Sie gegebenenfalls kurzfristig
Über eine Gruppenrichtlinie (GPO) las- dahingehend, welche TLS-Versionen von umstellen, während es in der Breite noch
sen sich die Einstellungen nicht direkt Ihrem Server unterstützt werden. Es zeigt an der Unterstützung fehlen kann. Dabei
verteilen. Sie können aber die Registry- Ihnen zwar nicht, welches Protokoll aktiv gibt es auch noch ausreichend Server, die
Einstellungen in eine Registry-Datei zum Einsatz kommt, aber welche ange- E-Mails komplett unverschlüsselt oder
schreiben und importieren. Diese Werte boten werden. mit veralteten TLS-Versionen versenden.

TLS 1.2 mit Exchange nutzen Exchange 2019
tion auf SSL 3.0 zurückzufallen. Ist dieses

ebenfalls deaktiviert, schlägt die Client-
Aushandlung fehl. Sollten Sie in der Kom-
munikation im Bereich SMTP/HTTPS
zwingend auf TLS 1.2 setzen müssen, ist
ein eigenständiger Exchange-Server zur
Nutzung von POP3/IMAP notwendig, der
weiter TLS 1.0 anbietet. SSL 3.0 sollten Sie
zwingend deaktivieren.
Ähnlich wie bei Exchange 2010 ist bei Ex-

change 2013 die Nutzung von TLS 1.2 bei
POP3/IMAP fest hinterlegt. TLS 1.0 und
1.2 können Sie somit problemlos deakti-
vieren. Schwierig wird es in diesem Fall,
wenn die Unterstützung für TLS 1.3
kommt. Hier muss zukünftig entschieden
werden, ob Exchange-Endpunkte mit äl-
teren TLS-Versionen in diesem Fall zur
Anwendung kommen.
Fazit
Die Verschlüsselung ist ein wichtiger
Punkt, um die Sicherheit von Exchange
zu gewährleisten. Microsoft hatte die un-
terstützten Versionen bis vor kurzem
Bild 2: Ist Ihr Server online erreichbar, erlaubt ein Webtool, die angebotenen Protokolle zu prüfen. noch in der Anwendung fest hinterlegt,
doch wurde das Verhalten geändert, so-
In den meisten Fällen wird eine Umstel- Werte für die Einträge "Enabled" und dass Sie sich bei der Konfiguration von
lung dieser Server schwer möglich sein, "DisabledByDefault" an. Die Einstellungen TLS zukünftig allein auf das Betriebssys-
sofern die Kommunikation ungestört unterscheiden wieder nach eingehenden tem konzentrieren können und neuere
weiterlaufen soll. und ausgehenden Verbindungen: Versionen, wie TLS 1.3, schneller in Ex-
- HKEY_LOCAL_MACHINE \ SYSTEM \ change einbinden. (jp/dr)
Bevor Sie mit dem Deaktivieren begin- CurrentControlSet \ Control \ SecurityP-
nen, stellen Sie sicher, dass TLS 1.2 auf roviders \ SCHANNEL \ Protocols \ TLS Link-Codes
allen Server aktiviert ist. Neben der reinen 1.0 beziehungsweise TLS 1.1 \ Client: Dis-
[1] Vulnerability in SSL 3.0 –
Absicherung der Kommunikation sind abledByDefault DWORD = 1; Enabled
Poodle attack and Exchange 2010
jedoch weitere Bereiche von Exchange DWORD = 0 or Exchange 2013
betroffen: -HKEY_LOCAL_MACHINE \ SYSTEM \ i8zb1
- Outlook Client Connectivity CurrentControlSet \ Control \ SecurityP- [2] An Update on Office 365
- Exchange Active Sync roviders \ SCHANNEL \ Protocols \ TLS Requiring TLS 1.2
- Outlook on the Web (beziehungsweise 1.0 beziehungsweise TLS 1.1 \ Server: Dis- i8zb2
Outlook Web App / Outlook Web abledByDefault DWORD = 1; Enabled [3] TLS 1.2 in Windows 7
Access) DWORD = 0 i8zb7
- Exchange Admin Center (EAC) und [4] IIS Crypto
Exchange Control Panel (ECP) Sind diese Einstellungen gesetzt, kommt i8zb3
- Autodiscover nur noch TLS 1.2 zur Anwendung. [5] New IIS functionality to help
- Exchange Web Services (EWA) identify weak TLS usage
- PowerShell über Exchange over HTTPS Vorsicht bei POP3 und IMAP i8zb4
- POP and IMAP (Exchange Server 2013 Sofern Sie POP3 und IMAP nutzen, hängt [6] Online-Test von Qualys SSL Labs
i8zb5
und später) das Verhalten von der eingesetzten Ex-
change-Version ab. Bei Exchange 2010 ist [7] Message Header Analyzer
is1n6
TLS 1.0 und 1.1 werden letztendlich so der Verschlüsselungsweg in der Anwen-
[8] Protokollierung der
über die Registry deaktiviert, wie TLS 1.2 dung hart codiert und kann nur SSL 3.0
SMTP-Aktivitäten in Exchange
aktiviert wurde. Hier passen Sie in den und TLS 1.0 einsetzen. Haben Sie nun TLS i8zb6
Bereichen der Versionen die DWORD- 1.0 deaktiviert, versucht die Kommunika-

Exchange 2019 Migration zu Office 365
Migration zu Office 365
Neue Postfächer
Wollen Unternehmen ihre E-Mail-
Quelle: liravega258 – 123RF

Kommunikation in die Office-365-Cloud
verschieben, stehen verschiedene Migrations-
wege bereit, damit es E-Mails, Kalendereinträge
und Kontakte in die Cloud schaffen. Schon für
reine Exchange-Umgebungen gibt es eine statt-
liche Anzahl von Migrationsoptionen, sollen
auch andere IMAP-Postfächer mit umziehen,
stehen weitere Maßnahmen an.
Übernahme- und
D
ie Migration zu Office 365 hat das figuration für eine reine Migration als
Ziel, in einem definierten Zeit- sehr aufwändig. mehrstufige Migration
raum alle Postfächer in Microsofts cloud- Für die Migration stehen verschiedene Op-
basierte Arbeitsumgebung zu transferie- Daher kommen nun die zusätzlichen tionen zur Verfügung und die mehrstufige
ren und die lokale Exchange-Installation klassischen Hybridkonfigurationen mit Methode und die Übernahmemethode
im Anschluss abzuschalten. Zeitlich ge- einer deutlichen einfacheren Einrichtung sind die klassischen Varianten. Die Über-
sehen zählen die Übernahmemigration zur Anwendung: die minimale Hybrid- nahmemethode richtet sich dabei an ältere
und die mehrstufige Migration zu den konfigurationen und die Expresskonfi- Exchange-Version (2003 und 2007) mit we-
ersten direkten Wegen, um E-Mails aus guration. Zu den bisher möglichen hy- niger als 2000 Postfächern. Empfohlen ist
einer lokalen Exchange-Umgebung zu briden Migrationswege gesellt sich seit dabei eine Umgebung von 150 und weniger
Office 365 zu bewegen. Die beiden Vari- Juli 2019 noch der Hybrid Agent als mo- Nutzern. Postfächer werden bei diesem
anten haben den großen Nachteil, dass derne Hybridkonfiguration hinzu. Gerade Vorgehen in einem Durchgang übernom-
IT-Verantwortliche nach der Migration während der Übergangsphase bietet der men und im Anschluss wird alles direkt
der Daten die Benutzerprofile mit einem Betrieb über den Agenten einige Verbes- auf Office 365 umgeschwenkt. Ein paral-
erheblichen Mehraufwand auf den Clients serungen, auf die wir im Laufe des Arti- leles Arbeiten ist nicht vorgesehen. Mit die-
neu erstellen müssen. kels ausführlicher eingehen. ser Variante legen Sie Office-365-Accounts
entsprechend der lokalen Postfächer auto-
Migration via Im Vergleich zur vollständigen Hybrid- matisch an und übertragen deren Postfach-
Hybridkonfigurationen konfiguration werden bei einer minima- inhalte in die neuen Postfächer.
Dies lässt sich nur umgehen, wenn IT- len Hybridkonfiguration nicht alle Funk-
Abteilunge eine aufwändige Hybridkon- tionen auf einen dauerhaften Parallel- Wichtig ist, dass Sie bei dieser Migrations-
figuration zwischen den Exchange-Welten betrieb ausgerichtet, was die Einrichtung art nach Abschluss der Übernahme sämt-
einrichten, die jedoch eigentlich für den deutlich erleichtert. Außerdem unterstüt- liche Profile am Client neu einrichten müs-
parallelen Betrieb vorgesehen ist. Denn zen die Hybridkonfigurationen Exchange- sen. Ebenfalls ist zu beachten, dass Outlook
bei der Hybridkonfiguration geht es nicht Server ab der Version 2010, während die Anywhere für die lokale Exchange-Um-
um die Verschiebung, sondern um den Übernahmemigration und die mehrstu- gebung funktioniert und eine bereits aktive
zeitgleichen Betrieb und die Verteilung fige Migration nur für Exchange 2003 Active-Directory-Synchronisierung zwi-
der Postfächer auf die lokale Exchange- und Exchange 2007 vorgesehen sind, ob- schen Office 365 und der lokalen AD-
Umgebung und Exchange Online. Post- wohl sie auch mit aktuelleren Exchange- Umgebung vorher deaktiviert ist.
fächer lassen sich in der vollständigen Versionen funktionieren würden.
Hybridkonfiguration zwischen den Um- Gestartet wird die Migration über das Ex-
gebungen einfach verschieben, ohne dass Wir stellen Ihnen die verschiedenen Mög- change Admin Center (EAC) von Ex-
die Nutzer etwas davon mitbekommen. lichkeiten vor und werfen daneben auch change Online unter dem Menüpunkt
Diese Option bietet sich für Migrationen einen Blick auf die Möglichkeit der IMAP- "Empfänger / Migrationen". Hier erstellen
förmlich an, doch gestaltet sich die Kon- Migration und den PST-Import-Service. Sie zunächst einen neuen Migrationsend-

Migration zu Office 365 Exchange 2019
Frei-/Gebucht-Informationen und die

zentrale Suche verwiesen (Tabelle "Rah-
menbedingungen der verschiedenen Mi-
grationsszenarien").
Seit 2019 steht neben den klassischen

Hybridkonfigurationen (minimale Hy-
bridkonfiguration und Express-Konfigu-
ration) auch der Hybrid Agent zur Ver-
fügung. Die minimale Konfiguration und
Express-Konfiguration unterscheiden sich
in der Art des Nutzerabgleichs. Bei der
Expressvariante wird diese nur einmalig
durchgeführt, während bei der Minimal-
Bild 1: Die Übernahme von Daten lässt sich unter anderem im Exchange Admin Center unter variante die Active-Directory-Synchro-
dem Menüpunkt "Migrationen unter den Empfängern" starten. nisation dauerhaft erfolgt.
punkt, bevor Sie im Anschluss einen neu- 365 weitergeleitet werden, konvertieren Der Hybrid Agent ist der modernere Weg
en Migrationsbatch starten. Dieser Batch- Sie das lokale Postfach zu einem E-Mail- zur Migration und bietet in der Über-
job überträgt alle Daten und Sie überwa- aktivtierten Benutzer mit einer Proxy- gangsphase mehr Funktionen, wie zum
chen den Vorgang im EAC. Am Ende der Adresse aus Office 365. Weisen Sie im An- Beispiel das Teilen von Frei-/Gebucht-In-
Übernahme wird der MX-Eintrag umge- schluss den Benutzer noch Lizenzen zu. formationen oder MailTipps. Der Agent
stellt und ein letztes Mal synchronisiert. Diese Schritte wiederholen Sie mehrmals, ist ebenfalls Teil des Hybrid Configuration
Nachdem die Profile der Benutzer aktua- bis sich alle Postfächer in Office 365 be- Wizards (HCW), weshalb alle Hybrid-
lisiert wurden, greifen diese nun auf das finden. Sind alle Nutzer in Exchange On- konfigurationen über den gleichen Weg
neue Postfach in Office 365 zu. Zum Ab- line, stellen Sie den MX-Eintrag auf Ex- starten. Dem Hybrid-Agenten widmen
schluss weisen Sie den Nutzern noch eine change Online um und konfigurieren wir in diesem Sonderheft einen eigenen
Lizenz zu, damit diese nicht nach 30 Ta- Autodiscover. Die Lizenzen der Benutzer Artikel ab Seite 168.
gen gelöscht werden. Weiter passen Sie dürfen an der Stelle nicht vergessen wer-
noch die Autodiscover-Einträge an, damit den. Details zu den klassischen Migratio- Die Hybridmigration starten Sie über das
diese zu Office 365 zeigen. nen finden Sie unter [1] und [2]. Exchange Online EAC und den Punkt
"Datenmigration" unter den Eintrag "Se-
In Umgebungen mit mehr als 2000 Post- Hybridkonfiguration nutzen tup". Hier wählen Sie " Exchange" aus,
fächern steht für Exchange 2003 und 2007 Die Hybridkonfiguration ermöglicht Ih- um den "Office 365 Hybrid Configuration
die mehrstufige Migration zur Verfügung. nen eine Verbindung zwischen der loka- Wizard" (HCW) zu starten. Alternativ
Im Unterschied zur Übernahmemethode len Exchange-Installation und Exchange initiieren Sie die Einrichtung über das lo-
ist dieses Vorgehen für eine längere Mi- Online. Dabei müssen Sie bei der mini- kale Exchange Admin Center über den
grationsphase vorgesehen. Dabei werden malen Hybridkonfiguration auf verschie- Menüpunkt "Hybrid". Beim HCW han-
zunächst die Benutzer aus der lokalen dene Funktionen zwischen den Umge- delt es sich um eine Click-To-Run-An-
Umgebung über das "Microsoft Azure bungen verzichten, die bei einer vollstän- wendung, die direkt über Microsoft he-
Active Directory Synchronization Tool" digen Hybridkonfiguration zur Verfü- runtergeladen wird, sodass immer die
oder die "Microsoft Azure Active Directo- gung stehen. Hier sei vor allem auf die aktuellste Version im Einsatz ist. Wichtig
ry Sync Services" (AAD Sync) in Office
365 angelegt und synchronisiert. Im
nächsten Schritt legen Sie wieder einen
Migrationsendpunkt an, wobei Sie die
mehrstufige Migration auswählen und
anschließend über eine CSV-Datei die zu
übertragenen Postfächer definieren.
Sind die Postfächer migriert, zeigt sich ein

weiterer Unterschied zur Übernahmemi-
gration: Es findet sich nun ein Teil der
Nutzer in Exchange Online und der E-
Mail-Verkehr läuft weiter über die lokale Bild 2: Über den Hybrid Configuration Wizard starten Sie sowohl die
Umgebung. Damit nun E-Mails zu Office klassische als auch die moderne Hybridkonfiguration.

Exchange 2019 Migration zu Office 365
ist, dass die Benutzer in Exchange Online zur Migration anstehen. Wählen Sie zum ein zu übertragendes Postfach darf maxi-
noch nicht über ein Postfach verfügen. Testen zunächst zwei bis drei Nutzer aus. mal 500.000 Elemente enthalten.
Eine Migration wäre in diesem Fall nicht Eine ausführliche Übersicht zum Status
möglich und Sie müssten die Postfächer der Migration finden Sie im EAC unter Bei dieser Migration legen Sie zunächst
zunächst löschen. dem Punkt "Empfänger / Migration", wo die Nutzer getrennt von der Datenüber-
Sie auch alternativ neue Verschiebeaktio- nahme an und lizenzieren diese. Es ist
Nach dem Start des Wizards geben Sie zu- nen zwischen Ihrer lokalen Exchange- nicht zwingend notwendig, dass die E-
erst die Login-Daten zu den Exchange- Umgebung und Exchange Online ansto- Mail-Domains identisch sind, da die Da-
Umgebungen ein, bevor Sie im nächsten ßen. Zum Abschluss ändern Sie noch den ten unabhängig von dieser in ein Postfach
Schritt die minimale Hybridkonfiguration MX-Record, damit dieser wieder zu Ex- geleitet werden. Über eine CSV-Datei ver-
auswählen. Hier bestimmen Sie im Fol- change Online zeigt und E-Mails hier zen- knüpfen Sie die Office-365-Postfächer
genden, ob Sie die klassische oder die mo- tral empfangen werden. mit den entsprechenden Anmeldedaten
derne Variante nutzen. Bei der klassischen des IMAP-Servers. Zum IMAP-Server le-
Variante definieren Sie – je nach Größer Migrationen über IMAP gen Sie wieder über das EAC unter "Emp-
der Umgebung – ob die Active-Directo- Die bisher beschriebenen Migrationsme- fänger / Migration" einen Migrationsend-
ry-Synchronisation einmalig oder dauer- thoden beziehen sich alle auf Exchange, punkt an. Als Nächstes erstellen Sie einen
haft genutzt wird. Im Anschluss wird die aber es lassen sich auch andere E-Mail- Migrationsbatch, in dem Sie eine Migra-
Hybridumgebung eingerichtet, sodass bei- Systeme über das Internet Message Access tion zu Exchange und den Punkt "IMAP-
de Umgebungen zusammenarbeiten. Protocol (IMAP) [3] migrieren. Dieses Migration" auswählen. Nutzen Sie nun
Nachdem die Nutzer synchronisiert sind, Vorgehen ist bei verschiedenen Anbietern, die bereits erstellte CSV-Datei und starten
vergeben Sie zunächst die Lizenzen in Of- wie der G Suite, Outlook.com oder Hot- Sie die Migration. In der Übersicht unter
fice 365. Als Nächstes starten Sie unter mail möglich. Beachten müssen Sie, dass "Migration" sehen Sie wieder einen Status
dem Punkt "Datenmigration / Exchange" nur E-Mail-Ordner und deren Inhalt über- der laufenden Migrationen. Sind alle Post-
die Verschiebung der Benutzerpostfächer. tragen werden. Weiterhin dürfen Nach- fächer übertragen, stellen Sie den MX-
Hier sehen Sie eine Liste der Benutzer, die richten nicht größer als 35 MByte sein und Eintrag um, damit E-Mails zu Office 365
Rahmenbedingungen der verschiedenen Migrationsszenarien

Klassische Hybridkonfiguration Moderne
Übernahme- Mehrstufige
Express-Hybrid- Minimale Hybrid- Hybridkonfiguration
migration Migration
konfiguration konfiguration Hybrid Agent
Primär 2003 und 2007,

Exchange 2003 Exchange 2010 Exchange 2010 Exchange 2010
Exchange aber auch mit Exchange
und 2007 bis 2016 möglich bis 2016 möglich bis 2019 möglich
2010 bis 2016 möglich
Empfohlen Empfohlen
Anzahl Postfächer Mehr als 2000 Mehr als 2000 -
für 150 bis 2000 für 150 bis 2000
Dauer Wenige Tage Wenige Wochen Wenige Tage Wenige Wochen Wenige Wochen
Auswahl zu migrie-
Nein Ja Ja Ja Ja
render Postfächer
Migrations- Office 365 Office 365
EAC EAC EAC
verwaltung Admin Center Admin Center
Ja,
AD-Synchronisation Nein Ja Ja Ja
einmalig zur Migration
E-Mail-Austausch
zwischen lokal und Nein Ja Ja Ja Ja
Exchange Online
Kombinierte GAL Nein Ja Ja Ja Ja
Interne Abwesen-
Nein Nein Nein Nein Ja
heitsmeldung
Übergreifende
MailTips
Übergreifende
Nein Nein Nein Nein Nein
Suche
Frei-/Gebucht-
Informationen
Neuerstellung des
Ja Ja Nein Nein Nein
Outlook-Profils

Migration zu Office 365 Exchange 2019
passenden Migrationsweg und auch

durch die Migration. Nach dem Start des
Assistenten fügen Sie zunächst ein neues
Quell-E-Mail-System hinzu. Dazu stehen
Ihnen die verschiedenen Exchange-Ver-
sionen als auch IMAP oder Gmail zur
Verfügung. Durch Angeben der Anzahl
der zu migrierenden Postfächer und die
Dauer der Migration wird Ihnen einer
der bereits beschriebenen Migrationswege
angeboten.
Haben Sie das E-Mailsystem und den Mi-

grationspfad gespeichert, finden Sie die-
Bild 3: Nicht nur über das EAC von Exchange Online lassen sich Datenmigrationen anstoßen, sen in der Übersicht. Wählen Sie ihn nun
sondern auch über das Office 365 Admin Center. aus und klicken Sie auf "Weiter". Der As-
sistent durchläuft nun die verschiedenen
geroutet werden. Die E-Mail-Daten liegen Verfügung, über den Sie PST-Dateien di- Phasen der Migration, angefangen von
nun in Office 365 und damit die Benutzer rekt hochladen oder an ein Microsoft- der Prüfung der Voraussetzung, über die
darauf zugreifen können, passen Sie noch Rechenzentrum senden. Einsammeln Lizensierung, die eigentliche Migration
die Profile der Mitarbeiter an. Der Weg können Sie die PST-Dateien mit dem "Ex- und den Abschluss. Dabei liefert der As-
der Migration über das Online EAC und change PST Capture Tool" [4] von Mi- sistent ausführliche Schritt-für-Schritt-
eine CSV-Datei ist vor allem für mehr als crosoft. Darüber hinaus erlaubt Ihnen das Anleitungen mit vielen Hinweisen.
50 Nutzer vorgesehen. Tool, die gefundenen Dateien über eine
Import-Liste auch direkt zu Exchange Fazit
Sind es dagegen weniger Nutzer, bietet sich Online zu übertragen. Eine Migration ist immer eine Heraus-
eine Migration ohne CSV-Datei über das forderung und gerade die zu Office 365
Office 365 Admin Center unter "Setup / Liegen Ihnen die PST-Dateien vor, starten nimmt sich davon nicht aus. Der Beitrag
Datenmigrationen" an. Die Benutzer müs- Sie den Importprozess über den Menü- führte Sie durch die zahlreichen verschie-
sen auch bei diesem Weg in Office 365 punkt "Datenmigration" unter "Setup" im denen Migrationswege. Damit sollten Sie
vorhanden sein. Haben Sie einen Provider Office 365 Admin Center. Wählen Sie hier den passenden Weg und dessen Umset-
ausgewählt, zeigt Ihnen das nächste Fenster zunächst den Eintrag "PST-Dateien hoch- zung finden. Wichtig ist, dass Sie sich in-
alle Office-365-Nutzer. Hier tragen Sie in laden" aus. Sie werden im Anschluss zu tensiv mit der Migration beschäftigen und
der Übersicht die Zugangsdaten zu den "Office 365 Security & Compliance" wei- diese ausführlich testen, denn es gibt
IMAP Postfächern ein. Ist Ihr Provider tergeleitet, wo Sie einen neuen Import- kaum eine Migration ohne unerwartete
nicht gelistet, wählen Sie den Punkt "An- auftrag anlegen. Hierbei entscheiden Sie Vorkommnisse. (jp)
dere" aus und tragen die Serverinforma- sich für den Upload in einen Azure-Spei-
tionen in dem Fenster ein. Die Postfächer cher oder den Versand zu Microsoft. Auch Link-Codes
werden fortlaufend synchronisiert, bis die hierbei erstellen Sie eine Mapping-Datei,
Migration gestoppt wird. über das Sie die PST-Dateien den Ex- [1] Perform a staged migration
of email to Office 365
change-Online-Postfächern zuweisen. In
js2m1
Wie bereits beschrieben, werden bei die- dem Prozess können Sie Filter definieren,
[2] Migrieren von E-Mails mithilfe
sem Vorgehen keine Kalender oder Kon- um zu bestimmen, welche Daten übertra- der Exchange-Cutover-Methode
takte übertragen. Um das Problem bei gen werden sollen. Den Status des Import- js2m2
Gmail zu umgehen, bietet Office 365 ei- jobs überwachen Sie ebenfalls im Security [3] What you need to know about
nen Assistenten an, der Sie bei der Mi- & Compliance Center und beim Ab- migrating your IMAP mailboxes
gration von Kontakten und Kalendern schluss wechselt dieser auf "Completed". to Office 365
unterstützt. Sie finden diesen ebenfalls Mehr Details zu den einzelnen Schritten js2m3
unter "Datenmigrationen" im Bereich finden Sie unter [5]. [4] Exchange PST Capture Tool
"Onboarding- und Migrationsanleitung". js2m4
An die Hand genommen [5] Importieren von PST-Dateien in
PST-Dateien migieren Damit Sie nicht völlig den Überblick über Office 365
js2m5
Liegen Ihre Daten in vielen PST-Dateien die verschiedenen Pfade der Migration
vor, können Sie auch deren Inhalt zu Ex- verlieren, bietet Microsoft den Office- [6] Office-365-E-Mail-Migrationsrat-
geber (Login erforderlich)
change Online migrieren. Hierfür steht 365-E-Mail-Migrationsratgeber [6]. Die-
js2m6
Ihnen der "Office 365 Import Service" zur ser führt Sie je nach Ausganglage zum

Quelle: Orlando Rosu – 123RF
Hybrid Agent für Exchange
Einfache
Übung
Microsoft unterstützt den Umzug der

lokalen Exchange-Umgebung zu Office
365 mit dem Microsoft Hybrid Wizard.
Dieser hat zuletzt durch den Hybrid Agent
Unterstützung erhalten. Wir zeigen den
Einsatz des Agenten und wie sich dadurch
die Einrichtung einer Hybridumgebung
deutlich erleichtert.
D
ie Migration der Postfächer zu Ex- zum Beispiel eine Multifaktorauthentifi- können jetzt auch Loadbalancer anstelle
change Online ist eine der großen zierung oder eine Authentifizierung mit spezifischer Exchange-Server über den
Herausforderungen bei der Nutzung von Clientzertifikaten. Kommt diese bereits Hybrid Agent ansprechen.
Office 365. Daher ist es wichtig, diesen zur Anwendung, nutzen Sie weiterhin die
Schritt möglichst einfach zu gestalten. klassische Exchange-Hybrid-Topologie. Vorbereitungen
Anders als bei einer Migration innerhalb Darüber hinaus werden MailTips, die für den Hybrid Agent
einer Organisation ist das Verschieben zu Nachrichtenverfolgung und die Multi- Den Hybrid Agent installieren Sie entwe-
Exchange Online problematisch, da die Mailbox-Search nicht über den Hybrid der auf einem eigenständigen Server
Postfächer zwischen zwei separat verwal- Agent abgewickelt. Sollen diese Funktio- (Agenten-Server) oder auf einem Ex-
teten Organisationen verschoben werden. nen übergreifend zur Anwendung kom- change-Server mit der CAS-Rolle. Dabei
men, nutzen Sie das klassische Modell. kommt Exchange ab Version 2010 zur
Die Verbindung einer lokalen Exchange- Anwendung, das auf Windows Server
Instanz mit Exchange Online wird als Hy- Der Agent wird stetig optimiert und so 2012 R2 oder 2016 mit .NET Framework
bridanbindung bezeichnet. Der Hybrid wurden bereits zwei Monate nach dem 4.6.2 oder höher installiert sein muss. So-
Agent ist ein neues Tool, um diese zu er- ersten Launch Verbesserungen der Pre- fern Agent und Exchange auf einem ge-
leichtern. Von Microsoft wird dieses Ver- view bereitgestellt. Unterstützte der Hy- meinsamen Server laufen sollen, achten
fahren als "Modern Hybrid" bezeichnet brid Agent in der ersten Veröffentlichung Sie darauf, dass die Kompatibilität zwi-
und erweitert so den "Hybrid Configu- nur die Einzelinstallation, lassen sich in schen Exchange und .NET [1] gewähr-
ration Wizard" (HCW). Der neue Hybrid der aktuellen Version auch mehrere Agen- leistet ist, damit Sie keine unsupportete
Agent stellt eine Verbindung zwischen ten in einer lokalen Organisation instal- Kombination nutzen. Darüber hinaus
der lokalen Exchange-Version und Ex- lieren. Dies war eine große Einschränkung muss der Server nur Mitglied der Domain
change Online her. Dabei reduziert der der ersten Version vom Februar 2019, bei sein und Zugriff auf das Internet haben.
Hybrid Agent die Anforderungen um ex- der es keine Redundanzmöglichkeiten
terne DNS-Einträge, Zertifikataktualisie- gab, Frei/Gebucht-Informationen sich im Als Ausgangsverbindungen benötigen Sie
rungen und eingehende Netzwerkverbin- Offline-Fall nicht einsehen ließen und nur Port 443 und Port 80 – letzterer dient
dungen der Firewall, die das Unterfangen Verschiebeaktionen nicht durchgeführt einzig der Zertifikatsperrlistenprüfungen.
in der Vergangenheit komplex machten. wurden. Mit dem Update des Hybrid Der Agent kommuniziert mit einem Azu-
Agent im April 2019 besserte Microsoft re-Proxy-Dienst mit mandantenspezifi-
Praxistauglich an dieser Stelle nach und er unterstützt schem Endpunkt, der zu Ihrer Online-Um-
durch Mehrfachinstallation nun wie erwähnt mehrere Agenten. Da- gebung führt. Verfügbarkeitsinformationen
Der Hybrid Agent unterstützt keine "Hy- rüber hinaus gibt es nun auch Statusin- als auch Postfachmigrationen werden über
brid Modern Authentication". Dazu zählt formationen zum Hybrid Agent und Sie diesen "Azure App Proxy" geführt. Sofern

Hybrid Agent für Exchange Exchange 2019
Nutzung der Hybrid-Lizenz keine Post-

(Quelle: Microsoft)
fächer befinden. Die Zielplattform muss

ebenfalls ausgewählt werden. Hier tragen
Sie den Standort Ihrer Online-Umgebung
ein, das kann unter anderem die Deutsch-
land Cloud der Telekom oder die Stan-
dardumgebung von Microsoft sein.
Zunächst entscheiden Sie sich für eine mi-

nimale oder vollständige Hybridkonfigu-
ration. Der Hybrid Agent steht in beiden
Varianten zur Verfügung. Die vollständige
Hybridkonfiguration ist primär für lang-
fristige Koexistenzen vorgesehen und
berücksichtigt neben dem Teilen von
Bild 1: Die moderne Hybridtopologie mit dem neuen Hybrid Agent nimmt einige Herausforderungen Frei/Gebucht-Informationen auch den
bei der Verbindung zwischen lokalem und Online-Exchange. Nachrichtenfluss und das eDiscovery. Da
die Konfiguration vor allem der nahtlosen
der Agent nicht auf einem Exchange-Server Click-To-Run-Anwendung, die Sie direkt Übertragung von Postfächern zu Ex-
mit Client Access Service (CAS) installiert über Microsoft herunterladen, sodass im- change Online dient, konfigurieren wir in
ist, müssen Sie zusätzlich die Ports 5985 mer die aktuellste Version gestartet wird. diesem Fall nur die Mindesteinstellungen.
und 5986 zu den CAS-Servern freischalten, Zum Ausführen benötigen Sie einen glo- Sofern Sie das Fenster zur Hybridkonfi-
damit die Kommunikation klappt. Weiter- balen Administrator von Exchange On- guration nicht sehen, haben Sie bereits
hin müssen sich alle CAS-Server mit Office line. Die Versionsnummer des HCWs se- erfolgreich eine Hybridtopologie einge-
365 über Port 443 verbinden können, um hen Sie oben rechts und während der richtet. Als Nächstes müssen Sie die Do-
Frei/Gebucht-Informationen abzurufen. weiteren Schritte werden hier zusätzliche main-Eigentümerschaft überprüfen. Die
Informationen ergänzt. Verifizierung ähnelt der Domainverifi-
Um die Verbindungseinstellungen vor der zierung in Office 365: Tragen Sie den an-
Installation zu prüfen, stellt Microsoft ein Nach dem Start wählen Sie zunächst ei- gezeigten DNS-TXT-Eintrag in Ihrer
Skript [2] bereit. Dieses binden Sie zu- nen lokalen Exchange-Server aus, der für DNS-Zone ein und bestätigen Sie die In-
nächst über die Hybridanbindung konfiguriert wird. haberschaft. Jetzt wählen Sie die Topolo-
Der Server muss lizenziert sein, damit Sie gie aus. Hier wird Ihnen nun der Hybrid
Import-Module fortfahren können. An dieser Stelle lässt Agent als Teil der modernen Exchange-
.\HybridManagement.psm1 sich auch ein Exchange-Hybrid-Server li- Hybridtopologie angeboten, den Sie nach
zenzieren. Auf diesem dürfen sich bei der Bestätigung herunterladen.
ein. Der eigentliche Test erfolgt mit fol-
gendem Aufruf:
Test-HybridConnectivity
-testO365Endpoints
Damit alles reibungslos läuft, müssen Sie

sicherstellen, dass in beiden Exchange-
Organisationen jeweils mindestens eine
identische E-Mail-Domain als akzeptierte
Domain eingerichtet ist.
Installation des Agenten

Der Hybrid Agent ist Teil des "Office 365
Hybrid Configuration Wizard" (HCW).
Der Installer lädt automatisch im Hinter-
grund die aktuellste Version des Hybrid
Agent herunter. Den HCW starten Sie
am einfachsten über das Exchange Admin
Center über den Menüpunkt "Hybrid".
Beim HCW handelt es sich um eine Bild 2: Der HCW führt durch die Konfiguration und startet den Hybrid Agent.

Exchange 2019 Hybrid Agent für Exchange
Ist dies erledigt, richten Sie Sen- Update und unterstützt Ex-
de- und Empfangsconnectoren change Server ab 2010. OCT
ein. Der E-Mail-Verkehr wird ist ein Bestandteil des HCW
über TLS abgesichert, wofür Sie und Sie wählen die Übertra-
im nächsten Schritt ein gültiges gung während der Hybridkon-
Zertifikat auswählen. Darin muss figuration aus.
der externe Hostname eingetra-
gen sein, der sich extern auflösen Letzter Exchange-Server
lassen und per Port 25 erreichbar der Hybridkonfiguration
sein muss. Der Hybrid Agent ist Sind alle Postfächer zu Exchange
dabei nicht für das Routen der Online migriert, dürfen Sie den
E-Mails verantwortlich, sondern letzten Exchange-Server nur
es werden nur entsprechende deinstallieren, wenn kein Ab-
Konfigurationen vorgenommen. gleich der Benutzer über Azure
Das Ergebnis sehen Sie nach Ab- AD Connect erfolgt. Letzteres
schluss der Konfiguration im Bild 3: Nach der erfolgreichen Verbindung der Umgebungen integriert Ihre lokalen Verzeich-
lassen sich zum Beispiel Postfächer in Exchange Online
EAC unter "Nachrichtenfluss/ nisse in das Azure Active Di-
aus der lokalen Umgebung einrichten.
Konnektoren". rectory, wodurch Benutzer nur
noch eine einzige Identität ha-
Nachdem Sie die Vorgaben eingetragen fahrung, indem Sie die Frei-/Gebucht-In- ben. Dies ist keine Voraussetzung für die
haben, wird die entsprechende Konfi- formationen für Postfächer aus den ver- Nutzung einer Hybridkonfiguration und
guration in den Exchange-Organisatio- schiedenen Organisationen in einem neu- wir sind daher in diesem Beitrag nicht wei-
nen durchgeführt. Klappt alles, ist die en Termin prüfen. ter darauf eingegangen.
Hybridanbindung Ihrer lokalen Ex-
change-Organisation zu Exchange On- Einstellungen Nutzen Sie diese Funktion, benötigen Sie
line erfolgreich abgeschlossen. Während zwischen den Welten einen Exchange-Server, um die lokalen
der Installation werden ebenfalls Ver- Zu berücksichtigen ist, dass beide Ex- Exchange-Attribute zu pflegen. Ist dieser
knüpfungen auf dem Server erstellt, change-Organisationen unabhängig von- nicht vorhanden, fehlen die Exchange-Er-
über die Sie bei Änderungen in Ihrer einander sind, was auch die Konfiguration weiterungen für die Active-Directory-Ob-
Exchange-Organisation den HCW er- betrifft. In der EAC wechseln Sie über jekte, die für einen reibungslosen Hybrid-
neut starten können. den Reiter "Unternehmen" beziehungs- betrieb mit Office 365 notwendig sind.
weise "Office 365" schnell zwischen den Diese Anforderung hat zur Folge, dass Sie
Verbindung testen Welten. Grundsätzlich müssen Sie Richt- auch weiterhin Exchange-Updates mit
Ist die Hybridverbindung eingerichtet, linien wie Retention Policy, OWA Policy möglichen Schema-Erweiterungen ein-
gibt es einiges zu testen. Als Erstes prüfen oder Mobile Device Policy separat erstel- spielen müssen.
Sie den E-Mail-Transport, in dem Sie E- len und konfigurieren. Bei der Migration
Mails zwischen Postfächern der lokalen der Einstellungen hilft Ihnen der "Organi- Fazit
und der Online-Umgebung hin und her zation Configuration Transfer Wizard" Microsoft hat viel für die reibungslose
senden. Auch von extern sollten Sie die (OCT). Die Version 1 wurde im Juni 2018 Migration zwischen lokalen Exchange-
Erreichbarkeit testen. veröffentlicht und unterstützte zu diesem Umgebungen und Exchange Online getan
Zeitpunkt nur die Richtlinien. Im Oktober und sehr viel Komplexität aus dem The-
Als Nächstes probieren Sie das Erstellen 2018 gab es bereits die nächste Version, ma genommen. Auch kleinere Unterneh-
von Postfächern aus. In der lokalen EAC die weitere Eigenschaften wie Active Sync men schauen einer Migration nun we-
legen Sie nun auch Postfächer für Ex- Device Access Rule, Address Lists oder sentlich entspannter entgegen und müs-
change Online an. Es dauert einen Au- Policy Tip berücksichtigt. sen die Einrichtung nicht scheuen. Mi-
genblick, bis der Benutzer in Office 365 crosoft sieht KMUs als Nutzer von Office
verfügbar ist. Zunächst müssen Sie diesem Die erste Version unterstützte nur die 365 und hat mit dem Hybrid Agent den
noch eine Lizenz zuweisen, damit eine erstmalige Übertragung. Erkannte der Weg geebnet. (jp)
Anmeldung an dem Postfach möglich ist. Wizard eine Einstellung mit dem glei-
Migrieren Sie nun Postfächer in Office chen Namen, wurde diese ignoriert. Die Link-Codes
365 von Ihrer lokalen Umgebung zu Ex- Version 2 überschreibt nun Einstellun-
change Online. Hierfür rufen Sie in der gen in Exchange Online. Die Übertra- [1] .NET- und Exchange Supportmatrix
j7p51
EAC von Exchange Online den Punkt gung stellt zwar keine Synchronisation
[2] Microsoft Hybrid Agent
"Empfänger / Migrationen" auf und wäh- dar, aber ist eine einfache Möglichkeit,
Public Preview
len "Zu Exchange Online migrieren" aus. Einstellungen schnell weiterzugeben. j7p52
Als Letztes testen Sie noch die Nutzerer- OCT benötigt lokal das letzte kumulative

Lokales Exchange mit
Exchange Online Protection verbinden
Quelle: fwstupidio – 123RF

Schutzschild
Nicht jeder Administrator hat eine ausreichende Sicherheitslösung im Einsatz oder möchte
parallel zu Exchange ein separates Security-Produkt lokal vorhalten. Wir zeigen Ihnen in dem
Beitrag, wie Sie die E-Mail-Sicherheit auslagern und Ihre lokale E-Mail-Umgebung mit
Exchange Online Protection in der Cloud verbinden.
W
ie in dem Beitrag zu Sicherheit in für Office 365. Haben Sie noch kein Kon- enthalten. In den meisten Fällen abonnie-
Exchange 2019 und Office 365 auf to, wird die Benutzer-ID während der Be- ren Sie ATP neben EOP als zusätzlichen
Seite 147 beschrieben, gehen die Mög- stellung der Testversion erstellt. EOP selbst Dienst für circa 2 Euro je Benutzer und
lichkeiten von Office 365 über viele lokale buchen Sie direkt als Subskription in Of- Monat. Eine Übersicht der vorhandenen
Sicherheitslösungen hinaus, wodurch Mi- fice 365 oder es ist bereits Bestandteil einer Lizenz sehen Sie nach der Buchung im Mi-
crosofts Exchange Online Protection Exchange Online Subscription. Die Lizen- crosoft 365 Admin Center unter dem
(EOP) [1] eine Alternative zur selbstge- sierung von EOP erfolgt über die einzelne Punkt "Setup / Produkte".
hosteten Security-Lösung darstellt. In die- Benutzerlizensierung und die Kosten lie-
sem Beitrag schauen wir uns die lokale gen aktuell bei cirka 0,84 Euro je Benutzer Einsatz von EOP vorbereiten
Anbindung am Beispiel von Exchange und Monat. Alternativ gibt es aus der lo- Sind die Lizenzen vorhanden, kümmern
2019 an, wobei sich jeder SMTP-Server kalen Exchange-Umgebung auch eine spe- Sie sich weiter um die zu nutzende E-Mail-
anbinden lässt und die Nutzung von EOP zielle Enterprise CAL mit Diensten, die Domain. Für den Start verwenden Sie eine
nicht auf Exchange Server beschränkt ist. ebenfalls die Nutzung von EOP beinhaltet. Testdomain beziehungsweise eine nicht
Dabei bleiben die Postfächer in der loka- Für den Start und zum Testen nutzen Sie genutzten Subdomain, damit Sie das Vor-
len Instanz und nur der ein- und ausge- zunächst eine Trial-Version. gehen in Ruhe ausprobieren können. Rich-
hende Datenverkehr wird über EOP ge- ten Sie die Domain, die Sie über EOP nut-
leitet. E-Mails innerhalb der Organisation Erweitern lässt sich der EOP-Schutz durch zen wollen, im Microsoft-365-Dashboard
werden somit nicht mittels EOP über- die Advanced Threat Protection (ATP), über den Punkt "Setup / Domänen" ein.
prüft. Der Vorteil ist, dass Sie keine zu- das gegen unbekannte Schadsoftware und Während der Einrichtung führen Sie zu-
sätzliche Hard- beziehungsweise Software Viren hilft. Dies gewährleistet einen bes- nächst einen Besitzernachweis der Domain
benötigen und die Prüfung außerhalb Ih- seren Schutz vor Zero-Day-Attacken, die durch, bevor Sie diese nutzen können. Die
res Netzwerks durchführen. noch nicht bekannt sind. Zur Prüfung wer- Überprüfung erfolgt über einen TXT- oder
den alle Anlagen mit einer unbekannten MX-Eintrag im DNS Ihres Domain-Pro-
Verfügbare Lizenzen Signatur einer Verhaltensanalyse unterzo- viders. Der Assistent zeigt Ihnen dabei,
Um den Dienst nutzen zu können, benö- gen. Die Funktion ist in wenigen Office- welche Einträge zur Prüfung im Detail hin-
tigen Sie zunächst ein Microsoft-Konto 365-Plänen, wie Office 365 Enterprise E5, terlegt werden müssen.

Exchange 2019 Lokales Exchange mit Exchange Online Protection verbinden
Bild 1: Haben Sie die Lizenzen bestellt, richten Sie Ihre E-Mail-Domain ein, wobei Sie einen Besitzernachweis der Domain durchführen müssen.
Ist die Domain verifiziert, müssen Sie zulegen Sie für diese einen eigenen Kontakt nur Richtung Cloud aktualisiert werden
nächst keine weiteren DNS-Einträge set- in der EAC an, sofern Sie DBEB nutzen. und nicht andersherum. Eine genauere
zen. Die Domain steht Ihnen nun zur Beschreibung zur Einrichtung von Azure
weiteren Einrichtung in Microsoft 365 Benutzer anlegen AD Connect finden Sie unter [2].
zur Verfügung. Im nächsten Schritt legen Sie die Empfän-
ger in Microsoft 365 an. Hierbei stehen Ih- Sofern Sie auf eine Synchronisation ver-
Wechseln Sie im nächsten Schritt über nen verschiedene Wege zur Verfügung. Um zichten wollen, legen Sie die Nutzer direkt
die linke Menüleiste in das Admin Center einen Abgleich aller Empfänger zu errei- in der EAC-Seite von EOP unter "Emp-
von EOP. Den Eintrag finden Sie im Me- chen, empfiehlt es sich, die Synchronisation fänger / Kontakte" an. Hier sehen Sie eben-
nüpunkt "Admin Center / Online Pro- des lokale Active Directory zum Azure falls alle aktiven Nutzer. Die Vorbereitun-
tection for Exchange". Beim EOP Admin Active Directory zu nutzen. Die Synchro- gen von EOP sind soweit abgeschlossen
Center handelt es sich ebenfalls um das nisation richten Sie über den "Azure Active und es erfolgt im nächsten Schritt die Kon-
Exchange Administration Center (EAC), Directory Connect" ein. Den Link finden figuration des E-Mail-Routings.
das aber nur Menüpunkte zur Konfigu- Sie am schnellsten in der Übersicht unter
ration von EOP enthält. Passen Sie in der "Benutzer / Aktive Benutzer" in Microsoft E-Mail-Verkehr regeln
EAC zunächst die weiteren Eigenschaften 365. Klicken Sie hier auf "Mehr" und den Um die Verbindung zwischen EOP und
der E-Mail-Domain im Punkt "Nachrich- Punkt "Verzeichnissynchronisierung". Nach Ihrer lokalen E-Mail-Umgebung herzustel-
tenfluss / Akzeptierte Domänen" an. dem Download führen Sie die Installation len, werden zwei Connectoren in EOP be-
auf einem Mitgliedsserver aus. nötigt und einer in der lokalen Umgebung.
Da E-Mails von EOP zur lokalen Exchange- Richten Sie zunächst in Ihrer Exchange-
Umgebung weitergeleitet werden, konfi- Die Installation auf einem Domänencon- Umgebung einen lokalen Send-Connector
gurieren Sie die neue Domain als internes troller ist nicht empfohlen. Während der ein. Dieser sorgt dafür, dass ausgehende E-
Relay. Durch diese Einstellungen werden Einrichtung geben Sie die Credentials ei- Mails über EOP geleitet werden. Wechseln
alle E-Mails für die Domain angenommen nes lokalen Admins und von Microsoft Sie zur Einrichtung in der lokalen EAC
und weitergeleitet. Sollen ungültige Emp- 365 ein. Verwendet das lokale Active Di- zum Punkt "Nachrichtenfluss / Sendcon-
fänger abgelehnt werden, stellen Sie die rectoy einen Namen, der nicht der E- nectors" und starten Sie den Vorgang. Wäh-
Domain auf "Authoritative", sofern alle Mail-Domain entspricht, richten Sie einen rend der Konfiguration geben Sie dem
Empfänger in EOP bekannt sind. Auf diese zusätzlichen UPN ein. Dieser muss im Connector einen sprechenden Namen und
Weise aktivieren Sie das "Directory Based Anschluss bei jedem Benutzer angepasst tragen Sie Ihren EOP-Smarthost ein. Dieser
Edge Blocking" (DBEB). Ungültige E-Mails werden. Nur auf diesem Weg erhalten Sie entspricht Ihrer Domain, wobei die Punkte
werden im Anschluss mit folgendem Fehler eine korrekte Verzeichnissynchronisation. durch Striche ersetzt und um den Syntax
abgelehnt: "550 5.4.1 [InvalidAlias@\Do- Mit dem Synchronization Service Mana- ".mail.protection.outlook.com" ergänzt wer-
main]: Recipient address rejected: Access ger, den Sie im Windows-Menü finden, den. Der Name der Subdomain "eop.schu-
denied". Da Verteilergruppen über Azure können Sie den Status des Abgleiches gut lenburg.co" lauten somit "eop-schulenburg-
AD Connect nicht synchronisiert werden, nachvollziehen. Beachten Sie, dass Nutzer co.mail.protection.outlook.com".

Lokales Exchange mit Exchange Online Protection verbinden Exchange 2019
Sie im Bereich "Von" den Eintrag "Office

365" und bei "An" den Punkt "E-Mail-
Server Ihrer Organisation". Geben Sie
dem Connector wieder einen Namen und
hinterlegen Sie die Domain, die weiter-
geleitet werden soll. Tragen Sie im Fol-
genden die IP-Adresse oder den FQDN
des lokalen Servers ein. Vor dem Spei-
chern des neuen Connectors fordert der
Assistent noch zu einer Überprüfung auf.
Geben Sie hier eine lokale E-Mail-Adresse
an. Es wird nun versucht eine E-Mail an
den lokalen Server zu übermitteln. Ist der
Test erfolgreich abgeschlossen, werden
von extern eingehende E-Mails über die-
sen Connector zu Ihrem lokalen Mailser-
ver weitergeleitet.
Umstellung des
Bild 2: Mit Azure Active Directory Connect übertragen Sie E-Mail-Verkehrs
lokale Benutzerinformationen zu Microsoft 365. Die Connectoren sind jetzt sowohl in der
lokalen Umgebung als auch in Office 365
Nachvollziehen können Sie den Namen in dass Sie EOP-E-Mails empfangen können. vorbereitet. Um den eingehenden, exter-
den DNS-Einstellungen der Domainkon- Hierfür muss die Verbindung über Port nen E-Mail-Verkehr über EOP zu lenken,
figuration in der Office-365-Administration 25 möglich sein. Exchange steht im Stan- passen Sie den MX-Record bei Ihrem
im Punkt "Domänen". dard bereits auf Empfang, aber die vor- Provider an und tragen Sie den EOP-
gelagerte Firewall muss gegebenenfalls MX-Server Ihrer Subscription "domain-
Zum Testen definieren Sie im Connector angepasst werden. Um die eingehenden tld.mail.protection.outlook.com" ein. Den
zunächst nur eine Zieldomain, zu der über Adressräume beschränken zu können, genauen DNS-Namen finden Sie wieder
den Connector gesendet wird, die restlichen hat Microsoft eine Übersicht der EOP- im Punkt "Domänen" im Microsoft 365
E-Mails werden weiterhin über den Stan- Quellserver veröffentlicht [3]. In der lo- Admin Center und einem Klick auf "DNS
dard-Sendconnector gesendet. Sollte Ihre kalen Umgebung ist damit alles einge- verwalten".
ersten Sendeversuche Richtung EOP mit richtet und im nächsten Abschnitt richten
dem Fehler "550 5.7.606-649 Access denied, wir die Office-365-Connectoren ein. Um den E-Mail-Verkehr nach extern auch
banned sending IP" fehlschlagen, ist Ihre über EOP zu lenken, deaktivieren Sie den
genutzte IP-Adresse blockiert. Diese lässt Wechseln Sie nun in das Admin Center Standard-Internet-Connector und passen
sich über die folgende Seite sehr schnell von EOP zum Punkt "Nachrichtenfluss / Sie bei dem EOP-Connector die Zieldo-
freischalten: "https://sender.office.com/". Connectoren". Hier richten Sie zwei Con- main an, sofern diese noch nicht auf "*"
Dort geben Sie die freizugebene IP-Adresse nectoren ein – einen als Sendeconnector steht. Weiterhin ändern Sie Ihren SPF-
sowie eine administrative E-Mail-Adresse für den Versand zur lokalen Exchange-Um- Eintrag auf den empfohlenen Wert aus
an, die im Anschluss eine Freischaltungs- gebung und den zweiten Connector als der DNS-Konfiguration, damit es hier zu
E-Mail erhält. Empfangsconnector für E-Mails von der keinen Fehlern kommt. Die Einrichtung
lokalen Umgebung. Der Empfangscon- ist damit abgeschlossen und die Anbin-
Ist der Sendeconnector eingerichtet, stel- nector ist schnell eingerichtet: Starten Sie dung eingerichtet. Eine noch ausführli-
len Sie in Ihrer lokalen Umgebung sicher, das Erstellen über das Pluszeichen und chere Beschreibung zum Vorgehen finden
wählen Sie im Bereich "Von" den Eintrag Sie bei Microsoft unter [4].
Link-Codes "E-Mail-Server Ihrer Orgnisation" und bei
"An" den Eintrag "Office 365". Geben Sie Fazit
[1] EOP
dem neuen Connector einen Namen und Microsoft bringt mit seiner Anti-Spam-
js2z1
tragen Sie die externe IP-Adresse der sen- und Anti-Malware-Lösung einen Schutz,
[2] Einrichtung von Azure AD Connect
js2z2
denden Server ein. Ist das geschehen, steht der eine Alternative zur selbstgehosteten
Office 365 auf Empfang und leitet über den Lösung darstellt und der lokale Mailserver
[3] EOP-Quellserver
js2z3 Connector eingehende E-Mails weiter. schnell einbindet. Das Routing der E-
Mails stellt dabei die größte Herausfor-
[4] EOP einrichten
j5z41 Im zweiten Schritt richten Sie einen wei- derung dar, die mit der Anleitung aber
teren Connector ein. Dieses Mal wählen einfach zu nehmen ist. (dr)

Exchange 2019 Exchange mit der PowerShell verwalten
Exchange mit der PowerShell verwalten

Quelle: seita – 123RF
Abwesenheits-
management
von Heiko Brenn
Bei der Verwaltung von Exchange-Servern spielt die PowerShell

eine immer wichtigere Rolle. Das liegt zum einem daran, dass ei-
ne ganze Reihe von Funktionen erst gar nicht über das Exchange
Admin Center zur Verfügung steht, zum anderen an der Tatsa-
che, dass die Nutzung der Admin-GUI für regelmäßig wiederkeh-
rende Tasks viel Zeit in Anspruch nimmt. In diesem Workshop
schauen wir uns an, mit welchen Cmdlets sich das Abwesenheits-
management in Exchange umsetzen lässt.
M
it Hilfe der PowerShell können Sie nem Windows-Client arbeitet. Darüber ny.net/PowerShell/ -Authentication
in Exchange 2019 viele Aufgaben hinaus soll die Installation zusätzlicher Kerberos -Credential $MyCred
einfach, schnell und standardisiert erle- PowerShell-Module auf dem Client ver-
digen. Das Thema Abwesenheitsmana- mieden werden. Um das zu erreichen, ma- Import-PSSession $Session -Disable-
gement ist hierfür ein gutes Beispiel, denn chen Sie sich das implizite Remoting der NameChecking
nicht nur zur Urlaubszeit gerät das Ein- PowerShell zunutze. Sie greifen damit di-
richten beziehungsweise Anpassen der rekt auf den Exchange-Server zu und füh- Ein erster Test mit dem Cmdlet "Get-Mail-
Out-of-Office-Einstellungen für einzelne ren dort die erforderlichen Cmdlets aus. box" zeigt die Liste aller Exchange-Postfä-
oder mehrere Mitarbeiter immer wieder cher. Somit ist die Verbindung zum Server
zur Herausforderung in den Administra- Zunächst verwenden Sie das Cmdlet erfolgreich hergestellt und wir können uns
tions- und Helpdesk-Teams. "New-PSSession", um eine Verbindung den Abwesenheitseinstellungen widmen.
zum Server "Exchange.company.net" auf-
Obwohl wir uns in diesem Workshop mit zubauen. Für die erfolgreiche Ausführung Bestehende
der On-Premises-Variante von Exchange dieser Cmdlets benötigen Sie ein Benut- Einstellungen abfragen
beschäftigen, sind die aufgeführten Power- zerkonto, das die erforderlichen Rechte Für die Abfrage der aktuellen Einstellun-
Shell-Cmdlets auch für Exchange Online auf diesem Exchange-Server besitzt. Die gen steht das Cmdlet "Get-MailboxAu-
verfügbar. Damit ist gewährleistet, dass Anmeldeinformationen übergeben Sie toReplyConfiguration" zur Verfügung.
einmal erstellte One-Liner und Skripte in dem Cmdlet "Get-Credentials". Damit zeigen Sie beispielsweise Angaben
der Regel sowohl lokal als auch in Hybrid- einzelner Benutzer, aller Benutzer oder
und Cloudumgebungen in gleicher Weise Im letzten Schritt importieren Sie dann Benutzer einer bestimmten Gruppe oder
einsetzbar sind. mit der Ausführung des "Import-PSSessi- OU an. Um die Konfiguration eines ein-
on"-Befehls die Exchange-Cmdlets in un- zelnen Benutzers zu prüfen, nutzen Sie
Verbindung sere lokale PowerShell-Umgebung. Somit den Parameter "-Identity". Für die ein-
zum Server herstellen können Sie aus unserer aktuellen Session deutige Identifizierung eines Users kön-
Damit Sie mit Hilfe der PowerShell Be- direkt auf den Exchange-Server zugreifen. nen Sie hier beispielsweise Name, Alias,
fehle an den Exchange-Server senden Hier ein Beispiel für den gesamten Vor- Distinguished Name oder die E-Mail-
können, müssen Sie zunächst eine Ver- gang in der PowerShell: Adresse verwenden, etwa so:
bindung zu diesem herstellen.
$MyCred = Get-Credential Get-MailboxAutoReplyConfiguration
In unserem Szenario gehen wir davon aus, -Identity thomas@company.net
dass der Exchange-Administrator sich $Session = New-PSSession -Configura-
nicht direkt etwa per RDP auf dem Ex- tionName Microsoft.Exchange -Con- Get-MailboxAutoReplyConfiguration
change-Server anmeldet, sondern auf ei- nectionUri http://Exchange.compa- -Identity Thomas

Exchange mit der PowerShell verwalten Exchange 2019
$_.AutoReplyState –eq "scheduled"

-OR $_.AutoReplyState -eq "enab-
led"} | fl identity
Damit sich diese Informationen zum Bei-

spiel für Dokumentationszwecke weiter-
verwenden lassen, schreiben Sie die Liste
mit "Out-file -filepath C:\test\result.txt"
in eine Textdatei:
Get-Mailbox | Get-MailboxAutoReply-
Configuration | Where-Object {
$_.AutoReplyState –eq "scheduled"
-OR $_.AutoReplyState -eq "enab-
led"} | fl identity | Out-file
-filepath C:\test\result.txt
Bild 1: So sehen die mit der PowerShell abgefragten Abwesenheitsinformationen Wiederkehrende

für einen einzelnen Benutzer aus. Abfragen durchführen
Unser Beispiel eignet sich natürlich auch
Als Ergebnis erhalten Sie den aktuellen terminiert haben, erweitern Sie den obi- für einen geplanten Task. Die Liste ließe
Status und sehen in unserem Beispiel, dass gen Befehl um "Where-Object". Damit sich beispielsweise einmal wöchentlich
für diesen Benutzer eine Abwesenheit (Au- schränken Sie die Ausgabe auf die Post- erstellen und auf einer Dateifreigabe be-
toReplyState: Scheduled) vom "29/07/2019 fächer ein, bei denen der "AutoReplyState" reitstellen. Eine weitere Möglichkeit be-
(StartTime)" bis "02/08/2019 (EndTime)" auf "Scheduled" gesetzt ist. steht darin, eine E-Mail mit diesem Re-
konfiguriert ist. Darüber hinaus ist er- port regelmäßig an das Personalteam zu
kennbar, dass der Text der Abwesenheits- Get-Mailbox | Get-MailboxAutoReply- senden. Dazu verwenden Sie das Cmdlet
nachricht für interne Empfänger (Inter- Configuration | Where-Object "Send-MailMessage". Im folgenden Bei-
nalMessage) und externe Empfänger {$_.AutoReplyState -eq spiel versenden wir eine E-Mail mit der
(ExternalMessage) gesetzt ist. "scheduled"} Datei "result.txt" und der Absender erhält
eine Zustellbestätigung:
Schauen wir uns nun an, wie Sie Abwe- Um zusätzlich die aktiven Abwesenheiten
senheitseinstellungen für mehrere Benut- ohne Endzeitpunkt zu sehen, ergänzen Send-MailMessage -From 'Admin <admi-
zer abfragen können. Hierfür bedienen Sie "Where-Object" um "-OR $_.AutoRe- nistrator@company.net>' -To 'Theo
Sie sich der PowerShell-Pipeline (|). Mit plyState -eq "enabled". Diese Konfigura- <theo@company.net>' -Subject 'Wee-
ihrer Hilfe lassen sich einzelne Befehle tion findet sich in der Regel bei Postfä- kly report: Out-of-Office' -Body
einfach miteinander verketten. Das gibt chern ausgeschiedener Mitarbeiter. Damit "Please find the list attached"
uns eine Vielzahl von Möglichkeiten bei senden Sie Geschäftspartnern eine Be- -Attachments C:\test\result.txt
der Ausführung von PowerShell-Befehlen nachrichtigung über den Weggang des -Priority High -DeliveryNotifica-
und Skripten. Mitarbeiters mit der gleichzeitigen Infor- tionOption OnSuccess, OnFailure
mation über die Kontaktdaten des Nach- -SmtpServer 'exchange.company.net'
Ist die Exchange-Umgebung von der Grö- folgers. Im Ergebnis sieht unser Kom-
ße her überschaubar, können Sie sehr ein- mando nun wie folgt aus: Um die Bildschirmausgabe größerer Da-
fach die Out-of-Office-Einstellungen aller tenmengen einfacher lesbar zu machen,
Benutzer anzeigen. Dazu rufen Sie fol- Get-Mailbox | Get-MailboxAutoReply- stellt die PowerShell ebenfalls Möglich-
gendes Kommando auf: Configuration | Where-Object keiten zur Verfügung. So können Sie mit
{$_.AutoReplyState -eq "scheduled" "Out-GridView" eine interaktive Tabelle
Get-Mailbox | Get-MailboxAutoReply- -OR $_.AutoReplyState -eq der Abwesenheitsinformationen erzeugen
Configuration "enabled"} und darin filtern und sortieren. Nehmen
Sie unser Anfangsbeispiel Get-Mailbox |
Als Ergebnis erhalten Sie eine komplette Wollen Sie nur die Namen der Benutzer Get-MailboxAutoReplyConfiguration und
Liste aller Abwesenheitskonfigurationen. wissen, die eine Abwesenheit aktiviert ha- ergänzen es mit "| Out-GridView", erhal-
In größeren Umgebungen kann diese Lis- ben, hilft das Hinzufügen von "fl identity": ten Sie ein Ergebnis wie in Bild 2. Natür-
te natürlich sehr lang und unübersichtlich lich haben Sie auch die Möglichkeit fest-
ausfallen. Wenn Sie nur die Benutzer in- Get-Mailbox | Get-MailboxAutoReply- zulegen, welche Informationen die Tabelle
teressieren, die derzeit eine Abwesenheit Configuration | Where-Object { anzeigen soll. Hierfür verwenden Sie "Se-

Exchange 2019 Exchange mit der PowerShell verwalten
Bild 2: Die Liste der Abwesenheitseinstellungen als interaktive Tabelle.
lect-Object" und geben die Namen der write to Sandra@company.net" veranstaltung. Für die Umsetzung benö-
gewünschten Felder an: -ExternalMessage "This user is no tigen wir zunächst eine Datei, die die zu
longer working for us. Please verarbeitenden Benutzer enthält. Zum
Get-Mailbox | Get-MailboxAutoReply- write to Sandra@company.net" Erstellen nutzen Sie zum Beispiel folgen-
Configuration | Select-Object den Befehl:
Identity,Starttime,Endtime,Exter- In einem zweiten Beispiel ist ein Mitar-
nalMessage,InternalMessage | beiter krank geworden und kann die ent- Get-Mailbox |Select-Object Prima-
Out-GridView sprechende Abwesenheit nicht selbst rySmtpAddress | ConvertTo-CSV
erstellen, also übernimmt das die IT-Ver- -NoTypeInformation | Select-Object
Erstellen von waltung. Auf Basis der Krankmeldung ist -Skip 1| %{$_ -replace '"',“”}|
Abwesenheitskonfigurationen nun auch ein Endzeitpunkt für die Ab- out-file C:\test\user.txt
Nachdem Sie bereits einige Möglichkeiten wesenheit bekannt, und die Out-of-Of-
zum Anzeigen vorhandener Abwesen- fice-Konfiguration lässt sich demgemäß Wir erhalten die primären E-Mail-Adres-
heitseinstellungen kennengelernt haben, so einrichten: sen aller Mailboxen als Textdatei. Mit "Se-
geht es nun um die Bearbeitungsmöglich- lect-Object -Skip1" eliminieren wir die
keiten dieser Einstellungen. Dazu schauen Set-MailboxAutoReplyConfiguration Überschrift und mit "%{$_ -replace '"',“”}"
wir uns das Cmdlet "Set-MailboxAuto- -Identity Thomas@company.net werden die Anführungszeichen entfernt.
ReplyConfiguration" etwas näher an. -AutoReplyState Scheduled
-InternalMessage "I'm on sick leave Die Liste können Sie nun über eine For-
Beginnen wir mit dem Erstellen einer Ab- until 12/07/2019. Your email will Each-Schleife verarbeiten. Dabei erstellen
wesenheitsbenachrichtigung für einen not be forwarded. -ExternalMessage Sie für jeden Eintrag in der Textdatei
User. Nehmen wir an, dieser User hat das "I'm on sick leave until 12/07/2019. (sprich: Postfach) die festgelegte Abwe-
Unternehmen verlassen und bei E-Mails Your email will not be forwarded." senheitskonfiguration:
an dieses Postfach sollen dauerhaft Be- -EndTime "12/07/2019 00:00:00"
nachrichtigungen versendet werden. Der $Users = Get-Content
Benachrichtigungstext soll dabei für in- Die Mitteilungen für interne und externe C:\test\user.txt
terne und externe E-Mails identisch sein. Empfänger können Sie hier natürlich im
Der entsprechende Befehl würde dann Bedarfsfall auch unterschiedlich konfi- $(foreach ($User in $Users)
zum Beispiel so aussehen: gurieren.
{Set-MailboxAutoReplyConfiguration
Set-MailboxAutoReplyConfiguration Für unser drittes Beispiel wollen wir Ab- $User –AutoReplyState Scheduled
-Identity Thomas@company.net wesenheitsmitteilungen für mehrerer Be- –StartTime "08/09/2019" –EndTime
-AutoReplyState Enabled nutzer erstellen. Ein Szenario hierfür wäre "10/09/2019" –ExternalMessage "At
-InternalMessage "This user is no beispielsweise eine Schulung für ein ge- the moment I'm attending a trai-
longer working for us. Please samtes Team oder eine Unternehmens- ning event. I will answer your

Exchange mit der PowerShell verwalten Exchange 2019
Bild 3: Auch HTML-Benachrichtigung lassen sich mit den entsprechenden Vorlagen konfigurieren.
email asap." –InternalMessage "At Möglichkeiten zur PowerShell-Skripten im Team. Die benö-
the moment I'm attending a trai- Delegations eruieren tigten Anmelde-Informationen sind im
ning event. I will answer your Sie haben nun Wege kennengelernt, wie Windows Credential Store oder einem
email asap." Administratoren Abwesenheitseinstellun- Passwortserver sicher gespeichert. Der
}) gen anzeigen und erstellen können. Was Benutzer, der eine Abwesenheitskonfi-
aber, wenn diese Aufgaben an Helpdesk- guration erstellen soll, greift mit einer
HTML nutzen Mitarbeiter oder Benutzer in Fachberei- komfortablen Weboberfläche auf die
Bisher haben wir die Benachrichtigungs- chen wie beispielsweise der Personalabtei- Funktionen zu und hat dabei keinerlei
mitteilungen als reine Textnachricht ver- lung delegiert werden sollen? Folgende Berührungspunkte mit der darunterlie-
fasst, aber auch die Verwendung von Fragen sind dabei zunächst zu beleuchten: genden PowerShell-Welt.
HTML ist selbstverständlich möglich. 1. Können die Mitarbeiter mit der Power-
Shell umgehen? Die Oberfläche selbst wird im Übrigen
In diesem Fall ist der HTML-Nachrich- 2. Dürfen/können Sie diesen Mitarbeitern automatisch aus dem jeweiligen Power-
tentext zunächst in einer Datei zu spei- Administrationsberechtigungen für die Shell-Skript erstellt. Damit entfällt zudem
chern. Die Inhalte dieser Datei werden Bearbeitung von Postfächern vergeben? das manuelle Programmieren von GUI-
dann bei der Ausführung von "Set-Mail- Code komplett. Ein weiterer Vorteil ergibt
boxAutoReplyConfiguration" an das Lautet die Antwort auf beide Fragen "Ja", sich aus der Tatsache, dass in der Abwe-
Cmdlet übergeben. können Sie die oben aufgezeigten Mög- senheitsbenachrichtigung Variablen für
lichkeiten problemlos in dieser Form de- Start und Ende der Abwesenheit zur Ver-
In Schritt 1 weisen Sie den Inhalt der vor- legieren. Sollte das nicht der Fall sein, weil fügung stehen.
gefertigten Nachricht der Variable "$mes- die Kollegen zum Beispiel kein Power-
sage" zu: Shell-Know-how besitzen oder aber wenn Diese Variablen werden automatisch aus
die Vergabe der Berechtigungen aus or- den Datumsangaben übernommen. Das
$message = get-content ganisatorischen Gründen nicht möglich vereinfacht das Erstellen einer Out-of-
C:\test\html_oof.txt ist, müssen Sie sich spezielle Werkzeuge Office-Konfiguration zusätzlich und sorgt
zu Nutze machen. Diese sollten folgende außerdem dafür, dass zukünftig die Be-
Danach konfigurieren Sie "$message" bei Eigenschaften mitbringen: nachrichtigungen immer mit korrekten
externen und internen Nachrichten: 1. Zentrale Ausführung und Überwa- und aktuellen Datumsinformationen das
chung aller PowerShell-Skripte Haus verlassen.
Set-MailboxAutoReplyConfiguration 2. Zentrale und sichere Speicherung der
-Identity Nora –AutoReplyState erforderlichen Credentials zur Ausfüh- Fazit
Scheduled –StartTime "08/09/2019" rung der PowerShell Die PowerShell ist ein hervorragendes
–EndTime "10/09/2019" –External- 3. Ausführung von PowerShell-Skripten Werkzeug für die einfache Umsetzung
Message $message –InternalMessage auch für Nicht-PowerShell-Experten wiederkehrender Aufgaben bei der Ex-
$message change-Administration. Mit entsprechen-
Diese Punkte sind beispielsweise mit der den Erweiterungen ist es aber auch eine
Führen Sie nun "Get-MailboxAutoReply- Software ScriptRunner sehr einfach um- perfekte Basis für die sichere und kom-
Configuration" für diesen Benutzer aus, setzbar. Hierbei werden alle PowerShell- fortable Delegation festgelegter Anwen-
sehen Sie ein Ergebnis wie in Bild 3. Ist die Skripte zentral gespeichert, verwaltet und dungsfälle an Mitarbeiter und Teams au-
Durchführung der gewünschten Aufgaben ausgeführt. ßerhalb der IT-Administration. (ln)
beendet, schließen Sie mit Remove-PSSes-
sion -ID n die aktuelle Session. Die ID der Darüber hinaus ermöglicht dieser Ansatz Heiko Brenn ist Head of International Busi-
Session erhalten Sie mit Get-PSSession. auch das gemeinsame Entwickeln von ness bei der ScriptRunner Software GmbH.

Vo r s c h a u
Das nächste Sonderheft des

IT-Administrator erscheint im März 2020:
– 123RF
a
pova Valeriy
Clientmanagement
Quelle: Pota
Stationäre und mobile Rechner
administrieren und absichern
Die Redaktion behält sich

Themenänderungen aus
aktuellem Anlass vor.
Impressum
Redaktion Produktion / Verlag / Herausgeber digitalen oder analogen Medien, nur mit So erreichen Sie den Leserservice
John Pardey (jp), Anzeigendisposition Heinemann Verlag GmbH schriftlicher Genehmigung des Verlags. Leserservice IT-Administrator
Chefredakteur, verantwortlich Lightrays: Leopoldstraße 87 Aus der Veröffentlichung kann nicht Stephan Orgel
für den redaktionellen Inhalt Andreas Skrzypnik, Lorenz Mueller 80802 München geschlossen werden, dass die beschrie- 65341 Eltville
john.pardey@it-administrator.de dispo@it-administrator.de Tel.: 089/4445408-0 benen Lösungen oder verwendeten Tel.: 06123/9238-251
Tel.: 089/4445408-88 Fax: 089/4445408-99 Bezeichnungen frei von gewerblichen Fax: 06123/9238-252
Daniel Richey (dr), Fax: 089/4445408-99 (zugleich Anschrift Schutzrechten sind. E-Mail: leserservice@it-administrator.de
Stellv. Chefredakteur/CvD Titelbild: Dmitri Luchinovich – 123RF aller Verantwortlichen)
daniel.richey@it-administrator.de Haftung Bankverbindung für Abonnenten
Druck Kontoinhaber: Heinemann Verlag
Lars Nitsch (ln), Web: www.heinemann-verlag.de Für den Fall, dass in IT-Administrator
Brühlsche Universitätsdruckerei Volksbank Raiffeisenbank
Schlussredakteur/Textchef E-Mail: info@heinemann-verlag.de unzutreffende Informationen oder in
GmbH & Co. Kg Rosenheim-Chiemsee eG
lars.nitsch@it-administrator.de veröffentlichten Programmen, Zeich-
Am Urnenfeld 12 IBAN: DE08 7116 0000 0102 6181 50
Eingetragen im Handelsregister des nungen, Plänen oder Diagrammen Feh-
35396 Gießen BIC: GENODEF1VRR
Janek Müller (jm), Amtsgerichts München unter ler enthalten sein sollten, kommt eine
Volontär HRB 151585. Haftung nur bei grober Fahrlässigkeit
Vertrieb So erreichen Sie die Redaktion
janek.mueller@it-administrator.de des Verlags oder seiner Mitarbeiter in
Anne Kathrin Heinemann Redaktion IT-Administrator
Geschäftsführung / Betracht. Für unverlangt eingesandte
Autoren dieses Sonderhefts Vertriebsleitung Heinemann Verlag GmbH
Anteilsverhältnisse Manuskripte, Produkte oder sonstige
Heiko Brenn, Thomas Joos, Dr. Christian kathrin@it-administrator.de Leopoldstr. 87
Geschäftsführende Gesellschafter zu Waren übernimmt der Verlag keine
Knermann, Christian Schulenburg Tel.: 089/4445408-20 80802 München
gleichen Teilen sind Anne Kathrin Haftung.
Tel.: 089/4445408-10
und Matthias Heinemann. Fax: 089/4445408-99
Anzeigen Abo- und Leserservice Manuskripteinsendungen
Anne Kathrin Heinemann, E-Mail: redaktion@it-administrator.de
Vertriebsunion Meynen GmbH & Co. KG Die Redaktion nimmt gerne Manuskrip-
Anzeigenleitung, verantwortlich Stephan Orgel ISSN
te an. Diese müssen frei von Rechten So erreichen Sie die Anzeigenabteilung
für den Anzeigenteil Große Hub 10 1614-2888 Dritter sein. Mit der Einsendung gibt der Anzeigenverkauf IT-Administrator
kathrin@it-administrator.de 65344 Eltville Verfasser die Zustimmung zur Verwer- Anne Kathrin Heinemann
Tel.: 089/4445408-20 Urheberrecht tung durch die Heinemann Verlag Heinemann Verlag GmbH
leserservice@it-administrator.de Alle in IT-Administrator erschienenen GmbH. Sollten die Manuskripte Dritten
Es gilt die Anzeigenpreisliste Leopoldstr. 87
Tel.: 06123/9238-251 Beiträge sind urheberrechtlich ge- ebenfalls zur Verwertung angeboten
Nr. 16 vom 01.11.2018 80802 München
Fax: 06123/9238-252 schützt. Alle Rechte, einschließlich Über- worden sein, so ist dies anzugeben. Die
setzung, Zweitverwertung, Lizenzierung Redaktion behält sich vor, die Manu- Tel.: 089/4445408-20
Internet vorbehalten. Reproduktionen und Ver- skripte nach eigenem Ermessen zu bear- Fax: 089/4445408-99
www.it-administrator.de breitung, gleich welcher Art, ob auf beiten. Honorare nach Vereinbarung. E-Mail: kathrin@it-administrator.de
Aikux S. 02 Thomas Krenn S.180 Inserentenverzeichnis

12 Monatsausgaben im
ePaper
Print- & E-Paper-Format
+ Zwei Sonderhefte
im Print- & E-Paper-Format
117mm aussen
18mm innen
Jahres-CD
Enthält alle Ausgaben von

Januar 2019 bis Dezember 2019
+ Jahres Archiv-CD
mit allen Monatsausgaben
im PDF-Format

IT-Administrator
vertriebsunion meynen
Herr Stephan Orgel
Das Abo All-Inclusive
D-65341 Eltville
Tel: 06123/9238-251
Fax: 06123/9238-252
leserservice@it-administrator.de
Passender
wird’s nicht!

"#$%

Mit Windows Server 2019 und Storage Spaces Direct (S2D) realisieren Sie auch anspruchsvolle SDS- und HCI-Projekte

Microsoft Azure
Stack HCI
Jetzt erhältlich!
& '*
thomas-krenn.com/serie
Kontaktieren Sie uns:

+49 (0) 8551.9150-300

IT-Administrator Sonderheft - Windwos Server Und Exchange 2019

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

IT-Administrator Sonderheft - Windwos Server Und Exchange 2019

Hochgeladen von

Copyright:

Verfügbare Formate

ISSN 1614-2888

Windows Server 2019

Transparenz durch Archivierung Folder

bestimmen Exitstrategie für 

m i g Rave n.c o m/s t a r t e n

IT-Verantwortliche haben zu Recht immer ein mulmiges Gefühl im Bauch,

Daniel Richey John Pardey

Janek Müller Lars Nitsch

www.it-administrator.de Sonderheft II/2019 3

WINDOWS SERVER 2019

Quelle: Monsit Jangariyawong – 123RF

4 Sonderheft II/2019 www.it-administrator.de

115 Replikation mit Storage Replica: Identisch

120 Storage Migration Services: Beweglich

EXCHANGE SERVER 2019

124 Exchange 2019 auf physischem Server einrichten: Handarbeit

132 Migration zu Exchange 2019: Umsteigen

137 Exchange 2019 Preferred Architecture: Gut geplant

141 Exchange Server virtualisieren: Stolperfallen vermeiden

144 Hochverfügbarkeit für Exchange Server 2019: Robust

147 E-Mail-Sicherheit in Exchange Server 2019: Ungebetene Gäste

150 Exchange 2019 MetaCache Database: Höhere Drehzahlen

153 Sicherheit im E-Mail-Verkehr: Genau geprüft

156 TLS 1.2 mit Exchange nutzen: Sicherer Transport

160 Migration zu Office 365: Neue Postfächer

164 Hybrid Agent für Exchange: Einfache Übung

168 Lokales Exchange mit Exchange Online Protection verbinden:

171 E-Mail-Versand für Kopierer und Anwendungen über Office 365:

174 Exchange mit der PowerShell: Abwesenheitsmanagement

4 Inhalt und Autoren

178 Vorschau, Impressum, Inserentenverzeichnis

www.it-administrator.de Sonderheft II/2019 5

6 Sonderheft II/2019 www.it-administrator.de

Erfahren Sie auf 180 Seiten

Bestellen Sie jetzt zum Abonnenten-

8 Sonderheft II/2019 www.it-administrator.de

kennt die Standard-Edition die entspre-

Nicht immer ist es notwendig, auf die

Weiterhin gibt es die Essentials-Variante

Mit dem Long Term Servicing Channel

www.it-administrator.de Sonderheft II/2019 9

10 Sonderheft II/2019 www.it-administrator.de

Link-Codes eingeben auf www.it-administrator.de Sonderheft II/2019 11

Quelle: Валерий Качаев – 123RF

12 Sonderheft II/2019 www.it-administrator.de

Gateway installieren. Dadurch wird die

Im Rahmen der Installation legen Sie wie

Die Installation des WAC kann auch über

www.it-administrator.de Sonderheft II/2019 13

Einträgen in der Registry können Sie Ein-

14 Sonderheft II/2019 www.it-administrator.de

Zertifikate im WAC verwenden

In den Eigenschaften eines Zertifikats ru-

www.it-administrator.de Sonderheft II/2019 15

Benutzer verwalten und Kennwörter zu-

Über "Einstellungen" ganz unten links

Im Windows Admin Center ist auch die

16 Sonderheft II/2019 www.it-administrator.de

Mit praxisnahen Workshops, aktuellen

Damit Sie sich Zeit,

Abo- und Leserservice IT-Administrator

Quelle: senkaya – 123RF

Das Active Directory ist der Dreh- und Angelpunkt in Windows-Netz-

18 Sonderheft II/2019 www.it-administrator.de

bestimmen Exitstrategie für