Beruflich Dokumente
Kultur Dokumente
IT-Administrator Sonderheft - Windwos Server Und Exchange 2019
IT-Administrator Sonderheft - Windwos Server Und Exchange 2019
Sonderheft II/2019
€ 29,90
it-administrator.de
Spielten bei Produkten wie Windows Server oder Exchange solche Überlegungen
bislang kaum eine Rolle, macht sich bei Administratoren nun doch eine gewisse
Unsicherheit breit. Gewiss nicht, weil die Meinung um sich greift, Microsoft ver-
schwinde in absehbarer Zeit als Anbieter vom Markt. Vielmehr fragen sich IT-
Verantwortliche zunehmend, wie sich Redmond zukünftige Installationen seiner
beiden wichtigsten Serverprodukte vorstellt. Offensichtlich ist es das Bestreben
in Redmond, alles in Cloud zu bringen. Doch schon dort beginnt die Unsicherheit
vieler IT-Profis, die sich aktuell nicht in der Lage sehen, ihren kompletten Ap-
plikationszoo in die Cloud zu migrieren – sei es aus funktionalen oder aus recht-
lichen Gründen. Lokal weiter zu machen, wäre ja prinzipiell kein Problem, wenn
Microsoft die neuen On-Premises-Varianten seiner Server nicht so spärlich mit
neuen Features ausstatten würde. Nicht ohne Grund präsentieren wir Ihnen die
aktuellen Varianten von Windows Server und Exchange anders als in den ver-
gangenen Jahren diesmal in einem gemeinsamen Sonderheft.
Und so kommt die Frage nach der Zukunftssicherheit der Investition plötzlich
wieder auf den Tisch: Werden kommende Microsoft-Server die Anforderungen
des Unternehmens erfüllen, wenn weiter lokal IT betreiben werden soll? Oder
muss die IT-Organisation irgendwann auf ein anderes Betriebssystem umschu-
len? Diese Fragestellung wird auch nicht weniger komplex, wenn der Gang in
Cloud beschlossen wird. Denn selbst am Ende des zweiten Jahrzehnts des 21.
Jahrhunderts müssen sich Unternehmen in bestimmten Regionen trotz welt-
weitem 5G-Rollout fragen, wie performant und stabil ihre Internetverbindung
ist, über die sich dann jeden Morgen einige hundert oder tausend User bei
einem Azure-basierten Domaincontroller anmelden. Mag sich die Bandbreite
in absehbarer Zeit auch verbessern, bleiben neben der bekannten rechtlichen
Unsicherheit dennoch Fragen. Beispielsweise wie sich im Sinne von Industrie
4.0 lokal vernetzte Maschinen mit einer Cloud-IT verbinden lassen. Zukunfts-
sicher in Sachen Windows Server 2019 und Exchange Server 2019 macht Sie
auf jeden Fall dieses Sonderheft – viel Spaß beim Lesen wünschen
VIRTUALISIERUNG
75 Hyper-V unter Windows Server 2019: Verschachtelt
89 Software-defined Networking für verschlüsselte Netzwerke und Virtual Network Peering:
In Verbindung
94 Windows 2019 hyperkonvergent betreiben: Alles unter einem Dach
96 Windows Server Container, Docker und Hyper-V-Container: Zu Gast
102 Snapshots von VMs erstellen: VM-Selfie
108 Security mit Shielded-VMs und Host Guardian Service: Abschirmung
RUBRIKEN
3 Editorial
THOMAS JOOS
Thomas Joos beschäftigt sich sein ganzes Berufsleben mit der IT.
Nach dem Abitur und Informatik-Studium war er als IT-Administrator,
IT-Leiter und als selbständiger Consultant tätig. Mittlerweile arbeitet er
als Autor für IT-Themen für diverse Verlage, Zeitschriften und Online-
Portale. Neben Microsoft-Produkten und der Sicherheit in Netzwerken,
setzt er sich intensiv mit Smartphones und Tablets sowie verschiedenen
Cloud-Themen auseinander. Auch der parallele Betrieb von Microsoft-
Systemen mit Linux, macOS und Open-Source-Lösungen steht im
Zentrum seines Interesses, genauso wie die Virtualisierung mit vSphere.
CHRISTIAN SCHULENBURG
Christian Schulenburg ist seit über 15 Jahren in der IT tätig und
war langjähriger MVP für Exchange. Nach dem Start als Fachin-
formatiker für Systemintegration und einem Studium als Diplom-
Wirtschafts-informatiker (FH) war er unter anderem technischer
Leiter für die IT eines internationalen Pharmaunternehmens
sowie als IT-Referent beim DVZ Datenverarbeitungszentrum
Mecklenburg-Vorpommern GmbH für die interne IT verantwortlich.
Aktuell arbeitet er als CTO bei FERRO PHARMA in Hamburg, wo er die
internen Abläuft mit einer starken Cloudausrichtung digitalisiert. Seine
Tätigkeitsschwerpunkte liegen darüber hinaus bei Salesforce sowie bei
Microsoft-Technologien und dabei insbesondere auf Exchange.
Clientmanagement
Stationäre und mobile Rechner
administrieren und absichern
shop.heinemann-verlag.de
Windows Server 2019 lizenzieren
Rechnungs-
wesen
von Thomas Joos
Eines ändert sich auch mit Windows Server 2019 nicht: Die
Komplexität der Lizenzierung. Es gibt zahlreiche Verträge
und viele Möglichkeiten, das Serverbetriebssystem zu lizen-
zieren. IT-Verantwortliche müssen stets darüber informiert
sein, welche Lizenzverträge und Optionen es gibt. Generell
ist davon auszugehen, dass der Einsatz von Windows Ser-
ver 2019 teurer wird, auch wenn die CALs zum gleichen
Preis zu haben sind. Doch auch für KMUs wichtige Features
finden sich nur noch in den großen Lizenzen.
Quelle: Viktor Gladkov – 123RF
D ie erhältlichen Windows-Server-
Varianten bieten für Unternehmen
dows Server 2019 nur die Replikation ein-
zelner Volumes mit einzelnen Zielen auch
mehreren Prozessoren ein, ist pro Kern-
Paar eine Lizenz notwendig, egal welche
verschiedene Möglichkeiten und Aus- in der Standard-Edition. Auch Shielded Edition im Einsatz ist.
wahlkriterien. Die Editionen Standard Virtual Machines fehlen in der Standard-
und Datacenter verfügen fast über den Edition. Andere Funktionen wie zum Bei- Beispielsweise müssen Sie für jeden Ser-
gleichen Funktionsumfang wie die Vor- spiel die Container-Technologie und die ver mit acht Kernen mindestens vier Li-
gänger, eine Enterprise- oder Webserver- Nano-Images hat Microsoft auch in der zenzen erwerben. Setzen Sie einen Dual-
Edition gibt es nicht mehr. Standard-Edition integriert. Prozessor mit je acht Kernen ein, müssen
Sie also acht Lizenzen für diese 16 Kerne
Und leider beherrscht Windows Server Allerdings müssen Sie beim Einsatz der erwerben. Für jeden Kern mehr müssen
2019 Standard nicht alle Technologien, Hyper-V-Container darauf achten, dass Sie zudem ein Core-Pack kaufen, damit
die die Datacenter-Edition bietet. Daher eine Lizenz der Standard-Edition auch alle Kerne lizenziert sind. In Windows
müssen mit der neuen Windows-Version nur zwei Container zulässt, da nur zwei Server 2019 Standard dürfen Sie pro Li-
auch kleinere Unternehmen häufig auf VMs erlaubt sind. Die Lizenzierung erfolgt zenz zwei VMs installieren, Windows
die teurere Edition setzen, damit sie alle auf Basis der CPU-Kerne. In Hyper-V wer- Server 2019 Datacenter kennt kein Limit.
sinnvollen Funktionen nutzen können. den die logischen Prozessoren lizenziert, Hier müssen Sie lediglich alle Prozessor-
Erfreulich ist dagegen, dass die wichtigs- da diese das Pendant zu den physischen kerne des Servers lizenzieren. Die Lizen-
ten Neuerungen in Windows Server 2019 Prozessorkernen darstellen. Alle Unter- zen sind immer direkt an die physische
auch in der kleineren Standard-Edition scheide der Editionen sind auf der Web- Hardware gebunden.
enthalten sind. seite [1] zu finden.
Shielded Virtual Machines fehlen in der
Editionen und Beide Editionen decken immer nur zwei Standard-Edition. Das heißt, es lassen
Lizenzen im Vergleich Prozessorkerne des Hosts oder zwei lo- sich keine hochsicheren Virtualisierungs-
Microsoft hat mit Windows Server 2019 gische CPUs ab. Die erforderliche Min- infrastrukturen erstellen. Das Feature zur
Unterschiede in den Storage-Funktionen destanzahl von Betriebssystemlizenzen Host-Überwachungsunterstützung für
integriert. So unterstützt nur die Data- für jeden Server wird durch die Anzahl Hyper-V ist kein Bestandteil von Win-
center-Edition alle Möglichkeiten. In der der physischen Prozessorkerne des Hosts dows Server 2019 Standard. Wer im Netz-
Standard-Edition gibt es weder Storage sowie die Anzahl an virtuellen Servern werk auf Software-defined Networking
Spaces Direct noch alle Funktionen in bestimmt, die Sie auf dem Hyper-V-Host setzen will, kommt um den Einsatz der
Storage Replica, vielmehr erlaubt Win- installieren. Setzen Sie also Server mit Datacenter-Edition nicht herum. Leider
Zwischenversionen zur Verfügung. An- tigen Sie für diesen Benutzer mehrere sich diese zum Beispiel PCs im Schicht-
dere Cloud-Hoster bieten diese Versionen Geräte-CALs, da dieser Benutzer mit betrieb teilen. Kommen neue PCs hinzu,
inzwischen ebenfalls an. mehreren PCs auf den Server zugreift. müssen Sie für diese PCs weitere Gerä-
Alternativ können Sie eine Benutzer- telizenzen kaufen.
Clientzugriffslizenzen CAL kaufen.
beachten Im nächsten Beispiel gehen wir von einer
Für die Editionen Standard und Datacen- Jeder Benutzer mit einer Benutzer-CAL IT-Firma aus, in der 40 Mitarbeiter be-
ter benötigen Sie weiterhin Clientzugriff- kann an beliebig vielen PCs eine Verbin- schäftigt sind. Von diesen 40 Mitarbei-
Lizenzen (CALs). Auch in Win-dows Ser- dung mit einem Server aufbauen. Die tern arbeiten 25 mit der Windows-Do-
ver 2019 können Sie diese benutzerbasiert CALs müssen eindeutig zugewiesen sein. mäne. Jeder dieser Mitarbeiter hat einen
oder pro Gerät erwerben, dürfen diese Sie können daher nicht nur so viele CALs PC und ein Notebook, mit denen er am
aber nicht aufsplitten. CALs und Remo- kaufen, wie gleichzeitig Benutzer arbeiten, Server arbeitet. Obwohl in diesem Un-
tedesktop-Clientzugrifflizenzen (RDCALs) sondern müssen die Gesamtzahl Ihrer ternehmen nur 40 Mitarbeiter beschäf-
sowie Lizenzen für die Active-Directory- Arbeitsstationen, Smartphones und sons- tigt sind, verbinden sich 50 PCs mit dem
Rechteverwaltung (ADRMS) sind auch tiger Geräte lizenzieren, wenn Sie Gerä- Server. Es müssen in diesem Beispiel da-
in Windows Server 2019 weiterhin not- telizenzen kaufen. her 50 Gerätelizenzen erworben werden.
wendig, aber nur in den Editionen Stan- Wenn das Unternehmen seine Lizenzen
dard und Datacenter. Auch hier gibt es Bei Benutzerlizenzen müssen diese genau jedoch als Benutzerlizenz erwirbt, wer-
zukünftig Gerätelizenzen oder Benutzer- der Anzahl der Benutzer zugewiesen wer- den lediglich 25 Lizenzen benötigt, da
lizenzen für den Zugriff. Sie müssen be- den, die insgesamt mit dem Server arbei- nur 25 Benutzer mit Server arbeiten.
reits vor der Bestellung Ihrer Lizenzen ten. Es ist nicht erlaubt auf einem Server
planen, welchen Windows-Server-Lizenz- Lizenzen von Standard und Datacenter Windows Server 2019
typ Sie einsetzen wollen. zu mischen. Sie dürfen eine Lizenz auch für kleine Unternehmen
nicht auf mehrere Server aufsplitten. Für kleine Unternehmen bietet Microsoft
Sie können die verschiedenen Lizenzen Windows Server 2019 Essentials an. Diese
miteinander mischen. Es ist jedoch nicht In Ihrem Unternehmen sind beispiels- Version erlaubt die Anbindung von ma-
erlaubt, die einzeln erhältlichen Lizenz- weise 100 Mitarbeiter beschäftigt, von ximal 25 Benutzern und 50 PCs sowie die
pakete in Geräte- und Benutzerlizenzen denen jedoch lediglich 63 mit PCs am Nutzung von maximal zwei CPUs. Zu den
aufzusplitten. Sie dürfen also ein 5er-Pa- Server arbeiten. Erwerben Sie Geräte- Geräten zählt aber auch der Zugriff mit
ket Gerätelizenzen und ein 5er-Paket Be- CALs, wird jede gekaufte Lizenz einem Smartphones und Tablets.
nutzerlizenzen für einen Server kaufen bestimmten PC zugeordnet. Mit diesen
und lizenzieren. Es ist aber nicht erlaubt, PCs können sich jetzt beliebig viele Mit- Sind mehr Geräte im Einsatz, müssen
diese Pakete aufzusplitten und zum Bei- arbeiter mit Servern verbinden, wenn Unternehmen auf die Standard-Lizenz
spiel als 2er-Gerätelizenz und wechseln. CALs sind für die
8er-Benutzerlizenz zu verwen- Benutzer in Essentials nicht
den. Auch ist nicht zulässig, notwendig. Mit Server 2019
mit CALs von Vorgängerver- hat Microsoft zudem die Op-
sionen auf Server mit Windows tion entfernt, die Essentials-
Server 2019 zuzugreifen. Funktionalitäten auch als Ser-
verdienst in den Editionen
Lizenzieren Sie mit Geräte- Datacenter und Standard zu
CALs, müssen Sie für jeden PC, installieren. Benötigt das Un-
der auf diesen Server zugreift, ternehmen Microsoft Ex-
eine Lizenz kaufen, unabhängig change, das früher mit dem
davon, wie viele Benutzer an SBS kam, muss es auf Office
diesem PC arbeiten. Betreiben 365 setzen oder Exchange auf
Sie zum Beispiel im Schichtbe- einer eigenen Servermaschine
trieb PCs, an denen zu unter- getrennt lizenzieren.
schiedlichen Zeiten unter-
schiedliche Benutzer arbeiten, Ebenfalls verschwunden ist das
benötigen Sie für diese PCs nur aus Windows Server 2016 Es-
jeweils eine Geräte-CAL. Im sentials bekannte Dashboard
umgekehrten Fall, wenn also zur zentralen Verwaltung von
ein Benutzer mit mehreren PCs, Clientcomputern und Benut-
Notebooks oder Smartphones zern auch ohne IT-Kenntnisse.
auf den Server zugreift, benö- Bild 3: Zwischen Editionen von Windows Server 2019 ist ein Wechsel möglich. Hier empfiehlt Microsoft den
Einsatz des Windows Admin Centers, Windows derzeit noch nicht einsetzen und Für die Verwaltung und die Abfrage von
das für alle Editionen kostenlos zur Ver- auf Linux-Server bauen. Da Hyper-V Ser- Lizenzinformationen auf Windows Ser-
fügung steht. ver 2019 auch dynamischen Arbeitsspei- ver 2019 stellt Microsoft ein Skript na-
cher und virtualisierte Linux-Gäste unter- mens "slmgr.vbs" bereit, das Sie über die
Funktional kommt 2019 Essentials mit stützt, lassen sich Linux-Server sehr gut Eingabeaufforderung oder das Dialogfeld
allen Neuerungen von Windows Server virtuell betreiben. "Ausführen" aufrufen. Auch in Windows
2019 Standard. Allerdings lässt sich Win- Server 2019 Essentials ist dieses Skript
dows Server 2019 Essentials nicht als Hyper-V-Server 2019 kann nicht nur verfügbar. Das Tool kennt verschiedene
Core-Server installieren, jede Installation Windows Server ab Version 2008 R2 vir- Optionen:
spielt automatisch die grafische Ober- tualisieren, sondern auch Linux und - /ato: Windows online aktivieren.
fläche ein. Unix. Das heißt, Unternehmen können - /dli: Zeigt die aktuellen Lizenzinforma-
weiterhin produktiv ihre aktuellen Server tionen an.
Kostenloser einsetzen, aber die neuen Technologien - /dlv: Zeigt noch mehr Lizenzdetails an.
Hyper-V-Server kostenlos nutzen. Verwalten können Sie - /dlv all: Zeigt detaillierte Infos für alle
Microsoft stellt auch mit Windows Server Hyper-V-Server 2019 über den Hyper-V- installierten Lizenzen an.
2019 die Hyper-V-Serverrolle als eigen- Manager von einer Arbeitsstation oder
ständigen Server kostenlos zum Downlo- einem anderen Server mit Windows Ser- Möchten Sie den Status der Aktivierung
ad bereit. Das Produkt verfügt über alle ver 2019. von Windows Server 2019 Essentials an-
Funktionen im Bereich Hyper-V, die auch zeigen, geben Sie in der Befehlszeile den
in Windows Server 2019 verfügbar sind. Auch die Verwaltung über die Power- Befehl slmgr.vbs /dli ein. Anschließend
Lohnenswert ist der Einsatz zum Beispiel Shell oder mit System Center Virtual sehen Sie auf dem Bildschirm die Namen
für Unternehmen, die Windows Server Machine Manager sowie mit System und die Beschreibung des Betriebssys-
2012/2012 R2 lizenziert haben und ein- Center Configuration Manager ist mög- tems, aber auch einen Teil des Product
setzen, aber nicht zu Windows Server lich. Das neue Windows Admin Center Keys und den Lizenzstatus.
2019 wechseln wollen. steht ebenfalls kostenlos zur Verfügung
und kann auch Server mit Hyper-V-Ser- Haben Sie den Produktschlüssel einge-
Durch den kostenlosen Server profitieren ver 2019 anbinden. tragen, führen Sie die Aktivierung über
Sie von allen Funktionen, die Server 2019 die beschriebenen Wege durch. Verfügt
im Bereich Hyper-V bietet, ohne zusätz- Server per Telefon der Computer über eine Internetverbin-
liche Lizenzen kaufen zu müssen. Noch oder Internet aktivieren dung, stößt der Assistent die Aktivierung
sinnvoller ist der Einsatz von Hyper-V Ser- Nach der Installation eines Windows- automatisch an, sobald der korrekte Pro-
ver 2019 in Unternehmen, die auf ältere Servers müssen Sie dessen Aktivierung duct Key eingegeben wurde. Sie können
Windows-Versionen setzen oder die durchführen. Das gilt für alle Editionen den Status der Aktivierung anschließend
von Windows Server 2019. Mehr Infor- direkt einsehen, indem Sie im Startmenü
Schneller Wechsel mationen erhalten Sie auch, wenn Sie im slui eingeben. Hier wird auch das Datum
Startmenü nach "slui" suchen. Sie können der Aktivierung angezeigt.
Um die aktuelle Windows-Server-2019-Editi- Windows Server 2019 entweder über das
on anzuzeigen, die auf dem Computer instal- Internet aktivieren oder per Telefon. Bei Fazit
liert ist, nutzen Sie in der Befehlszeile der Aktivierung per Telefon werden Sie Die korrekte Lizenzierung von Windows
dism /online /Get-CurrentEdition mit einem automatischen Telefonsystem Server 2019 ist nicht einfach. Das wird
Im Fenster erscheint die Edition und weitere verbunden. Sollten Sie Probleme bei der beim Einsatz von virtuellen Infrastruk-
Information zur Installation. Um herauszufin- Aktivierung bekommen, überprüfen Sie turen und hybriden Clouds deutlich: Mi-
die Uhrzeit und die Zeitzone Ihres Ser- crosoft bietet verschiedene Lizenzmodelle
den, zu welchen Editionen die installierte Ver-
vers. Sind die entsprechenden Einstellun- und -programme an, die sich auch mit-
sion aktualisiert werden kann, dient Ihnen
gen nicht korrekt, können Sie Windows einander kombinieren lassen. Es lohnt
der Befehl
nicht aktivieren. sich vor dem Kauf oder der Miete größe-
dism /online /Get-TargetEditions
rer Lizenzpakete einen Vergleich durch-
Um etwa die Aktualisierung von Standard zu Der Befehl slui 3 öffnet ein Dialogfeld, in zuführen und sich von Lizenzspezialisten
Datacenter durchzuführen tippen Sie dem Sie einen neuen Produktschlüssel genau beraten zu lassen. (jp)
dism /Online /Set-Edition:ServerDatacenter eingeben. Starten Sie das Tool über die
/AcceptEula /ProductKey:xxxxx-[…] Suchfunktion des Startmenüs mit Admi-
Link-Codes
ein. Als "ProductKey" ist die Seriennummer nistratorrechten über das Kontextmenü.
der Datacenter-Edition gefragt. Nach der In diesem Bereich aktivieren Sie Windows [1] Windows Server 2019
Aktualisierung muss der Server neu ge-
Server 2019 dann mit dem neuen Key. Editions Comparison
Der Befehl slui 4 öffnet die Auswahl der js2a9
startet werden.
Aktivierungshotlines.
Das Windows Admin Center ist die neue Zentrale für Administratoren. Hier lassen sich webbasiert
Server und Clients lokal und in der Cloud verwalten. Zwar kann das Center den Server-Manager
aktuell noch nicht vollwertig ersetzen, doch Microsoft erweitert die Funktionen ständig.
Wir zeigen die Inbetriebnahme und Arbeit mit dem neuen Server-Kontrollraum.
WAC-Gateway installieren
D
as Windows Admin Center (WAC) jährlich eine neue Version zur Verfügung
funktioniert derzeit mit Google stellt. Diese ist schnell integriert, da le- und aktualisieren
Chrome und Microsoft Edge, andere diglich die MSI-Datei der aktuellsten Ver- Die Verbindung zwischen Windows Ad-
Browser unterstützen die Funktionen in sion auf dem Computer installiert werden min Center und einem Server erfolgt mit
der Verwaltungslösung derzeit noch nicht muss, auf dem das WAC-Gateway instal- einem Zwischenschritt über das Gateway.
ausreichend. Mit dem Internet Explorer liert ist. Das Gateway kann mit dieser Das heißt, alle Server kommunizieren mit
kann das Admin Center nicht genutzt wer- MSI-Datei natürlich auch jederzeit neu dem Gateway und die Administratoren
den. Das heißt, auf einem Server können installiert werden. über den Webbrowser ebenfalls mit dem
Sie das WAC nur dann direkt öffnen, wenn Gateway. Dieses kommuniziert wiederum
Chrome oder Edge installiert sind. Das ist Mit jeder neuen Version fügt Microsoft per WinRM, Remote-PowerShell oder
natürlich für den Gateway-Endpunkt nicht neue Funktionen hinzu, die meistens zu- WMI mit dem jeweiligen Server. Damit
notwendig, denn der Browser wird nur auf erst als Beta-Version über ein Plug-in ein- die Remoteverbindung zwischen den Ser-
dem zugreifenden Client benötigt. geführt werden und erst in einer späteren vern funktioniert, müssen die Remote-
Version komplett integriert sind. Um die verwaltungen auf den beteiligten Servern
Auch PowerShell-Sitzungen und Remote- neuen Funktionen zu nutzen, reicht es je- aktiviert sein.
desktopverbindungen lassen sich direkt weils aus, auf dem Server, der das WAC-
über das WAC aufrufen. Dazu kommen Gateway bereitstellt, die neue Version zu Das Gateway kann auf Servern mit gra-
Funktionen zur Verwaltung von Windows- installieren. Stellt Microsoft neue Funk- fischer Oberfläche, aber auch auf Core-
10-Arbeitsstationen, Clustern und Hyper- tionen über Erweiterungen zur Verfü- Servern installiert werden. Es läuft ab
converged-Clustern. Nicht zuletzt lassen gung, lassen sich diese innerhalb des Windows Server 2012 R2 und auf Ar-
sich VMs in Azure verwalten und mit lo- WAC aktualisieren. Dazu muss lediglich beitsstationen mit Windows 10 ab Version
kalen Rechnern synchronisieren. eine Verbindung zum Internet zur Ver- 1709. Die Installation des Gateways be-
fügung stehen. Welche WAC-Version in- steht aus der Bestätigung weniger Fenster,
Stetige Weiterentwicklung stalliert ist, bringen Sie nach der Verbin- in denen Sie unter anderem Zertifikate
Microsoft erweitert die Möglichkeiten des dung über das Fragezeichen-Symbol oben und Ports steuern. Erscheint eine neue
Windows Admin Centers, indem es halb- rechts in Erfahrung. WAC-Version, können Sie diese auf dem
msiexec /i InstallerName.msi /qn Bild 1: Das Installieren des WAC-Gateways klappt mit einem selbstsignierten oder einem SSL-Zertifikat.
/L*v log.txt SME_PORT=Port
SSL_CERTIFICATE_OPTION=generate mit winrm quickconfig die Remotever- und unkompliziert möglich und erlaubt
waltung zu aktivieren. Nach erfolgreicher das Hinzufügen von Tags (Markierungen).
Mit einem selbstsignierten Zertifikat sieht Verbindung lässt sich der Server per WAC So lassen sich zum Beispiel alle Hyper-V-
das zum Beispiel so aus: verwalten. Das Hinzufügen von Servern Hosts mit dem Tag "Hyper-V-Host" mar-
erfolgt über den Link "Hinzufügen" und kieren. Notwendig ist noch, Namen und
msiexec /i WindowsAdminCenter1704. die anschließende Auswahl des entspre- Anmeldedaten des anzubindenden Servers
msi /qn /L*v log.txt SME_PORT=6516 chenden Objekts. zu hinterlegen. Windows Admin Center
SSL_CERTIFICATE_OPTION=generate ermöglicht also die Anbindung von ver-
Beim ersten Aufruf des WAC erscheinen schiedenen Servern mit unterschiedlichen
Läuft das WAC auf dem Core-Server, erfolgt diverse Hinweise zu dessen Funktionali- Berechtigungen.
auch hier der Zugriff über das Netzwerk tät. Ist die Einrichtung abgeschlossen,
mit einem Webbrowser. Um Core-Server zeigt der Browser das Startfenster des Server im WAC
wiederum mit dem WAC zu verwalten, Windows Admin Centers an und der Ser- verwalten
muss auf dem entsprechenden Server die ver, auf dem der Gateway-Endpunkt in- Durch einen Klick auf den Server, der im
Remoteverwaltung aktiviert sein. stalliert ist, wird automatisch hinzugefügt. WAC bereits verbunden ist, öffnet sich die
Um weitere Server anzubinden, etablieren Hauptseite des Admin Centers. Hier sehen
Server anbinden Sie zunächst über "Hinzufügen" im WAC- Sie auf der linken Seite zunächst die für
oder importieren Hauptfenster eine neue Serververbindung. alle Server verfügbaren Verwaltungsauf-
Sobald der Gateway-Endpunkt für das Anschließend legen Sie fest, ob ein her- gaben. Im oberen Bereich können Sie zwi-
Windows Admin Center installiert ist, kömmlicher Server ("Verbindung Server schen dem webbasierten Server-Manager,
ist es unter der URL "https://Gateway- hinzufügen"), ein PC ("Verbindung dem Failovercluster-Manager, dem Hyper-
Endpunkt:Port" erreichbar. Im Fenster Windows-PC hinzufügen", ein Cluster converged-Cluster-Manager und der Com-
zur Anmeldung müssen Sie Ihren Benut- ("Verbindung Failovercluster hinzufügen") puterverwaltung von PCs umschalten. Die
zernamen (als Administrator) eingeben. oder ein Hyperconverged-Cluster ("Ver- Mitte des Fensters zeigt weitere Befehle
Das Windows Admin Center nutzt zur bindung Hyperkonvergenter Cluster hin- und Informationen zum jeweiligen Server
Authentifizierung das Active Directory. zufügen") integriert werden soll. oder PC an. Hier sind im oberen Bereich
Im WAC lassen sich alle aktuellen Win- verschiedene Befehle zu sehen und im un-
dows-Server ab 2012 im Netzwerk an- Für die Anbindung weiterer Server, die mit teren Bereich Informationen und Optio-
binden sowie komplette Cluster und ein- Windows Admin Center verwaltet werden nen zum Server.
zelne Arbeitsstationen. sollen, können Sie im Fenster entweder den
Server-FQDN eingeben oder Sie impor- Klicken Sie einen Server im Fenster an,
Funktioniert eine Verbindung nicht, kann tieren eine Liste von Servern aus einer kom- wird eine Verbindung aufgebaut und der
es helfen, auf dem entsprechenden Server magetrennten Textdatei. Beides ist schnell Zeitpunkt des letzten Zugriffs im Win-
Windows-Firewall im Griff
Über den Menüpunkt "Firewall" sehen
Sie bei "Übersicht" zunächst, für welche
Netzwerkprofile die Firewall aktiv ist und
was die Standardeinstellung für unbe-
kannten ein- und ausgehenden Verkehr
ist. Über die Menüpunkte "Regeln für ein-
gehende Verbindungen" und "Regeln für
ausgehende Verbindungen" lassen sich
die jeweils hinterlegten Firewallregeln an-
zeigen und bei Bedarf auch anpassen, lö-
Bild 4: Die Verwaltung von Hyper-V-Clustern erfolgt im Windows Admin Center. schen oder deaktivieren. Auch das Akti-
vieren von Firewallregeln ist an dieser
Site Recovery hochverfügbar replizieren Active Directory verwalten Stelle möglich.
und andere Azure-Funktionen nutzen. Seit der Version 1904 des Windows Ad-
min Center erlaubt dieses die Verwaltung Mit den beiden Menüpunkten "Prozesse"
Hyper-V mit von Active Directory, DNS und DHCP. und "Dienste" lassen sich die Prozesse
dem WAC verwalten Zur Installation müssen Sie über das und Systemdienste des Servers überwa-
Über das WAC können Sie auf einem Zahnradsymbol oben rechts die Einstel- chen, aber auch steuern. Mit "Spalten aus-
Windows-2019-Server Hyper-V installie- lungen aufrufen, wo Sie bei "Erweiterun- wählen" legen Sie im WAC fest, welche
ren und verwalten – wie gewohnt über gen" die zusätzlichen Funktionen sehen. Informationen erscheinen, wenn Sie Pro-
"Rollen und Funktionen". Hier sehen Sie Der Menüpunkt "Installierte Erweiterun- zesse verwalten.
zunächst, ob auf einem Server bereits Hy- gen" zeigt Ihnen die Erweiterungen, die
per-V installiert ist. Ist das nicht der Fall, bereits integriert sind. Über diesen Me- Fazit
kann die Installation über den Web- nüpunkt lassen sich die Erweiterungen Das Windows Admin Center bietet eine
browser erfolgen. auch aktualisieren. Dazu blendet WAC effektive Möglichkeit, verschiedene Ser-
einen Hinweis, wenn für eine Erweiterung ver im Netzwerk zu verwalten. Es lohnt
Nach der Installation sind auf dem Server eine neue Version zur Verfügung steht. sich für Unternehmen, das kostenlose
die beiden Menüpunkte "Virtuelle Com- Werkzeug zumindest zu testen. Da sich
puter" und "Virtuelle Switches" zu finden, Sind auf einem Server Active Directory mit dem Windows Admin Center auch
worüber Sie die entsprechenden Elemen- sowie DNS und DHCP installiert ist, ältere Windows-Server und deren Funk-
te auf dem ausgewählten Hyper-V-Host blendet das WAC den entsprechenden tionen über Webbrowser verwalten las-
administrieren. Mit dem Menüpunkt "In- Menüpunkt, zum Beispiel "Active Di- sen, bietet das kostenlose Tool einen ech-
ventar" erhalten Sie Zugriff auf die VMs rectory", ein. Aktuell lassen sich bereits ten Mehrwert. (jp)
des Servers und können diese über die
Option "Mehr" verwalten.
e n S i e j e t z t
Test
A u s g a b e n zum
sechs i !
i s v o n d r e
Pre
shop.heinemann-verlag.de
vertriebsunion meynen Tel: 06123/9238-251
Herr Stephan Orgel Fax: 06123/9238-252
D-65341 Eltville leserservice@it-administrator.de
Active Directory unter Windows Server 2019
I
m Bereich Active Directory verhält nicht mehr im Assistenten zur Installation führung des Cmdlets Uninstall-ADDS-
sich Windows Server 2019 wie vorgeben. Auch Cmdlets, um die Instal- DomainController vor.
Windows Server 2016. In diesem Beitrag lation und Betrieb von Active Directory
geben wir einige Hinweise und Tipps zum zu überprüfen, hat Microsoft integriert. Mit Test-ADDSDomainInstallation be-
Umgang mit dem Active Directory in Dazu gibt es die neuen Befehle leuchten Sie die Voraussetzungen für die
Windows Server 2019. - Test-ADDSDomainControllerInstal- Installation einer neuen Domäne im Acti-
lation ve Directory, Test-ADDSForestInstallation
PowerShell für das AD - Test-ADDSDomainControllerUninstal- prüft das gleiche für eine neue Gesamt-
Natürlich lässt sich der Verzeichnisdienst lation struktur auf Basis von Windows Server
in Windows Server 2019 umfassend in der - Test-ADDSDomainInstallation 2019. Damit Sie die Tests ausführen kön-
PowerShell verwalten. Dazu hat Microsoft - Test-ADDSForestInstallation und nen, müssen Sie an verschiedenen Stellen
einige Cmdlets integriert. Mit dem Cmdlet - Test-ADDSReadOnlyDomainControl- noch Kennwörter eingeben. Diese akzep-
Install-ADDSDomainController installieren lerUninstallation. tiert das entsprechende Cmdlet aber nur
Sie in einer bestehenden Domäne zum - Test-ADDSReadOnlyDomainControl- als sichere Eingabe. Ein Beispiel für den
Beispiel einen neuen Domänencontroller. lerAccountCreation Befehl ist:
Mit Install-ADDSDomain installieren Sie
eine neue Domäne, mit Install-ADDSForest Das Cmdlet Test-ADDSDomainControl- Test-ADDSDomainControllerInstallation
eine neue Gesamtstruktur. lerInstallation ermöglicht das Abklopfen -DomainName DNS-Name der Domäne
der Voraussetzungen für die Installation -SafeModeAdministratorPassword
Um einen Domänencontroller herab- eines DCs. Die Voraussetzungen für (Read-Host -Prompt Kennwort
zustufen, verwenden Sie das Cmdlet Un- schreibgeschützte Domänencontroller -AsSecureString)
install-ADDSDomainController. Die überprüfen Sie mit Test-ADDSReadOn-
Cmdlets fragen alle notwendigen Optio- lyDomainControllerAccountCreation. Das Um AD-Objekte abzurufen, stellt Mi-
nen an und starten den Server neu. Kon- Cmdlet Test-ADDSDomainControllerUn- crosoft zahlreiche neue Cmdlets zur Ver-
figurationen wie DNS-Server und den installation testet die Voraussetzungen fügung. Eine Liste erhalten Sie über den
globalen Katalog nehmen Sie anschlie- für die Deinstallation eines Domänen- Befehl Get-Command Get-Ad*. Um neue
ßend vor. Diese Aufgaben müssen Sie controllers. Das Tool bereitet die Aus- Objekte zu erstellen, gibt es ebenfalls
turmaster, RID-Master) oder einmalig Auf der Registerkarte "PDC" sehen Sie ist in Domänen immer einzigartig und
pro Gesamtstruktur (Schemamaster, Do- den aktuellen PDC-Emulator der Domä- ein wichtiger Punkt bei der Bereitstellung
mänennamenmaster) möglich. Fällt eine ne. Sie können sich den aktuellen PDC- von Windows beziehungsweise dem
dieser Rollen aus, kommt es im Active Emulator auch mit Hilfe des Befehls Überprüfen von Rechten. In manchen
Directory zu Fehlfunktionen. Möchten dsquery server -hasfsmo pdc in der Ein- Fällen, vor allem beim Klonen, kann es
Sie die Anzeige von Domänencontrollern gabeaufforderung anzeigen lassen oder übrigens passieren, dass doppelte SIDs
in der PowerShell filtern, zum Beispiel den PDC-Master mit dem folgenden im Netzwerk vorhanden sind.
um die PDC-Master anzeigen zu lassen, Cmdlet:
verwenden Sie: Ist der RID-Pool eines Domänencontrol-
Get-ADComputer(Get-ADDomainControl- lers aufgebraucht, werden ihm vom RID-
Get-ADDomainController -Filter ler -Discover -Service "Prima- Master neue RIDs zugewiesen. Steht der
{OperationMaster-Roles -like "PDC*"} ryDC").Name -Property * | Format- RID-Master nicht mehr zur Verfügung
List DNSHostname,OperatingSystem, und bekommen die DCs damit keine
Möchten Sie nur die Namen und die in- OperatingSystemVersion RIDs mehr, lassen sich keine neuen Ob-
stallierten Betriebsmaster anzeigen, ergän- jekte mehr in dieser Domäne erstellen,
zen Sie das Cmdlet noch um die Option Sie können in der PowerShell auch Daten bis der RID-Master wieder einem DC zur
"|fl Hostname, OperationMasterroles". einzelner Domänen abfragen. Dazu ver- Verfügung steht. Der Befehl dsquery ser-
wenden Sie das Cmdlet Get-ADDomain. ver -hasfsmo rid zeigt Ihnen den Master
Die Rolle des PDC-Emulators gibt es in je- Das Cmdlet Get-ADForest zeigt Informa- in der Eingabeaufforderung an. Außer-
der Domäne ein Mal. Der erste installierte tionen zu Gesamtstrukturen an. Auch dem können Sie sich die erfolgreiche Ver-
Domänencontroller einer Domäne be- hier können Sie nach den Spalten auf bindung und den Status des RID-Pools
kommt diese Rolle automatisch zugewie- dem gleichen Wegen filtern, wie bei Get- bestätigen lassen. Geben Sie in der Ein-
sen. Er ist für die Anwendung und Verwal- ADDomainController. Sinnvoll ist das gabeaufforderung den Befehl dcdiag /v
tung der Gruppenrichtlinien zuständig. Cmdlet, wenn die FSMO-Rollen pro Do- /test:ridmanager ein. Suchen Sie dann den
Steht der DC, der diese Rolle hat, nicht mäne angezeigt werden sollen. In jeder Bereich "Starting test: RidManager". Hier
mehr zur Verfügung, werden Gruppen- Domäne gibt es die drei FSMO-Rollen, sehen Sie, ob der Domänencontroller feh-
richtlinien fehlerhaft angewendet. Sie lassen die Sie mit folgendem Befehl ermitteln: lerfrei eine Verbindung zum RID-Master
sich zudem nicht mehr verwalten, da spe- aufbauen kann. Tritt an dieser Stelle ein
zielle Verwaltungskonsolen wie die Grup- Get-ADDomain | Select Infrastructu- Fehler auf, sollten Sie am besten den RID-
penrichtlinien-Verwaltungskonsole die Ver- reMaster, RID-Master, PDCEmulator Master auf einen anderen Server transfe-
bindung zum PDC-Emulator aufbauen. rieren oder verschieben.
Schemamaster und Domänennamen-
Der PDC-Emulator ist darüber hinaus master gibt es nur einmal pro Gesamt- Auch den Infrastrukturmaster gibt es in
für Kennwortänderungen bei Benutzern struktur. Diese Informationen bringen jeder Domäne einer Gesamtstruktur ein-
verantwortlich. Er steuert auch die exter- Sie wiederum mit dem Cmdlet Get-AD- mal. Diese Rolle erhält ebenfalls wieder
nen Vertrauensstellungen einer Domäne. Forest auf den Bildschirm: der erste installierte Domänencontroller
Der PDC-Master ist auch beim Klonen einer Domäne. In einer Gesamtstruktur
virtueller Domänencontroller beteiligt. Get-ADForest | Select-Object mit nur einer Domäne spielt dieser Be-
Ihn selbst können Sie nicht klonen, an- DomainNamingMaster, SchemaMaster triebsmaster keine Rolle. Seine Bedeutung
dere DC schon. Außerdem ist der PDC- steigt jedoch beim Einsatz mehrerer Do-
Emulator der Zeitserver einer Domäne. Auch die Rolle des RID-Masters erhält mänen oder Strukturen. Er hat in einer
Alle hier beschriebenen Funktionen sind der erste installierte DC einer Domäne Domäne die Aufgabe, die Berechtigungen
gestört, wenn der PDC-Emulator nicht automatisch. Den RID-Master gibt es für die Benutzer zu steuern, die aus un-
mehr zur Verfügung steht. ebenfalls einmal in jeder Domäne einer terschiedlichen Domänen kommen.
Gesamtstruktur. Die Aufgabe des RID-
Wollen Sie überprüfen, welcher Domä- Masters ist es, den anderen Domänen- Da die Berechtigungsanfragen sonst sehr
nencontroller die Rolle des PDC-Emula- controllern einer Domäne relative Be- lange dauern würden, wenn zum Beispiel
tors in der Domäne verwaltet, öffnen Sie zeichner (Relative Identifiers, RIDs) in den Berechtigungen einer Ressource
das Snap-in "Active Directory-Benutzer zuzuweisen. Erstellen Sie ein neues Objekt Benutzerkonten oder Gruppen aus un-
und -Computer" im Server-Manager oder in der Domäne, also ein Computerkonto, terschiedlichen Domänen gesetzt sind,
über dsa.msc auf der Startseite. Mit einem einen Benutzer oder eine Gruppe, erhält dient der Infrastrukturmaster einer Do-
Klick mit der rechten Maustaste auf die dieses Objekt eine eindeutige Sicherheits- mäne sozusagen als Cache für diese Zu-
Domäne im Snap-in und die Auswahl ID (SID) zugewiesen. Diese SID erstellt griffe, um die Abfrage der Berechtigungen
von "Betriebsmaster" im Kontextmenü der DC aus einer domänenspezifischen zu beschleunigen. Clients in der Domäne
öffnet sich ein neues Fenster. Hier sind SID in Verbindung mit einer RID aus sei- haben möglicherweise Schwierigkeiten
die FSMOs der Domäne zu sehen. nem RID-Pool. Die SID von Rechnern dabei, Objekte in anderen Domänen zu
finden, wenn die Rolle nicht mehr funk- Fenster, in dem der Betriebsmaster ange- Dem globalen Katalog kommt in einer
tioniert. Der Infrastrukturmaster sollte zeigt wird. Sie können mit Hilfe dieses Domäne eine besondere Bedeutung zu.
nicht auf einem globalen Katalog posi- Fensters später den Betriebsmaster auch Er enthält einen Index aller Domänen ei-
tioniert werden. auf einen anderen DC verschieben. Dazu ner Gesamtstruktur. Aus diesem Grund
müssen Sie sich über das Kontextmenü wird er von Serverdiensten wie Exchange
Er wird außerdem für die Auflösung von des Active-Directory-Schemas mit dem Server und Suchanfragen verwendet,
Verteilergruppen verwendet, wenn Un- Domänencontroller verbinden, auf den wenn Objekte aus anderen Domänen Zu-
ternehmen Exchange Server einsetzen, Sie die Rolle übertragen möchten. Auch griff auf eine Ressource der lokalen Do-
da auch an dieser Stelle eine Gruppe Mit- den Schemamaster können Sie sich in der mäne erhalten. Der globale Katalog spielt
glieder aus verschiedenen Domänen der Eingabeaufforderung mit dsquery server darüber hinaus eine wesentliche Rolle bei
Gesamtstruktur enthalten kann. Auf der -hasfsmo schema anzeigen lassen. der Anmeldung von Benutzern. Steht der
Registerkarte "Infrastruktur" ist dieser zu globale Katalog in einer Domäne nicht
sehen oder in der Eingabeaufforderung Der Domänennamenmaster ist für die mehr zur Verfügung, können sich diese
mit dsquery server -hasfsmo infr. Erweiterung der Gesamtstruktur um neue nur deutlich langsamer anmelden, sofern
Domänen oder Strukturen verantwort- keine speziellen Vorbereitungen getroffen
AD-Schema meistern lich. In jeder Gesamtstruktur gibt es einen worden sind.
Das Active Directory verfügt über ein er- Domänennamenmaster. Diese Rolle wird
weiterbares Schema. Es bietet die Mög- automatisch dem ersten installierten DC Ein Domänencontroller mit der Funktion
lichkeit, zusätzliche Informationen im Ord- einer neuen Gesamtstruktur zugewiesen. des globalen Katalogs repliziert sich nicht
ner flexibel zu speichern. Diese Funktion Immer wenn ein Server zum Domänen- nur mit den DCs seiner Domäne, sondern
nutzt beispielsweise Exchange. Alle not- controller hochgestuft wird und eine neue enthält eine Teilmenge aller Domänen in
wendigen Informationen zu einem E-Mail- Domäne erstellt werden soll, wird eine der Gesamtstruktur. Der erste installierte
Postfach liegen im Active Directory. Bei Verbindung zum Domänennamenmaster Domänencontroller einer Gesamtstruktur
der Installation von Exchange wird das aufgebaut. Steht der Master nicht zur Ver- ist automatisch ein globaler Katalog. Alle
AD-Schema um die notwendigen Attribute fügung oder kann keine Verbindung auf- weiteren globalen Kataloge müssen hin-
und Klassen erweitert. gebaut werden, besteht auch nicht die gegen manuell hinzugefügt werden. Der
Möglichkeit, eine neue Domäne zur Ge- globale Katalog dient auch zur Auflösung
Damit das Schema erweitert werden samtstruktur hinzuzufügen. von universalen Gruppen.
kann, ist der Schemamaster nötig. In jeder
Gesamtstruktur gibt es nur einen Sche- Der Domänennamenmaster wird nur be- Sie sollten aber nicht alle DCs zu globalen
mamaster. Steht der Schemamaster nicht nötigt, wenn Sie eine neue Domäne in der Katalogen machen, da dadurch der Re-
mehr zur Verfügung, können auch keine Gesamtstruktur erstellen. Um sich den Do- plikationsverkehr zu diesen Domänen-
Erweiterungen des Schemas stattfinden mänennamenmaster anzeigen zu lassen, controllern stark zunimmt. In jedem
und die Installation von Exchange schlägt benötigen Sie das Snap-in "Active Directo- Standort sollten zwei bis drei DCs diese
fehl. Der erste installierte Domänencon- ry-Domänen und -Vertrauensstellungen". Aufgabe übernehmen. Während der He-
troller der ersten Domäne und Struktur Klicken Sie mit der rechten Maustaste di- raufstufung zum Domänencontroller
einer Gesamtstruktur erhält die Rolle des rekt auf das Snap-in und wählen im Kon- können Sie diese Auswahl bereits treffen.
Schemamasters. Der Schemamaster hat textmenü den Eintrag "Betriebsmaster" Aber auch nachträglich können Sie einen
ansonsten keine Auswirkungen auf den aus, öffnet sich ein neues Fenster, in dem DC zum globalen Katalog konfigurieren:
laufenden Betrieb. der Domänennamenmaster dieser Ge- 1. Um einen DC als globalen Katalog zu
samtstruktur erscheint. Auch den Domä- konfigurieren, benötigen Sie das Snap-
Damit der Schemamaster angezeigt wer- nennamenmaster können Sie sich in der in "Active Directory-Standorte und -
den kann, müssen Administratoren zu- Eingabeaufforderung mit dsquery server Dienste" aus dem Menü "Tools" im Ser-
nächst das Snap-in registrieren, das das -hasfsmo name anzeigen lassen. ver-Manager. Sie starten das Tool auch
Schema anzeigt. Aus Sicherheitsgründen mit "dssite.msc".
wird dieses Snap-in zwar installiert, je- Globalen Katalog-Server 2. Öffnen Sie dieses Snap-in und rufen
doch nicht angezeigt. Die Eingabe des Be- aufsetzen Sie die Eigenschaften der Option
fehls regsvr32 schmmgmt.dll in der Ein- An jedem Standort in Active Directory NTDS-Settings über "Sites / Name des
gabeaufforderung macht die Konsole sollte ein globaler Katalog-Server instal- Standortes / Servers / Servername" auf.
verfügbar. Im Anschluss können Sie das liert sein. Der globale Katalog ist eine wei- 3. Auf der Registerkarte "Allgemein" ak-
Snap-in Active Directory-Schema in eine tere Rolle, die ein Domänencontroller tivieren Sie das Kontrollkästchen "Glo-
MMC über "Datei/Snap-in hinzufügen" einnehmen kann. Im Gegensatz zu den baler Katalog".
integrieren. Mit einem Klick mit der rech- beschriebenen FSMO-Rollen kann (und
ten Maustaste auf das Menü "Active Di- sollte auch) die Funktion des globalen Haben Sie diese Konfiguration vorge-
rectory-Schema" und die Auswahl von Katalogs mehreren Domänencontrollern nommen, repliziert sich der Server zu-
"Betriebsmaster" öffnet sich ein neues zugewiesen werden. künftig mit weiteren Domänencontrol-
Sollte das nicht der Fall sein, gehen Sie Einträge des Diensts, die bei der Pro- wenden Sie einen der beiden Befehle
Schritt für Schritt vor, um das Problem blemlösung weiterhelfen. create nosysvol rodc c:\temp oder create
einzugrenzen. Sollte ein Fehler erschei- nosysvol full c:\temp. Den Ordner kön-
nen, versuchen Sie es einmal mit dem Be- Auch der Befehl nltest /dsregdns hilft oft nen Sie natürlich beliebig ändern.
fehl ipconfig /registerdns in der Eingabe- bei Problemen bei der DNS-Registrie- 5. Beenden Sie Ntdsutil mit der wieder-
aufforderung. Überprüfen Sie, ob sich rung. Funktioniert die erneute Registrie- holten Eingabe von quit.
der Server in die Zone eingetragen hat. rung durch Neustart des Anmeldediensts 6. Überprüfen Sie schließlich, ob der Ord-
Sollte der Fehler weiterhin auftreten, nicht, löschen Sie die DNS-Zone "_msdcs" ner erstellt wurde und die Daten darin
überprüfen Sie, ob das primäre DNS-Suf- und die erstellte Delegierung. Beim enthalten sind.
fix auf dem Server mit dem Zonennamen nächsten Start des Anmeldediensts liest
übereinstimmt. dieser die Daten von "netlogon.dns" ein, Kopieren Sie die Daten auf ein Medium
erstellt die Zone "_msdcs" neu und und legen dieses in den Server ein, den
Stellen Sie als Nächstes fest, ob die IP- schreibt die Einträge wieder in die Zone. Sie mit diesem Medium installieren wol-
Adresse des Servers stimmt und der Ein- Mit Dcdiag lassen sich danach die Pro- len. Soll die Installation unbeaufsichtigt
trag des bevorzugten DNS-Servers auf bleme erneut diagnostizieren. ablaufen, verwenden Sie die Variable "/Re-
die IP-Adresse des Servers zeigt. Über- plicationSourcePath". Nutzen Sie den As-
prüfen Sie zudem in den Eigenschaften Active Directory vom sistenten in der grafischen Oberfläche,
der Zone, ob die dynamische Aktualisie- Installationsmedium einspielen aktivieren Sie auf der Seite "Installieren
rung zugelassen wird und ändern Sie ge- Soll ein Domänencontroller nach der In- von Medium" die Option "Daten von Me-
gebenenfalls die Einstellung, damit die stallation seine Replikationsdaten nicht dien an folgendem Speicherort replizie-
Aktualisierung stattfinden kann. Die Ei- über das Netzwerk beziehen, sondern ei- ren" und wählen Sie den lokalen Ordner
genschaften der Zonen erreichen Sie, nen Datenträger verwenden, den Sie auf aus, in dem die Daten abgelegt wurden.
wenn Sie mit der rechten Maustaste auf Basis der aktuellen AD-Daten erstellt ha-
die Zone klicken und die Eigenschaften ben, müssen Sie zuvor einige Vorberei- Active Directory mit
auswählen. Treten keine Fehler auf, kön- tungen treffen. Für die Installation eines PowerShell installieren
nen Sie mit dem Erstellen des Active Di- DCs in Niederlassungen oder bereits aus- Auch Core-Server können Sie als Domä-
rectory auf diesem Server beginnen. gelasteten Netzwerken bietet es sich an, nencontroller verwenden. Die Installation
auf einem Quell-Domänencontroller zu- des Active Directory nehmen Sie in diesem
Haben Sie das Active Directory installiert, nächst Daten aus dem AD zu exportieren, Fall zum Beispiel über die PowerShell vor.
stehen auch in Windows Server 2019 die auf einen Datenträger zu kopieren und Das funktioniert natürlich auch auf her-
bekannten Tools Dcdiag, Repadmin und zur Niederlassung zu senden. Bei der He- kömmlichen Domänencontrollern. Mit
Co. zur Analyse zur Verfügung. Für die raufstufung eines DCs kann dieses Me- dem Cmdlet Install-ADDSDomainCon-
Namensauflösung können Sie weiterhin dium verwendet werden. So muss der troller installieren Sie in einer bestehenden
Nslookup verwenden oder die neuen Domänencontroller in der Niederlassung Domäne einen neuen Domänencontroller.
Cmdlets zur Verwaltung von DNS, zum nur noch das Delta zwischen Medium Mit Install-ADDSDomain installieren Sie
Beispiel "Resolve-DnsName". und aktuellen Daten mit seinen Replika- eine neue Domäne, mit Install-ADDSForest
tionspartnern synchronisieren, was deut- eine neue Gesamtstruktur.
Geben Sie in der Eingabeaufforderung lich Netzwerklast spart.
den Befehl nltest /dclist:NetBIOS-DOMÄ- Um einen Domänencontroller herabzu-
NENNAME ein, zum Beispiel nltest Um ein Installationsmedium vorzuberei- stufen, verwenden Sie das Cmdlet Un-
/dclist:Joos. Alle DCs sollten dann mit ih- ten, melden Sie sich an einem Domänen- install-ADDSDomainController. Die
ren vollständigen Domänennamen aus- controller mit Admin-Rechten an. Gehen Cmdlets fragen alle notwendigen Optio-
gegeben werden. Werden einzelne DCs Sie im Anschluss folgendermaßen vor: nen an und startet den Server neu, wenn
nur mit ihrem NetBIOS-Namen ange- 1. Öffnen Sie eine Eingabeaufforderung Sie die Optionen nicht bereits mit dem
zeigt, überprüfen Sie deren DNS-Regis- und geben Sie ntdsutil ein. Cmdlet konfiguriert haben. Konfigura-
trierung auf den DNS-Servern. 2. Geben Sie als nächstes den Befehl acti- tionen wie DNS-Server und globaler Ka-
vate instance ntds ein und bestätigen talog nehmen Sie anschließend vor. Diese
Starten Sie im Problemfall mit net stop Sie, gefolgt von ifm. Aufgaben müssen Sie nicht mehr im As-
netlogon und dann net start netlogon den 4. Verwenden Sie nun create rodc c:\temp, sistenten zur Installation vorgeben.
Anmeldedienst auf dem Domänencon- um ein Installationsmedium für einen
troller neu, versucht der Dienst, die Da- RODC (schreibgeschützter Domänen- Bevor Sie einen Core-Server als Domä-
ten der Datei "netlogon.dns" aus dem controller) zu erstellen. Um einen voll- nencontroller installieren, nehmen Sie die
Ordner \Windows\System32\config\ wertigen DC mit dem Installationsme- IP-Einstellungen auf dem Server vor. Um
netlogon.dns" erneut im DNS zu regis- dium zu erstellen, geben Sie create full das Active Directory mit der PowerShell
trieren. Gibt es hierbei Probleme, finden c:\temp ein. Soll der SYSVOL-Ordner zu installieren, spielen Sie im ersten
sich im Ereignisprotokoll unter "System" nicht mit eingeschlossen werden, ver- Schritt mit Install-WindowsFeature AD-
Domain-services -IncludeManagement- -SiteName Houston -DatabasePath Grundlage ist der Papierkorb des AD, den
Tools die Domänendienste auf dem Server d:\NTDS -SYSVOLPath d:\SYSVOL Sie zunächst für die Gesamtstruktur ak-
ein. Anschließend stehen die bereits ge- -LogPath e:\Logs -Confirm:$False tivieren müssen. Diesen Vorgang nehmen
nannten Cmdlets zur Verfügung. Geben Sie über das Kontextmenü der Gesamt-
Sie keine Optionen für die Cmdlets ein, Um in dieser Domäne dann wiederum struktur auf der linken Seite der Konsole
fragt der Assistent die notwendigen Daten einen weiteren Domänencontroller zu in- im Verwaltungscenter vor. Sie können
ab. Sie können sich die Befehle auch an- stallieren, greift der Befehl den Papierkorb nur dann aktivieren,
zeigen lassen, wenn Sie den Assistenten wenn die Funktionsebene der Gesamt-
auf einem Server durchlaufen und sich Install-ADDSDomainController struktur mindestens auf Windows Server
am Ende das Skript anzeigen lassen. Hier -Credential (Get-Credential 2008 R2 gesetzt ist.
sehen Sie die Befehle und Optionen, die corp\administrator) -DomainName
Sie für die PowerShell benötigen. corp.contoso.com Um gelöschte Objekte wiederherzustellen,
verwenden Sie am besten das Active Di-
Um zum Beispiel einen neuen DC zu in- Ist der entsprechende Server bereits Mit- rectory Administration Center in Win-
stallieren, verwenden Sie das Cmdlet "In- glied der Domäne und haben Sie sich mit dows Server 2019. Das bietet den Vorteil,
stall-ADDSDomainController". Damit der einem Domänenadministrator angemel- dass Ihnen eine grafische Oberfläche zur
Befehl funktioniert, geben Sie den Namen det, können Sie auch den Befehl Install- Verfügung steht. Nachdem Sie den Pa-
der Domäne mit und konfigurieren das ADDSDomainController -DomainName pierkorb aktiviert und das Verwaltung-
Kennwort für den Verzeichnisdienst-Wie- corp.contoso.com verwenden. Ein weiteres scenter neu gestartet haben, gibt es für die
derherstellungsmodus als SecureString. Beispiel für die Installation eines neuen entsprechende Gesamtstruktur einen neu-
Dazu nutzen Sie den Befehl: Domänencontrollers ist: en Ordner "Deleted Objects".
scheint die Option nicht. Hier müssen Sie können, sollten Sie in jedem Standort, - Ist auf dem DC, mit dem die Replika-
den Schutz nachträglich aktivieren. an dem später ein DC angeschlossen ist, tion nicht mehr stattfinden kann, die
ein unabhängiges IP-Subnetz verwenden. Hardware ausgefallen?
Neben der Verwaltungskonsole "Active Di- Dieses IP-Subnetz hinterlegen Sie in der - Liegt vielleicht nur ein Leitungs-, Router-
rectory-Benutzer und -Computer" lassen Active-Directory-Verwaltung und es oder Firewallproblem vor?
sich Objekte auch in anderen Konsolen si- dient fortan zur Unterscheidung der AD- - Lassen sich der entsprechende Domä-
chern. So schützen Sie zum Beispiel auch Standorte. nencontroller noch pingen und der
die Objekte in "Active Directory-Standorte DNS-Name des Servers auflösen?
und -Dienste" vor dem versehentlichen Lö- Das wichtigste Verwaltungswerkzeug, - Gibt es generelle Probleme mit der Au-
schen. Auch hier gibt es die Registerkarte um Standorte im AD zu verwalten, ist thentifizierung zwischen den DCs, die
"Objekte" und die Option "Objekt vor dem das Snap-in "Active Directory-Standorte sich durch Zugriff-verweigert-Meldun-
versehentlichen Löschen schützen". Für die und -Dienste". Um neue Standorte zu er- gen äußern?
Anzeige der Option müssen Sie die erwei- stellen, müssen Sie Mitglied der Gruppe - Sind die Replikationsintervalle zwi-
terte Ansicht aber nicht deaktivieren. Organisations-Administratoren sein. schen Standorten so kurz eingestellt,
Standardmäßig überprüft der "Knowled- dass die vorherige Replikation noch
Neben der Möglichkeit, die Einstellungen ge Consistency Checker" (KCC) automa- nicht abgeschlossen ist und die nächste
in der grafischen Oberfläche vorzunehmen, tisch alle 15 Minuten die Funktionalität bereits beginnt?
kann der Löschschutz auch in der Power- der Routingtopologie. - Wurden Änderungen an der Routing-
Shell abgefragt und gesetzt werden. Um topologie vorgenommen, die eine Re-
den Löschschutz für ein Objekt abzufragen, Fehler bei der plikation verhindern können?
nutzen Sie den folgenden Befehl: Replikation beheben
Eine häufige Fehlerursache in ADs mit Im Falle von Replikationsproblemen
Get-ADObject DN des Objekts vielen Niederlassungen und zahlreichen sollten Sie auch sicherstellen, dass die
-Properties ProtectedFromAcciden- Domänencontrollern ist die Replikation problematischen Domänencontroller
talDeletion zwischen diesen Standorten. Beim Einsatz für den richtigen Standort konfiguriert
eines einzelnen Standorts werden nur sel- sind. Zu diesem Zweck geben Sie in der
Aktivieren lässt sich der Löschschutz mit: ten Probleme auftreten. Bei der Fehler- Eingabeaufforderung das Kommando
suche bezüglich der Replikation sollten nltest /dsgetsite ein.
Set-ADObject DN des Objekts -Pro- Sie zunächst die beteiligten Domänen-
tectedFromAccidentalDeletion $true controller überprüfen und testen, ob diese Das wichtigste Tool, um die Replikation
innerhalb ihres Standorts funktionieren. in Active Directory zu überprüfen, ist
Soll der Löschschutz deaktiviert werden, derweil Repadmin. Geben Sie in der Ein-
können Sie wiederum die Option "$false" Der nächste Schritt sollte der Blick in die gabeaufforderung den Befehl repadmin
setzen. Um keine Objekte zu schützen, Ereignisanzeige und das Protokoll "Ver- /showreps ein, erhalten Sie alle durchge-
sondern Organisationseinheiten, verwen- zeichnisdienst" sein. Achten Sie vor allem führten Replikationsvorgänge des Active
den Sie die Cmdlets Get-ADOrganizatio- auf Fehler von "NTDS KCC", "NTDS Re- Directory sowie etwaige Fehler angezeigt,
nalUnit und Set-ADOrganizationalUnit. plication" oder "NTDS General". Bereits die auf die möglichen Ursachen für eine
mit Hilfe dieser Fehlermeldungen können nicht funktionierende Replikation hin-
Active-Directory-Replikation Sie auf den Internetseiten [1,2,3] eine Lö- weisen. Sie können sich die Anzeige mit
Die Replikation zwischen verschiedenen sung für das Problem finden. Bevor Sie repadmin /showreps >c:\repl.txt auch in
Standorten im Active Directory läuft weit- mit Tools die Replikation genauer unter- eine Datei umleiten lassen.
gehend automatisiert ab. Damit die Re- suchen, sollten Sie zunächst die gravie-
plikation aber stattfinden kann, müssen rendsten und häufigsten Fehlerursachen Das wichtigste Werkzeug für die Diagnose
Sie zunächst die notwendige Routingto- ausschließen: von Domänencontrollern ist hingegen
pologie erstellen. Dabei fallen hauptsäch- - Liegt auf dem Domänencontroller, der Dcdiag. Sie können das Tool in der Ein-
lich folgende Aufgaben an: sich nicht mehr replizieren kann, ein gabeaufforderung mit Administratorrech-
- Erstellen von Standorten imAD. generelles Problem vor, das sich mit ten aufrufen, indem Sie dcdiag eingeben.
- Anlegen von IP-Subnetzen und Zuwei- Dcdiag herausfinden lässt? Liegen also Eine ausführliche Diagnose erhalten Sie
sen an die Standorte. die Probleme überhaupt nicht in der durch dcdiag /v. Möchten Sie eine aus-
- Erstellen von Standortverknüpfungen Replikation, sondern hat der DC eine führlichere Diagnose durchführen, sollten
für die AD-Replikation. Funktionsstörung? Sie die Ausgabe in eine Datei umleiten,
- Konfiguration von Zeitplänen für die - Wurde auf dem Domänencontroller ei- da Sie dadurch das Ergebnis besser durch-
optimale Standortreplikation. ne Software installiert, die die Replika- lesen und eventuell auch an einen Spe-
tion stören kann, wie etwa Sicherheits- zialisten weitergeben können. Die pas-
Damit Sie die standortübergreifende Re- software, Virenscanner, Firewall oder sende Eingabe könnte dann zum Beispiel
plikation des Active Directory verwenden ähnliches? dcdiag/v >c:\dcdiag.txt lauten. Für die ers-
wenn zum Beispiel auf einem Server "Sites / Standort des Servers / Servername / um Altlasten zu entsorgen. Auch den Ser-
Exchange und DC zusammen Proble- Eigenschaften" der NTDS-Settings den vernamen sollten Sie ändern, wenn aus
me bereiten, aber der Server noch Ver- Haken bei "Globaler Katalog". dem Namen hervorgeht, dass es sich um
bindung zum Active Directory hat. einen Domänencontroller gehandelt hat.
- Der Domänencontroller läuft zwar noch Um einen DC herunterzustufen, verwen-
und verwaltet installierte Applikationen, den Sie am besten die PowerShell und Möchten Sie einen Domänencontroller, der
hat aber seine Verbindung zum Active Uninstall-ADDSDomainController. Sie die Verbindung mit dem Active Directory
Directory verloren. Er soll herunterge- müssen noch das lokale Kennwort des verloren hat, nicht neu installieren, können
stuft werden, ohne Verbindung zum Administrators über den Befehl festlegen. Sie das Active Directory trotz fehlender
Active Directory zu haben oder neu in- Dieses definieren Sie als SecureString in Verbindung entfernen. Verwenden Sie in
stalliert zu werden. Das AD muss dazu der PowerShell: diesem Fall die Option "-force". Nach dem
nachträglich bereinigt werden. erzwungenen Entfernen des Active Directo-
- Der Domänencontroller ist komplett Uninstall-ADDSDomainController ry ist der DC allerdings kein Mitgliedsser-
ausgefallen und funktioniert nicht -LocalAdministratorPassword ver mehr, sondern ein alleinstehender Ser-
mehr. Dem Active Directory muss mit- (Read-Host -Prompt "Kennwort" ver. Sie können sich daher an diesem Server
geteilt werden, dass der DC nicht mehr -AsSecureString) nicht mehr bei der Domäne anmelden.
verfügbar ist. Möchten Sie danach noch die Binärdateien
Mit Get-Help Uninstall-ADDSDomainCon- des AD entfernen, verwenden Sie entweder
Entfernen Sie einen Domänencontroller troller erhalten Sie mehr Informationen zu den Server-Manager, das Windows Admin
aus dem Active Directory, sollten Sie einige dem Befehl. Um zuvor den Vorgang zu Center oder die PowerShell:
Vorbereitungen treffen, damit die Anwen- testen, verwenden Sie Test-ADDSDomain-
der durch den Ausfall nicht betroffen sind: ControllerUninstallation. Ausführliche In- Uninstall-WindowsFeature
- Stellen Sie sicher, dass der Domänen- formationen erhalten Sie mit AD-Domain-Services
controller nicht als bevorzugter oder
alternativer DNS-Server von einem an- Test-ADDSDomainControllerUninstalla- Fazit
deren Rechner der Domäne verwendet tion | select -expandproperty Im Active Directory hat sich bei Windows
wird (auch nicht als DNS-Weiterlei- message Server 2019 wenig geändert. Es gibt auch
tungsserver). keinen eigenen Betriebsmodus für Ge-
- Übertragen Sie alle FSMO-Rollen auf Wenn es sich bei dem Domänencontrol- samtstruktur und Domänen. Das AD pro-
andere Domänencontroller. ler, den Sie herabstufen wollen, um ei- fitiert in Windows Server 2019 allerdings
- Entfernen Sie falls möglich vor der He- nen globalen Katalog handelt, werden von der hohen Stabilität des Betriebssys-
rabstufung DNS von diesem Domänen- Sie darüber mit einer Meldung infor- tems. Tools zur Verwaltung und Diagnose,
controller. Haben Sie DNS entfernt, über- miert. Mit der Option "-LastDomain- die Unternehmen für Windows Server
prüfen Sie auf einem anderen DNS- ControllerInDomain" wählen Sie aus, 2016 eingesetzt haben, lassen sich auch in
Server in den Eigenschaften der DNS- ob es sich bei diesem Domänencontrol- Windows Server 2019 weiterhin nutzen.
Zone, dass der Server auf der Register- ler um den letzten seiner Domäne han- Auch die Vorgehensweisen für Installation,
karte Namenserver nicht mehr aufge- delt. In diesem Fall würde nicht nur der Verwaltung, Betrieb, Replikation und Feh-
führt wird. Entfernen Sie aber nicht den DC aus der Gesamtstruktur entfernt, lerbehebung sind identisch. (dr)
Hosteintrag des Servers, da dieser für die sondern die ganze Domäne. Haben Sie
Herabstufung noch benötigt wird. Ihre Auswahl getroffen, beginnt der As-
Link-Codes
- Stellen Sie sicher, dass der DC nicht an sistent mit der Herabstufung des DCs.
irgendeiner Stelle als Domänencontrol- [1] EventID
ler explizit eingetragen ist, zum Beispiel Sobald Sie das Active Directory vom Ser- cs1f1
auf einem Linux-Server oder einem Ex- ver entfernt haben, können Sie diesen neu [2] Experts Exchange
change-Server. starten. Nach der Herabstufung eines DCs cs1f2
- Entfernen Sie alle vom Active Directory wird dieser als Mitgliedsserver in die Do- [3] Microsoft Support
abhängigen Dienste wie VPN, Zertifi- mäne aufgenommen. Waren auf dem Ser- ds1s3
katstelle oder andere Programme, die ver Applikationen installiert, zum Beispiel [4] SolarWinds Permission Analyzer
for Active Directory
nach der Herabstufung nicht mehr Exchange, stehen diese nach dem Neu-
js2h4
funktionieren werden. start weiterhin zur Verfügung. Auch wenn
[5] PingCastle
ein herabgestufter Domänencontroller
js2h5
Handelt es sich bei diesem Server um ei- im Anschluss noch als Mitgliedsserver
[6] Netwrix Account Lockout Examiner
nen globalen Katalog, konfigurieren Sie verwendet werden kann, sollten Sie si-
js2h6
einen anderen Server als globalen Katalog cherheitshalber das Computerkonto aus
[7] Active Directory Recon
und entfernen Sie im Snap-in "Active Di- der Domäne entfernen und das Betriebs- js2h7
rectory-Standorte- und -Dienste" unter system neu auf dem Server installieren,
N
eben den technischen Neuerungen gleichzeitig und koordiniert auf eine frei- gabe eine Stimme erhalten. Die Freigabe
der Cluster, denen wir uns im An- gegebene Festplatte zuzugreifen. CSV war ist nicht im Cluster integriert und hilft
schluss zuwenden, ist eine der wichtigsten bisher für virtuelle Maschinen in einem dabei, ein Unentschieden zu verhindern.
Neuheiten das Windows Admin Center Cluster-Knoten, für SQL-Datenbanken Diese Technik mit der Bezeichnung "File
(WAC) als Administrationswerkzeug. Wir und Scale-Out-File-Server verfügbar, Share Witness" (FSW) ist auch in Win-
beschreiben das kostenlos verfügbare Cen- Windows Server 2019 bringt für die dows Server 2016 im Einsatz. In großen
ter ausführlich ab Seite 12. Wichtig ist an Funktion die Rolle "Microsoft Distributed Netzwerken ist das kein Problem, aber in
dieser Stelle, dass Sie die Cluster-Admi- Transaction Coordinator" (MSDTC). Da- kleinen Unternehmen, die zum Beispiel
nistration nunmehr auch im WAC vor- durch wird es für MSDTC ermöglicht, einen Zwei-Knoten-Cluster einsetzen, ist
nehmen können. Dort finden Sie alle not- Storage Spaces Direct (S2D) zusammen neben dem Cluster ein weiterer Server
wendigen Verwaltungsoptionen im Fail- mit Anwendungen wie SQL Server zu im Netzwerk notwendig, der die Datei-
overcluster-Manager. nutzen. Zusätzlich wird in Windows Ser- freigabe bereitstellt.
ver 2019 der CSV-Cache automatisch ak-
Neue Cluster-Funktionen in tiviert, was den Zugriff und die Verwen- In Windows Server 2019 kann Failover
Windows Server 2019 dung von Cluster-Ressourcen deutlich Clustering auch ein USB-Gerät nutzen,
Bisher war es nicht möglich, die Domä- beschleunigen kann. das mit dem Netzwerk verbunden ist.
nenmitgliedschaft eines Clusters ohne Das erleichtert die Bereitstellung von
weiteres zu ändern. Gemischte Domä- Windows Server 2019 kann die Hochver- kleinen Clustern für Abteilungen oder
nen-Cluster, also Cluster-Knoten als Mit- fügbarkeit durch neue Technologien wie in kleinen Netzwerken. Zusätzlich zu die-
glied in verschiedenen Domänen, werden den Zeugenserver verbessern. Dieser be- sem "USB File Share Witness" kann FSW
in Windows nicht unterstützt. Um die findet sich außerhalb des AD und hilft, unter schlechten Netzwerkverbindungen
Domänenmitgliedschaft zu ändern, muss- Probleme bei der Datenverarbeitung zu eingebunden werden. Das gibt dem FSW
te der Cluster bisher neu aufgebaut wer- vermeiden, wenn die Cluster-Knoten die Möglichkeit, in Clustern ohne Do-
den. Mit Windows Server 2019 können nicht mehr miteinander kommunizieren mänen, gemischten Domänen oder in ei-
Cluster-Administratoren Knoten und können. Wenn die Cluster-Knoten die ner DMZ ohne Zugriff auf einen Domä-
Cluster zwischen Active-Directory-Do- Verbindung untereinander verlieren, kann nencontroller abzustimmen. Das erhöht
mänen verschieben. Auch Cluster, in de- es zu Problemen bei der Abstimmung des die Sicherheit und verbessert die Stabilität
nen die Knoten Mitglied verschiedener Quorums kommen. des Clusters.
Domänen sind, werden unterstützt.
In einem Cluster mit einer geraden An- Durch "Cluster Compute Resiliency" und
Die Cluster-Shared-Volumes-Laufwerke zahl von Knoten und damit Stimmen im "Cluster Quarantine" verschiebt ein Win-
(CSV) ermöglichen es Cluster-Knoten, Quorum kann eine Netzwerk-Dateifrei- dows-Cluster seine Cluster-Ressourcen
nicht mehr unnötig zwischen Knoten, unterstützt ab dann Vorgängerversionen Zur Integration des neuen Servers in den
wenn ein Cluster-Knoten Probleme hat. wie Windows 2016 nicht mehr. Betrei- Cluster nutzen Sie die GUI oder die
Diese Technik wurde bereits mit Win- ben Sie noch Systeme unter Windows PowerShell:
dows Server 2016 eingeführt und mit Server 2012 R2, müssen Sie vor der Nut-
Version 2019 deutlich verbessert. Win- zung des Cluster Operating System Rol- Add-ClusterNode -Cluster Name des
dows versetzt einen Knoten in Isolation, ling Upgrade zunächst zu Windows Ser- Clusters
wenn das Betriebssystem erkennt, dass ver 2016 und von dort zur 2019-Variante
der Knoten nicht mehr stabil funktio- aktualisieren. Die funktionelle Cluster-Ebene bleibt
niert. Alle Ressourcen werden vom Kno- aktuell noch auf Windows Server 2012
ten verschoben und die Administratoren Zum Upgrade eines Clusters zu Windows R2/2016. Überprüfen Sie, ob alle Clus-
informiert. Der Network Controller in Server 2019 steht das Update-Cluster- ter-Knoten funktionieren. Auch dazu
Windows Server 2019 erkennt in diesem FunctionalLevel-Cmdlet zur Verfügung. können Sie die PowerShell verwenden
Zusammenhang auch fehlerhafte physi- Der Ablauf bei dieser Migration ist fol- (Get-ClusterNode).
sche und virtuelle Netzwerke und kann gender: Sie halten den Cluster-Knoten
entsprechend eingreifen. an. Alle virtuellen Maschinen oder an- Haben Sie alle Cluster-Knoten aktuali-
dere Ressourcen, die auf diesem Knoten siert, heben Sie die Cluster-Funktions-
Cluster-Knoten aktualisieren ausgeführt werden, erkennt der Cluster. ebene für Windows Server 2019 mit dem
Die mit Windows Server 2016 eingeführ- Wählen Sie im Kontextmenü des Knotens PowerShell-Cmdlet Update-Cluster-
te Funktion "Cluster Operating System "Anhalten / Rollen ausgleichen" oder nut- FunctionalLevel an. Ab jetzt können Sie
Rolling Upgrade" erlaubt die Aktualisie- zen Sie in der PowerShell dem Cluster aber keine Knoten mehr mit
rung von Cluster-Knoten zu Windows Windows Server 2012 R2/2016 hinzufü-
Server 2019, ohne dass Serverdienste im Suspend-ClusterNode Name des Knotens gen. Die Version des Clusters erfahren
Cluster ausfallen. Sie können Cluster- -drain Sie über
Knoten mit Windows Server 2019 in-
stallieren und in bestehende Cluster mit Die VMs und die anderen Cluster-Work- Get-Cluster | Select
Windows Server 2016 integrieren. Auch loads wandern so zu einem anderen Kno- UpdateFunctionalLevel
das Verschieben von Cluster-Ressourcen ten, der noch in Produktion ist.
und virtuellen Maschinen zwischen den Betreiben Sie einen Cluster mit Knoten
Cluster-Knoten ist möglich. Wenn alle Nun gilt es, das vorhandene Betriebssys- auf Basis von Windows Server 2012 R2,
Knoten auf Windows Server 2019 aktua- tem zu entfernen und eine Neuinstallation erhalten Sie über diesen Befehl den Clus-
lisiert sind, wird die Cluster-Konfigura- von Windows Server 2019 durchzufüh- ter-Level "8". Cluster mit Windows Server
tion auf die neue Version gesetzt und ren. Entfernen Sie dazu den Knoten aus 2016, ohne Knoten mit Windows Server
Set-ClusterQuorum
-CloudWitness
Bild 2: Um einen Cluster-Knoten zu aktualisieren, lässt er sich zeitweise und geplant anhalten. -AccountName StorageAccountName
-AccessKey StorageAccountAccessKey
2012 R2, können auf Level 9 gesetzt wer- Windows Server 2019 ist die Vorberei-
den. Cluster, die nur auf Windows Server tung des passenden Microsoft-Azure- Lassen sich die Cluster-Knoten nicht di-
2019 aufbauen, werden auf Level 10 ge- Storage-Accounts (Speicherkonto). Unter rekt anbinden, können Sie auch testweise
setzt. Hier lassen sich keine Knoten mehr diesem Konto wird das Blob-File gespei- eine Anbindung über einen Proxy durch-
mit Windows Server 2012 R2 oder Win- chert, das die Zeugendaten für den Clus- führen. Allerdings ist das nicht immer so
dows Server 2016 betreiben. ter aufbewahrt. einfach und funktioniert leider auch nicht
sehr stabil. Eine Anleitung dazu finden
Cluster-Sets nutzen Dazu legen Sie im Azure-Portal über den Sie im MSDN [1]. Sie können die erfolg-
In Windows Server 2019 lassen sich Clus- Assistenten zum Hinzufügen von neuen reiche Verknüpfung auch im Azure-Portal
ter in Gruppen, den Cluster-Sets, zusam- Ressourcen ein neues Speicherkonto an. überprüfen. Klicken Sie auf das Speicher-
menfassen, sodass beispielsweise Ressour- Wählen Sie im Bereich "Replikation" die konto und dann auf "Blobs", sehen Sie
cen zwischen den Clustern verschoben Option "Lokal redundanter Speicher den neuen Container "msft-cloud-wit-
und migriert werden können, wie etwa (LRS)" aus. Das Erstellen eines Speicher- ness". Dabei handelt es sich um den Con-
VMs im Live-Betrieb. Microsoft hat die kontos nimmt etwas Zeit in Anspruch. tainer für die Blob-Datei des Clusters.
Technologie eingeführt, da die meisten Wichtig zur Anbindung Ihrer Cluster- Klicken Sie auf den Container, sehen Sie
Unternehmen nicht die maximale Anzahl Knoten sind die Zugriffsschlüssel des die Zeugendatei. Der Name der Datei ist
von Cluster-Knoten nutzen, sondern eher Speicherkontos, die Sie im Azure-Portal die GUID des Clusters.
kleinere Cluster betreiben. abrufen, um diese auf den Cluster-Kno-
ten zu verwenden. Die beiden Schlüssel Im Failovercluster-Manager klicken Sie
Cluster-Sets ermöglichen es dabei, Clus- finden Sie über den Menüpunkt "Zu- auf den Cluster und sehen dann in der
ter in einem Netzwerk zu einem einzigen griffsschlüssel" in der Verwaltung des Mitte des Fensters bei "Hauptressourcen
logischen Management-Set für mehr Speicherkontos. Erstellen Sie ein Spei- des Clusters" den Cloudzeugen. Dieser
Ausfallsicherheit und Flexibilität zusam- cherkonto, dann erzeugt Azure auch muss als aktiv gekennzeichnet sein. Per
menzufassen. Dazu gehören das Clus- eine URL für den externen Zugriff im Doppelklick auf die Ressourcen rufen
ter- übergreifende Failover und eine ein- Format "https://Storage Account Name. Sie deren Eigenschaften auf. Hier muss
fachere Live-Migration zwischen den Storage Type.Endpoint". der "Status" die Option "Online" anzei-
Clustern für Wartungsarbeiten sowie ef- gen. In der PowerShell überprüfen Sie
fektivere Lastausgleiche. Ein neuer ver- Sobald Sie das Speicherkonto erstellt ha- die Konfiguration mit Get-Clusterquo-
teilter Namensraum auf einem Scale- ben, können Sie das Quorum des Clusters rum. Die wichtigsten Befehle zur Ver-
Out-Fileserver lässt sich ebenfalls über anpassen. Am schnellsten geht das, wenn waltung eines Clusters finden Sie in der
alle Cluster verteilen. Dies erleichtert die Sie im Failovercluster-Manager im Kon- gleichnamigen Tabelle.
Bereitstellung von VMs im Netzwerk. textmenü des Clusters die Option "Wei-
tere Aktionen / Clusterquorumeinstel- Besteht ein Failover-Cluster aus virtuellen
Zusammenarbeit mit Azure lungen konfigurieren" auswählen. Hier Maschinen, wird er als "Gast-Cluster" be-
Windows Server 2019 erlaubt den Be- können Sie über einen Assistenten die zeichnet. Gast-Cluster dienen dazu, einer
trieb von Zeugenservern (Witness) in Quorum-Konfiguration anpassen. Serveranwendung innerhalb einer VM –
Azure, was für global verteilte Cluster zum Beispiel einem virtuellen SQL Server
und Rechenzentren die Effizienz von Für die Anbindung an Microsoft Azure – eine hohe Verfügbarkeit zu bieten. Da
Clustern erheblich verbessern und die verwenden Sie "Erweiterte Quorumkon- Gast-Cluster vor allem in der Cloud zum
Verwaltung erleichtern kann. Grundlage figuration" und klicken auf "Weiter", bis Einsatz kommen, vereinfacht Windows
für Cloud Witness in einem Cluster mit Sie auf der Seite "Quorumzeuge auswäh- Server 2019 es, einen Gast-Cluster in
Azure zu erstellen. Es ist zum Beispiel lassen sich nicht parallel nutzen. Das gilt auch im Failovercluster-Manager in der
nicht mehr notwendig, die Konfiguration auch beim Einsatz von Windows Server Spalte "Priorität".
eines Loadbalancers durchzuführen. 2019 mit SCVMM 2019. Allerdings stellt
Gast-Cluster erkennen, wenn sie in Azure Node Fairness nur eine eingeschränkte Sie können die Einstellungen dazu auch
positioniert sind und vermeiden Ausfall- Möglichkeit dar, die Last im Cluster op- in der PowerShell anpassen. Alle zur Ver-
zeiten wegen geplanten Wartungsarbei- timal zu verteilen. Die dynamische Op- fügung stehenden Cmdlets dazu erhalten
ten. Auch verschieben Gast-Cluster die timierung in SCVMM bietet hier mehr. Sie über den Befehl Get-Command
virtuellen Maschinen des Clusters wäh- Unternehmen, die auf SCVMM zusam- *ClusterGroup*. Hier haben Sie auch die
rend eines Patchvorgangs automatisch men mit Windows Server 2019 setzen, Möglichkeit, VMs zu gruppieren und
zwischen Hosts in Azure. sollten daher die dynamische Optimie- dadurch zu einem Verbund zusammen-
rung verwenden. Ohne den Einsatz von zufassen. Außerdem können Sie über die
Lastenausgleich per SCVMM ist Node Fairness aber durch- Cmdlets Abhängigkeiten der Gruppen
Node Fairness aktivieren aus sinnvoll. In der PowerShell lässt sich definieren, zum Beispiel die Abhängig-
Wenn Sie einen Cluster mit Windows die Funktion mit dem nachfolgenden keit der Gruppe der Anwendungsserver
Server 2019 betreiben, steht Ihnen der Cmdlet steuern: von der Gruppe der SQL-Server. Dazu
automatische Lastenausgleich zur Ver- verwenden Sie das Cmdlet Add-Cluster-
fügung. Nach dessen Aktivierung kann (Get-Cluster).AutoBalancerMode = 1 GroupSetDependency.
Hyper-V VMs automatisch zu weniger oder 2
ausgelasteten Cluster-Knoten verschie- Ausfallsicherheit
ben. Dazu nutzt Windows Server 2019 Startreihenfolge im Cluster steuern
die Live-Migration. Die bestehenden der VMs anpassen Windows Server 2019 lässt im Cluster ef-
Server bleiben dabei gestartet. Die Funk- In Windows Server 2019 legen Sie darü- fizientere Steuerungen bezüglich der Ver-
tion wurde in Windows Server 2016 ein- ber hinaus auch ohne SCVMM die Start- fügbarkeit zu. Denn nicht immer ist das
geführt und mit Windows Server 2019 reihenfolge von VMs im Cluster fest. sofortige Verschieben von VMs zu einem
verbessert. Dazu klicken Sie die VMs im Failover- anderen Cluster-Knoten ideal, nur weil
cluster-Manager mit der rechten Maus- ein Knoten kurzzeitig Probleme hat.
Die sogenannte Node Fairness misst da- taste an und wählen die Option "Start- Selbst wenn ein Verschieben mit der Live-
zu die Auslastung des Arbeitsspeichers priorität ändern". Sie sehen die Priorität Migration erfolgt, ist ein Failback teilweise
und der CPU im Cluster. Die ebenfalls nicht sinnvoll, wenn
Aktivierung dieser Funktion der ursprüngliche Knoten noch
nehmen Sie im Failovercluster- Probleme hat, zum Beispiel bei
Manager vor oder über die kurzzeitigen Netzwerkproble-
PowerShell. Im Failovercluster- men in einem Cluster.
Manager finden Sie die Einstel-
lung in den Eigenschaften des Erkennt ein Cluster mit Win-
Clusters auf der Registerkarte dows Server 2019, dass ein Kno-
"Ausgleichsmodul". ten kurzzeitig nicht mehr rea-
giert, erhält dieser den Status
Auf Basis der Node-Fairness- "Isoliert". Hat ein Knoten über
Informationen kann der Cluster mehrere Stunden häufiger mit
einzelne VMs oder ganze Grup- Ausfällen zu kämpfen, wird er in
pen auf andere, weniger ausge- Quarantäne versetzt. Win-dows
lastete Hosts verteilen. Dazu Server 2019 verschiebt dann die
sind keine Zusatzprodukte wie VMs des Knotens mit der Live-
System Center Virtual Machine Migration auf andere Knoten.
Manager (SCVMM) notwendig.
Liegt die Auslastung von CPU Um diese Quarantäne mit der
oder Arbeitsspeicher über ei- PowerShell manuell zu been-
nem bestimmten Bereich, mi- den, verwenden Sie
griert der Cluster über die Live-
Migration die VMs automatisch Start-ClusterNode -Clear-
auf weniger stark ausgelastete Quarantine
Knoten.
Die aktuellen Einstellungen des
Node Fairness und die dynami- Bild 3: Windows Server 2019 hat ein eigenes Clusters sehen Sie in der Power-
sche Optimierung von SCVMM Lastenausgleichsmodul an Bord. Shell mit dem Befehl
Get-Cluster | fl Res* bindung erfolgt dann über Storage Spa- auf einem gemeinsamen Datenträger in
ces Direct zwischen den angebundenen einem physischen Cluster gespeichert
Der Wert "ResiliencyDefaultPeriod" de- Datenspeichern. sein müssen.
finiert dabei, wie lange VMs in Sekun-
den isoliert laufen dürfen, "Resiliency- Um S2D in produktiven Umgebungen Betreiben Sie Hyper-V in einem Cluster,
Level" legt das Verhalten des Clusters zu verwenden, benötigen Unternehmen können Sie sicherstellen, dass beim Aus-
fest und der Standardwert "AlwaysIso- spezielle Hardware – vor allem kompa- fall eines physischen Hosts alle virtuellen
late" zeigt an, dass Knoten immer erst tible Netzwerkkarten, die RDMA be- Server durch einen weiteren Host auto-
isoliert werden, bevor der Cluster alle herrschen. In Testumgebungen lassen matisch übernommen werden. Dazu
VMs isoliert. sich aber auch virtuelle Server, virtuelle betreiben Sie die virtuellen Server als
Festplatten und virtuelle Netzwerkkar- Cluster-Ressourcen. Beim Einsatz von
Failoverclustering mit ten ohne besondere Hardware nutzen. virtuellen Clustern können Sie Fehler in
Server 2019 planen Das ist für den produktiven Einsatz na- Servern ebenfalls abfangen, allerdings kei-
Windows Server 2019 unterstützt den türlich nicht zu empfehlen. ne Fehler der Hardware, da der Cluster
Betrieb als Geo-Cluster. In einer solchen virtuell abgebildet ist.
Umgebung laufen Cluster-Knoten in ver- Hyper-V-Cluster mit
schiedenen Ländern und synchronisie- Windows Server 2019 Natürlich lassen sich die virtuellen Clus-
ren ihre Daten. Microsoft hat dazu die Windows Server 2019 erlaubt wie seine ter-Knoten auch auf physischen Clustern
Replikation der Daten zwischen Clus- Vorgänger, auch mit der Standard-Edi- betreiben. In diesem Fall sind die VMs
ter-Knoten verbessert. Storage-Pools tion einen Cluster aufzubauen. Sie kön- vor einem Ausfall der Hardware geschützt
lassen sich auf verschiedene Server aus- nen weiterhin für Cluster auf gemein- und die virtuellen Cluster-Dienste, zum
dehnen und die Daten synchron und same Datenträger setzen, auch wenn Sie Beispiel ein Dateiserver, vor dem Ausfall
asynchron replizieren. einen virtuellen Cluster betreiben. Da- des virtuellen Betriebssystems auf einem
rüber hinaus haben Sie die Möglichkeit, virtuellen Cluster-Knoten.
Durch den Betrieb von drei Knoten in auf einem Server VHDX-Festplatten als
einem Cluster, bei drei identisch ge- gemeinsamen Datenspeicher für Cluster iSCSI-Ziele über virtuelle Fest-
wählten Servern, können die beiden an- auf Basis eines iSCSI-Ziels zu definieren. platten zur Verfügung stellen
deren Knoten den Ausfall eines Knotens Seit Windows Server 2012 R2 können Windows Server 2019 kann virtuelle Fest-
verkraften. In diesem Fall haben die Sie auch VHDX-Festplatten als iSCSI- platten auf Basis von VHDX-Dateien als
Knoten im Cluster eine Leistung von Ziel definieren. Vorteil von iSCSI-Zielen iSCSI-Ziel im Netzwerk zur Verfügung
66 Prozent, die restlichen 34 Prozent als gemeinsamer Datenträger ist, dass stellen, das sich als gemeinsamer Daten-
dienen dem Ausfallschutz, wenn einer Sie physische Cluster anbinden können, träger für Cluster nutzen lässt. Sie konfi-
der Knoten schlapp macht. Insgesamt während die gemeinsamen VHDX-Fest- gurieren dies im Server-Manager über
lassen sich bis zu 64 Knoten in einem platten (Shared-VHDX) nur virtuelle "Verwalten / Rollen und Features hinzu-
Cluster zusammenfassen. Nachdem Sie Cluster unterstützen. Außerdem muss fügen", indem Sie den Rollendienst
Ihre benötigte Leistung ermittelt haben, beim Einsatz von Shared-VHDX der vir- "iSCSI-Zielserver über Datei- und Spei-
sollte dieser Wert in die Planung der tuelle Server zwingend auf einem Clus- cherdienste/Datei- und iSCSI-Dienste"
Knoten einfließen. ter betrieben werden. installieren. Anschließen legen Sie über
den Server-Manager und die Auswahl
Cluster in Windows Server 2019 beherr- Sie können in Windows Server 2019 Hy- von Datei-/Speicherdienste / iSCSI" vir-
schen Dynamic I/O: Fällt die Datenver- per-V im Cluster betreiben und virtuelle tuelle Festplatten an und machen diese
bindung eines Knotens aus, kann der Server als Cluster-Ressourcen nutzen. als iSCSI-Ziel im Netzwerk verfügbar.
Cluster den Datenverkehr, der für die Die Verwaltung erfolgt dann entweder
Kommunikation zu den virtuellen Com- über die PowerShell, die Cluster-Verwal- Im Rahmen der Einrichtung legen Sie die
putern im SAN notwendig ist, automa- tung oder das Windows Admin Center. Größe und den Speicherort der VHD(X)-
tisch über die Leitungen des zweiten Kno- Um mit Hyper-V virtualisierte Server Datei fest. Außerdem steuern Sie über
tens routen, ohne dazu ein Failover mit Hochverfügbarkeit zu versorgen, ist den Assistenten, welche Server im Netz-
durchführen zu müssen. die Live-Migration im Cluster ein pro- werk auf das iSCSI-Ziel zugreifen dürfen.
bates Mittel. Die Live-Migration können Wollen Sie die Festplatten als Cluster-Da-
Seit Windows Server 2016 ist es nicht Sie mit einem gemeinsamen physischen tenträger nutzen, können Sie hier den Zu-
mehr notwendig, dass die einzelnen Datenträger, mit iSCSI-Zielen aber auch griff einschränken. Mit einem einzelnen
Knoten eines Windows-Clusters phy- mit Storage Spaces Direct einrichten. Die SCSI-Ziel können Sie auch mehrere vir-
sisch mit dem Datenträger verbunden gemeinsamen Festplatten auf Basis von tuelle iSCSI-Festplatten auf einem Server
sind. Daher lassen sich jetzt auch ver- Shared-VHDX unterstützen keine Clus- zur Verfügung stellen. Dazu starten Sie
schiedene Systeme und Festplattenstan- ter für die Live-Migration in Hyper-V. den Assistenten einfach neu und wählen
dards miteinander vermischen. Die Ver- Dazu kommt, dass Shared-VHDX-Disks ein bereits vorhandenes Ziel aus.
Haben Sie die einzelnen virtuellen Fest- "OK". Wenn Sie einen Cluster mit iSCSI erfolgt als Feature über den Server-Ma-
platten erstellt und dem oder den entspre- erstellen, verbinden Sie das Ziel auch nager, die PowerShell oder im WAC.
chenden iSCSI-Ziel(en) zugewiesen, ver- auf dem zweiten Server, und allen wei- Während der Installation nehmen Sie
binden Sie diese auf den Cluster-Knoten. teren Cluster-Knoten, die Sie in den keine Einstellungen vor. Achten Sie da-
Die virtuellen Festplatten werden anschlie- Cluster einbinden wollen. rauf, dass die gemeinsamen Datenträger
ßend in der lokalen Datenträgerverwal- auf allen Knoten verbunden und mit
tung des Servers als normale Laufwerke Cluster mit Windows dem gleichen Laufwerksbuchstaben ver-
angezeigt und entsprechend verwaltet. Server 2019 installieren sehen sind. Um die notwendigen Fea-
Ein Cluster benötigt in Windows Server tures für einen Hyper-V-Cluster über
Um auf Cluster-Knoten die virtuellen 2019 – abhängig von der Konfiguration – die PowerShell zu installieren, geben Sie
iSCSI-Laufwerke zu verbinden, verwen- ein Quorum, also einen gemeinsamen Da- die folgenden Cmdlets ein:
den Sie den iSCSI-Initiator, der zu den tenträger, auf den alle Cluster-Knoten zu-
Bordmitteln von Windows Server 2019 greifen können. Es gibt auch Wege, die Install-WindowsFeature Hyper-V
gehört. Suchen Sie nach "iscsi" im Start- lokalen Datenträger des Clusters zu ver-
menü und starten Sie das Tool. Beim ers- wenden – dazu später mehr. Sie brauchen Install-WindowsFeature Failover-
ten Aufruf müssen Sie den Start des ent- auch einen Namen für den Cluster. Dieser Clustering -IncludeManagementTools
sprechenden Systemdiensts bestätigen Name erhält kein Computerkonto, wird
und die Blockierung durch die Windows- aber für die Administration des Clusters Install-WindowsFeature Multipath-IO
Firewall aufheben. verwendet. Jeder Knoten des Clusters erhält
ein Computerkonto in derselben Domäne. Alle PowerShell-Befehle für Cluster finden
Im ersten Schritt wechseln Sie zur Regis- Daher benötigt jeder physische Knoten ei- Sie in der Tabelle auf Seite 36. Starten Sie
terkarte "Suche", klicken auf "Portal er- nen entsprechenden Rechnernamen. nach der Installation der notwendigen Fea-
mitteln" und geben die IP-Adresse oder tures auf dem ersten Cluster-Knoten die
den Namen des Servers ein, auf dem Sie Sie brauchen für den Cluster mehrere IP- Failovercluster-Verwaltung durch Eingabe
die virtuellen Festplatten zur Verfügung Adressen: Jeder physische Knoten ver- von failover im Startmenü. Das gleiche er-
stellen. Wechseln Sie dann zur Register- wendet je eine IP-Adresse, der Cluster als reichen Sie über die Cluster-Verwaltung
karte "Ziele". Hier zeigt Windows das Ganzes erhält eine IP-Adresse und die und über den Server-Manager im Menü
iSCSI-Ziel auf dem Server an. Anschlie- Netzwerkkarten für die private Kommu- "Tools". Klicken Sie in der Failovercluster-
ßend können Sie das Ziel mit den hinter- nikation des Clusters erhalten – und dies Verwaltung auf den Link "Konfiguration
legten Laufwerken verbinden, die Sie auf ist besonders wichtig – je eine IP-Adresse überprüfen". Sie wählen im Fenster zu-
dem Ziel-Server mit dem iSCSI-Ziel ein- in einem getrennten Subnetz. In Testum- nächst die potenziellen Cluster-Knoten aus
gerichtet haben. gebungen können Sie auch mit einer ein- und legen fest, welche Tests das Tool durch-
zelnen Netzwerkumgebung arbeiten. Die- führen soll. Für Testzwecke kann ein Clus-
Dazu klicken Sie auf die Schaltfläche se übernimmt die Kommunikation mit ter auch nur aus einem einzelnen Knoten
"Verbinden". Damit baut der Server eine dem Netzwerk und die interne Kommu- bestehen. Das Testen der Server für die
Verbindung mit dem Server und den er- nikation im Cluster und Sie müssen Clusterinstallation ist der erste Schritt zum
stellten virtuellen Festplatten auf. Jetzt nichts anpassen. Erstellen eines Clusters.
aktivieren Sie das Kontrollkästchen
"Diese Verbindung der Liste der bevor- Um Hyper-V oder andere Dienste in ei- Nachdem der Assistent alle wichtigen
zugten Ziele hinzufügen". Diese Option nem Cluster zu betreiben, installieren Punkte erfolgreich getestet hat, erstellen
muss für alle Laufwerke eingestellt wer- Sie zunächst einen herkömmlichen Sie den Cluster. In der PowerShell lautet
den. Bestätigen Sie dann alle Fenster mit Cluster mit Windows Server 2019. Dies die Syntax dazu:
Bild 4: Alle Cluster-Dienste lassen sich unter Windows Server 2019 auch in der PowerShell verwalten.
in die Cluster-Verwaltung. Zuvor müssen stallation von der Quelle, die Sie in den Zusätzlich müssen Sie auf allen Cluster-
Sie die Laufwerke aber auf allen Knoten Gruppenrichtlinien angegeben haben. Knoten, die an CAU teilnehmen sollen,
verfügbar machen. Bereits integrierte Ohne WSUS greift CAU auf die interne eine eingehende Firewallregel erstellen.
Laufwerke sehen Sie, wenn Sie den Me- Updatefunktion von Windows Server Als Regeltyp verwenden Sie "Vordefiniert /
nübefehl "Speicher / Datenträger" aufru- 2019 zu. Wichtig zu wissen ist noch, dass Remoteherunterfahren". Das Verwal-
fen. Hier zeigt der Failovercluster-Mana- CAU nur die Updates automatisiert in- tungsprogramm für die Firewall starten
ger alle bereits integrierten Laufwerke stallieren kann, die auch über Windows Sie durch Eingabe von wf.msc. Ist die Re-
und deren Status an. Wählen Sie nach ei- Update installiert werden können. gel schon vorhanden, können Sie diese
nem Klick mit der rechten Maustaste im über das Kontextmenü einfach aktivieren.
Kontextmenü die Option"Speicher / Da- Durch die Konfiguration von CAU in ei- Der Sinn der Regel soll sein, dass der
tenträger", können Sie mit "Datenträger nem Cluster erstellen Sie eine neue Rolle, CAU-Dienst die einzelnen Cluster-Kno-
hinzufügen" neu installierte Datenträger die zukünftig Software-Aktualisierungen ten bei Bedarf auch neu starten kann,
in den Cluster integrieren. vollkommen selbständig durchführen nachdem Updates installiert sind.
kann. Diese Serverrolle ist der zentrale
Cluster Aware Bestandteil bei der automatisierten Ak- Haben Sie diese Einstellung vorgenom-
Update einrichten tualisierung der Cluster-Knoten und men, suchen Sie im Startmenü nach dem
Mit "Cluster Aware Update" (CAU) in- übernimmt auch die Konfiguration des Einrichtungsprogramm von "Clusterfähi-
stallieren Sie Updates auf Windows-Clus- Wartungsmodus auf den einzelnen Clus- ges Aktualisieren" und starten das Tool.
tern, ohne dass Serverdienste ausfallen. ter-Knoten, kann Cluster-Knoten neu Mit diesem Programm nehmen Sie die
CAU ist ab Windows Server 2012 nutzbar, starten, Cluster-Rollen wieder auf die kor- grundlegenden Settings für CAU vor. Im
unterstützt allerdings alle Cluster-fähigen rekten Cluster-Knoten verschieben und ersten Schritt lassen Sie sich mit dem Clus-
Anwendungen. Außerdem können Sie mehr. Das Verschieben von Cluster-Rol- ter verbinden, für den Sie CAU aktivieren
CAU auch mit System Center Configu- len auf andere Knoten entspricht einem wollen. Danach klicken Sie auf den Link
ration Manager (SCCM) 2012, 2012 R2, geplanten Failover der Rollen. "Vorbereitung auf das Clusterupdate ana-
2016 und 2019 verwenden. Sie müssen lysieren". Der Assistent überprüft im An-
allerdings darauf achten, dass sich die Vor der Einrichtung von CAU sollten Sie schluss, ob Sie CAU im Cluster aktivieren
Softwareaktualisierungs-Komponente in genau überprüfen, ob einzelne Server- können und ob alle wichtigen Vorausset-
SCCM nicht mit einer CAU-Installation dienste oder Cluster-Rollen Probleme da- zungen getroffen sind.
überschneidet. Sie können bei der Kon- mit haben, wenn ein Failover ausgelöst
figuration nur den kompletten zu aktua- wird. Vor allem beim Betrieb von Hyper- Haben Sie sich mit dem gewünschten
lisierenden Cluster auswählen. V-Clustern sollten Sie im Vorfeld die ein- Cluster verbunden und die Analyse
zelnen VMs auf Kompatibilität mit einem durchgeführt, starten Sie anschließend
Wollen Sie nur einzelne Knoten aktuali- Failover überprüfen. CAU kann auch nur die Einrichtung über einen Assistenten.
sieren, können Sie CAU nicht verwenden. die Cluster-Knoten selbst aktualisieren, Diesen rufen Sie mit "Selbstaktualisie-
Hier müssen Sie manuell die Windows- nicht aber die einzelnen virtuellen Server rungsoptionen des Clusters konfigurie-
Update-Funktion über Skripte steuern in einem Hyper-V-Cluster. Hier sollten Sie ren" auf. Auf der ersten Seite des Assis-
und ebenfalls per Skript die aktiven Clus- mit WSUS und Windows-Update-Einstel- tenten erhalten Sie eine Information, was
ter-Rollen auf andere Knoten verschieben. lungen über Gruppenrichtlinien arbeiten. der Assistent alles konfiguriert.
Der System Center Virtual Machine Ma-
nager (SCVMM) verfügt ebenfalls über Erstellen Sie zunächst im Snap-In "Active Auf der nächsten Seite aktivieren Sie die
eine Komponente, um Hyper-V-Cluster Directory-Benutzer und -Computer" ein Option "Selbstaktualisierungsoptionen
zu aktualisieren. Diese Funktion lässt sich neues Computerobjekt. Dieser Vorgang des Clusters konfigurieren". Danach ak-
aber nur mit SCVMM und mit Hyper-V ist zwar optional, denn das Computerob- tivieren Sie die Option "Ich habe das
nutzen, andere Cluster-Dienste können jekt kann später auch der Assistent für Computerobjekt für die CAU-Cluster-
Sie mit SCVMM nicht automatisch ak- CAU selbst erstellen, es stellt allerdings rolle vorab bereitgestellt", wenn Sie die-
tualisieren lassen. die Grundlage für die neue Cluster-Rolle sen Schritt bereits selbst durchgeführt
zur Einrichtung der automatischen Ak- haben. Geben Sie im Feld den Namen
Standardmäßig nutzt CAU die API für tualisierung dar. Sie müssen keine Ein- des Computerobjekts ein, das Sie im
den Windows-Update-Agenten. Das stellungen für das Objekt vornehmen, Vorfeld angelegt haben. Der Assistent
heißt, Sie müssen zusätzlich zur Konfi- sondern es nur erstellen. Die Konfigura- kann das Objekt auch automatisch er-
guration von CAU noch festlegen, wie tion nehmen Sie später bei der CAU-Ein- stellen, was die Konfiguration in Test-
die Updates installiert werden sollen. richtung vor. Verwenden Sie als Beispiel umgebungen vereinfacht. In produkti-
Dazu verwenden Sie am besten eine den Namen des Clusters mit der Erwei- ven Umgebungen ist es jedoch meistens
WSUS-Infrastruktur und Gruppenricht- terung CAU, zum Beispiel "Cluster-CAU". sinnvoll, solche Aufgaben im Vorfeld zu
linien. CAU greift auf die entsprechen- Später wird das Computerobjekt mit dem erledigen. Oft gibt es auch verschiedene
den Updates zu und holt diese zur In- Cluster verbunden. Administratorengruppen für Cluster
Cluster-Netzwerk verwalten cluster network /prop Get-ClusterNetwork CAU in der PowerShell steuern
Neben der Aktualisierung mit der Power-
und Active Directory. In diesem Fall ist tualisierung nur dann gestartet wird, Shell können Sie CAU auch mit anderen
es ebenfalls sinnvoll, vorher das Objekt wenn alle Cluster-Knoten online sind Cmdlets verwalten. Sie können in der
durch berechtigte Administratoren an- und zur Verfügung stehen. Das ist vor PowerShell zum Beispiel CAU mit Add-
legen zu lassen. allem dann wichtig, um andere War- CauClusterRole einrichten oder einen Be-
tungsarbeiten auszuschließen. Bei der richt mit Export-CauReport exportieren.
Auf der nächsten Seite legen Sie den Installation von Patches muss CAU, die Alle interessanten Cmdlets inklusive Hilfe,
Zeitplan fest, nach dem sich der Cluster auf dem Cluster-Knoten betriebenen erhalten Sie über
und die einzelnen Knoten automatisiert Ressourcen auf andere Server im Cluster
aktualisieren sollen. Natürlich hängt die- verschieben. Idealerweise sollten dann get-command -module
se Aktualisierung auch von der Verfüg- die anderen Knoten auch zur Verfügung ClusterAwareupdating
barkeit der Updates ab. Auf der Seite "Er- stehen. Dazu aktivieren Sie die Option
weiterte Optionen" können Sie weitere "True" bei "RequireAllNodesOnline". Link-Codes
Einstellungen vornehmen, um CAU in-
dividuell anzupassen – diese sind aber Skripte hinterlegen [1] Netsh.exe and ProxyCfg.exe
Proxy Configuration Tools
optional. Sinnvoll ist hier zum Beispiel Weitere Möglichkeiten sind das Hinter-
h1z31
die Option, die überprüft, dass die Ak- legen von Skripten, die vor oder nach der
Geben Sie in den Eigenschaften des Objekts startet und dann die Ressourcen wieder Die Befehle in der PowerShell sind meistens
dem Cluster-Konto volle Zugriffsrechte auf zurück übertragen. Danach wird der nächs- schneller:
das neue CAU-Konto. Alternativ lassen Sie te Knoten aktualisiert und so weiter.
den Assistenten selbst das Computerobjekt Invoke-CauScan | ConvertTo-Xml
erstellen. In diesem Fall werden die Rechte Updates mit CAU planen
durch den Assistenten gesetzt. Lassen Sie CAU unterstützt verschiedene Aktualisie- Get-CauReport | Export-CauReport
bei Fehlern einfach die Analyse noch einmal rungsmodi zur Planung der Updates. Mit
durchführen und nehmen Sie die gleichen der Remote-Aktualisierung starten Sie ma- Entsprechende Optionen finden Sie auch
Einstellungen erneut vor. nuell eine Aktualisierung für den Cluster. direkt in der grafischen Benutzeroberflä-
Dazu greifen Sie auf die Benutzeroberfläche che. Die Cmdlets und die grafische Ober-
Auch bei weiteren Tests sollten keine Fehler oder das Invoke-CauRun-Cmdlet in der fläche stehen zur Verfügung, wenn Sie die
mehr erscheinen. Welche Patches der PowerShell zurück. Die Remote-Aktualisie- Verwaltungstools für Cluster installieren.
Dienst schließlich installiert, steuern Sie rung ist der Standardaktualisierungsmodus
durch Freigabe derselben auf einem WSUS- für CAU. Mit der Aufgabenplanung können Wollen Sie die Updates aus dem Internet
Server. Alternativ aktivieren Sie die lokale Sie auch das Invoke-CauRun-Cmdlet zu ei- herunterladen lassen, ohne dem Cluster
Updateverwaltung auf dem Server. Die Lis- nem von Ihnen gewünschten Zeitplan star- eine direkte Verbindung in das Web zu
te der Patches, die der Dienst als Nächstes ten. Achten Sie aber darauf, hier keinen Clus- gewähren, nutzen Sie einen Proxy-Server.
installiert, erhalten Sie im CAU-Verwal- ter-Knoten zu verwenden, sondern einen Die Einstellungen können Sie auch in der
tungsprogramm, wenn Sie auf "Vorschau Server, der nicht Mitglied eines Clusters ist. Befehlszeile mit netsh konfigurieren:
der Updates für diesen Cluster anzeigen"
klicken. Der Dienst greift dabei auf Win- Mit der Selbstaktualisierung kann sich der netsh winhttp set proxy Name oder IP-
dows Update auf dem Server zu. Wenn Sie Cluster auf Basis eines definierten Profils Adresse des Proxy:Port "*.Domäne,
mit WSUS arbeiten, werden die Updates und automatisch selbst aktualisieren. local"
von WSUS heruntergeladen, verwenden Wenn Sie den Selbstaktualisierungsmodus
Sie Windows-Update, nutzt diese Funktion aktivieren wollen, müssen Sie dem Cluster Sie geben im Befehl also den Namen oder
wiederum direkt die Windows-Update- die CAU-Clusterrolle hinzufügen. Das die IP-Adressen und den Port des Proxys
Funktion im Internet. Selbstaktualisierungsfeature wird wie jeder an. Danach müssen Sie in Anführungszei-
andere Cluster-Dienst betrieben und lässt chen die Ausnahmen eintragen, zunächst
Um eine sofortige Aktualisierung nach der sich auch für den geplanten und unge- Ihre interne Domäne und zusätzlich noch
Einrichtung zu starten oder auch nachträg- planten Failover nutzen. die Option "local" um alle lokalen Server
lich, wenn Sie zum Beispiel gerade ein festes als Ausnahme zu konfigurieren.
Wartungsfenster haben, klicken Sie auf Standardmäßig verwendet CAU als Rei-
"Updates auf diesen Cluster anwenden". henfolge der zu aktualisierenden Knoten Fazit
Danach beginnt der Dienst sofort mit der deren Aktivitätsgrad. Die Knoten, auf denen In Windows Server 2019 hat Microsoft die
Aktualisierung der einzelnen Cluster-Kno- die wenigsten Cluster-Rollen gehostet wer- generelle Aufteilung von Cluster-Knoten
ten. Den Status der aktuellen Installationen den, aktualisiert der Dienst zuerst. Sie kön- deutlich verbessert und vereinfacht. Clus-
sehen im Verwaltungstool von CAU, mit nen aber in der CAU-Benutzeroberfläche ter-Sets und die Möglichkeit, Cluster-Kno-
dem Sie den Dienst bereits eingerichtet ha- und den Optionen zur Einstellung eine Rei- ten auf mehrere Domänen aufzuteilen, stel-
ben. Bei der Aktualisierung wird der ent- henfolge festlegen. Sie legen hier die Anzahl len Verbesserungen dar, genauso wie die
sprechende Knoten in den Wartungszu- von Knoten fest, die offline sein dürfen, erweiterten Funktionen für das Cluster-
stand versetzt, die Cluster-Ressourcen wie wenn CAU mit der Aktualisierung startet. Quorum. Verwalten lassen sich Cluster in
zum Beispiel die VMs auf andere Knoten CAU bietet außerdem Exportoptionen über Windows Server 2019 auch mit dem Win-
verschoben, danach die Aktualisierung ge- die PowerShell und die Benutzeroberfläche. dows Admin Center. (jp)
Aufpolierter Klassiker
von Thomas Joos
F
3R
12
weile Remote Desktop Services
s–
pu
– nicht mehr lokal oder gar nicht
lu
sex
eu
mehr verfügbar sind. Doch diese
:d
elle
Qu
wurden in Windows Server 2019 sogar
aufpoliert, mit Neuerungen versehen und sind auch
in Zukunft lokal im Rechenzentrum verfügbar. Unser Workshop
zeigt die neuen Features und die Verwaltung von RDS-Infrastrukturen.
N
eben den Remote Desktop Services modern Infrastructure nutzen, ist das ak- Nachrichtencenter von Windows 10 an-
(RDS), die in Windows Server tuell nur direkt in Azure möglich. Um zeigen, wenn Outlook als Remote-App
2019 zur Verfügung stellen, will Microsoft hybride Bereitstellungen durchzuführen, genutzt wird.
auch einige RDS-Funktionen in Azure an- müssen Sie aktuell noch virtuelle Server
bieten. Der RDS-Broker, das Gateway und in Microsoft Azure installieren. Es ist aber Beim Drucken in RDS 2019 zeigt Win-
der Webzugriff lassen sich in Zukunft zu erwarten, dass Microsoft die Dienste dows Server 2019 den Fortschritt eines
auch in Microsoft Azure nutzen. Dazu verschmelzen will. Druckvorgangs an. Auch Videokonferen-
stellt Microsoft "Remote Desktop Modern zen werden mit RDS 2019 besser: Sind
Infrastructure" (RDMI) zur Verfügung, Neue RDS-Funktionen Geräte für Videokonferenzen an einem
das verschiedene RDS-Funktionen ganz in Server 2019 lokalen Rechner angeschlossen, lassen
oder teilweise in die Cloud integriert. Mit Server 2019 ist über Remote Desktop sich diese auch in RDS-Sitzungen ver-
Auch die Speicherung von Daten ist in Web Access (RDWA) ein HTML5-Client wenden. Dabei verbessert sich laut Mi-
Azure möglich, die Profile für RDS-Um- verfügbar. Der Client bietet ähnliche Funk- crosoft auch die Qualität wesentlich.
gebungen lassen sich in Azure Files und tionen wie der Standard-RDP-Client, der
anderen Speichern in der Cloud ablegen. für Windows und andere Betriebssysteme In Windows Server 2019 führt Microsoft
zur Verfügung steht. Der Vorteil des neuen "GPU Partitioning" ein. Dabei lassen sich
Natürlich lassen sich bereits jetzt RDS- HTML5-Clients besteht darin, dass An- virtuellen Rechnern mit Windows 10 und
Infrastrukturen in der Cloud zur Verfü- wender nichts installieren müssen. Aktuelle Hyper-V deutlich bessere Zugriffe auf die
gung stellen, allerdings bietet eine solche Browser, die HTML5 kennen, unterstützen Grafikadapter zuteilen. Die Technik funk-
Umgebung keine nennenswerten Vorteile. die Anbindung an Remote Desktop Web tioniert auch mit Remotedesktop-Sit-
Microsoft strebt an, dass einzelne Dienste Access. Der neue HTML5-Client sowie zungshosts. Der Vorteil besteht vor allem
aus RDS in Azure verfügbar sind, ohne der Remotedesktop-Webzugriff verursa- darin, dass Grafikanwendungen in Sit-
dass die Installation von VMs in Micro- chen weniger CPU-Last auf dem Client zungen deutlich besser funktionieren.
soft Azure erfolgen muss. Die Authenti- und dem Server und auch die notwendige
fizierung erfolgt in diesem Fall über das Bandbreite wird reduziert. Unternehmen, die den Zugriff mit Re-
Azure Active Directory. mote Desktop Web Access nutzen, benö-
Mit Windows 10 können die RDS-Remo- tigen nicht unbedingt die Installation ei-
Die generelle Installation von RDS ent- te-Apps die Benachrichtigungen nutzen, nes RDS-Gateways. Greifen Anwender
spricht in Windows Server 2019 noch den um Anwender über Aktionen der An- nur von intern mit RDWA auf einen
Möglichkeiten in Windows Server 2016. wendung zu informieren. Dadurch lassen RDS-Sitzungshost zu, ist kein Gateway
Wollen Unternehmen Remote Desktop sich zum Beispiel eingehende E-Mails im mehr erforderlich. Dennoch ist in diesem
Anwendungen mit
RemoteApps virtualisieren
Wollen Sie nicht nur den Desktop zur
Verfügung stellen, sondern auch einzelne
Programme, die Anwender direkt über
die Weboberfläche starten, klicken Sie
im Server-Manager auf "Remotedesk-
topdienste" und dann auf die Sammlung.
Hier sehen Informationen zur aktuellen
Sammlung und können die verschiede-
Bild 2: Bei der Auswahl des Bereitstellungsszenarios ist festzulegen, nen Bereiche bearbeiten. Dazu klicken
wie die Anwender auf Remote-Apps zugreifen. Sie jeweils auf "Aufgaben" und wählen
dann aus, welche Konfiguration Sie an-
virtuelle Computer auf Basis von Hyper- tion der Rollendienste im Server-Manager passen möchten.
V – oder eine sitzungsbasierte Bereitstel- eine Sitzungssammlung erstellen. Dazu
lung, also Server die Anwendungen oder steht die neue Gruppe "Remotedesktop- Um eine Anwendung der Liste hinzuzu-
den Desktop den Anwendern zur Verfü- dienste zur Verfügung", über die Sie die fügen, klicken Sie im Bereich Remote-
gung stellen. Infrastruktur einrichten: App-Programme auf den Link "Remote-
1. Klicken Sie in der linken Seite des Fens- App-Programme veröffentlichen". Im
Haben Sie das Szenario ausgewählt, bestä- ters auf "Remotedesktopdienste" und Anschluss startet der zugehörige Assis-
tigen Sie die zu installierenden Rollendiens- dann auf "Sammlungen". tent, über den Sie die Anwendungen der
te. Auf einem Server in der Sammlung 2. Wenn Sie jetzt "Aufgaben / Sitzungs- Liste hinzufügen. Wählen Sie entweder
müssen Sie den Remotedesktop-Verbin- sammlung erstellen" wählen, startet der das Programm aus der Liste aus oder kli-
dungsbroker installieren. Mit diesem Dienst Assistent zum Erstellen einer Sitzungs- cken Sie auf "Durchsuchen", um die Start-
können Sie Anwender mit ihrer ursprüng- sammlung. datei der Anwendung hinzuzufügen. Sie
lichen Sitzung wiederverbinden, wenn Sie 3. Geben Sie im Assistenten zunächst ei- können an dieser Stelle mehrere Anwen-
mehrere RDS-Server in einem Loadbalan- nen Namen für die Sammlung ein. dungen auswählen und die Eigenschaften
cing-Verbund einsetzen. Der Verbindungs- 4. Wählen Sie auf der nächsten Seite die der Applikationen jederzeit anpassen.
broker stellt einen Aggregationspunkt für Server aus, die der Sitzungssammlung
RemoteApps im Unternehmen zur Verfü- beitreten sollen. RemoteApps stehen nach der Veröffent-
gung und verbindet alle installierten Server, 5. Legen Sie danach fest, welche Gruppe lichung automatisch für alle Clients über
damit Sie diese zentral im Server-Manager aus dem Active Directory Zugriff auf den Webzugriff zur Verfügung. Diesen
verwalten können. Er sammelt Remote- den Server erhalten soll. Hier bietet es erreichen sie ebenfalls über die URL
Apps der verschiedenen Server ein und sich an, wie in den Vorgängerversionen, "https://Servername/rdweb". Nach der Au-
stellt diese im Startmenü der Clientrechner eigene Gruppen anzulegen. Auf diese thentifizierung stehen sofort alle Remote-
zur Verfügung. Webzugriffsserver holen Weise können Sie über die Gruppen- Apps zur Verfügung, die Sie veröffentli-
sich dazu die Daten von einem Server mit mitgliedschaft den Zugriff steuern. chen – entsprechende Berechtigungen
dem Verbindungsbroker. 6. Übernehmen Sie auf der Seite "Benut- vorausgesetzt. Sie können im Server-Ma-
zergruppen angeben" die Standardaus- nager über diesen Bereich jederzeit weitere
Als Nächstes wählen Sie einen Server mit wahl und klicken Sie auf "Weiter". Anwendungen veröffentlichen. Achten Sie
Web Access aus, der die RemoteApps der aber darauf, dass die Anwendungen auf
Farm zentral zur Verfügung stellt. Als Sie können über den Assistenten auch ei- den RDS-Hosts installiert sein müssen,
Letztes legen Sie noch den eigentlichen nen Freigabe als Benutzerprofildatenträ- nicht auf dem Server mit Web Access oder
Server fest, der den Remotedesktop-Sit- ger eingeben. RDS-Benutzer erhalten so dem RD-Verbindungsbroker. Um weitere
zungshost bereitstellt. Klicken Sie im letz- ein eigenes Benutzerprofil. Anwendungen hinzuzufügen, klicken Sie
ten Fenster auf "Bereitstellen", damit der im Server-Manager in der Verwaltung der
Assistent auf den ausgewählten Servern Haben Sie die Sammlung erstellt und Remotedesktopdienste auf die entspre-
die entsprechende Funktion installiert. auch den Webzugriff über den Installati- chende Sammlung. Im Bereich "Aufgaben"
onsassistenten eingerichtet, können Sie der App-Verwaltung können Sie veröf-
Einrichten einer bereits mit der URL "https://Serverna- fentlichte Anwendungen auch wieder ent-
neuen Sitzungssammlung me/rdweb" auf die Webfreigabe zugreifen. fernen. Im Server-Manager sehen Sie die
Installieren Sie einen Remotedesktop-Sit- Per Webzugriff haben Sie auch die Mög- aktuell verbundenen Benutzer im Bereich
zungshost, müssen Sie nach der Installa- lichkeit, eine Verbindung mit anderen "Verbindungen", wenn Sie auf die Samm-
lung klicken. An dieser Stelle können Sie findet Lizenzserver im Active Directory ten bearbeiten". Nun wählen Sie "Remo-
einzelne Verbindungen auch trennen. automatisch. tedesktoplizenzierung" und legen fest,
welche Lizenzierung Sie verwenden wol-
RDS-Lizenzierung einrichten Bei der Lizenzierung verbindet sich zu- len und welcher Lizenzserver für die
Sie benötigen für jeden Remotedesktop- nächst ein Client mit einem Remotedesk- Sammlung zum Einsatz kommt. Klicken
server (Remotedesktop-Sitzungshost) eine topserver. Dieser ruft von einem RDS-Li- Sie danach auf "Anwenden".
Windows-Server-Lizenz. Zusätzlich be- zenzserver eine Lizenz ab. Hierbei muss
nötigen Sie für jeden Benutzer, wie bei es sich nicht um den lokalen RDS handeln, Auf dem RDS-Lizenzierungsserver finden
normalen Serverzugriffen auf Datei- oder ein Lizenzserver kann Lizenzen für meh- Sie nach der Installation im Startmenü das
Druckserver, eine entsprechende Client- rere Remotedesktopserver zur Verfügung Tool "Remotedesktoplizenzierungs-Ma-
Zugriffslizenz (CAL). Diese CALs sind stellen. Für die Verbindung mit einem Ad- nager" vor oder starten dieses durch Ein-
bei keinem Betriebssystem integriert, son- ministratorkonto benötigen Sie auf einem gabe von licmgr. Haben Sie das Programm
dern müssen immer gesondert erworben Remotedesktopserver keine Lizenz, es dür- geöffnet, durchsucht es das Netzwerk und
werden. Für Windows Server 2019 kön- fen aber nur zwei Admins gleichzeitige zeigt die gefundenen Lizenzserver an, wo-
nen Sie keine Benutzer- und RDS-CALs verbunden sein. Nun stellt der RDS dem bei es nicht aktivierte Lizenzserver ent-
älterer Versionen verwenden, Sie müssen Client die Lizenz bereit. sprechend hervorhebt. Um einen Lizenz-
diese also neu erwerben. Setzen Sie anders server zu aktivieren, klicken Sie mit der
herum neue RDS-CALs ein, können Sie Lizenzserver in den Remotedesktopdiens- rechten Maustaste auf den Servernamen
diese auch mit Vorgängerversionen von ten registrieren sich automatisch im Acti- und wählen im Kontextmenü den Befehl
Windows Server 2019 nutzen. ve Directory. Installieren Sie einen neuen "Server aktivieren". Anschließend können
Remotedesktopserver, können Sie manu- Sie den Server entweder direkt über die
Bei einem Remotedesktopserver benöti- ell Lizenzserver zuweisen. So ist sicher- Konsole aktivieren, wenn Ihr Lizenzserver
gen Sie zusätzlich für jeden Client, der gestellt, dass einzelne RDS genau mit den an das Internet angebunden ist, oder Sie
sich mit dem Remotedesktopserver ver- Lizenzservern arbeiten, die Sie als Admi- führen die Aktivierung per Telefon durch.
bindet, eine spezielle Remotedesktop- nistrator hinterlegen.
server-Zugriffslizenz (RDS-CAL). Diese Klicken Sie im Server-Manager auf "Re-
Lizenz wird pro PC oder pro Benutzer Um die RDS-Lizenzierung zu installieren, mote Desktop Services" und dann auf
vergeben und gilt nicht pro gleichzeitigen wählen Sie im Server-Manager "Remote- "Remotedesktop-Lizenzierungsdiagnose"
Zugriff. Das heißt, Sie müssen nicht so desktopdienste" aus und klicken auf "Über- erhalten Sie Meldungen zur Lizenzierung.
viele Lizenzen kaufen, wie gleichzeitig Be- sicht". Über den Link "Remotedesktopli- Dieses Programm finden Sie im Startme-
nutzer mit dem Remotedesktopserver ver- zenzierung" bestimmen Sie den Server, der nü auf den RD-Sitzungshosts. In diesem
bunden sind, sondern so viele Lizenzen, die Lizenzierung steuert. Sie können an Tool können Sie auch Zertifikate hinter-
wie Benutzer insgesamt damit arbeiten. dieser Stelle allerdings nur Server auswäh- legen und das RDS-Gateway anpassen.
len, die Sie im Server-Manager über "Ver-
Microsoft bietet für RD-CALs die gleiche walten / Server hinzufügen" integriert ha- Sie sollten in regelmäßigen Abständen ei-
Lizenzierung wie bei normalen CALs. Es ben. Schließen Sie den Assistenten ab, um ne Sicherung des Lizenzservers durch-
gibt RD-Geräte-CALs und RD-Benutzer- die Lizenzierung zu aktivieren. führen, damit bei einem Serverausfall die
CALs. Befindet sich der Remotedesktop- Datenbank mit den ausgestellten Lizenzen
server im Active Directory, sollten Sie die Anschließend müssen Sie noch Einstel- möglichst nicht verloren geht. Um einen
RDS-Lizenzierung auf einem Mitglieds- lungen für die Sammlung konfigurieren. Lizenzserver zu sichern, können Sie die
server installieren. Sie haben 120 Tage Dazu klicken Sie im Server-Manager bei Windows-Datensicherung verwenden.
Zeit, bevor Sie den Lizenzierungsdienst "Remotedesktopdienste / Übersicht" bei Standardmäßig finden sich die zu sichern-
auf einem Server installieren und aktivie- "Bereitstellungsübersicht" auf "Aufgaben" den Daten im Ordner "\Windows\Sys-
ren müssen. Ein Remotedesktopserver und dann auf "Bereitstellungseigenschaf- tem32\lserver".
Spiegeln von
Remotedesktopsitzungen
Mit Windows Server 2019 können sich
Administratoren mit Sitzungen von An-
wendern verbinden, um bei Problemen
zu helfen. Über das Kontextmenü von Sit-
zungen im Server-Manager spiegeln Sie
auf RD-Sitzungshosts Sitzungen von An-
wendern. Klicken Sie eine Sitzung mit der
Bild 3: Das Veröffentlichen von Anwendungen im Server-Manager stellt diese in den rechten Maustaste an, haben Sie verschie-
Remotedesktopdiensten zur Verfügung. dene Möglichkeiten, um die Benutzer zu
- Vollzugriff ohne Erlaubnis des Benut- anderen Richtlinien an gleicher Stelle Windows Server 2019 erlaubt auch, die
zers: Erlaubt Administratoren auch oh- gesetzt sind – und "Zusammenführen" Anbindung von Druckern über Gruppen-
ne Zustimmung des Benutzers die wählen. Dabei werden die normalen Richt- richtlinien zu steuern. Die entsprechenden
Steuerung der Sitzung. In diesem Fall linien des Anwenders und die Einstellun- Einstellungen finden Sie unter "Compu-
können Administratoren beim Spiegeln gen für den Benutzer in der Remotedesk- terkonfiguration / Richtlinien / Adminis-
auch den Haken bei der Option entfer- topserver-Richtlinie genutzt. Gibt es hierbei trative Vorlagen / Windows-Komponenten /
nen, dass der Benutzer gefragt werden Konflikte, gewinnt die Richtlinie der Re- Remotedesktopdienste". Die Verwaltung
muss. Auch die Anzeige-Funktion ist motedesktopserver. von Druckern findet über den Unterein-
mit dieser Einstellung erlaubt. trag "Remotedesktopsitzungs-Host / Dru-
- Sitzung mit Erlaubnis des Benutzers Drucken mit ckerumleitung statt", wo Sie auch den Easy
anzeigen: Erlaubt Administratoren das Remotedesktop-Sitzungshosts Print Driver anpassen. Aktivieren Sie die
Anzeigen von Sitzungen mit Zustim- Verbinden sich Clients mit einem RDS- Richtlinie "Zuerst Easy Print-Druckertrei-
mung des Benutzers. Eine Steuerung Host, sind die installierten Drucker der ber der Remotedesktop verwenden", ver-
der Sitzungen ist aber nicht erlaubt. Clients und die Drucker auf dem Server sucht ein RD-Server zuerst, diesen Treiber
- Sitzung ohne Erlaubnis des Benutzers verfügbar. Der "Remotedesktop Easy zu nutzen, bevor ein anderer Treiber in-
anzeigen: Ermöglicht Administratoren Print Driver" kann Druckaufträge ver- stalliert wird. Auch wenn diese Richtlinie
das Anzeigen von Sitzung auch ohne schiedener Drucker an den Client um- nicht konfiguriert ist, verwendet der Re-
die Zustimmung des Anwenders. leiten. Auch in den Gruppenrichtlinien motedesktopserver standardmäßig zuerst
hat Micorsoft viele Einstellungen für die den Easy Print Driver. Überprüfen Sie an
Deaktivieren Sie diese Richtlinieneinstel- Konfiguration von Druckern integriert. dieser Stelle, ob die Einstellungen korrekt
lung, können Administratoren mit der gesetzt sind. Die Druckerumleitungen
Zustimmung des Benutzers in dessen Re- Um den Easy Print Driver zu verwenden, müssen konfiguriert sein und den Stan-
motedesktopdienste-Sitzung eingreifen müssen Sie den aktuellen RDP-Client ver- dard-Drucker oder eben den Easy Printer
und Sitzungen spiegeln. Das geht auch, wenden, am besten den Client in Win- Driver verwenden.
wenn Sie gar nichts konfigurieren. dows 10, notfalls den Treiber in Windows
8.1. Der Treiber unterstützt für die kom- Unterstützt der Drucker diesen Treiber
Loopback-Verarbeitung patiblen Drucker alle Features, nicht nur nicht, sucht der Remotedesktopserver als
von Gruppenrichtlinien die grundlegenden Funktionen. Auch die Nächstes lokal nach einem passenden
berücksichtigen Performance bei der Übertragung des Treiber. Findet der Server keinen Treiber,
Setzen Sie RD-Sitzungshosts zusammen Druckauftrages verbessert der Treiber. kann der Drucker in der Sitzung nicht
mit Gruppenrichtlinien ein, bietet es sich zum Einsatz kommen. Standardmäßig ist
an, die Server in einer eigenen OU abzu- Unterstützen Clients diesen universalen diese Richtlinie nicht konfiguriert. De-
legen und für diese OUs dann Gruppen- Druckertreiber nicht, muss auf dem Re- aktivieren Sie diese Einstellung, versucht
richtlinien mit den gewünschten Einstel- motedesktopserver ein aktueller Treiber der Server zunächst einen Druckertreiber
lungen zu aktivieren. Für diese Richtlinien der Drucker installiert sein. Auf dem Ser- zu finden, der kompatibel mit dem Dru-
sollten Sie auch den Loopback-Verarbei- ver zeigt sich beim Einsatz des Easy Print cker ist und verwendet dann erst den Easy
tungsmodus aktivieren. Dabei wendet die Drivers ein Abbild des Druckertreibers Print Driver. Ob Drucker umgeleitet wer-
Gruppenrichtlinie auch Einstellungen des des Clients, dieser wird aber nicht instal- den, muss im RDP-Client auf der Regis-
Benutzerbaums an, wenn das Konto der liert. Druckt ein Anwender in der Sit- terkarte "Lokale Ressourcen auf dem
Anwender nicht in der OU gespeichert zung, leitet der Treiber den Druck in eine Client" aktiviert werden.
ist in der die Richtlinie definiert ist, son- XPS-Datei um und schickt diese zum
dern nur der entsprechende Server. So Client, der den Druck schließlich auf Verwaltung eines
erhalten Sie die Möglichkeit, RDS-Benut- dem Drucker ausgibt. Remotedesktop-Sitzungshosts
zereinstellungen festzulegen, die nur bei Bevor Sie sich mit speziellen Funktionen
der Anmeldung der Anwender auf dem Der Easy Print Driver benötigt keine wie dem Gateway oder Webzugriff ausei-
RDS greifen, nicht bei der Anmeldung Anpassungen auf dem Server. Die auf nandersetzen, sollten Sie zunächst die Stan-
an ihren lokalen Computern. dem Client verfügbaren Drucker über- dardverwaltung eines Servers verstehen.
nimmt der Server, sofern diese kompa- Um Systemeinstellungen für eine Samm-
Sie finden diese Einstellung über "Com- tibel sind. Auch die spezifischen Einstel- lung und den enthaltenen RD-Sitzungs-
puter / Richtlinien / Administrative Vor- lungen des Druckers zeigt der Server an hosts vorzunehmen, verwenden Sie den
lagen / System / Gruppenrichtlinie". und leitet diese beim Abrufen wieder Server-Manager und den Bereich "Remo-
Aktivieren Sie die Richtlinie "Loopback- auf den Client zurück. Ob Drucker um- tedesktopdienste". Klicken Sie auf "Samm-
verarbeitungsmodus für Benutzergrup- geleitet werden, müssen Sie im RDP- lungen" und dann auf die Sammlung, kön-
penrichtlinie". Tun Sie dies, können Sie Client einstellen und dies auf der Regis- nen Sie über "Aufgaben / Eigenschaften
zwischen "Ersetzen" – hier ersetzt die terkarte "Lokale Ressourcen" auf dem bearbeiten" die wichtigsten Einstellungen
Richtlinie Einstellungen, die bereits von Client zunächst aktivieren. einer Sammlung konfigurieren.
Im Bereich "Verbindungen" einer Samm- "Freigegebener Datenbankserver aus". trennen oder sich die Einstellungen der
lung sehen Sie in Echtzeit, welche Benutzer Anschließend geben Sie den DNS-Namen Programme und den Status der Verbin-
mit einem Server verbunden sind und wel- zu Ihrer Datenbank in Microsoft Azure dung anzeigen lassen.
che Apps und welche Remotedesktop-Si- ein und die kopierte Verbindungszeichen-
zungshosts zur Verfügung stehen. In die- folge, inklusive der angepassten Daten Anwender können die Applikationen auf-
sem Bereich können Sie Benutzersitzungen zur Anmeldung. rufen wie lokal installierte Anwendungen.
trennen und getrennte Sitzungen zurück- Klickt der Nutzer auf eine Verknüpfung,
setzen. Sie können für jede veröffentliche Nun erfolgt die Anbindung. Ist diese er- öffnet sich die Anwendung auf dem Re-
App Einstellungen aufrufen und die App folgreich abgeschlossen, wird die Azure- motedesktopserver, aber die Anwender
an Ihre Anforderungen anpassen. SQL-Datenbank verwendet. Binden Sie können mit der Software arbeiten, als ob
weitere Connection Broker an, lassen sich diese lokal installiert ist.
Single Sign-On einrichten diese auf dem gleichen Weg integrieren.
Mit Windows Server 2019 und Windows Dadurch erreichen Sie eine Hochverfüg- RDS-Webzugriff einrichten
10 können Sie Szenarien für Single Sign- barkeit für den Connection Broker, ohne Windows Server 2019 bietet einen Web-
On (SSO) erstellen, damit sich Anwender dass Sie dafür eine eigene Datenbank be- zugriff für RDS an. Der Funktionsumfang
nur noch einmal authentifizieren müssen, treiben müssen. ist ähnlich zu Outlook Web Access von
zum Beispiel an ihrer Arbeitsstation. Der Exchange. Standardmäßig werden die Ap-
Zugriff auf weitere Server im Netzwerk, Mit Windows 10 auf plikationen, die Sie als RemoteApps zur
RemoteApps und veröffentlichten Desktops RemoteApps zugreifen Verfügung stellen, über den RDS-Web-
erfolgt ohne weitere Authentifizierung. RemoteApps stehen nach der Veröffent- zugriff veröffentlicht. Fügen Sie der Re-
lichung automatisch für alle Clients über moteApps-Liste eine neue Anwendung
Dazu müssen Sie clientseitig Windows den Webzugriff zur Verfügung. Zwischen hinzu, wird diese automatisch im RDS-
8.1 oder 10 zusammen mit Windows Ser- lokalen Anwendungen und RemoteApps Webzugriff angezeigt – Sie müssen an die-
ver 2019 einsetzen. Außerdem müssen auf dem Server können auch Daten aus- ser Stelle nichts weiter tun.
sich die Systeme in der gleichen Active- getauscht werden. So besteht beispielswei-
Directory-Gesamtstruktur befinden. Auf se die Möglichkeit, über eine ERP-An- Der Webzugriff ist ein RDS-Rollendienst,
den Arbeitsstationen können Sie entweder wendung, die remote auf dem RD-Server den Sie entweder bereits bei der Installa-
die lokale Richtlinie bearbeiten oder Sie ausgeführt wird, Daten über die Zwischen- tion einspielen oder nachträglich. Die
erstellen eine Gruppenrichtlinie. Navi- ablage in ein lokales Excel zu übernehmen Verwaltungsoptionen dazu finden Sie im
gieren Sie dazu zum Bereich "Computer- oder umgekehrt. Die Abläufe erfolgen für Server-Manager über "Remotedesktop-
konfiguration / Administrative Vorlagen / den Anwender komplett transparent, da dienste / Sammlungen". Klicken Sie bei
System / Delegierung von Anmeldeinfor- er bei der Bedienung der Software keiner- der entsprechenden Sammlung auf "Auf-
mationen" und öffnen Sie die Richtlinie lei Unterschiede zwischen der lokalen An- gaben" und dann auf "Bereitstellungsei-
"Delegierung von Standardanmeldeinfor- wendung und der Anwendung auf dem genschaften bearbeiten".
mationen zulassen". Anschließend akti- Server feststellen kann.
vieren Sie diese Richtlinie. Nun tragen Erstellen Sie eine neue Sammlung, legen
Sie in der Serverliste den Eintrag "term- Um die Anbindung der veröffentlichten Sie bereits bei der Einrichtung die Ein-
srv/Servername" ein. Wichtig an dieser Anwendungen auf Windows-10-Clients stellungen für den Webzugriff fest. Die
Stelle ist, dass Sie vor den Eintrag des Ser- zu testen, melden Sie sich am Client an Rolle sollte auf einem Windows Server
vernamens noch "termsrv" stellen. In ei- und suchen in der Systemsteuerung nach 2019 mit installiertem IIS durchgeführt
ner RDS-Infrastruktur verwenden Sie als "RemoteApp". Öffnen Sie die Verwaltung werden. Beim Server mit Web Access
Servernamen den FQDN des RD-Verbin- der RemoteApps und klicken Sie auf "Auf muss es sich aber nicht unbedingt um ei-
dungsbrokers. RemoteApps und Desktops zugreifen". nen Remotedesktop-Sitzungshost handeln.
Geben Sie die URL "https://Webzugriff- Greifen Anwender über das Webportal
Connection Broker für HA Server/RDWeb/Feed/webfeed.aspx" ein. auf den Remotedesktopserver zu, müssen
an Azure anbinden Der Webzugriffsserver erhält seine Daten diese nicht zuvor den RDP-Client gestartet
Um den Connection Broker an Microsoft vom Verbindungsbroker, auf dem Sie als haben. Anwendungen, die als RemoteApp
Azure anzubinden, installieren Sie den Quelle wiederum den Remotedesktop- konfiguriert sind, stehen standardmäßig
nativen SQL-Client [1]. Dieser wird auch server eingerichtet haben. Anschließend automatisch auch über den RDS-Webzu-
für einen eigenen Datenbank-Server für lädt der Client alle Daten zu den Remote- griff zur Verfügung und lassen sich über
die Hochverfügbarkeit von RDS benötigt. Apps herunter und stellt diese im Start- einen einfachen Klick starten.
Anschließend konfigurieren Sie im Ser- menü zur Verfügung. Sie erhalten hierzu
ver-Manager über das Kontextmenü des ein Informationsfenster angezeigt. Sie se- Standardmäßig arbeitet der Webzugriff
Connection Brokers die Hochverfügbar- hen den aktuellen Verbindungsstatus auch mit einem selbstsignierten Zertifikat. Die-
keit der Umgebung. Bei der Einrichtung über ein Symbol in der Taskleiste. Hier ses sollten Sie in produktiven Umgebungen
hilft ein Assistent. Wählen Sie als Option können Sie die Verbindung zum Server gegen ein Zertifikat einer internen Zerti-
fizierungsstelle austauschen. Sie finden die ve-Directory-Zertifikatdienste nutzen. PowerShell, die entsprechenden Befehle
Einstellungen dazu im Server-Manager Auch für den Zugriff auf RemoteApps zeigt Ihnen
über "Remotedesktopdienste / Sammlun- sind Zertifikate notwendig, vor allem
gen". Klicken Sie die Sammlung an, für die wenn Sie diese direkt im Startmenü von Get-Command -Module
Sie das Zertifikat anpassen wollen und Windows 10 einbinden wollen. RDWebClientManagement
wählen Sie "Aufgaben / Bereitstellungsei-
genschaften bearbeiten". Im Bereich "Zer- Nachdem die PFX-Datei zur Verfügung Mit dem Install-RDWebClientPackage-
tifikate" erstellen Sie ein neues Zertifikat steht, binden Sie das Zertifikat in den RDS- Cmdlet laden Sie die neue Version he-
für die entsprechenden Dienste. Diensten ein. In der Verwaltung klicken runter. Die Deinstallation des Remote
Sie dazu auf "Vorhandenes Zertifikat aus- Desktop Web Clients erfolgt mit
Remotedesktopgateway wählen" in den Bereitstellungseigenschaf-
installieren ten, wie zuvor beschrieben. Klicken Sie auf Uninstall-Module -Name
Die Aufgabe des Remotedesktopgateway "Anderes Zertifikat auswählen" und spielen RDWebClientManagement
besteht darin, Anwendern, die sich über Sie danach die Zertifikat-Datei ein. Ist auf
das Internet mit dem Unternehmen per dem Server bereits ein Zertifikat installiert, Über
HTTPS verbinden, Zugriff auf die inter- können Sie auch die Option "Auf dem RD-
nen RD-Server zu gestatten. Ein RD- Verbindungsbrokerserver gespeichertes Save-RDWebClientPackage
Gateway verbindet das RPD- mit dem Zertifikat anwenden" auswählen. "C:\WebClient\"
HTTPS-Protokoll, um eine gesicherte
Verbindung zu allen möglichen RD-Ser- Remote Desktop laden Sie Webclient herunter, um ihn da-
vern auch über RemoteApps zu ermög- Web Client nutzen nach auf Servern bereitzustellen, die keine
lichen. Gateways ermöglichen den Zugriff Microsoft bietet einen neuen RD-Web- Internetverbindung haben. Auch das ent-
auf RDP-Sitzungen über Firewalls oder client an, mit dem Anwender über einen sprechende-Modul kann auf diesem Weg
Netzwerkadressübersetzung (Network Browser effektiver auf RDS zugreifen kön- heruntergeladen und installiert werden:
Address Translation, NAT) hinweg. Die nen. Die Lizenzierung muss dazu auf "pro
Verbindung zwischen Client und Gateway Benutzer" eingestellt sein, denn der Client Find-Module -Name "RDWebClientMana-
erfolgt über den Port 443 (SSL), nur die unterstützt keine Lizenzierung im Modus gement" -Repository "PSGallery" |
Verbindung zwischen Gateway und Re- pro Gerät. Um den Webclient auf einem Save-Module -Path "C:\WebClient\"
motedesktopserver läuft über den RDP- Server zu installieren, müssen zunächst
Port (3389). Über Richtlinien legen Sie die entsprechenden Module eingespielt Das Verzeichnis kopieren Sie auf den RD-
fest, wer sich über das Internet auf welche und Pakete heruntergeladen werden. Web-Access-Server. Hier können Sie das
RD-Server verbinden darf. Auch die Um- Nach der Installation der einzelnen Mo- Modul importieren und dann die Instal-
leitung der lokalen Ressourcen wie Dru- dule und Pakete müssen Sie die Power- lation durchführen:
cker, Zwischenablage und Laufwerke steu- Shell neu starten, damit das Modul ver-
ern Sie so. Neben der herkömmlichen fügbar ist: Import-Module -Name "C:\WebClient\"
Authentifizierung, werden auch Smart-
cards unterstützt. Install-Module -Name PowerShellGet Install-RDWebClientPackage -Source
-Force "C:\WebClient\rdwebclient-
Um ein Gateway zu installieren, klicken 1.0.1.zip"
Sie im Server-Manager im Bereich "Re- Install-Module -Name
motedesktopdienste / Übersicht" auf den RDWebClientManagement Fazit
Link "Remotedesktopgateway". Es startet Das Wichtigste an den Remotedesktop-
ein Assistent, über den Sie das Gateway Install-RDWebClientPackage diensten in Windows Server 2019 ist das
einrichten. Achten Sie aber darauf, dass Signal von Microsoft, auch in Zukunft
Sie den Server im Server-Manager vorher Zusätzlich ist das Zertifikat des Connecti- noch auf die Dienste zu setzen. Diese las-
über "Verwalten / Server hinzufügen" ver- on-Brokers notwendig: sen sich lokal sowie hybrid betreiben und
binden müssen. zukünftig wohl auch mit Remote Desktop
Import-RDWebClientBrokerCert Modern Infrastructure. Der Einsatz von
Zertifikate installieren CER-Dateipfad RDS ist also auch in Windows Server
und einrichten 2019 keine Sackgasse. (jp)
Viele Sicherheitseinstellungen in den Re- Danach stellen Sie den Client bereit:
motedesktopdiensten werden über Zer- Link-Codes
tifikate abgewickelt. Standardmäßig ver- Publish-RDWebClientPackage -Type
[1] Microsoft ODBC Driver for
wendet RDS selbstsignierte Zertifikate. Production -Latest
SQL Server on Windows
Darüber hinaus können Sie Zertifikate js2a1
von Drittherstellern oder auch die Acti- Die Verwaltung des Clients erfolgt in der
Mehrfach-
schutz
von Thomas Joos
P
räventive Sicherheitsmaßnahmen denen Firmenrechner anzeigt. ATP er- ATP arbeitet mit herkömmlichen Virens-
wie Virenschutz gehören seit Jah- kennt, wenn sich Windows-Rechner cannern, die mit Definitionsdateien ar-
ren zum Standard in jedem Unternehmen. verdächtig verhalten und informiert den beiten, zusammen. Dadurch erhalten Un-
Doch wie die Praxis zeigt, reicht "Stan- Administrator entsprechend. Es sind ternehmen einen zusätzlichen Schutz.
dard-IT-Security" heutzutage nicht mehr, daher keine Definitionsdateien notwen- ATP hat also nicht die Aufgabe, Firewalls
um die Netzwerke zuverlässig abzudich- dig, sondern der Clouddienst überwacht oder Virenscanner zu ersetzen, sondern
ten. Daher wendet sich auch Microsoft die Windows-Geräte und zeigt verdäch- soll die vorhandenen Technologien er-
neuen Wegen zu, um seine Kunden zu tiges Verhalten an. gänzen, um Netzwerke noch sicherer zu
unterstützen. Die neuesten Sicherheits- betreiben. ATP erkennt Angriffe, bei de-
technologien basieren dabei auf maschi- Die für ATP notwendigen Techniken zum nen Firewall und Virenscanner überfor-
nellem Lernen, so auch das erste hier Messen und Übertragen von Telemetrie- dert sind oder keine Maßnahmen ergrei-
vorgestellte Werkzeug aus der Windows- daten sind direkt in das Betriebssystem fen können.
Defender-Box. integriert. Optimal arbeitet ATP mit
Windows 10 Enterprise und Windows Dies bedeutet allerdings nicht, dass Sie
Windows Defender Advanced Server 2019 zusammen, da hier alle ATP- sich nicht mehr um den Schutz der Com-
Threat Protection Komponenten bereits integriert sind. Die puter kümmern müssen! Das Installieren
Windows Defender Advanced Threat Anbindung an ATP erfolgt in diesem Fall von Windows-Updates, abgesicherte Be-
Protection (ATP) [1] ist ein Cloud- über Gruppenrichtlinien, Skripte oder nutzerkonten und eine geschützte Au-
dienst, der Unternehmen in die Lage mit dem System Center Configuration thentifizierung stehen nach wie vor auf
versetzt, Angriffe auf das eigene Netz- Manager (SCCM). Microsoft stellt auch Ihrer To-do-Liste.
werk zu erkennen. Die Verwaltung er- die entsprechenden Skripte zur Verfügung
folgt über ein webbasiertes Dashboard, ebenso Vorlagen für Gruppenrichtlinien ATP arbeitet mit Machine Learning und
das die Daten der einzelnen angebun- sowie die Anbindung an SCCM. erkennt so, ob sich Rechner im Netzwerk
anders verhalten, als es der Norm ent- können auch Notebooks von mobilen Windows Defender
spricht. Die Lösung analysiert dazu nicht Mitarbeitern, aber auch Heimarbeits- Exploit Guard
nur einzelne Rechner im Netzwerk, son- plätze und Kioskrechner einbeziehen. Den Schutz von Verzeichnisse auf Com-
dern nutzt die Daten von allen angebun- Das verbreitert die Datenbasis, erleichtert putern vor Ransomware und Exploits
denen Computern. So erkennt die Soft- den Schutz und bietet weitere Sicher- übernimmt der Windows Defender Ex-
ware auch zusammenhängende Angriffe heitsstufen für besonders gefährdete ploit Guard (WDEG). Die Technologie
und kann entsprechende Gegenmaßnah- Rechner. arbeitet eng mit Windows Defender Sys-
men einleiten. Dadurch können im tem Guard zusammen. Grundlage hierfür
Netzwerk Rechner geschützt werden, die Neben der automatisierten Analyse kön- ist der "Überwachte Ordnerzugriff " sowie
überhaupt noch nicht angegriffen wor- nen Administratoren auch verschiedene Gruppenrichtlinien, mit denen auch Ser-
den sind. verdächtige Dateien in die Cloud laden ver vor Ransomware und Exploits ge-
und analysieren lassen. Microsoft nutzt schützt werden.
ATP läuft als Systemdienst in Windows dazu Funktionen aus Big Data und In-
10 und Windows Server 2019. Dieser dicators of Attacks (IOAs). Auch Ergeb- Ist WDEG in Windows Server 2019 ak-
analysiert die Umgebung und sendet Da- nisse von früheren Angriffen auf Basis tiviert, dürfen nur noch genehmigte Apps
ten in die Cloud, wo ATP diese analy- von Indicators of Compromises (IOCs) Änderungen an Dateien in den gesicher-
siert. Dazu kann der Dienst auch mit an- werden mit einbezogen. ten Verzeichnissen vornehmen. Die Kon-
deren Daten arbeiten, die Microsoft zur figuration lässt sich lokal in den Einstel-
Verfügung stellt. Der Vorteil von ATP Windows Defender System lungen von Windows 10, über das neue
besteht in der breiten Datenbasis, die Guard für Boot-Schutz Windows Security Center, in der Power-
Microsoft vorliegt sowie den intelligen- Bei Windows Defender System Guard Shell oder auch über Gruppenrichtlinien
ten Machine-Learning-Algorithmen. Um (WDSG) handelt es sich um eine zusätz- vornehmen. Dazu müssen Sie allerdings
ATP zu nutzen, müssen die Rechner liche Schutzebene für Windows Server die ADMX-Dateien importieren, am bes-
nicht Mitglied einer Active-Directory- 2019, die das Betriebssystem bereits beim ten die Version von Windows 10 Version
Domäne sein. Das heißt, Unternehmen Start vor Angreifern schützt. Die zusätz- 1809/1903.
Windows Defender
für den Virenschutz nutzen
Für Malwareschutz in Unternehmen bie-
tet Windows Server 2019 den vorinstal-
lierten Windows Defender, der einen
durchaus soliden Virenschutz bietet, der Bild 2: Windows Defender und andere Schutzfunktionen werden
sich auch per Gruppenrichtlinie oder zentral im Windows Security Center konfiguriert.
PowerShell steuern lässt. Bereits bei der
Installation ist Windows Defender in Ser- Sie in Windows Server 2019 über die Ein- von Windows Defender. Hier nehmen
ver 2019 so lange aktiv, bis Sie eine andere stellungs-App und dann die Auswahl Sie alle Einstellungen des Programms vor
Lösung installieren. "Update" und "Sicherheit / Windows Up- und sehen auch die Version der aktuell
date", Windows Defender erreichen Sie installierten Definitionsdateien. Hier
Sie können über die Einstellungen-App wiederum direkt im Menü "Update" und können Sie auch deren Aktualisierung
auf die Konfiguration von Windows De- "Sicherheit / Windows Defender". durchführen.
fender in Server 2019 zugreifen. Nutzen
Sie keinen externen Virenscanner, sollten Windows Defender schützt das System Windows Defender in der
Sie über "Einstellungen / Update" und im Hintergrund automatisch. Ob der PowerShell steuern
"Sicherheit / Windows-Sicherheit" im Dienst problemlos läuft, zeigt Ihnen sc Es stehen zahlreiche Cmdlets zur Win-
Windows Security Center bei "Viren- & query Windefend. Der Dienst muss als ge- dows-Defender-Verwaltung bereit. Um
Bedrohungsschutz" überprüfen, ob startet angezeigt werden und wird durch beispielsweise den Echtzeitschutz in
die Optionen "Echtzeitschutz", "Cloud- die Datei "C:\Program Files \ Windows Windows Server 2019 zu deaktivieren,
basierter Schutz" und "Automatische Defender \ MsMpEng.exe" ausgeführt. verwenden Sie den Befehl:
Übermittlung von Beispielen" aktiviert Grundsätzlich müssen auf dem Server
sind. Letzteres überträgt lediglich aus- der Windows-Defender-Dienst (muss ge- Set-MpPreference
führbare und DLL-Dateien, jedoch kei- startet sein) und der Windows-Defender- -DisableRealtimeMonitoring $true
ne persönlichen Daten wie Word-oder Netzwerkinspektionsdienst (Windows
PDF-Dateien. Defender Network Inspection Service, Die Funktion aktivieren Sie wieder per
Wdnissvc) vorhanden sein.
Die Aktualisierung der Definitionsdateien Set-MpPreference
findet über Windows-Updates statt, Sie Damit der Server zuverlässig geschützt -DisableRealtimeMonitoring $false
müssen diese also manuell oder über wird, müssen Sie Windows-Updates ak-
Gruppenrichtlinien aktivieren. Die tivieren. Über "Einstellungen verwalten" Ausnahmen der Echtzeitüberprüfung für
Windows-Update-Steuerung erreichen gelangen Sie zum Konfigurationsfenster bestimmte Pfade legen Sie so an:
Bild 3: Das Azure Security Center dient der zentralen Überwachung und Konfiguration der Sicherheit Im Fokus des Azure Security Center ste-
in Microsoft Azure. hen virtuelle Computer, virtuelle Azure-
Netzwerke, Azure-SQL-Dienst, Azure-
Add-MpPreference -ExclusionPath Set-MpPreference -SignatureSchedule- Speicherkonto sowie Azure-Web-Apps.
"Verzeichnis" Day Everyday Das ASC überwacht VMs und kann si-
cherstellen, dass VMs nicht mit IP-Adres-
Diese Ausnahmen können Sie aus der Sie können auch hier Ausnahmen defi- sen kommunizieren, die als potenziell
Konfiguration auch wieder löschen: nieren. Um mehrere Verzeichnisse aus gefährlich eingestuft werden. Auch Bru-
den Scans auszuschließen, verwenden Sie te-Force-Angriffe oder Malware-Attacken
Remove-MpPreference -ExclusionPath beispielsweise werden erkannt.
"Verzeichnis"
Set-MpPreference Das Azure Security Center bietet zu-
Darüber hinaus stehen zum Steuern des -ExclusionPath nächst eine Überwachung von lokalen
Virenschutzes in Windows Server 2019 "C:\temp", "C:\VMs", Workloads und von Serverdiensten in
weitere Cmdlets zur Verfügung. Mit dem "C:\NanoServer" der Cloud. Dazu kommen Richtlinien
Add-MpPreference-Cmdlet ändern Sie und das Blockieren von Sicherheitsan-
die Einstellungen von Windows Defender. Auch einzelne Prozesse lassen sich als griffen. Innerhalb des Azure-Portals steht
Wollen Sie zum Beispiel einen Pfad zur Ausnahme definieren: das ASC über den Menüpunkt "Security
Ausnahmeliste hinzufügen, nutzen Sie Center" zur Verfügung.
Set-MpPreference -ExclusionProcess
Add-MpPreference -ExclusionPath "C:\Temp" "vmms.exe", "Vmwp.exe". ASC zeigt im Bereich "Übersicht" zu-
nächst genau an, für welche Dienste
Um die Standardeinstellungen beim Ent- Grundsätzlich erhalten Sie mit Get-Com- Warnungen vorliegen, welche Ereignisse
decken eines Virus anzupassen, verwen- mand -Module Defender alle Befehle zur festgestellt wurden und welche Empfeh-
den Sie das Cmdlet mit der Option Steuerung des Windows Defender. Fol- lungen für die Verbesserung der Sicher-
"-ThreatIDDefaultAction_Actions" und gende Cmdlets sind besonders wichtig: heit vorliegen. Ergänzend zu diesen Hin-
einem der folgenden Werte: - Get-MpComputerStatus: Ermittelt den weisen zur Verbesserung der Sicherheit
- 1: Clean Status des Virenschutzes. führt das System Sie auch durch die ver-
- 2: Quarantine - Get-MpPreference: Zeigt Einstellungen schiedenen Schritte.
- 3: Remove der Scans und Updates an.
- 4: Allow - Get-MpThreat: Liefert den Verlauf der Zusätzlich finden Sie über den linken
- 8: UserDefined gefundenen Angriffe. Bereich weitere Menüpunkte wie zum
- 9: NoAction - Get-MpThreatCatalog: Alle Angriffe, Beispiel die Definition der Sicherheits-
- 10: Block die Defender finden kann. richtlinien. Als Einstiegspunkt bietet sich
- Get-MpThreatDetection: Zeigt aktuelle "Schnellstart" an, wo Sie sich einen ersten
Mit dem Set-MpPreference-Cmdlet kon- Virenverseuchungen an. Überblick verschaffen.
figurieren Sie die Scans. Wollen Sie zum - Remove-MpPreference: Entfernt Aus-
Beispiel festlegen, dass Defender jeden nahmen. Generell steht das Azure Security Center
Tag nach aktuellen Definitionsdateien - Remove-MpThreat. Entfernt aktive in zwei Lizenzen zur Verfügung: Der
sucht, verwenden Sie Angriffe kostenlose Tarif bietet eine Übersicht
Bild 4: Die Sicherheitsrichtlinien verbessern die Sicherheit im Azure-Abonnement. Microsoft hat im Verzeichnis "Documen-
tation" des ZIP-Archivs die Excel-Tabelle
und einen Einblick in die verschiedenen aktuellen Tarif sehen Sie, wenn Sie im Se- "MS Security Baseline Windows 10 v1809
Azure-Ressourcen ebenso wie einfache curity Center auf das jeweilige Abonne- and Server 2019.xlsx" integriert. Hier sind
Sicherheitsrichtlinien und Empfehlungen ment und dann auf "Tarif " klicken. alle Einstellungen aufgelistet, die wieder-
zur Sicherheit. Die Funktionen sollten um über die Gruppenrichtlinienvorlagen
generell für alle Azure-Abonnements ge- In größeren Umgebungen muss auch auf umgesetzt werden. Über die Registerkar-
nutzt werden. die Rechte geachtet werden, wenn Azure ten im unteren Bereich schalten Sie zwi-
Security Center zum Einsatz kommen schen den verschiedenen Einstellungen
Im Standard-Tarif kommen auch erwei- soll. Nur wenn ein Administrator min- in der Dokumentation um. "Security
terte Funktionen zur Bedrohungserken- destens das Recht "Lesen" für eine Res- Template" zeigt die Sicherheitseinstel-
nung und Verhaltensana- lysen dazu. Die source hat, kann er Informationen zur lungen an, die mit Gruppenrichtlinien
Standard-Funktionen lassen sich bis zu Ressourcen anzeigen. umgesetzt werden. Die Tabelle zeigt die
60 Tage kostenlos nutzen, danach müssen Einstellungen für Arbeitsstationen mit
die Funktionen lizenziert werden. Den Damit das Azure Security Center die Si- Windows 10 und Mitgliedsserver sowie
cherheit der Ressourcen bewerten kann, Domänencontroller auf Basis von Win-
Link-Codes muss es Daten sammeln. Dazu müssen dows Server 2019 jeweils in eigenen Spal-
Sie die Datensammlung für das Abonne- ten an. Weiteren Spalten liefern die Ein-
[1] Windows Defender Advanced
ment aktivieren. Dies erledigen Sie ent- stellungen für lokale Computer und
Threat Protection
i8p25 weder manuell oder über eine Sicherheits- Server, Windows Defender Firewall und
[2] Hardening the system and
richtlinie. Erst wenn die Datensammlung AppLocker.
maintaining integrity with aktiviert ist, überwacht das Azure Security
Windows Defender System Guard Center auch die VMs. Fazit
i0z31 Microsoft verbessert mit jeder Windows-
[3] Introducing Windows Defender Vorlagen der Security Server-Version deutlich die Sicherheit.
System Guard runtime attestation Configuration Baselines nutzen Insbesondere mit der Produktfamilie Mi-
i0z32 Über das "Microsoft Security Compli- crosoft Defender, zuvor als Windows De-
[4] Exploit Guard Evaluation Tool ance Toolkit" [6] stellt Microsoft Vorla- fender bekannt, bietet der Hersteller eine
is27a gen und Tools zur Verfügung, mit denen ganze Reihe moderner Werkzeuge zum
[5] Azure Security Center Sie Sicherheitseinstellungen für Win - Serverschutz. Die verschiedenen Produk-
js2a2
dows Server 2019 umsetzen – in den te bieten auf mehreren Ebenen Schutz
[6] Microsoft Security meisten Fällen über Gruppenrichtlinien. vor Angreifern. Es lohnt sich also, die
Compliance Toolkit
Der Download besteht aus Tools und Funktionen zu testen und im Netzwerk
hs2a3
ZIP-Dateien für die verschiedenen Win- zu implementieren. (jp)
Internetradio
4K-Action-Cam Fitness-Armband Glas-Wasserkocher
mit WLAN
Auch unter Windows Server 2019 gibt es Faktoren, die die bestmögliche Leistung des Systems
negativ beeinträchtigen können. So die Zugriffsgeschwindigkeit der physischen Datenträger, die
für alle laufenden Prozesse zur Verfügung stehende Speichermenge, die Prozessorgeschwindigkeit
und der Datendurchsatz der Netzwerkschnittstellen. Bringt Windows hier keine Höchstleistung,
stehen zur Überprüfung passende Bordmittel bereit.
Ü
ber den Eintrag "Leistung" in der Server noch genauer überwachen lassen, Über das grüne Pluszeichen in der Sym-
Konsolenstruktur des Server-Ma- indem Sie verschiedene Leistungsindika- bolleiste blenden Sie weitere Leistungs-
nagers lassen Sie sich die aktuelle System- toren hinzufügen. Sie können diese Daten indikatoren ein. Für Serveranwendungen,
leistung des Servers mit verschiedenen in Echtzeit oder als Verlaufsdaten anzeigen wie zum Beispiel Microsoft SQL Server,
Tools anzeigen. Der Link "Ressourcen- lassen und die Leistungsindikatoren ent- gibt es einige solcher Indikatoren. Das
monitor" öffnet eine detaillierte Ansicht weder per Drag&Drop hinzufügen oder "SQLServer:Databases"-Objekt in SQL
des aktuellen CPU-Verbrauchs, des Ar- benutzerdefinierte Datensammlergruppen Server stellt Indikatoren zum Überwa-
beitsspeichers, der Datenträger und des (Data Collector Sets, DCS) erstellen. Die chen von Transaktionsprotokollaktivitäten
Netzwerkverkehrs. In Windows Server Leistungsüberwachung unterstützt ver- zur Verfügung. Wählen Sie zunächst den
2019 finden Sie das Programm über den schiedene Ansichten für die visuelle Über- entsprechenden Indikator aus und klicken
Menüpunkt "Tools" im Server-Manager. prüfung der Daten in Leistungsprotokol- Sie auf "Hinzufügen". Sie sehen die ver-
Alternativ starten Sie das Werkzeug durch len. Die Auswahl "Bericht" bietet teilweise fügbaren Indikatoren einer Gruppe, in-
Eingabe von perfom /res. mehr Übersicht als die anderen Optionen dem Sie auf den Abwärtspfeil rechts ne-
in der Liste, abhängig vom Einsatzgebiet. ben dem Gruppennamen klicken. Zum
Der Bereich der Ressourcenübersicht ent- Außerdem sind Sie in der Lage, benutzer- Hinzufügen einer ganzen Indikatoren-
hält vier animierte Diagramme, die die definierte Ansichten in Form von Daten- gruppe markieren Sie den Gruppenna-
Auslastung der CPU-, Datenträger-, Netz- sammlergruppen für Leistungs- und Pro- men und klicken auf die Schaltfläche
werk- und Speicherressourcen des lokalen tokollfunktionen zu exportieren. "Hinzufügen". Markieren Sie einen Grup-
Computers in Echtzeit anzeigen. Unter pennamen, haben Sie Zugriff auf die ent-
den Diagrammen befinden sich vier er- Die Leistungsüberwachung arbeitet mit haltenen Leistungsindikatoren. Wählen
weiterbare Bereiche, in denen sich Ein- Objekten. Für jedes Objekt, zum Beispiel Sie nur einen Indikator aus der Liste, be-
zelheiten zur jeweiligen Ressource finden. den Prozessor, existieren eine Reihe von vor Sie auf "Hinzufügen" klicken, wird
Leistungsindikatoren wie "Prozessorzeit" nur dieser Indikator berücksichtigt.
Leistungsüberwachung oder "Interrupts/s". Für einzelne Objekte
einrichten gibt es mehrere Instanzen. Das ist etwa Um nur eine bestimmte Instanz eines In-
Klicken Sie im Server-Manager auf den beim Prozessor der Fall, wenn Sie mit ei- dikators hinzuzufügen, markieren Sie ei-
Eintrag "Tools / Leistungsüberwachung" nem Multiprozessorsystem arbeiten. Beim nen Gruppennamen in der Liste, wählen
oder rufen Sie die Leistungsüberwachung Objekt "Prozesse" wird eine Instanz für den gewünschten Prozess im Bereich "In-
über das Startmenü auf, können Sie den jeden aktiven Prozess definiert. stanzen" des gewählten Objekts aus und
auf die Daten der letzten Messung zugrei- teilung des Arbeitsspeichers in einer gra- Diagnose des Arbeitsspeichers
fen. In verschiedenen Bereichen sehen fischen Oberfläche an. Mit dem Werk- Häufig sind Serverprobleme auf defekten
Sie alle durchgeführten Aufgaben und de- zeug erkennen Sie, wie viel Arbeitsspei- Arbeitsspeicher zurückzuführen. Sie rufen
ren Daten und Zugriffsgeschwindigkeiten. cher aktuell für den Kernel reserviert ist das Tool zur Überprüfung des Arbeits-
Auf diesem Weg erkennen Sie schnell, wo und welchen Arbeitsspeicher die Treiber speichers mit mdsched auf. Das Werkzeug
die Probleme auf dem Server liegen. des Computers verbrauchen. Auf ver- steht auch in der Programmgruppe "Ver-
schiedenen Registerkarten zeigt das Tool waltung" zur Verfügung und – wenn Sie
Laufwerke und ausführliche Informationen zum Arbeits- den Server mit der DVD oder einem
Datenträger im Blick speicher an: USB-Stick starten – über die Computer-
Die folgenden zwei Leistungsindikatoren - Use Counts: Zusammenfassung reparaturoptionen.
liefern Auskünfte zur Datenträgeraktivität: - Processes: Prozesse
"Physikalischer Datenträger:Zeit (%)" zeigt - Priority Summary: Priorisierte Stand- Sie können entweder den Server sofort
den Prozentsatz der Zeit auf, den der Da- by-Listen neu starten und eine Diagnose durchfüh-
tenträger für Lese-/Schreibaktivitäten be- - Physical Pages: Seitenübersicht für den ren oder festlegen, dass die Diagnose erst
nötigt. Liefert der Leistungsindikator einen kompletten Arbeitsspeicher beim nächsten Systemstart durchgeführt
hohen Wert, überprüfen Sie noch "Physi- - Physical Ranges: Adressen zum RAM werden soll. Während der Speicherdiag-
kalischer Datenträger:Aktuelle Warte- - File Summary: Dateien im RAM nose prüft das Programm, ob der einge-
schlangenlänge", um festzustellen, wie viele - File Details: Individuelle Seiten im Ar- baute Arbeitsspeicher Fehler aufweist,
Anforderungen auf einen Datenträgerzu- beitsspeicher nach Dateien sortiert was eine häufige Ursache für ungeklärte
griff warten. Die Anzahl der wartenden Abstürze ist. Nachdem der Test abge-
E/A-Anforderungen sollte das Anderthalb- Das Tool hilft dabei zu verstehen, wie die schlossen ist, startet der Server automa-
fache bis Zweifache der Anzahl der Spin- aktuellen Windows-Versionen den Ar- tisch neu und meldet das Ergebnis über
deln, aus denen sich der physische Daten- beitsspeicher verwalten und an die ver- ein Symbol im Infobereich der Taskleiste.
träger zusammensetzt, nicht überschreiten. schiedenen Anwendungen, Treiber und Über die Funktionstaste F1 gelangen Sie
Wenn "Aktuelle Warteschlangenlänge und Prozesse verteilen. zu den Optionen der Überwachung und
Zeit (%)" durchgängig sehr hoch sind, können verschiedene Überprüfungsme-
müssen Sie den Datenträger entlasten, wei- Noch ausführlicher bezüglich der Arbeits- thoden auswählen und mit F10 starten.
tere Datenträger einsetzen und die ver- speicheranalyse ist "VMMap" [2], denn das
schiedenen Datenbankdateien aufteilen Tool zeigt sehr detailliert den Arbeitsspei- Prozessorauslastung
oder einen weiteren Server hinzufügen. cherverbrauch von Prozessen an. Durch messen und optimieren
Unter "Physikalischer Datenträger:Durch- ausführliche Filtermöglichkeiten geht Auch die Prozessorleistung kann einen
schnittliche Warteschlangenlänge des Da- VMMap bei der Analyse wesentlich weiter Flaschenhals darstellen. Zu wenig Haupt-
tenträgers" überwachen Sie "Arbeitsspei- als RAMMap. VMMap kann auch anzei- speicher kann die Konsequenz haben, dass
cher:Seitenfehler/s", um sicherzustellen, gen, ob ein Prozess Arbeitsspeicher durch auch der Prozessor sehr stark belastet wird.
dass die Datenträgeraktivität nicht durch den physischen Arbeitsspeicher zugewiesen Die Auslastung ist kein Problem, wenn sie
Auslagern verursacht wird. In diesem Fall bekommt oder von Windows in die Aus- gelegentlich kurzzeitig über 90 Prozent
liegt das Problem nicht am Datenträger, lagerungsdatei verschoben wird. VMMap liegt. Gefährlich wird es, wenn die Auslas-
sondern an fehlendem Arbeitsspeicher. listet sehr detailliert auf, welche Daten eines tung über längere Zeiträume in diesem
Programms oder eines Prozesses in wel- Bereich liegt, aber auch dann ist bei der
Wenn Sie über mehr als eine logische Par- chen Bereichen des Arbeitsspeichers oder Analyse noch Vorsicht angesagt, da nicht
tition auf derselben Festplatte verfügen, der Auslagerungsdatei liegen. Das Tool er- unbedingt ein Problem vorliegt.
sollten Sie statt den Leistungsindikatoren möglicht auch das Erstellen von Moment-
für physische Arbeitsspeicher die Leis- aufnahmen und dadurch von Vorher- Bei Mehrprozessorsystemen gilt das Au-
tungsindikatoren für logische Datenträger Nachher-Beobachtungen. genmerk vor allem den Leistungsindika-
verwenden. Haben Sie die Datenträger toren der Leistungsüberwachung aus dem
mit hoher Lese-/Schreibaktivität identi- Über den Menübefehl "View / String" Objekt "System". Dort werden Informa-
fiziert, können Sie zum Beispiel mit "Lo- lässt sich anzeigen, welche Daten ein ein- tionen von mehreren Systemkomponen-
gischer Datenträger:Bytes geschrieben/s" zelner Speicherbereich enthält. Gescannte ten zusammengefasst. Sie ermitteln dort
den Fehler weiter eingrenzen. Ergebnisse speichern Sie über das Menü beispielsweise die Gesamtbelastung aller
"File". Neben dem Standardformat von Prozessoren. Ergänzend ist aber auch hier
Auslastung des Arbeitsspeichers VMMap (MMP) lassen sich die Daten der Leistungsindikator "Prozessorzeit" des
Für die Fehleranalyse oder Leistungsmes- auch als TXT- sowie als CSV-Datei ab- Objekts "Prozessor" von Bedeutung. Lau-
sung eines Computers kann es sinnvoll speichern, was hilft, Analysen mit Excel fen viele verschiedene Prozesse, ist eine
sein, die aktuelle Auslastung des Arbeits- durchführen. Im Gegensatz zu RAMMap einigermaßen gleichmäßige Lastvertei-
speichers zu kennen. Das Sysinternals- ist VMMap auch für Messungen in älte- lung fast sicher. Bei einem einzelnen Pro-
Tool "RAMMap" [1] zeigt die aktuelle Zu- ren Windows-Varianten geeignet. zess ist dagegen die Aufteilung in eini-
Detektivarbeit
von Thomas Joos
B
eginnen wollen wir mit der Do- installiert sein. Daher bietet es sich an, Datei im Verzeichnis "Reports" im Pro-
kumentation des Active Directory eine Arbeitsstation zu verwenden, nicht grammverzeichniss von José.
(AD). Hierzu gibt es einige interessante unbedingt einen Server. Das Dokument
Tools, doch auch die PowerShell bietet wird automatisch im Benutzerprofil-Ver- Starten Sie die Batch-Datei "wer-bin-
zahlreiche Cmdlets, die beim Erstellen zeichnis des ausführenden Benutzers ich.bat", zeigt die Befehlszeile Ihren An-
von Berichten oder dem Auslesen von gespeichert. meldenamen an und die Mitgliedschaft
Daten aus dem AD helfen. Letztere ha- in Gruppen. Sie können die Batch-Datei
ben den Vorteil, dass sie nicht installiert Achten Sie beim Starten von Skripten in auch bearbeiten und als letzte Zeile den
werden müssen, da sie Bordmittel der der PowerShell immer auf das Präfix ".\". Befehl pause eintragen. Dann wird das
PowerShell nutzen. Sie müssen das je- Sie können das Skript aber auch in der Fenster nicht geschlossen, wenn Sie die
weilige Skript nur herunterladen und es PowerShell ISE mit "Datei / Öffnen" ak- Batch-Datei per Doppelklick in Windows
dann ausführen. tivieren und starten. Geben Sie noch den starten. Sie können in diese Datei bei Be-
Namen der Gesamtstruktur ein, aus der darf auch noch weitere Befehle eintragen.
AD-Berichte aus der PowerShell Sie Daten auslesen wollen. Starten Sie das Das Kommando hostname zeigt zum Bei-
Mit den Skripten von Carl Webster [1] Tool von einer Arbeitsstation aus, müssen spiel zusätzlich den Computernamen an,
lesen Sie das Active Directory effizient die Remoteserver-Verwaltungstools [2] was beim Verwenden der Datei besonders
aus und erstellen entsprechende Berichte. für Active Directory installiert sein. sinnvoll ist.
Die Skripte lassen sich entweder herun-
terladen und sofort ausführen oder Sie José schreibt mit Zahlreiche Monitoring-Helfer
passen sie an Ihre Bedürfnisse an. Der José Active-Directory-Dokumentation fürs AD und Ereignisse
Download steht jeweils als PS1- oder als [3] ist eines der bekanntesten Tools zur Für die Überwachung der Ereignisan-
TXT-Datei zur Verfügung. AD-Dokumentation. Wie das zuvor be- zeige und das Reporting zum Active Di-
handelte Skript müssen Sie José nicht in- rectory gibt es eine Reihe an Tools, die
Um zum Beispiel einen AD-Bericht zu er- stallieren, sondern können es nach dem bei der Analyse, Überwachung und Feh-
stellen, laden Sie sich das Skript "ADDS_ Download direkt starten. Das Werkzeug lerbehebung eine wertvolle Hilfe leisten.
Inventory_V1_1.Signed.ps1" aus dem In- hat umfangreiche Einsatzmöglichkeiten, Sie sind leicht zu bedienen und lassen
ternet und führen es aus: wir betrachten hier nur die Standardmit- sich auch von Arbeitsstationen aus nut-
tel: Verwenden Sie die Datei "standard- zen sowie in vielen Fällen ohne Instal-
.\ADDS_Inventory_V1_1.Signed.ps1 reports.bat", erhalten Sie einen Standard- lation auf den Servern:
Bericht mit den wichtigsten Daten des - EventSentry [4] sammelt Ereignismel-
Das Skript fertigt einen Bericht an und Active Directory. Mit dem Tool "jose.hta" dungen verschiedener Server und stellt
bindet diesen automatisch in Word ein. erzeugen Sie eigene Reporte und können wichtige Meldungen via E-Mail zu.
Damit dies funktioniert, muss auf dem die Daten und Einstellungen selbst wäh- - Freeware EventLog Inspector [5] bietet
entsprechenden Rechner natürlich Word len. Sie finden die Berichte als HTML- eine Analyse der Ereignisanzeige.
gplogview.exe -o \\dell\x\
%computername%-GPEvents.txt
gplogview.exe -h -o \\dell\x\ Bild 3: Der Test eines DHCP-Servers mit dhcptest.exe liefert Auskunft
%computername%-GPEvents.html über den Datenverkehr im Netzwerk, indem er alle DHCP-Server identifiziert.
So erhalten Sie also nicht nur Berichte, fachen Test durchzuführen, öffnen Sie ei- Daten werden in einer PostgreSQL-Da-
sondern erkennen auch gleich Fehler bei ne Befehlszeile und rufen die ausführbare tenbank gespeichert. Die Installation muss
der Anwendung von Gruppenrichtlinien. Datei "dhcptest.exe" auf. Sobald das Tool auf einem Linux-Server erfolgen, zum Bei-
Bestimmte Ereignisse in den Berichten gestartet ist, führen Sie durch Eingabe spiel Debian. Die generelle Verwendung
lassen sich filtern. Dazu dienen die Op- von "d" einen ersten Test durch. Das Tool der Umgebung ist intuitiv, vor allem über
tion "-a" und die Activity-ID des Eintrags sendet daraufhin ein Paket in das Netz- die Weboberfläche. Für die Nutzung ist
im jeweiligen Bericht. werk, um die DHCP-Server zu finden. kein Linux-Wissen notwendig.
Sobald ein DHCP-Server antwortet, wer-
Netzwerkprobleme beheben den die Informationen zum DHCP-Ser- Unternehmen, die eine Vielzahl an IP-
Die beiden besten Tools zum Testen von ver angezeigt. Adressen verwalten müssen sowie Sub-
DHCP-Servern sind "dhcptest.exe" [16] netze und VLANs eingebunden haben,
und "dhcpcheck.exe" [17]. Beide sind Mit dhcpcheck testen Sie hingegen ein- sollten sich die webbasierte Open-Sour-
schon etwas älter, funktionieren aber auch zelne DHCP-Server. Rufen Sie die Soft- ce-Adressenverwaltung phpIPAM [19]
mit aktuellen DHCP-Servern. Sie müssen ware ohne Optionen auf, zeigt sie eine ansehen. Die PHP-basierte Anwendung
nicht installiert, sondern können über die Hilfe an. Um einen bestimmten DHCP- speichert die Daten in einer MySQL-Da-
Befehlszeile ausgeführt werden. Server zu testen, starten Sie das Tool mit tenbank. LAMP oder WAMP (Linux,
dhcpcheck.exe -host:IP-Adresse. Apacke, MySQL, PHP) reichen aus, um
Dhcptest zeigt alle gefundenen DHCP- phpIPAM zu verwenden. Mit der Software
Server im Netzwerk und auch den kom- Mit NIPAP (Neat IP Address Planer) [18] lassen sich aber nicht nur IP-Adressen,
pletten Datenverkehr zwischen Client und verwalten Sie die verschiedenen IP-Adres- Subnetze und VLANs dokumentieren,
Server an. Dadurch lassen sich schneller sen, Subnetze und auch VRF (Virtual Rou- sondern über eine webbasierte Oberfläche
Fehler erkennen. Um einen ersten, ein- ting and Forwarding) im Netzwerk. Die auch beantragen. Den Antrag erhalten
Administratoren in der Software, und wie etwa "dc01.contoso.int" noch einen DNS-Einträge im Active Directory zur
können auf Wunsch die Daten zuweisen zugehörigen CNAME, der das sogenannte Replikation abrufen können. Geben Sie
und auch gleich übernehmen. Die Auf- DSA-(Directory System Agent)-Objekt dazu den Befehl
gabe von phpIPAM besteht darin, IP- seiner NTDS-Settings darstellt. Dieses
Adressen, Subnetze und VLANs zu ver- DSA-Objekt ist als SRV-Record im DNS dnslint /ad IP-Adresse des ersten DC
walten und zu dokumentieren. Die unterhalb der Zone der Domäne unter /s IP-Adresse des zweiten DC
IP-Adressen lassen sich gruppieren. Auch dem Knoten "_msdcs" zu finden.
Berechtigungen für die Verwaltung und ein. Das Tool benötigt einige Sekunden
den Zugriff auf einzelne IP-Adressen las- Der CNAME ist die GUID dieses DSA- und überprüft, ob im AD die notwendi-
sen sich delegieren Objekts. DCs versuchen, ihren Replika- gen _msdcs-Einträge vorhanden sind. Ge-
tionspartner nicht mit dem herkömmli- ben Sie an dieser Stelle aber nicht den
Prozesse und RAM monitoren chen Host-A-Eintrag aufzulösen, sondern DNS-Namen der beiden Server an, die
Mit dem kostenlosen "Debug Diagnostic mit dem hinterlegten CNAME. Erst nach Replikationsprobleme haben, sondern die
Tool v2 Update 1" [20] bietet Microsoft der erfolglosen Namensauflösung über IP-Adressen.
Werkzeuge zur Analyse von Systempro- den CNAME versucht der DC, einen
blemen und zahlreiche Anleitungen [21] Host-A-Eintrag zu finden. Schlägt auch Mit der Option "/ad" bestimmen Sie einen
zur Fehlersuche an. Nach der Installation das fehl, versucht der DC, den Namen DC, der die notwenigen GUIDs im DNS
finden Sie die Tools "DebugDiag 2 Rule- mit NetBIOS entweder via Broadcast oder auflösen können muss. Jeder DC muss in
Builder", "DebugDiag 2 Diag" und "Debug einen WINS-Server aufzulösen. der Lage sein, die Namen dieser GUIDs
2 Analysis" auf der Startseite. Nach dem per DNS aufzulösen. Testen Sie auf jedem
Start von Debug Diag 2 Collection erhal- Jeder DC benötigt also einen eindeutigen Server mit Dnslint, ob die einzelnen Ser-
ten Sie über die Registerkarte "Processes" CNAME, der wiederum auf seinen Host- ver Probleme bei der Auflösung dieser
Einblick in die laufenden Prozesse im Sys- A-Eintrag verweist. Checken Sie daher GUIDs haben. Treten in diesem Bereich
tem. Über das Kontextmenü stehen ver- bei Replikationsproblemen zuerst, ob die- Fehler auf, liegen die Replikationsproble-
schiedene Aufgaben zur Überwachung se Einträge vorhanden sind. Sollte die me eindeutig zunächst an diesen fehlen-
zur Verfügung. Namensauflösung über DNS nicht funk- den GUIDs.
tionieren, steht Ihnen das Tool Dnslint
Um einen Prozess detaillierter auf Me- [22] zur Verfügung, mit dem Sie die SRV- Die Option "/s" dient dazu, dem Befehl ei-
mory Leaks zu überwachen, erstellen Records im Active Directory verifizieren. nen DNS-Server mitzuteilen, der die Zone
Sie über die Registerkarte "Rules" mit Das installationsfreie Tool bietet insge- "_msdcs" im AD verwaltet. Der Server hin-
"Add Rule" eine neue Regel. Im folgen- samt drei verschiedene Funktionen, die ter der Option "/ad" ermöglicht den Ver-
den Assistenten verwenden Sie dazu die jeweils DNS testen und einen entspre- bindungsaufbau per LDAP, während der
Option "Native (non-.NET) Memory chenden HTML-Bericht generieren: Server hinter "/s" zum Auflösen per DNS
and Handle Leak" und wählen anschlie- - dnslint /d: Diese Funktion diagnostiziert dient. Sie müssen nicht unbedingt zwei un-
ßend auf der nächsten Seite den Prozess mögliche Ursachen einer langsamen terschiedliche Server angeben, sondern
aus, der nach Problemen untersucht Delegierung. können auch zweimal die gleiche IP-Adres-
werden soll. Danach legen Sie die Op- - dnslint /ql: Überprüft benutzerdefinierte se verwenden. Nutzen Sie "/ad", müssen
tionen für die Untersuchung fest. In den DNS-Datensätze auf mehreren DNS- Sie die Option "/s" nutzen, um einen DNS-
meisten Fällen reichen die Standardein- Servern. Server zu bestimmen, der für die _msdcs-
stellungen aus. In den nächsten Schrit- - dnslint /ad: Kontrolliert DNS-Daten- Unterdomäne in der Stammdomäne der
ten werden noch ein Name und ein sätze, die speziell für die Active-Di- AD-Struktur autorisierend ist. Über die
Speicherort für die Protokolldateien fest- rectory-Replikation verwendet werden. Option "/ad" können Sie den Befehl mit "/s
gelegt. Danach startet das Tool mit der localhost" ausführen, um festzustellen, ob
Analyse und zeigt dabei den aktuellen Die Syntax für Dnslint lautet das lokale System die Datensätze auflösen
Status im Fenster an. kann, die bei den Active-Directory-Tests
dnslint /d Domänenname | gefunden werden. Mit "/t" leiten Sie die
Namensauflösung /ad [LDAP_IP_Adresse] | Ausgabe in eine Textdatei um. Diese hat
im AD sicherstellen /ql Input_Datei denselben Namen wie der HTML-Bericht
Nach der Installation des AD finden in [/c [smtp,pop,imap]] [/no_open] und findet sich auch im selben Ordner wie
der Forward-Lookupzone der entspre- [/r Report_Name] [/t] [/test_tcp] der Report.
chenden Domäne zahlreiche Einstellun- [/s DNS_IP_Adresse] [/v] [/y]
gen statt. Die häufigsten Fehler innerhalb Nachdem der Befehl abgeschlossen ist,
des AD, bei denen die Namensauflösung Bei der Ausführung von Dnslint müssen erhalten Sie einen HTML-Bericht ange-
eine wichtige Rolle spielt, sind dabei Feh- Sie eine der Befehlszeilenoptionen "/d", zeigt, mit dessen Hilfe Sie die Probleme
ler im DNS. Jeder Domänencontroller im "/ad" oder "/ql" verwenden. Mit dnslint der GUID-Auflösung mit DNS nachvoll-
AD besitzt neben seinem Host-A-Namen /ad können Sie checken, ob Ihre DCs die ziehen können. Der Bericht zeigt die
Pinguin an Bord
von Dr. Christian Knermann
D
ie Zeiten, zu denen Microsofts Die Klammer um das Ganze bildet der
Ex-Chef Steve Ballmer voll auf LX-Session-Manager-Service, der im
nur noch historische Bedeutung. Unter zum Root-Verzeichnis erkennen lässt, sind forderung mit dem Befehl wslconfig /list.
aktuellen Installationen von Windows gibt die Linux-Instanzen unter Windows be- Dieser listet sämtliche im WSL installierten
es diese ursprüngliche Variante von WSL nutzerspezifisch. Jeder Windows-Benutzer Linux-Distributionen auf. Haben Sie Kali
nicht mehr. erhält seine individuellen Linux-Instanzen, Linux zuerst installiert, ist es automatisch
deren Daten im persönlichen Benutzer- der Standard. Per
Beachten Sie beim Umgang mit dem Root- profil liegen. Innerhalb einer Linux-Instanz
Verzeichnis, dass Sie die Ordner und Da- sind Sie jeweils mit Root-Rechten unter- wslconfig /setdefault Ubuntu
teien unter Windows zwar sehen, jedoch wegs, doch außerhalb in Windows werden
nicht verändern dürfen, da NTFS nicht Sie damit natürlich nicht automatisch zum ändern Sie dies. Sofern eine Linux-In-
alle Eigenheiten von Linux beherrscht. So Admin und können folglich aus Linux he- stanz ohne interaktive Shell noch mit
kann NTFS zwar grundsätzlich Groß- und raus selbst mittels sudo nur dort schreiben, Hintergrundprozessen aktiv ist, beenden
Kleinschreibung unterscheiden. Die Be- wo Sie es auch unter Windows dürfen. Sie diese per
rechtigungen sind jedoch nicht kompatibel
und unter Windows sind nicht alle Zei- Unter diesen Rahmenbedingungen ist wslconfig /terminate
chen in Ordner- und Dateinamen erlaubt, das Ganze aber bidirektional kompatibel Name-der-Distribution
die Linux kennt. VolFS kümmert sich um und Sie können sowohl mit den unter
diese Unterschiede und speichert sie als Linux üblichen Werkzeugen, wie etwa Dem ersten Start folgt jeweils die grund-
Metadaten in den erweiterten Attributen awk und sed, als auch von Seiten Win- legende Konfiguration der Distribution.
von NTFS. dows' nach Belieben in per VolFS ange- Hierbei sind Sie aufgefordert, einen Be-
bundenen Laufwerken arbeiten. Doch nutzer mitsamt Passwort anzulegen, der
Wenn Sie unter Windows neue Ordner widmen wir uns nun der praktischen Ar- nicht identisch mit Ihrem Benutzerkon-
und Dateien ins Root-Verzeichnis legen, beit mit WSL. to unter Windows sein muss. Anschlie-
würden diese erweiterten Attribute fehlen ßend empfiehlt es sich, die Linux-In-
und VolFS könnte mit den Daten nichts WSL und Linux- stanz zu aktualisieren. Das erledigen Sie
anfangen. Ebenso würden vorhandene Distributionen installieren auf Grund des ähnlichen Unterbaus un-
Daten ihre erweiterten Attribute verlieren Öffnen Sie die PowerShell mit adminis- ter Kali Linux und Ubuntu gleicherma-
und somit für VolFS unbrauchbar werden, trativen Rechten und installieren Sie WSL: ßen mit den bekannten Befehlen:
sobald Sie diese unter Windows verän-
dern. Erst der Build 18342 (1903) von Enable-WindowsOptionalFeature sudo apt-get update
Windows 10 hat dies verbessert und er- -Online -FeatureName Microsoft-
möglicht den Zugriff auf Root-Verzeich- Windows-Subsystem-Linux sudo apt-get dist-upgrade
nisse seitens Windows durch Einführung
von Freigaben der Form "\\wsl$\Name- Nach erfolgreicher Installation verlangt sudo apt-get clean
der-Distribution". das System nach einem Neustart. Rufen
Sie anschließend den Microsoft-Store auf. Im Dateisystem arbeiten
Austausch zwischen Eine Suche nach "Linux" fördert zahlrei- Standardmäßig startet die Linux-Shell
Windows und Linux per DrvFS che Ergebnisse zutage, darunter mehrere im Verzeichnis "/home/Benutzer-name",
Die Interoperabilität zwischen den Welten namhafte Distributionen wie openSUSE, das im NTFS-Dateisystem von Windows
gewährleistet bis dahin nur das DriveFS verschiedene Versionen von SUSE Enter- dem Pfad "%userprofile% \ AppData \
oder kurz DrvFS. Es beherrscht folglich prise, Debian, Ubuntu und das unter Pen- Local \ Packages \ Name-und-UID-der-
nicht alle Funktionen, die Linux kennt, testern und Forensikern beliebte Kali Li- Linux-Instanz \ LocaleState \ rootfs \
beschränkt die Namen von Ordnern und nux. Installieren Sie nun beispielsweise home \ Benutzername" entspricht. Al-
Dateien auf den Zeichenvorrat, den auch Kali Linux und Ubuntu. Sobald der Store ternativ dazu verankert sich WSL auch
Windows erlaubt, und ist kompatibel zu den Download der Distributionen abge- im Kontextmenü des Windows-Explo-
den Windows-Berechtigungen. Im DrvFS schlossen hat, finden Sie beide als Icons rers. Halten Sie in einem beliebigen Ord-
gespeicherte Daten dürfen sich zwar nur im Startmenü wieder. ner die Shift-Taste gedrückt und rufen
durch Groß- und Kleinschreibung unter- Sie per Rechtsklick das Kontextmenü
scheiden, Microsoft warnt jedoch davor, Per Klick darauf öffnet sich jeweils ein auf, so finden Sie dort den Eintrag "Hier
dass unter Windows nicht alle Applika- Konsolenfenster mit einer Linux-Shell. Al- Linux-Shell öffnen". Der startet die als
tionen damit umgehen können. ternativ dazu können Sie die Linux-Instan- Standard konfigurierte Distribution di-
zen auch aus der Eingabeaufforderung von rekt im gewünschten Verzeichnis.
Im Hinblick auf die Zugriffsrechte ist zu Windows durch Eingabe von kali oder
beachten, dass WSL die unter Windows ubuntu starten. Der allgemeine Befehl wsl Das funktioniert allerdings zunächst nur
gesetzten Berechtigungen unter Linux startet die Linux-Distribution, die als Stan- für die fest verbundenen Laufwerke des
zwar abbilden, jedoch natürlich nicht aus- dard konfiguriert ist. Welche das ist, er- Systems. WSL bindet dazu alle unter
hebeln kann. Wie der zuvor genannte Pfad mitteln Sie in der Windows-Eingabeauf- Windows bekannten Laufwerke auto-
mstsc.exe /v:127.0.0.1:3390
Das WSL besteht aus LXSS-Manager und Pico-Prozessen im User-Mode
sowie den Pico-Provider-Treibern im Kernel-Mode. auf der Kommandozeile starten Sie dann
den Desktop von Kali-Linux. Nach getaner
matisch mit ihren jeweiligen Laufwerks- ein, erhalten Sie unter Windows die Aus- Arbeit melden Sie sich vom Desktop ab
buchstaben unter Pfaden wie "/mnt/c" gabe des Befehls ls, den WSL in der als und beenden per Shell den RDP-Server:
und "/mnt/d" ein. Stecken Sie zusätzlich Standard definierten Linux-Instanz aus-
etwa einen USB-Stick ein, den Windows führt. Das Ganze ist keine Einbahnstraße. sudo /etc/init.d/xrdp stop
unter dem Laufwerksbuchstaben "E:" an- Im Gegenzug starten Sie aus der geöffne-
bindet, müssen Sie diesen per DrvFS un- ten Linux-Shell heraus ebenso einfach Das gewährleistet, dass die Linux-Instanz
ter Linux erst noch mounten: ausführbare Dateien von Windows. Auch mit dem Verlassen der Shell terminiert
in der Shell öffnet der Befehl notepad.exe und nicht im Hintergrund weiterläuft.
sudo mkdir /mnt/e den Windows-eigenen Editor. Möchten Diese Variante ist recht schnell in Betrieb
Sie der jeweiligen Anwendung beim Auf- genommen, bringt jedoch den Schön-
sudo mount -t drvfs E: /mnt/e ruf Parameter mitgeben, ist das natürlich heitsfehler mit sich, dass das X11-Pro-
auch möglich. Pfadangaben müssen dabei tokoll in RDP getunnelt wird und auf
Das funktioniert gleichermaßen mit Netz- wiederum den Konventionen unter Win- diese Weise nur komplette Desktop -
werkfreigaben, die unter Windows per dows genügen. sitzungen und keine einzelnen Applika-
Laufwerksbuchstaben verbunden sind, tionen starten.
oder alternativ auch direkt per UNC-Pfad: X11-Anwendungen
per RDP darstellen Anwendungsfenster
sudo mkdir /mnt/Freigabe Zumindest auf der Kommandozeile bringt dank X-Server X410
WSL somit Windows und Linux enger zu- Eleganter geht es ohne den Umweg über
sudo mount -t drvfs '\\Server\Frei- sammen und macht die Arbeit flexibler. RDP, was allerdings einen X-Server unter
gabe' /mnt/Freigabe Grafische Linux-Anwendungen per WSL Windows voraussetzt. Leider nicht kos-
unter Windows zu starten, hat Microsoft tenfrei, dafür insbesondere für die Inte-
Linux- und Windows- aber leider von Haus aus nicht vorgesehen. gration mit WSL entwickelt, ist der X-
Kommandos nutzen Doch es gibt gleich mehrere Ansätze, dies Server X410, den Sie als App aus dem
Innerhalb der Shell stehen Ihnen alle un- zu ermöglichen. Die Macher von Kali Li- Microsoft Store beziehen können [6].
ter Linux verfügbaren Kommandos und nux bemühen dazu neben dem Linux-ei- Starten Sie die App, macht sie sich zu-
Anwendungen zur Verfügung, um mit genen X-Window-System (X11) einen nächst nur mit einem "X"-Symbol im Sys-
Ordnern und Dateien des Win dows- Umweg über das Remote Desktop Proto- temtray bemerkbar. Über das Kontext-
Systems zu arbeiten. Doch auch ohne koll (RDP) und stellen hierzu ein passen- menü des Symbols konfigurieren Sie die
dauerhaft geöffnete Linux-Shell ist die des Skript bereit, das Sie in der Shell von Betriebsart.
Interoperabilität zwischen beiden Sys- Kali mit den folgenden Befehlen herun-
temwelten gegeben [5]. So können Sie terladen und ausführen: Im Modus "Windowed Apps" fungiert
aus einer Windows-Eingabeaufforderung X410 selbst als Window-Manager und
heraus per "wsl.exe" direkt einzelne Li- wget https://kali.sh/xfce4.sh wartet darauf, dass Sie in einer Linux-In-
nux-Kommandos absetzen. Pfadangaben stanz einzelne Anwendungen starten, die
müssen dabei natürlich den Konventio- sudo sh xfce4.sh sich dann verhalten wie native Anwen-
nen unter Linux folgen. Öffnen Sie die dungen unter Windows, in separaten
Eingabeaufforderung "cmd.exe" und ge- Das Skript lädt die für Kali angepasste Fenstern dargestellt werden und sich so
ben Sie dort Desktop-Umgebung Xfce sowie den freien nach Belieben auf dem Windows-Desktop
RDP-Server Xrdp mit allen Abhängigkei- positionieren und in ihrer Größe verän-
wsl ls -la "/mnt/c/Program Files" ten herunter und richtet diese ein. Das dern lassen. Der "Floating Desktop" er-
wartet dagegen, dass eine komplette Li- Wie der Start ohne lästiges Konsolenfens- ist folglich auch nicht möglich, Server-
nux-Desktop-Sitzung startet, und stellt ter noch eleganter gelingt und sich der dienste für den automatischen Start zu
diese in einem Fenster dar. Der "Full Linux-Desktop aufhübschen lässt, erklä- installieren. Auch hardwarenahe Kom-
Desktop" führt den Linux-Desktop, wenig ren die Howtos auf der X410-Webseite. mandos wie das Imaging-Tool "dd" grei-
überraschend, als Vollbild aus. Sofern fen nicht. Hier ist weiterhin ein physi-
noch nicht vorhanden, installieren Sie Ganz ohne Desktop sches oder in einer VM installiertes Linux-
den Window-Manager Xfce in Ihren Li- Wenn Sie auf die komplette Desktopum- System die bessere Wahl.
nux-Instanzen. Unter Ubuntu erledigt gebung lieber verzichten möchten, funk-
das der Befehl tioniert das Ganze mit einer Variation Fazit
auch für einzelne Anwendungen: Je nach Anwendungsfall ist WSL eine
sudo apt-get install xfce4 xfce4- praktische Alternative zu ausgewachse-
terminal start /B x410.exe /wm nen Linux-VMs. Gegenüber den in Hy-
ubuntu.exe run "if [ -z per-V oder ähnlichen Hypervisoren
Kali Linux bringt eine angepasste Ver- \"$(pidof xfce4-session)\" ]; abgeschotteten VMs bietet WSL den
sion von Xfce mit. Hier erledigt then export DISLAY=127.0.0.1:0.0; Vorteil, dass die direkte Interaktion mit
firefox; pkill Dateien und Ordnern unter Windows
sudo apt-get install kali-desktop- '(gpg|ssh)-agent'; möglich ist. Mit den hier vorgestellten
xfce taskkill.exe /IM x410.exe; fi;" Tools sind selbst grafische Linux-Appli-
kationen unter Windows kein Problem
die Installation. Die weiteren Schritte Dabei startet der Schalter "/wm" X410 im mehr. Zudem ist Microsoft kontinuier-
funktionieren in beiden Distributionen Modus für "Windowed Apps" und im lich dabei, den Funktionsumfang zu er-
identisch. Stellen Sie sicher, dass X410 Shell-Kommando tritt eine Applikation, weitern [7].
im "Floating Desktop"-Modus gestartet in diesem Fall der Browser Mozilla Fire-
ist, exportieren Sie in der Shell die Um- fox, an die Stelle der Desktop-Umgebung Auf der Roadmap für die weitere Zu-
gebungsvariable DISPLAY mittels Xfce. Mit der Option "DPI Scaling / High kunft findet sich neben der Unterstüt-
Quality…" im Kontextmenü des Tray- zung für Docker-Container insbeson-
export DISPLAY=127.0.0.1:0.0 Icons sorgen Sie dafür, dass die Fenster dere die Umstellung der Architektur von
auf HiDPI-Displays hochskaliert darge- Emulation auf einen angepassten Linux-
und starten Sie die Desktop-Umgebung stellt werden. Das funktionierte in unserer Kernel in der kommenden Version 2
per xfce4-session. Daraufhin beginnt die Testumgebung allerdings nicht ohne eine von WSL – und dies komplett als Open
Desktopsitzung als Fenster unter Win- gewisse Unschärfe in der Darstellung. Source [8]. (dr)
dows. Zur weiteren Verwendung lässt
sich der Start noch beschleunigen. Dazu Besser ist es daher, auf Displays mit sehr Link-Codes
fügen Sie unter Linux die "DISPLAY"- hoher Auflösung unterstützte Applika-
Variable dauerhaft dem Login-Skript tionen nativ aus Linux heraus zu skalieren. [1] Windows Subsystem
der Shell hinzu: Für den Firefox aus dem vorangegangenen for Linux (Overview)
Beispiel und andere Applikationen, die das j8z61
echo "export DISPLAY=127.0.0.1:0.0" GUI-Toolkit GTK und dessen GDK-Bi- [2] Pico-Prozesse
>> ~/.bashrc bliothek verwenden, erreichen Sie das mit j8z62
dem Befehl export GDK_SCALE=2. Für
[3] Hintergrundprozesse im WSL
Unter Windows legen Sie sodann ein Anwendungen, die auf dem GUI-Toolkit
j8z63
Batch-Skript mit folgendem Inhalt an: Qt basieren, entsprechend mit export
QT_SCALE_ FACTOR=2. Anschließend [4] Dateisystem-Unterstützung
start /B x410.exe /desktop sind auch mit einer HiDPI-Auflösung die j8z64
ubuntu.exe run "if Linux-Anwendungen kaum mehr von [5] Interoperabilität zwischen
[ -z \"$(pidof xfce4-session)\" den nativen Windows-Applikationen zu Windows und Linux
]; then export unterscheiden. j8z65
DISPLAY=127.0.0.1:0.0;
[6] X-Server X410
xfce4-session; pkill Keine Unterstützung
j8z66
'(gpg|ssh)-agent'; taskkill.exe von Daemons
/IM x410.exe; fi;" An die Grenzen stoßen Sie mit WSL, [7] Release Notes
wenn die Ausführung von Daemons ge- für WSL
Dabei können Sie je nach Bedarf die fragt ist. In WSL fehlt eine vollwertige j8z67
"ubuntu.exe" durch "kali.exe" ersetzen und Startumgebung wie Systemd. Komman- [8] Open-Source-Ansatz bei WSL
so den X-Window-Manager sowie den dos wie etwa reboot, shutdown oder sys- j8z68
Linux-Desktop in einem Rutsch starten. temctl funktionieren somit nicht und es
Moderne Schaltzentrale
von Thomas Joos
Mit dem webbasierten Windows Admin Center lassen sich Server ab Windows
Server 2012 R2 verwalten – und das rein lokal, ohne Cloud. Setzen Unternehmen
auf Windows Server 2019, lässt sich die Erweiterung Windows Server System Insights
sogar für noch mehr Überwachungsfunktionen nutzen. Dieser Beitrag erläutert die
Funktionen und zeigt deren Nutzung.
Bild 1: Über die PowerShell lassen sich Softwarepakete auf den angebundenen Rechnern installieren.
Get-Command *-NetworkSwitch* schied liegt darin, dass in einer PowerShell- nicht notwendig. Wollen Sie sich mit ei-
Direct-Sitzung die Befehle direkt in der je- nem anderen Benutzer authentifizieren,
Zudem leistet die PowerShell Klassende- weiligen VM zur Ausführung kommen. verwenden Sie
finitionen. Hier können Sie mit dem neu-
en Schlüsselwort "class" wie in objektori- Um eine solche Verbindung zu starten ge- Enter-PSSession -VMName Computer
entierten Sprachen eigene Klassen defi- ben Sie in der PowerShell-Sitzung auf dem -Credential Benutzer
nieren und in Ihren Skripten einsetzen. Host einen der folgenden Befehle ein:
Mit Exit-Session beenden Sie die Sitzung
VMs verwalten Enter-PSSession -VMName Name der VM wieder. Sitzungen lassen sich in Windows
mit PowerShell Direct im Hyper-V-Manager Server 2019 und Windows 10 unterbre-
Mit PowerShell Direct greifen Sie über chen und erneut aufzubauen. Bei unter-
PowerShell-Sitzungen auf einem Hyper-V- Invoke-Command -VMName Name der VM brochenen Sitzungen laufen die Cmdlets
Host direkt auf VMs des Hosts zu und füh- im Hyper-V-Manager -ScriptBlock { in der Sitzung weiter. Für diese Vorgänge
ren Aktionen durch. Dazu muss auf dem Commands } stehen die Disconnect-PSSession-, Con-
Host aber Windows Server 2019 laufen und nect-PSSession- und Receive-PSSession-
in den VMs ist entweder Win-dows 10 Für die erfolgreiche Verbindung müssen Cmdlets bereit.
oder Server 2019 notwendig. Hier stehen Sie sich unter Umständen erst authenti-
dann die gleichen Befehle zur Verfügung fizieren. Weitere Konfigurationen oder Mit Desired State Configuration
wie bei normalen Sitzungen. Der Unter- Einstellungen in der Firewall sind jedoch Windows-Server absichern
Die Desired State Configuration ermög-
licht das Erstellen von Sicherheitsvorla-
gen für Server, die automatisch angewen-
det werden. Ändern sich Einstellungen,
die von der Vorlage abweichen, kann
PowerShell DSC die Vorgaben wieder-
herstellen. In der Vorlagendatei zur Ab-
sicherung des Betriebssystems können
Sie zum Beispiel hinterlegen, dass die
Ausführung der Richtlinie auf einem Ser-
ver bestimmte Dateien kopiert, Dienste
startet oder installiert und Programme
aufruft. Unsichere und nicht notwendige
Bild 2: Via PowerShell Direct gelingt der direkt Zugriff auf VMs aus der PowerShell des Hyper-V-Hosts. Dienste lassen sich beenden und damit
dern Sie die Skript-Datei und erstellen da- Nehmen Sie diese Zeilen in die Datei auf, dem Quellverzeichnis in das Zielverzeich-
nach die MOF-Dateien neu. Zum Absi- überprüft die PowerShell, ob es die Grup- nis. Darüber hinaus können Sie auch si-
chern eines Servers mit DSC kopieren Sie pe "Webadmins" auf den Servern gibt, cherstellen, dass auf den abgesicherten
die MOF-Dateien auf die Ziel-Server oder und legt sie an, wenn die Gruppe fehlt. Webservern in den gewünschten Zielver-
verwenden eine Freigabe im Netzwerk. So lassen sich mit PowerShell DSC auch zeichnissen immer nur die Dateien vor-
Und die Anwendung von MOF-Dateien einfach Benutzer aufnehmen oder aus handen sind, die Sie im Quellverzeichnis
auf den Ziel-Servern funktioniert so: Gruppen entfernen. Dazu dienen die bei- festlegen. Der Vorteil dabei ist, dass Sie
den Optionen "MembersToExclude" und ein Quellverzeichnis auf Basis einer Frei-
Start-DscConfiguration -Wait "MembersToInclude". gabe im Netzwerk festlegen und diese Da-
-Verbose -Path .\Name teien auf alle Webserver, auf denen Sie
Ein weiteres Beispiel für die Verwendung DSC nutzen, kopiert werden.
Sie können jederzeit mit dem Test- von DSC ist die Überprüfung, ob Dateien
DscConfiguration-Cmdlet überprüfen, des Webservers im Verzeichnis "inetpub" Haben Sie in der Konfigurationsdatei die
ob die mit DSC gesetzten Sicherheitsein- gespeichert sind und ob auf dem Server von Ihnen gewünschten Einstellungen
stellungen auf einem Server noch Ihren der IIS installiert ist. Außerdem können vorgegeben, speichern Sie diese als PS1-
Vorgaben entsprechen. Das Cmdlet über- Sie bestimmte Daten von einem Quell- Datei ab. Sie können die Datei jederzeit
prüft, ob es Unterschiede zwischen MOF- auf die Zielserver kopieren und so sicher- anpassen, aus der Datei eine neue MOF-
Datei und den tatsächlichen Einstellungen stellen, dass auf allen Webservern die von Datei erstellen und diese dann erneut an
auf dem Server gibt. Das Cmdlet liefert Ihnen abgesicherten Dateien vorhanden Server verteilen. Haben Sie die Datei ab-
Ihnen die Werte "True" (Einstellungen sind. Eine Beispieldatei finden Sie im Lis- gespeichert, starten Sie das Skript entwe-
stimmen noch) oder "False" (Einstellun- ting-Kasten. In diesem Beispiel legen Sie der durch Eingabe des Namens in der
gen wurden geändert). Bei Bedarf können über die Option "Node" den Namen der PowerShell oder Sie verwenden das grüne
Sie jederzeit die MOF-Datei mit Start- Server fest, auf denen Sie die von Ihnen Abspielzeichen in der PowerShell ISE.
DscConfiguration erneut anwenden. gewünschten Einstellungen und Sicher- Um zu testen, ob später die Umsetzung
heitsoptionen umsetzen wollen. Mit "En- auch auf den Zielservern funktioniert,
MOF-Dateien erweitern sure" bei "WindowsFeature IIS" überprüfen führen Sie das Skript auf einem der Ziel-
Mit DSC lassen sich auch Gruppen auf Sie, ob bestimmte Rollen (WindowsFea- server aus.
Servern anlegen und Benutzer zuweisen. ture) installiert (Present) oder eben nicht
Die Syntax dazu ist: installiert (Absent) sind. In der Datei kön- Für jeden Zielserver, den Sie über "Node"
nen Sie natürlich auch mehrere Rollen in der Konfigurationsdatei festlegen, er-
Group Webadmins anlegen kontrollieren. DSC kann die Rollen auch stellt der Befehl
{ deinstallieren oder installieren.
Ensure = "Present" Name der Konfiguration -MachineName
GroupName = "Webadmins" So testen Sie nicht nur, ob bestimmte Rol- Name des Servers, auf den die Da-
} lendienste installiert sind, sondern sind tei angewendet werden soll
auch in der Lage, nach Dateien oder Ver-
Listing: DSC-Überprüfung zeichnissen zu suchen. Das ist zum Bei- eine MOF-Datei, in der die Sicherheits-
eines Webservers spiel für das Überprüfen nach bestimm- einstellungen aus Ihrer Konfigurations-
ten Daten oder das Testen von Sicher- datei hinterlegt sind. Das Verzeichnis, in
Configuration MeineWebsite
{
heitsskripten wichtig. dem die PowerShell die MOF-Datei an-
Node ("s1.contoso.int", "s2.contoso.int") gelegt hat, sehen Sie im PowerShell-Fens-
{ Aber auch um sicherzustellen, dass auf ter. Sie können den Ausgabepfad der
#IIS-Installation sicherstellen
Webservern immer die von Ihnen ge- MOF-Dateien auch mit der Option "Out-
WindowsFeature IIS
{ wünschten Dateien in den fest definierten putPath" steuern.
Ensure = "Present” Verzeichnissen vorhanden sind, kann
Name = "Web-Server” DSC verwendet werden. Fehlt ein Skript, Windows-10-Dienste
}
#Existenz Webdateien sicherstellen
eine Datei oder ein bestimmtes Verzeich- ein- und ausschalten
File Beispieldatei nis, können Sie es über DSC auf den Ser- Die Aufgaben, die Windows 10 zur Über-
{ ver kopieren. Über "Type" legen Sie fest, wachung durchführt, lassen sich in der
Ensure = "Present”
ob Sie nach einem bestimmten Verzeich- PowerShell anzeigen, aber auch deakti-
Type = "Directory"
Recurse= $true
nis (Directory) oder nach einer Datei (Fi- vieren. Um zum Beispiel die Aufgabe
SourcePath = "\\dc01\Daten" le) suchen und Sie legen den Quellpfad "Programm zur Verbesserung der Benut-
Destinationpath = "C:\inetpub\wwwroot" (SourcePath) und den Zielpfad (Destina- zerfreundlichkeit (Customer Experience
}
tionPath) der Dateien fest. Bei der Aus- Improvement Program, CEIP)" zu deak-
}
} führung dieser Richtlinie kopiert die tivieren, hilft der folgende Befehl in der
PowerShell die Dateien automatisch aus PowerShell:
Disable-ScheduledTask -TaskName
"\Microsoft\Windows\Customer
Experience Improvement
Program\KernelCeipTask"
Unbeaufsichtigte Installation
von Rollen und Features
Neben der Möglichkeit, Rollen und Fea-
tures direkt über die PowerShell zu in-
stallieren, können Sie in der PowerShell
auch die XML-Steuerungsdatei verwen-
den, die Sie im Assistenten zum Instal-
lieren von neuen Rollen im letzten Fenster
speichern können.
Install-WindowsFeature -Configurati-
Bild 5: Bei der Installation von Serverrollen hilft eine Vorlagendatei für die PowerShell. onFilePath C:\Daten\iis.xml
Sollen die Dienste auch deaktiviert wer- testen Sie den Zugriff. Erhalten Sie keine Systemprozesse überwachen
den, nutzen Sie das Befehlszeilentool "sc": Fehlermeldung, sondern eine Statusan- Eine häufige Administrationsaufgabe ist
zeige, funktioniert der Zugriff vom Quell- das Verwalten der laufenden Prozesse auf
sc config diagtrack start=disabled computer auf den Zielcomputer. einem Server. Diese Aufgaben treten mit
sc config dmwappushservice der Migration zu Windows Server 2019
start=disabled Die zweite Möglichkeit besteht darin, in häufiger auf. Über den Befehl Get-Process
der PowerShell oder der PowerShell ISE lassen Sie sich alle laufenden Prozesse ei-
Netzwerkzugriff eine PowerShell-Sitzung auf einem Re- nes Computers anzeigen. Suchen Sie alle
mit der PowerShell moteserver zu öffnen. Alle Befehle, die Prozesse mit dem Anfangsbuchstaben "S",
Die PowerShell bietet Ihnen mehrere Op- Sie in dieser Sitzung ausführen, werden geben Sie den Befehl Get-Process s* ein.
tionen, um Befehle über das Netzwerk dann auf dem Remotecomputer ausge-
auszuführen. Zunächst stehen Ihnen die führt. Hier ist die Option "-computer- Sollen die Prozesse zusätzlich noch sor-
normalen Cmdlets ergänzt um die Option name" nicht notwendig, da die Sitzung tiert werden, zum Beispiel absteigend
"-computername" zur Verfügung. In einer ohnehin auf dem Remotecomputer aus- nach der CPU-Zeit, erledigt dies
lokalen PowerShell-Sitzung wird der Be- geführt wird. In der PowerShell ISE öff-
fehl auf diese Art und Weise über das nen Sie Remote-Sitzungen über "Datei / Pipe-Option |Sort-Object cpu
Netzwerk auf den Zielserver angewandt. Neue Remote-PowerShell" und geben -Descending
Mit Get-Help * -Parameter ComputerNa- den Servernamen sowie die entspre-
me erhalten Sie sich eine Liste all dieser chenden Anmeldedaten ein. Alle Befeh- Mit Windows Server 2019 haben Sie auch
Cmdlets. le, die Sie in dieser Sitzung ausführen, die Möglichkeit, über das Windows Ma-
werden direkt auf dem Remotecomputer nagement Interface Informationen abzu-
Wollen Sie von einer lokalen PowerShell- gestartet. fragen oder zu skripten. Sie können zum
Sitzung über das Netzwerk Programme Beispiel die Konfiguration der Auslage-
auf einem Remotecomputer starten, ver- Eine Remotesitzung in der normalen rungsdatei in der Befehlszeile über WMI
wenden Sie folgenden Befehl: PowerShell starten Sie über vornehmen. Dabei ist es nicht notwendig,
sich mit der komplexen WMI-Problema-
Invoke-Command -ComputerName Ziel- Enter-PSSession Servername tik auseinander zu setzen, über die Power-
Computer -ScriptBlock { Befehl } Shell lassen sich diese Daten schnell und
-credential Benutzername Wollen Sie sich mit einem anderen Be- einfach ablesen.
nutzer authentifizieren, verwenden Sie
Funktioniert der Befehl, öffnet sich ein So rufen Sie beispielsweise ausführliche
Authentifizierungsfenster und Sie müssen Enter-PSSession -ComputerName Compu- Informationen zu Festplatten mit WMI-
das Kennwort für den Benutzer eingeben. ter -Credential Benutzer Befehlen und dem Get-WmiObject-
Mit dem Kommando Cmdlet ab. Über die Option "Win32_Lo-
Mit Exit-Session beenden Sie diese Power- gicalDisk" erhalten Sie Details zu den
Test-WsMan Computername Shell-Sitzung wieder. Festplatten.
Fazit
Mit der PowerShell können Sie in Win-
dows Server 2019 und Windows 10 noch
mehr Aktionen durchführen als in den
Vorgängerversionen. Microsoft hat bereits
Bild 6: Die Windows-Terminal-App dient als neue Oberfläche für Befehlszeile und PowerShell. bekannte Funktionen aus den Vorgänger-
versionen erweitert und verbessert. Zudem
Das installierte Betriebssystem und das wobei sich alle PowerShell-Cmdlets in kommen mit DSC und der Terminal-App
Datum der Installation ziehen Sie eben- Module untergliedern. Eine Liste aller neue spannende Technolgien hinzu. Es
falls aus WMI und der PowerShell. Mit Module erhalten Sie mit lohnt sich für Administratoren einen Blick
auf die PowerShell zu werfen, um die Mi-
get-wmiobject win32_operatingsystem Get-Module -ListAvailable gration zu Windows Server 2019 oder
| select @{Name="Installed"; Ex- Windows 10 zu beschleunigen und sich
pression={$_.ConvertToDateTime($_. Windows-Terminal-App vereint das Leben einfacher zu machen. (jp)
InstallDate)}}, Caption PowerShell und Kommandozeile
Mit der neuen Windows-Terminal-App Link-Codes
zeigen Sie die die entsprechenden Infor- stellt Microsoft eine neue, gemeinsame
mationen an, gleiches gilt für die Bit-Va- Oberfläche für die Eingabeaufforderung, [1] NuGet
es213
riante des Betriebssystems WSL und die PowerShell zur Verfügung.
Das Open-Source-Tool bietet dazu auch [2] Chocolatey Repositories
e3pe4
Get-WmiObject -Class Win32_Computer- die Unterstützung von Registerkarten.
[3] Create a Chocolatey
System -ComputerName . | Select- Die Vorabversion von Windows Terminal
NuGet Package
Object -Property SystemType), Do- steht im Microsoft Store zur Verfügung. gs233
mäne, Hersteller, Modell und mehr Die Installation erfolgt also über die Sto-
[4] Desired State Configuration
(Get-WmiObject -Class Win32_Compu- re-App in Windows 10. Für den Einsatz gs272
terSystem wird mindestens Windows 10 ab Build [5] PowerShell Resource Gallery
18362 benötigt. Wenn die App fertig ge- gs273
PowerShell für stellt ist, soll sie auch für Windows Server [6] Expand and Compress Archive
Linux und macOS 2019 zur Verfügung stehen. Cmdlets
Microsoft bietet mit der PowerShell Core gs274
eine Variante der PowerShell an, die sich Nach dem Start öffnet sich eine neue Sit- [7] Data Center Abstraction
auf Linux und macOS installieren lässt zung mit der PowerShell, PowerShell Co- gs275
und auch in Docker-Containern läuft. re oder der Eingabeaufforderung. Über [8] Managing Network switches using
Sie können also mit der PowerShell sehr das Pluszeichen rufen Sie weitere Regis- PowerShell and CIM
umfassend im Netzwerk die verschiede- terkarten auf. Über das Pfeilsymbol ne- f4z85
nen Betriebssysteme und Serveranwen- ben dem Pluszeichen legen Sie fest, wel- [9] DSC Resource Kit
dungen steuern. Unterstützt wird dies che Shell sich im Windows-Terminal- f9z76
durch die Lauffähigkeit in SSH-Sitzun- Fenster öffnet. [10] Entfernen von Windows Store-
Apps in Windows 8
gen. PowerShell Core bietet Microsoft
gs277
Open Source an, der Download erfolgt Über die Datei "profiles.json" steuern Sie
[11] Microsoft-Skript zur erneuten
über GitHub [10]. die Einstellungen der App. Dazu klicken
Installation zuvor entfernter Apps
Sie auf die Schaltfläche "Einstellungen" gs278
Wie bei der herkömmlichen PowerShell im Dropdown-Menü und die Datei öff-
[12] PowerShell Core
in Windows lassen sich in der PowerShell net sich im standardmäßigen JSON-Tex- i1p31
Core Befehle mit get-command anzeigen, teditor des Systems. Jedes Profil ist ein
W
ir beginnen unseren Workshop sind. Auf diesem Weg können Sie auch der Offline-Modus. Windows Server 2019
mit einem wichtigen Aspekt: In im Hyper-V-Manager, aber auch im kann den Netzwerkverkehr in Hyper-V
Windows Server 2019 ist nämlich Win- Windows Admin Center effektiv Hyper- zudem komplett verschlüsseln.
dows Defender als Virenscanner vorin- V administrieren.
stalliert. Und Malware-Scans können zu Das Dateisystem ReFS arbeitet in Win-
Problemen mit Hyper-V führen. Glück- Neuerungen und dows Server 2019 besser mit Hyper-V zu-
licherweise hat Microsoft die notwendi- Verbesserungen in Hyper-V sammen. ReFS wurde in Windows Server
gen Ausnahmen für Hyper-V und die zu- Neben mehr Sicherheit und einer besse- 2012 als Ersatz für das alternde NTFS-
gehörigen Serverrollen integriert. Um die ren Unterstützung für Linux hat Micro- Dateisystem eingeführt. Microsofts
Ausnahmen bei Bedarf auszuschalten, ge- soft Funktionen aus Azure in Windows Hauptziel bei der Entwicklung von ReFS
ben Sie folgenden Befehl ein: Server 2019 integriert. Generell findet die war es, ein skalierbares Dateisystem zu
Installation und Verwaltung von Hyper- schaffen, um den Anforderungen heutiger
Set-MpPreference V in Windows Server 2019 noch weitge- Rechenzentren gerecht zu werden. ReFS
-DisableAutoExclusions $true hend identisch zu den Vorgängerversio- bietet in Windows Server 2019 die Mög-
nen statt. So gibt es auch weiterhin den lichkeit der Datendeduplizierung. Die Er-
Arbeiten Sie mit Hyper-V in Windows Hyper-V-Manager. Natürlich lässt sich weiterung mit diesen Funktionen macht
Server 2019, sollten Sie also Ihren Viren- Hyper-V in Windows Server 2019 auch ReFS zu einer guten Wahl für den Einsatz
schutz im Auge behalten und entspre- mit dem System Center administrieren. auf Volumes mit VMs für Hyper-V.
chend anpassen – auch dann, wenn Sie Neu hinzugekommen ist die Möglichkeit,
einen anderen Virenscanner als Windows Hyper-V mit dem Windows Admin Cen- Mit Windows Server 2016 hat Microsoft
Defender einsetzen. Virtuelle Server lassen ter (WAC) zu verwalten. die Container-Technologie vor allem auf
sich außerdem einfach mit BitLocker ver- Basis von Docker in Windows-Server in-
wenden. In Generation-2-VMs können Hyper-V ist nicht nur in Windows Server tegriert. Auch Windows Server 2019 ver-
Sie dazu ein virtuelles TPM hinzufügen, 2019 integriert, sondern steht auch kos- fügt über die Container-Technologie, die
für Generation-1-VMs speichert Windows tenlos über Microsoft Hyper-V Server zur sich natürlich zusammen mit Hyper-V
Server 2019 die notwendigen Daten in ei- Verfügung. Die neue Version einschließ- nutzen lässt. In der neuen Version können
nem versteckten Bereich der Festplatte. lich des kostenlosen Hyper-V-Servers auch Windows Server Container auf Basis
kann Shielded-VMs mit Linux nutzen. In von Kubernetes verwaltet werden. Parallel
Verwalten lässt sich Hyper-V generell Windows Server 2016 konnten diese ver- lassen sich dadurch auf einem Hyper-V-
über die PowerShell. Geben Sie Get-Com- schlüsselten VMs nur mit Windows Ser- oder Container-Host Windows-Container
mand -Module Hyper-V ein, erhalten Sie ver 2016 eingesetzt werden. Neben dieser und Linux-Container einsetzen.
eine Liste der verfügbaren Cmdlets. Mar- Neuerung hat Microsoft die Technik der
kieren Sie derweil im Hyper-V-Manager Shielded-VMs weiter verbessert. Diese Hyper-V-Container lassen sich auch in
vorhandene VMs, stehen Ihnen im Kon- starten dank des Offline-Modus auch Windows Server 2019 nutzen. So kann
textmenü die Befehle zur Verfügung, die dann, wenn der Host Guardian Service das Betriebssystem jetzt auch problemlos
für alle markierten VMs durchführbar (HGS) nicht erreichbar ist. Hierfür dient gruppierte, verwaltete Dienstkonten für
von der Netzwerkinstallation während Der Hyper-V-Manager kommuniziert virtuellen Netzwerkkarten lässt sich die
der Installation nichts mit. Sie können über das WS-MAN-Protokoll mit den Netzwerkbandbreite von Servern eingren-
auf dem Quellserver den Assistenten zur Hyper-V-Hosts im Netzwerk und unter- zen und unerwünschte DHCP- oder Rou-
Installation schließen. Der Installations- stützt CredSSP, Kerberos und NTLM. Mit terpakete lassen sich blockieren. Dies soll
vorgang ist davon nicht betroffen. Auf CredSSP können Sie zum Beispiel Live- verhindern, dass virtuelle Server uner-
diesem Weg können Sie den Assistenten migrationen durchführen, ohne zuerst wünscht als DHCP-Server oder Router
zur Installation von Serverrollen auch Delegierungen erstellen zu müssen. WS- agieren und das Netzwerk beeinträchti-
mehrmals starten. MAN verwendet Port 80, was die Verbin- gen. Kaufen Unternehmen neue Hostsys-
dung mit externen Clients und die Re- teme für Hyper-V, sollten sie darauf ach-
Erste Schritte mit Hyper-V moteverwaltung wesentlich vereinfacht. ten, genügend Netzwerkkarten in den
Nach der erfolgreichen Installation müs- Server einzubauen. Wichtig ist dabei
sen Sie in der Regel den Server neu star- Windows Server 2019 kann bei VMs über- auch, dass die Karten die neuen Funktio-
ten. Melden Sie sich nach dem Neustart wachen, ob diese zu viel CPU-Last verur- nen in Hyper-V unterstützen.
mit dem gleichen Benutzerkonto an, mit sachen und damit den Host sowie andere
dem Sie auch die Installation durchge- VMs beeinträchtigen. Um diese Funktion Bereits mit Windows Server 2012 hat Mi-
führt haben. Nach der Anmeldung ar- für eine VM zu aktivieren, verwenden Sie crosoft die Möglichkeiten der Netzwerk-
beitet der Assistent weitere Aufgaben ab in der PowerShell den folgenden Befehl: switches für Hyper-V deutlich erweitert
und beendet die Installation. Hyper-V ist und verbessert. Mit Hyper-V Network
jetzt erfolgreich auf dem Server instal- Set-VMProcessor -EnableHostResource- Virtualization (HNV) können Unterneh-
liert. Nach der Installation finden Sie auf Protection $true men einzelne virtuelle Netzwerke vom
der Startseite den Hyper-V-Manager vor, physischen Netzwerk trennen.
mit dem Sie virtuelle Computer erstellen Virtuelle Switches erstellen
und verwalten. In der Mitte der Konsole Alle virtuellen Computer, die Sie erstellen, Zunächst erstellen Sie für die einzelnen
sehen Sie nach der Erstellung die ver- verwenden einen virtuellen Switch auf physischen Netzwerkkarten im Computer
schiedenen VMs. Auf der rechten Seite dem Host-Server. Dieser verbindet die jeweils einen virtuellen Switch durch die
stehen die verschiedenen Befehle zur virtuellen Computer mit den physischen Auswahl von "Neuer virtueller Switch"
Verwaltung der virtuellen Computer zur Netzwerkkarten des Hyper-V-Hosts und und den Klick auf die Schaltfläche "Vir-
Verfügung. erlaubt eine Kommunikation der VMs tuellen Switch erstellen". Im neuen Fens-
mit dem Rest des Netzwerks. Virtuelle ter wählen Sie die physische Netzwerk-
Über den Link "Neu" erstellen Sie eine Switches sind auf dem Hyper-V-Host hin- karte aus, die Sie dem Switch zuweisen
neue VM. Nach dem Erzeugen können terlegt und lassen sich während des Er- wollen und legen fest, welche Art von
Sie das Betriebssystem auf dem neuen stellens von virtuellen Servern oder auch Netzwerk Sie dem Switch zuordnen:
Server entweder mit einer CD/DVD oder nachträglich anpassen. Dazu richten Sie - Extern: Dieses Netzwerk ermöglicht
über eine ISO-Datei installieren, die als für virtuelle Server eine neue virtuelle dem virtuellen Computer eine Kommu-
CD/DVD-Laufwerk mit dem Computer Netzwerkkarte ein und verbinden diese nikation mit dem Netzwerk und zwi-
verknüpft wird. Der generelle Ablauf bei mit dem virtuellen Server. Der virtuelle schen virtuellen Computern auf dem
der Installation der Server in einer Hy- Switch ist wiederum mit der physischen Host. Sie können im Hyper-V-Manager
per-V-Umgebung ist folgender: Netzwerkkarte des Hosts verbunden. immer nur ein externes Netzwerk pro
- Sie erstellen virtuelle Switches auf Basis verfügbare Netzwerkkarte erstellen, aber
der physischen Netzwerkkarten in Win- Bevor Sie virtuelle Computer installieren, mehrere VMs können sich dieses exter-
dows Server 2019. besteht der erste Schritt in der Konfigura- ne Netzwerk und damit die Geschwin-
- Sie erstellen und konfigurieren die vir- tion der virtuellen Switches. Dazu steht im digkeit der Karte teilen.
tuellen Server. Hyper-V-Manager der Bereich "Manager - Intern: Diese Netzwerke erlauben eine
- Sie installieren das Betriebssystem auf für virtuelle Switches" zur Verfügung. In Kommunikation der virtuellen Computer
den VMs. Die Installation läuft genauso Hyper-V funktioniert die Hochverfügbar- untereinander auf dem physischen Host.
ab wie auf normalen Servern. keit von Netzwerk-Switches auf anderen Die Computer können nicht mit dem
Wegen. Wir zeigen auch hier die Vorge- Netzwerk kommunizieren, außer mit
Wenn Sie neue Hosts im Hyper-V-Mana- hensweise. Setzen Sie zum Beispiel meh- dem Hyper-V-Host selbst und den ande-
ger anbinden, können Sie alternative An- rere physische Netzwerkkarten ein, erstel- ren VMs. Dafür ist für diese Verbindung
meldedaten für jeden Host eingeben und len Sie auch mehrere virtuelle Switches. keine Netzwerkkarte erforderlich, da die
diese auch speichern. Diese Funktion bie- Verbindung virtuell stattfindet.
tet sich auch beim Anbinden älterer Ver- Für eine bessere Leistung im Netzwerk - Privat: Diese Netzwerke erlauben eine
sionen an. Mit dem Hyper-V-Manager in dürfen virtuelle Server in Windows Server Kommunikation zwischen den einzel-
Windows Server 2019 lässt sich nämlich 2019 auf Hardwarefunktionen von Netz- nen VMs auf dem Host. Die Kommu-
auch Hyper-V unter Windows Server werkkarten zugreifen, was das Tempo er- nikation mit dem Host selbst ist bei die-
2012 (R2) und 2016 verwalten. höhen kann. In den Einstellungen von sem Netzwerk nicht möglich.
Sie können bei der Konfiguration auch fest- ncpa.cpl im Startmenü ein. Wichtig in mer davon ausgehen, dass es virtualisiert
legen, dass die verwendete physische Netz- diesem Bereich ist, dass Sie zukünftig IP- zur Verfügung gestellt wird. Ein Betriebs-
werkkarte nur für die virtuellen Computer Einstellungen nicht mehr in der physi- system, das einen virtuellen IDE-Con-
zur Verfügung steht, nicht für das Hostbe- schen Netzwerkverbindung vornehmen, troller nutzt, greift auf diesen genauso zu
triebssystem selbst. Standardmäßig teilen sondern in den Einstellungen des virtu- wie auf einen physischen IDE-Controller.
sich VMs und der Host die Netzwerkver- ellen Switches. Diese verwendet dann Das gilt aber nur für den eigentlichen
bindung. Sie können Ihre Einstellungen je- auch der physische Windows-Server- Bootvorgang. Hyper-V schreibt die Be-
derzeit nachträglich anpassen. Haben Sie 2019-Host für die Kommunikation mit fehle an den virtuellen IDE-Controller so
mehrere Netzwerkkarten im Hyper-V-Host dem Netzwerk, wenn Sie keine dedizierte um, dass die Zugriffe funktionieren. IDE-
verbaut, können Sie mehrere virtuelle Swit- Netzwerkkarte konfiguriert haben. Festplatten stehen also auch dann zur Ver-
ches auf Basis dieser Karten erstellen. fügung, wenn auf dem virtuellen Server
Sie können virtuelle Switches auch in der die Integrationsdienste für Hyper-V nicht
Nach dem Zuordnen einer physischen PowerShell erstellen und verwalten. Die gestartet sind. Sobald die Integrations-
Netzwerkkarte zu einem virtuellen Switch entsprechenden Cmdlets finden Sie am dienste geladen sind, stehen in der VM
lassen sich diese anschließend den ein- schnellsten, wenn Sie in der PowerShell die speziellen Treiber für virtuelle IDE-
zelnen VMs als virtuelle Netzwerkadapter Get-Command *vmswitch* eingeben. Ne- und SCSI-Controller bereit.
zuweisen. Dies erfolgt beim Erstellen der ben den Switches können Sie auch die
virtuellen Maschine oder nachträglich in virtuellen Netzwerkadapter in der Power- Bei Generation-2-VMs weiß das Betriebs-
den Einstellungen über den Bereich Netz- Shell steuern. Hier sehen Sie die Befehle system bereits beim Starten, dass es in einer
werkkarte. Die erste Tätigkeit besteht in mit Get-Command *vmnetworkadapter*. virtuellen Umgebung zur Verfügung ge-
der Zuweisung des virtuellen Switches. stellt wird. Diese VMs unterstützen aller-
Anschließend lässt sich die Konfiguration IDE vs. SCSI dings keinerlei emulierte Hardware, auch
vornehmen. In den Eigenschaften steht als virtuelle Controller keine virtuellen IDE-Controller beim Boo-
auch die Steuerung der Bandbreite zur Einfach ausgedrückt können virtuelle Ser- ten. Generation-2-VMs booten also immer
Verfügung. Dadurch regeln Sie die Netz- ver in Windows Server 2019 zunächst nur über das UEFI-System von virtuellen SCSI-
werkgeschwindigkeiten virtueller Com- von IDE-Controllern booten, zumindest Controllern. Diese werden nicht emuliert,
puter. Diese Vorgaben können Sie jeder- wenn Sie Generation-1-VMs nutzen. Sie sondern sind als Treiber direkt in den Hy-
zeit in den Settings der VM anpassen, können zwar weitere SCSI-Controller pervisor integriert und dadurch von der
wenn Sie diese angelegt haben. hinzufügen, die Server starten aber nur VM zugreifbar. Das ist bereits beim Booten
von virtuellen IDE-Controllern. Das liegt des virtuellen Servers der Fall. Sobald ein
Interessant sind unterhalb der Einstellun- daran, dass die alten Generation-1-VMs virtueller Server gestartet ist und die In-
gen für die Netzwerkkarten noch die bei- in Windows Server 2012 (R2) und Win- tegrationsdienste geladen sind, greifen die
den Bereiche "Hardwarebeschleunigung" dows Server 2016 nur von emulierten VMs ebenfalls über Treiber mit dem Hy-
und "Erweiterte Features". Bei der Hard- Controllern und nicht von virtualisierten pervisor auf den Controller dazu. Ab die-
warebeschleunigung können Sie den vir- Controllern wie SCSI booten. sem Moment gibt es keine Leistungsun-
tuellen Computern erlauben, bestimmte terschiede mehr zwischen virtuellen IDE-
Berechnungen direkt an die physische Physische IDE-Controller bieten zwar we- und SCSI-Controller, da beide über die
Netzwerkkarte weiterzureichen. Im unte- niger Leistung als physische SCSI-Control- gleiche Technik angebunden sind.
ren Bereich lassen sich noch Berechnun- ler, im Bereich der Virtualisierung ist das
gen für IPSec vom Prozessor des virtuellen aber nicht so. Dafür bieten virtuelle IDE- Der Vorteil von SCSI-Controllern ist au-
Servers auf die physische Netzwerkkarte Controller weniger Funktionen als die vir- ßerdem die Möglichkeit, im laufenden
auslagern. Dadurch beschleunigen sich tuellen SCSI-Controller. Nutzen Sie eine Betrieb Festplatten zuordnen oder abhän-
die Systemleistung des Servers und die Generation-2-VM in Windows Server 2012 gen zu können. Außerdem können Sie
Netzwerkgeschwindigkeit. Innerhalb der R2 oder 2016, startet diese direkt von einem physische Festplatten direkt über virtuelle
erweiterten Features finden Sie zudem die SCSI-Controller. Das gilt auch in Windows SCSI-Controller an eine VM anhängen.
beiden neuen Einstellungen "DHCP- 10 und Windows Server 2019. Bei diesen Virtuelle IDE-Controller erlauben maxi-
Wächter" und "Routerwächter". Diese sol- Servern kommt wiederum kein IDE-Con- mal zwei virtuelle Geräte pro Controller.
len verhindern, dass virtuelle Server un- troller zum Einsatz. Allerdings können Sie Außerdem dürfen Sie nur zwei virtuelle
kontrolliert als DHCP-Server oder als in diesem Fall nur Computer mit Windows IDE-Controller pro virtuellen Server ver-
Router agieren. Server 2012 (R2), 2016, 2019 oder Win- binden, aber dafür vier virtuelle SCSI-
dows 8, 8.1 oder 10 virtualisieren. Controller. Mit virtuellen SCSI-Control-
Nach dem Erstellen der virtuellen Netz- lern stehen Ihnen mehrere Kanäle mit
werke finden Sie auf dem Host in den Das liegt auch daran, dass Hyper-V vir- zahlreichen Anschlussmöglichkeiten zur
Netzwerkverbindungen die angelegten tuelle IDE-Controller emuliert, auch noch Verfügung. Insgesamt können Sie pro
Verbindungen wieder. Um die Netzwerk- in Windows Server 2019. Das Betriebs- SCSI-Controller 16 Festplatten anschlie-
verbindungen anzuzeigen, geben Sie system in Hyper-V muss daher nicht im- ßen, insgesamt also 64.
Festplatten, die Sie an virtuellen SCSI- den Hyper-V-Manager. Sie können sich Wählen Sie auf der nächsten Seite aus,
Controllern anschließen, lassen sich im auch von einem anderen Server oder wieviel Arbeitsspeicher Sie dem Compu-
laufenden Betrieb des Servers an- oder Computer aus mit dem Hyper-V-Host ter zuweisen möchten. Generell sollten
abhängen. Das geht mit virtuellen und verbinden. Klicken Sie anschließend auf Sie darauf achten, dass der gemeinsame
physischen Festplatten, die Sie über vir- "Neu / Virtueller Computer" oder ver- Arbeitsspeicher aller virtuellen Server
tuelle SCSI-Controller an VMs anbinden. wenden Sie das Kontextmenü des Hosts nicht den physischen Speicher des Hosts
Auch das funktioniert mit virtuellen Fest- zum Erstellen eines virtuellen Computers. überschreiten sollte. Der Arbeitsspeicher
platten an virtuellen IDE-Controllern Geben Sie auf der nächsten Seite den Na- des virtuellen Computers lässt sich nach
nicht. Hier können Sie zwar auch jederzeit men der VM ein. Der Name hat nichts der Installation anpassen, auch im lau-
Festplatten an- und abhängen, müssen mit dem eigentlichen Computernamen fenden Betrieb. Sie können an dieser Stelle
dazu aber die VM ausschalten. zu tun. Hierbei handelt es sich lediglich auch den dynamischen Arbeitsspeicher
um den Namen im Hyper-V-Manager. Es aktivieren. Dieser ermöglicht es, dass vir-
Neu seit Windows Server 2012 R2 ist bietet sich aber an, den gleichen Namen tuelle Computer, die nicht ihren gesamten
die Möglichkeit, die Größe von virtuel- zu verwenden. zugewiesenen Arbeitsspeicher ausnutzen,
len Festplatten im laufenden Betrieb zu Teile davon auch anderen virtuellen Com-
ändern. Auch dazu müssen die Festplat- Aktivieren Sie nun das Kontrollkästchen putern zur Verfügung stellen können.
ten an einem virtuellen SCSI-Controller "Virtuellen Computer an einem anderen
angeschlossen sein. Das funktioniert Speicherort speichern". Sie können die- Virtuelle Computer können über Hyper-
auch in Windows Server 2019. Was da- sen Ordner im Hyper-V-Manager über V den Arbeitsspeicher teilen. Die einzel-
gegen bei virtuellen IDE- und SCSI- "Hyper-V-Einstellungen" festlegen. Hier nen virtuellen Instanzen lassen den Hy-
Controllern gleichermaßen funktioniert, nehmen Sie darüber hinaus weitere Ein- pervisor wissen, wieviel Arbeitsspeicher
ist die Möglichkeit, die Dienstqualität stellungen vor, die für Hyper-V selbst sie benötigen. Ist genügend Arbeitsspei-
und Bandbreite von virtuellen Festplat- und alle virtuellen Computer gemeinsam cher auf dem Computer frei, teilt der Hy-
ten zu begrenzen. gelten. Wählen Sie anschließend den pervisor dem virtuellen Computer den
Ordner aus, in dem Sie die Daten des benötigten Arbeitsspeicher zu und zieht
Per Hyper-V-Manager virtuellen Computers speichern wollen. ihn von anderen Computern ab, die der-
virtuelle Maschinen erstellen Sie sollten für jeden Computer einen ei- zeit keinen Bedarf haben. Sobald der Spei-
Nachdem Sie die virtuellen Switches für genen Pfad verwenden. Danach bestim- cherbedarf des Computers steigt, fragt der
virtuellen Computer angelegt haben, er- men Sie, ob der virtuelle Server eine Ge- Server den Speicher beim Hyper-V-Host
stellen Sie die Rechner, die Sie virtuali- neration-1-VM sein soll oder die neuen an und erhält diesen, wenn der Speicher
sieren möchten. Dazu können Sie als In- Funktionen von Generation-2-VMs er- zur Verfügung steht. Umgekehrt teilen
stallationsmedium entweder eine DVD füllt. Bedenken Sie aber, dass Sie die Ge- VMs ständig dem Hyper-V-Host mit, wie
auswählen oder eine ISO-Datei. Um vir- neration eines virtuellen Servers nicht viel Arbeitsspeicher sie abgeben können.
tuelle Computer zu erstellen, starten Sie mehr ändern können.
Angelegten virtuellen Computern können
Sie über die Einstellungen einen Startwert
und einen maximalen Wert für den Ar-
beitsspeicher zuweisen. Die Zuteilung des
tatsächlichen Arbeitsspeichers steuert Hy-
per-V auch auf Basis der Prioritäten, die
Sie den virtuellen Computern zuweisen.
Um Dynamic Memory zu nutzen, aktivie-
ren Sie das Kontrollkästchen "Dynamischen
Arbeitsspeicher für diesen virtuellen Com-
puter verwenden". An dieser Stelle können
Sie aber keine Werte konfigurieren.
die auf dieselbe virtuelle Festplatte zu- Hier sollten Sie also sicherstellen, dass Hyper-V die Daten des Computers spei-
greifen. Dadurch sparen Sie sich viel Zeit der Hersteller der Serveranwendung dy- chern soll. Während des Vorgangs bleibt
und Platz beim Klonen von virtuellen namische Festplatten unterstützt – auch der virtuelle Server gestartet. Sie sehen
Maschinen. dann, wenn die Leistung nicht unbedingt den Status im Hyper-V-Manager. Möch-
ausschlaggebend ist. Außerdem wachsen ten Sie Daten in verschiedenen Ordnern
Im Anschluss legen Sie den Pfad fest, in dynamische Festplatten ständig an. Es speichern, können Sie die entsprechende
dem Windows Server 2019 die VHD/ kann passieren, dass der Speicherplatz Option auswählen und legen im nächsten
VHDX-Datei speichern soll. Auch den des Hyper-V-Hosts nicht mehr ausreicht. Fenster getrennte Speicherorte für Kon-
Namen der Datei geben Sie hier ein. Auf In diesem Fall stellen VMs ihren Dienst figurationsdateien, virtuelle Festplatte und
der nächsten Seite legen Sie die Größe der ein. Dynamische Festplatten sind also Snapshots fest.
virtuellen Festplatte fest und können auch durchaus eine interessante Funktion, soll-
den Inhalt einer physischen Festplatte in ten für leistungshungrige VMs aber nicht Virtuelle Festplatten
die virtuelle Festplatte kopieren lassen. zum Einsatz kommen. Bei der Verwen- von Servern verwalten
Danach erhalten Sie noch eine Zusam- dung der dynamischen Festplatten für Im Aktionen-Bereich des Hyper-V-Ma-
menfassung und erstellen mit "Fertig stel- herkömmliche Server sollten Sie den Spei- nagers finden Sie auf der rechten Seite
len" schließlich die virtuelle Festplatte. cherplatz des Hosts im Auge behalten. die beiden Menübefehle "Datenträger be-
Klicken Sie danach im Fenster auf "An- arbeiten" und "Datenträger überprüfen".
wenden", damit die virtuelle Festplatte Speicher-Migration: Virtuelle Mit "Datenträger überprüfen" starten Sie
an den virtuellen Server angefügt wird. Festplatten verschieben einen Scanvorgang. Anschließend öffnet
Sie lässt sich nun in der Datenträgerver- In Windows Server 2019 besteht die Mög- sich ein neues Fenster und zeigt die Daten
waltung der VM verwalten. Hier gehen lichkeit, den Speicherort von virtuellen dieser Festplatte an. So erfahren Sie, ob
Sie vor wie bei physischen Festplatten. Festplatten auf Hyper-V-Hosts zu verschie- es sich um eine dynamisch erweiterbare
ben. Dieser Vorgang ist im laufenden Be- Festplatte oder eine Festplatte mit fester
Dynamische Festplatten wachsen mit trieb durchführbar. Das ist zum Beispiel Größe handelt. Auch die maximale Größe
dem Speichervolumen einer VM mit. sinnvoll, wenn Sie einen Datenträger ver- sowie die aktuelle Datenmenge zeigt das
Dadurch benötigen die Festplatten nicht größern oder die virtuellen Datenträger Fenster an.
zu viel Speicherplatz nach der Installati- auf ein NAS oder SAN auslagern wollen.
on. Der Nachteil liegt allerdings in der Klicken Sie dazu mit der rechten Maus- Über "Datenträger bearbeiten" stehen Ih-
Leistung. Vor allem sehr leistungshung- taste auf den virtuellen Server, dessen Fest- nen verschiedene Möglichkeiten zur Ver-
rige Systeme sind oft auf jedes Quäntchen platten Sie verschieben wollen. Wählen fügung, um die aktuell ausgewählte Fest-
Leistung angewiesen. Sie danach "Verschieben" aus. Im nächs- platte anzupassen:
ten Fenster geben Sie an, ob Sie die Daten - Komprimieren: Diese Aktion steht nur
Server, deren Performance nicht von der des virtuellen Servers oder nur die virtu- bei dynamisch erweiterbaren Festplatten
Festplattenleistung direkt abhängt, kön- ellen Festplatten verschieben möchten. zur Verfügung. Der Vorgang löscht leere
nen diese Funktion durchaus nutzen. Al- Bereiche in der VHD(X)-Datei, sodass
lerdings unterstützen auch nicht alle Ser- Im darauffolgenden Fenster wählen Sie diese deutlich verkleinert wird. Aller-
veranwendungen dynamische Festplatten. den entsprechenden Ordner aus, in dem dings ergibt dieser Vorgang nur dann
Sinn, wenn viele Daten von der Fest-
platte gelöscht wurden.
- Konvertieren: Mit diesem Vorgang wan-
deln Sie dynamisch erweiterbare Fest-
platten in Festplatten mit fester Größe
um oder umgekehrt.
- Erweitern: Dieser Befehl hilft dabei, den
maximalen Festplattenplatz einer
VHD(X)-Datei zu vergrößern.
- Zusammenführen: Der Assistent zeigt
diesen Befehl nur dann an, wenn Sie ei-
ne differenzierende Festplatte auswäh-
len, zum Beispiel die AVHD(X)-Datei
eines Snapshots. Da diese Datei nur die
aktuellen Unterschiede zu der VHD(X)-
Quelldatei enthält und auf diese verifi-
ziert ist, lassen sich die Daten zu einer
Bild 5: In Windows Server 2019 greifen Sie vom Host mit der PowerShell auf VMs zu. gemeinsamen VHD(X)-Datei zusam-
Auch Serverrollen lassen sich dadurch installieren. menführen, die alle Daten enthält. Die
dern über die Windows-Update-Funktion $PSSession = New-PSSession -VMName mationen zu den Hyper-V-Host im Netz-
des Servers. Dadurch besteht auch die VMName -Credential (Get-Credential) werk. Details erhalten Sie auch mit diesem
Möglichkeit zur Anbindung an WSUS. Cmdlet über die beiden Optionen "|fl"
Copy-Item -ToSession $PSSession - und "|ft".
Haben Sie für einen Computer noch kei- Path C:\data.bar -Destination C:\
nen Snapshot erstellt, also eine Siche- Informationen zu virtuellen Switches zeigt
rung des Betriebssystemzustands zu ei- Mehr dazu finden Sie unter [1] in einer die PowerShell mit Get-VMSwitch an. Sie
nem bestimmten Zeitpunkt, lässt sich PowerShell-Direct-Anleitung. können sich die Einstellungen der virtu-
an dieser Stelle noch der Speicherort der ellen Netzwerkkarten mit dem folgenden
Dateien des virtuellen Computers an- Daten virtueller Server Befehl anzeigen lassen:
passen. Nach dem Erzeugen eines Snaps- aus Hyper-V auslesen
hots ist keine Änderung des Speicherorts Administratoren benötigen oft einen Get-VMNetworkAdapter -VMName Name
mehr möglich. Überblick zu den verschiedenen Ser- des virtuellen Servers |fl
vern im Netzwerk. Betreiben Sie im Un-
Über die Kategorie "Automatische Start- ternehmen virtuelle Server auf Basis Mit diesem Cmdlet erhalten Sie auch
aktion" legen Sie fest, wie sich der virtuelle von Hyper-V, können Sie mit einfachen die MAC-Adressen und IP-Adressen
Computer bei einem Neustart des Hosts Tools und Befehlen schnell und simpel der virtuellen Server auf dem Hyper-V-
verhalten soll. Die Kategorie "Automati- Informationen wie IP-Adressen, Fest- Host. Wo die virtuellen Festplatten einer
sche Stoppaktion" dient der Konfiguration plattendaten oder die Konfiguration VM gespeichert sind, sehen Sie im Hy-
des Verhaltens, wenn der Host herunter- auslesen. Dazu sind nicht immer Zu- per-V-Manager in dessen Einstellungen
gefahren wird. satztools wie der System Center Virtual im Bereich IDE-Controller oder SCSI-
Machine Manager notwendig. Oft rei- Controller. Sie können die virtuellen
Virtuelle Server in chen die Bordmittel aus. Festplatten auch über die PowerShell
der PowerShell steuern mit den Cmdlets Get-VMIdeController,
Sie können virtuelle Server in der Power- Wir zeigen Ihnen, welche Möglichkeiten Get-VMScsiController, Get-VMFibre-
Shell erstellen. Dazu verwenden Sie das es gibt, Daten von Servern auszulesen. ChannelHba und Get-VMHardDiskDri-
Cmdlet New-VM -Name Name des virtu- Vor allem Hyper-V in Windows Server ve abfragen.
ellen Servers. Neue virtuelle Festplatten 2019 bietet hier mit der PowerShell einige
erstellen Sie mit New-VHD. Sie schalten Möglichkeiten. Die folgenden Befehle Zum Auslesen der IP-Adressen und Netz-
mit Stop-VM virtuelle Maschinen aus, funktionieren oft auch für physische Ser- werkdaten können Sie daher nicht nur
starten Sie mit Start-VM, und rufen den ver oder virtuelle Server, die Sie mit an- die Möglichkeiten des vorherigen Ab-
Zustand und die Konfiguration mit Get- deren Lösungen wie VMware virtualisie- schnitts verwenden, sondern auch das
VM ab. Eine Liste aller erzeugten virtu- ren. Auch für Arbeitsstationen lassen sich Cmdlet Get-VMNetworkAdapter. Wollen
ellen Server eines Hyper-V-Hosts rufen manche der Tools nutzen. Sie zum Beispiel aus allen virtuellen Ser-
Sie mit Get-VM ab. Mit der Option "|fl" vern die IP-Adressen auslesen, rufen Sie
erhalten Sie weiterführende Informatio- Im Hyper-V-Manager sehen Sie die IP- wieder mit Get-VM die virtuellen Server
nen. Alternativ verwenden Sie "|ft". Sie Adressen und Netzwerkdaten von virtu- eines Hosts ab und übergeben das Ergeb-
erhalten so auch Echtzeitdaten, also auch ellen Servern, wenn Sie einen Server mar- nis an Get-VMNetworkAdapter.
den zugewiesenen Arbeitsspeicher, sofern kieren und ganz unten die Registerkarte
Sie Dynamic Memory einsetzen. "Netzwerk" aufrufen. Sie erkennen an die- Anschließend können Sie das Ergebnis
ser Stelle auch den virtuellen Switch, mit noch filtern und nur die IP-Adressen der
In der PowerShell haben Sie auch die dem der virtuelle Server verbunden ist virtuellen Server anzeigen. Dazu verwen-
Möglichkeit, das Ergebnis einer Get-Ab- und welchen Status die Verbindung hat. den Sie zum Beispiel den Befehl Get-VM
frage an ein anderes Cmdlet zu überge- Das funktioniert auch, wenn Sie Hyper- | foreach{(Get-VMNetworkAdapter $_).IP-
ben. So können Sie zum Beispiel mit V in Windows 10 nutzen. Addresses}. Mit dem Zusatz "foreach" liest
Get-VM die virtuellen Server eines Hy- der Befehl nacheinander die gewünschten
per-V-Hosts auslesen und mit Get- Sie entnehmen dem Fenster auch die ak- Daten aller VMs aus und zeigt diese an.
VMHardDiskDrive die virtuellen Fest- tuelle MAC-Adresse des Servers. Diese Mit dem Kommando lesen Sie aber nicht
platten dieser Server anzeigen lassen. spielt zum Beispiel für den Aufbau eines nur die IP-Adressen der virtuellen Server
Dazu verwenden Sie den Befehl Get- Lastenausgleich-Clusters eine Rolle. Über auf einem lokalen Hyper-V-Host aus, son-
VMHardDiskDrive (Get-VM). diesen Weg können Sie die IP-Adressen dern können auch Hosts im Netzwerk ab-
der virtuellen Server im Hyper-V-Mana- fragen. Dazu nutzen Sie den Befehl
Sie können vom Hyper-V-Host über ger für alle angebundenen Hyper-V-Hosts
PowerShell Direct auch Dateien kopieren. anzeigen. Sie lesen in der PowerShell aber Get-VM -computername Name des Hyper-
Dazu öffnen Sie eine neue Sitzung und nicht nur Daten von virtuellen Servern V-Hosts | foreach{(Get-VMNetwork-
kopieren danach die Dateien: aus, sondern mit Get-VMhost auch Infor- Adapter $_).IPAddresses}
WMI-Abfragen nutzen Die VM hat noch die VM-Version von 2. Geben Sie den Befehl cd %WinDir%\
Eine weitere Möglichkeit, um Daten vir- Windows Server 2012 R2 oder 2016. Da- System32\ServerMigrationTools ein.
tueller Server, aber auch von physischen mit Sie die neuen Funktionen in Hyper-V 3. Tippen Sie den Befehl smigdeploy /pa-
Servern im Netzwerk zu ermitteln, sind von Windows Server 2019 nutzen können, ckage /architecture amd64 /os WS12R2
WMI-Abfragen. Dazu nutzen Sie die öffnen Sie eine neue PowerShell-Sitzung /path Ordner ein. Migrieren Sie von
PowerShell und das Cmdlet Get-WMI- und geben Sie den Befehl Update-VmVer- Windows Server 2012, verwenden Sie
Object. Dem Cmdlet übergeben Sie ein sion Name der VM an. Überprüfen Sie mit "WS12", für Windows Server 2012 R2
bestimmtes WMI-Objekt und lassen sich Get-VM * | Format-Table Name, Version verwenden Sie "WS12R2". Für Windows
so die entsprechenden Daten des Servers ob die VM die neue Version verwendet. Server 2016 gilt "WS16".
anzeigen. Um zum Beispiel Daten von Sie sehen die Version auch im Hyper-V- 4. Kopieren Sie diesen Ordner nach der
Festplatten auszulesen, verwenden Sie Manager im unteren Bereich, wenn Sie die erfolgreichen Ausführung des Befehls
das WMI-Objekt "Win32_LogicalDisk". VM markieren. Rufen Sie nun die Einstel- vom Zielserver mit Windows Server
Als Beispiel nutzen Sie den Befehl Get- lungen der VM auf. Im Bereich "Prüfpunk- 2019 auf den Quellserver.
WmiObject Win32_LogicalDisk. Sie ha- te" können Sie jetzt zum Beispiel die ver- 5. Öffnen Sie auf dem Quellserver eine
ben auch die Möglichkeit, das Ergebnis besserten Snapshots nutzen. Eingabeaufforderung mit Administra-
zu filtern. Dazu nutzen Sie die Option torrechten und wechseln in den Ordner
"-filter". Microsoft unterstützt Unternehmen, die mit den Migrationstools.
Serverrollen zu Windows Server 2019 6. Geben Sie den Befehl .\smigdeploy ein,
Auch für das Cmdlet Get-WMI-Object migrieren wollen, mit den Windows-Ser- um die Migrationstools auf dem Quell-
können Sie über das Netzwerk Daten von ver-Migrationstools. Damit können Sie server zu registrieren.
physischen oder virtuellen Servern ab- auch virtuelle Server zu Windows-Server-
fragen. Dazu nutzen Sie einfach die Op- 2019-Zielservern migrieren. Bei den Wichtig bei der Migration von Hyper-V-
tion "-Computername". Eine ausführliche Tools handelt es sich um eine Sammlung Servern zu Windows Server 2019 ist die
Liste der verfügbaren WMI-Objekte er- verschiedener Cmdlets für die Power- Kompatibilität der Prozessoren. Eine Mi-
halten Sie über Get-WmiObject -List. Shell. Rufen Sie auf dem Zielserver mit gration ist nur dann möglich, wenn die
Windows Server 2019 das Cmdlet Install- Prozessoren des Quellservers mit den
Außer Laufwerke können Sie auch Ein- WindowsFeature Migration auf, um die Prozessoren auf dem Zielserver kompa-
stellungen der Netzwerkkarten abfragen. Tools zu aktivieren oder verwenden Sie tibel sind.
Dazu verwenden Sie die Klasse "Get- den Server-Manager. Durch die Aktivie- Im ersten Schritt der Migration erfassen
WmiObject Win32_Networkadapter". Sie rung ist eine Migration über die Power- Sie auf dem Quellserver die notwendigen
sehen hier alle wichtigen physischen Ein- Shell möglich. Daten für Hyper-V. Dazu verwenden Sie
stellungen der Netzwerkkarten. Sie kön- das Cmdlet Export-SmigServerSetting. Mit
nen in der PowerShell anzeigen, ob es Die Tools befinden sich nach der Instal- dem Befehl erstellen Sie eine XML-Datei,
sich um einen 32-Bit- oder 64-Bit-Com- lation im Ordner "C:\ Windows \ Sys- die vor allem wichtige Speicheroptionen
puter handelt. Dazu verwenden Sie Get- tem32 \ ServerMigrationTools". Sie be- der Daten der virtuellen Server enthält.
WmiObject -Class Win32_ComputerSys- nötigen aus diesem Ordner zum Beispiel Mit der Datei können Sie diese Einstel-
tem -ComputerName . | Select-Object die Anwendung "SmigDeploy" auf dem lungen in einem Rutsch auf dem Zielser-
-Property SystemType. Zielserver mit Windows Server 2019, ver importieren.
doch dazu später mehr.
VM aus älteren Dazu ist es aber notwendig, dass die Lauf-
Windows-Servern integrieren Sie können die Migrationstools auch auf werkskonfiguration auf dem Quell- und
Um eine VM von Windows Server 2012 Core-Servern mit Windows Server 2019 dem Zielserver übereinstimmen. Ist das
R2 oder 2016 in Windows Server 2019 über die PowerShell installieren. In die- nicht der Fall, müssen Sie die entspre-
zu importieren, gehen Sie folgenderma- sem Fall müssen Sie erst eine Power- chenden Einstellungen in der XML-Datei
ßen vor: Shell-Sitzung starten und können an- auf dem Quellserver anpassen, bevor Sie
1. Kopieren Sie das Verzeichnis mit der schließend mit dem Cmdlet Install- die Migration auf den Zielserver durch-
VM auf den Hyper-V-Host mit Win- WindowsFeature Migration die Tools in- führen. Ein Beispiel für die Syntax ist
dows Server 2019. stallieren. Um Hyper-V vom Quell- auf
2. Öffnen Sie den Hyper-V-Manager und den Zielservern zu migrieren, müssen Export-SmigServerSetting -FeatureId
klicken Sie auf "Virtuellen Computer Sie wie beschrieben auf dem Zielserver Hyper-V -IPConfig -User All -Group
importieren". die Migrationstools installieren. An- -Path Pfad -Verbose
3. Wählen Sie das Verzeichnis des neuen schließend erstellen Sie auf dem Ziel-
virtuellen Servers aus. server ein Installationspaket der Migra- Die Option "-User <Enabled | Disabled |
4. Bestimmen Sie, auf welcher Art Sie die tionstools für den Quellserver: All> -Group" bietet die Möglichkeit, auch
VM importieren wollen. 1. Öffnen Sie eine Eingabeaufforderung die Sicherheitseinstellungen in die Datei
5. Schließen Sie den Import ab. mit Administratorrechten. zu integrieren, wenn Sie die Hyper-V-Ver-
waltung delegiert haben. Mit "-IPConfig" Stellen Sie darüber hinaus sicher, dass ConvertTo-MvmcAzureVirtualHardDisk
können Sie die IP-Einstellungen auf dem der Assistent alle Computer vom Quell- [-SourceConnection] <MvmcSource-
Quellserver mit integrieren, um diese spä- auf den Zielserver importiert hat. Ach- Connection> [-SubscriptionId]
ter zu migrieren. ten Sie auch darauf, ob die Snapshots String [-Thumbprint] String [-Sto-
auf dem Quell- und Zielserver überein- rageAccount] String [-GuestVmId]
Hat das Cmdlet die Dateien erfolgreich stimmen. Stimmt die Konfiguration, String [[-GuestCredential] PSCre-
erstellt, kopieren Sie diese auf den Ziel- starten Sie die virtuellen Server und dential ] [[-UninstallVMTools]]
server. Ist die Laufwerks- oder Ordner- überprüfen im Ereignisprotokoll des [[-SourceVMPowerOption] PowerOpti-
struktur zwischen Quell- und Zielserver Zielservers über "Anwendungs- und on ] [CommonParameters]
unterschiedlich, müssen Sie die neuen Dienstprotokolle / Microsoft / Windows /
Pfade in der Datei "StoragePathMap- Hyper-V-Verwaltungsdienst für virtuelle Die verschiedenen Optionen und Mög-
pings.xml" anpassen. Kopieren Sie in die- Computer / Admin", ob Fehler proto- lichkeiten beschreibt Microsoft ausführ-
sem Zusammenhang auch alle Daten aller kolliert werden. lich in einem Word-Dokument, das zum
virtuellen Computer auf den Zielserver, Lieferumfang von Microsoft Virtual Ma-
nicht nur die Migrationsdateien. Workloads zu Hyper-V migrieren chine Converter gehört. Zusätzlich stehen
Ist ein Umstieg geplant, dann kann der noch folgende Cmdlets für die PowerShell
Anschließend verwenden Sie das Cmdlet kostenlose "Microsoft Virtual Machine zur Verfügung:
Import-SmigServerSetting für die Migra- Converter" (MVMC) [2] dabei helfen. - New-MvmcSourceConnection
tion der Einstellungen auf dem Zielserver, Während der Migration übernimmt das - Get-MvmcSourceVirtualMachine
zum Beispiel Tool die virtuellen Festplatten aus dem - ConvertTo-MvmcVirtualHardDisk
VMware-Format (VMDK) zum Hyper- - ConvertTo-MvmcVirtualHardDiskOvf
Import-SmigServerSetting -FeatureId V-Format, und konfiguriert die virtuellen - Disable-MvmcSourceVMTools
Hyper-V Parameter wie -IPConfig Netzwerke der virtuellen Server. Außer- - Uninstall-MvmcSourceVMTools
oder -User wie beim Export -Path dem kann es den Dynamic Memory an- - New-MvmcVirtualMachineFromOvf
Pfad -Verbose -Force passen, die dynamische Verwendung des - Stop-MvmcSourceVirtualMachine
Arbeitsspeichers in Hyper-V.
Lassen Sie die IP-Einstellungen über -IP- Auch deren Syntax und der Umgang zur
Config migrieren, erzeugen Sie eine Liste Mit dem kostenlosen Microsoft Virtual Konvertierung beschreibt das Word-Do-
der Adressen, zum Beispiel Machine Converter können Sie auch phy- kument. Um zum Beispiel eine virtuelle
sische Computer zu VMs konvertieren Festplatte vom VMware-Format zu kon-
-IPConfig All -SourcePhysicalAddress (P2V). Dabei helfen Skriptmöglichkeiten vertieren, verwenden Sie das folgende
"Quell-Adresse 1","Quell-Adresse in der PowerShell, aber auch Assistenten Kommando:
2" -TargetPhysicalAddress "Ziel- in der grafischen Oberfläche.
Adresse 1","Ziel-Adresse 2" ConvertTo-VirtualHardDisk -SourceLi-
Mit dem Microsoft Virtual Machine Con- teralPath "C:\VMDKs\PattiFul-
Externe virtuelle Netzwerke importiert verter lassen sich aber nur Server zu Mi- lerVMDK.vmdk"-DestinationLiteral-
das Cmdlet als interne virtuelle Netzwerke crosoft Azure oder Hyper-V migrieren. Path "C:\VHDs" -VhdType
auf den Zielserver. Das heißt, Sie müssen Eine Umkehrung der Migration oder an- FixedHardDisk -VhdFormat Vhd
nach der Migration auf dem Zielserver dere Ziele werden mit dem Tool nicht un-
im Hyper-V-Manager die Einstellungen terstützt. Das Tool muss auch nicht auf Aber auch in der grafischen Oberfläche
der virtuellen Netzwerke anpassen. Sie einem Hyper-V-Host installiert werden. steht die Migrationsmöglichkeit zu Azu-
finden die Settings über den Manager für Normalerweise wird es auf einer Arbeits- re zur Auswahl. Microsoft Virtual Ma-
virtuelle Netzwerke. Hier können Sie für station installiert, die eine Verbindung chine Converter ermöglicht auch die Mi-
jedes Netzwerk festlegen, ob es intern mit dem Quell- und dem Zielsystem auf- gration von vSphere-Clustern und kann
oder extern ist. bauen kann. virtuelle Server aus einem vSphere-Clus-
ter zu Windows-Server-Clustern mit Hy-
Anschließend sollten Sie noch sicherstel- Neben der Unterstützung einer Migration per-V übernehmen. Für die Migration
len, dass alle Einstellungen der impor- zu Hyper-V können Sie mit MVMC VMs muss mindestens VMware vSphere
tierten virtuellen Server noch korrekt sind auch für die Migration zu Microsoft Azu- (vCenter) 5.0 im Einsatz sein. Sollen
und diese unter Umständen nachträglich re vorbereiten. Hier lassen sich vor allem VMs mehrerer vSphere-Hosts migriert
anpassen. Vor allem die Konfiguration die virtuellen Festplatten migrieren. werden, ist vCenter notwendig. Bei der
der Datenträger, die IP-Adressen, die MVMC verfügt da,zu auch über ein Migration von einem alleinstehenden
Konfiguration des Arbeitsspeichers und PowerShell-Cmdlet mit dem sich die oder einzelnen ESXi-Hosts reichen auch
die Prozessoren sowie die generelle Kon- Konvertierung durchführen lässt. Das diese als Quelle aus. Die Gastbetriebs-
figuration der Netzwerkverbindungen Cmdlet ConvertTo-MvmcAzureVirtual- systeme können dazu als 32-Bit- oder
sind in diesem Zusammenhang wichtig. HardDisk hat folgende Syntax: als 64-Bit-Version vorliegen.
Während der Migration der Server passt nutzen, wenn Sie für VMs die neue Ver- Für die erfolgreiche Verbindung müssen
MVMC auch die Konfiguration der vir- sion 9.x aktivieren. VMs, die mit Win- Sie sich unter Umständen an der Sitzung
tuellen Server an und berücksichtigt dabei dows Server 2019 erstellt werden, erhal- erst authentifizieren. Sie können auf die-
die Einstellungen für den Arbeitsspeicher ten automatisch die aktuelle Version, bei sem Weg über die PowerShell-Sitzung auf
und die virtuellen Prozessoren. Auch die Migrationen von VMs zu Windows Ser- dem Host aber nicht nur herkömmliche
VMware-Tools werden deinstalliert sowie ver 2019 wird die Version der Vorgän- Server mit der PowerShell verwalten, son-
die Hyper-V Integration Services instal- gerversionen beibehalten. Diese Version dern auch Core-Server und Nano-Server.
liert. Die Migration findet über einen As- hat nichts mit der Generation zu tun, al- Die Vorgehensweise dazu ist die gleiche.
sistenten statt. Bestandteil des Tools ist so Generation 1 oder Generation 2, son- Möchten Sie sich mit einem anderen Be-
aber auch eine skriptbasierte Möglichkeit dern sagt lediglich aus, zu welchem Vir- nutzer authentifizieren, verwenden Sie
der Migration sowie eine Offlinekonver- tualisierungshost die entsprechende VM
tierung der virtuellen Festplatten. kompatibel ist. Enter-PSSession -VMName Computer
-Credential Benutzer
Generell ist es sinnvoll, dass die Quell- Auch wenn Sie einen Server zu Windows
VMs gestartet sind. Nach dem Start der Server 2019 aktualisieren oder in einer Mit Exit-Session beenden Sie diese Sitzung.
grafischen Oberfläche führt ein Assistent Livemigrations-Umgebung zur neuen Ser-
durch die Migration. Hier wählen Sie aus, verversion verschieben, wird die Hyper-V- Eingebettete Virtualisierung
ob physische Server oder VMs zu Hyper- Version nicht aktualisiert. Sie müssen die- in Windows Server 2019
V migriert werden sollen. Danach steht sen Vorgang manuell durchführen. VMs, Windows Server 2019 bietet eingebettete
die Migration zu Azure oder Hyper-V zur die Sie nicht aktualisieren, können Sie je- (nested) Virtualization. Dabei lassen sich
Auswahl. Auf weiteren Fenstern werden derzeit wieder zu Servern mit Windows innerhalb von Hyper-V weitere Server mit
Daten aus dem Quellserver ausgelesen Server 2012 R2 oder 2016 zurück verschie- Hyper-V installieren. Das eignet sich vor
und es lassen sich Einstellungen der neu- ben. Allerdings können Sie mit der alten allem für Testumgebungen, aber auch für
en VM anpassen, vor allem bezüglich der Version nicht die neuen Funktionen von die neuen Hyper-V-Container. Die Con-
virtuellen Festplatten, der CPUs, des Ar- Windows Server 2019 nutzen. tainer-Technologie Docker ist in Win-
beitsspeicher und des Netzwerks. Im Rah- dows Server 2019 in das Betriebssystem
men der Migration lassen sich virtuelle Die Version von VMs lassen Sie mit integriert. Dazu gibt es eine Container-
Festplatten oder konvertierte, physische Variante speziell für Hyper-V. Hier ist es
Festplatten auf Dateifreigaben speichern. Get-VM * | Format-Table Name, notwendig, dass Hyper-V selbst virtuali-
Während der Migration legen Sie auch Version sierbar ist, also innerhalb einer VM eben-
fest, ob die Festplatten dynamisch erwei- falls auf Hyper-V-Technologien zugegrif-
terbar sein sollen oder eine feste Größe anzeigen. Um eine VM auf die neue Ver- fen werden kann. Mit VMware vSphere
erhalten. Auch das Format, also VHD sion zu aktualisieren, verwenden Sie den 6 ist das bereits möglich, mit Windows
oder VHDX lässt sich auswählen. Befehl Update-Vmversion Name der VM. Server 2016 führte Microsoft diese Tech-
Die Änderung muss bestätigt werden. Au- nologie ebenfalls ein. Auch in Windows
Nachdem der Assistent abgeschlossen ßerdem ist die Modifikation nur möglich, Server 2019 ist eingebettete Virtualisie-
ist, unternimmt das Tool die Migration. wenn die VM ausgeschaltet ist. rung verfügbar.
Funktioniert etwas nicht, bietet Micro-
soft Virtual Machine Converter umfas- PowerShell Direct nutzen Hyper-V blockiert bis Windows Server
senden Zugriff auf eine Logdatei, über Mit PowerShell Direct können Sie über 2012 R2 den Zugriff auf Virtualisierungs-
die der Fehler schnell herauszufinden PowerShell-Sitzungen auf einem Hyper- funktionen des Prozessors. Ab Windows
ist. Wenn die Migration erfolgreich ab- V-Host auf VMs des Hosts zugreifen und Server 2016 werden die Virtualisierungs-
geschlossen ist, lässt sich die VM auf Aktionen durchführen. Dazu muss auf erweiterungen der Prozessoren an die vir-
dem Hyper-V-Host bereits starten. Al- dem Host aber Windows Server 2019 lau- tuellen Prozessoren der VMs weiterge-
lerdings ist es hier empfehlenswert, alle fen. Auch in den VMs ist entweder Win- reicht, wenn diese Funktion aktiviert wird.
Einstellungen zu überprüfen. MVMC dows 10 oder Windows Server 2019 not-
migriert zwar einen großen Teil der Set- wendig. Um eine Sitzung zu starten, geben Generell ist es durchaus möglich, auf ei-
tings, allerdings längst nicht alle. Es ist Sie in der PowerShell-Sitzung auf dem nem Hyper-V-Host, der als VM auf einem
sinnvoll, alle Eigenschaften der migrier- Host einen der folgenden Befehle ein: physischen Hyper-V-Server läuft oder
ten VM zu überprüfen, vor allem die auch als VM in vSphere, weitere VMs zu
Einstellungen des Netzwerks. Enter-PSSession -VMName Name der VM installieren, die ebenfalls wieder die Vir-
im Hyper-V-Manager tualisierung nutzen. Um die eingebettete
Neue VM-Version mit Virtualisierung zu verwenden, müssen
der PowerShell steuern Invoke-Command -VMName Name der VM Sie einen Hyper-V-Server mit Windows
Die aktuellen Funktionen in Hyper-V im Hyper-V-Manager -ScriptBlock { Server 2019 installieren. Dieser muss über
von Windows Server 2019 lassen sich Commands } mindestens 4 GByte Arbeitsspeicher ver-
fügen. Außerdem muss die VM im Host installiert werden. Diesen Vorgang star- Resize-VHD -Path c:\vm\owa.vhdx
ebenfalls über mindestens 4 GByte Ar- ten Sie ebenfalls in der PowerShell auf -SizeBytes 1TB
beitsspeicher verfügen. dem Host. Dazu nutzen Sie die neue
PowerShell-Direct-Funktion in Windows Virtuelle Festplatten lassen sich in der
Um diese Technik also einigermaßen Server 2019: PowerShell auch direkt mit virtuellen Ser-
praxisnah zu testen, sollte der Hyper-V- vern verbinden:
Host über mindestens 8 GByte Arbeits- Invoke-Command -VMName "w2k19-core"
speicher verfügen, besser 16 GByte. Da- -ScriptBlock { Enable-WindowsOptio- Add-VMHardDiskDrive -VMName VM
rüber hinaus wird auf diesem Server nalFeature -FeatureName Microsoft- -Path VHDX-Datei
eine VM ebenfalls mit Windows Server Hyper-V -Online; Restart-Computer }
2019 installiert. Derzeit können Sie die Bei virtuellen SCSI-Controllern können
Technik nur mit Intel-Prozessoren tes- Natürlich können Sie auch die PowerShell Sie Laufwerke im laufenden Betrieb hin-
ten, für die Installation wird Intel VT- in der VM oder den Server-Manager in zufügen. Zunächst lassen Sie sich mit fol-
x benötigt. der VM verwenden. Auch die Installation gendem Befehl die SCSI-Controller der
über das Windows Admin Center ist VM anzeigen:
Bevor Sie auf der VM Hyper-V installie- möglich. Anschließend steht Hyper-V in
ren können, müssen Sie einige Vorberei- der VM zur Verfügung. Die Verwaltung Get-VMScsiController
tungen treffen. Zunächst deaktivieren Sie von Hyper-V erfolgt identisch mit der -VMname Name der VM
den dynamischen Arbeitsspeicher für die Verwaltung von Hyper-V auf einem Hy-
VM in den Einstellungen, falls Sie ihn per-V-Host. Um einem SCSI-Controller eine neue
eingeschaltet haben. Außerdem müssen Festplatte hinzuzufügen, verwenden Sie
Sie die Virtualisierungserweiterungen für Migrieren von
die vCPU aktivieren, genauso wie MAC- Festplattendateien Add-VMHardDiskDrive -VMname Name der
Adress-Spoofing. Die Virtualisierungs- Haben Sie noch VHD-Dateien im Ein- VM -Path Pfad zur VHDX-Datei
erweiterungen aktivieren Sie am besten satz, können Sie diese in VHDX-Dateien -ControllerType SCSI
in der PowerShell des Hosts, indem Sie umwandeln. Sie können zum Konvertie- -ControllerNumber Nummer
den folgenden Befehl eingeben: ren den Hyper-V-Manager nutzen oder
das Cmdlet convert-VHD. Auf dem glei- Mit dem Cmdlet Add-VMScsiController
Set-VMProcessor -VMName "VMName" chen Weg konvertieren Sie auch von fügen Sie einem virtuellen Server einen
-ExposeVirtualizationExtensions VHDX-Dateien zum VHD-Format. Im virtuellen SCSI-Controller hinzu. Natürlich
$true Rahmen der Umwandlung wählen Sie das können Sie virtuelle Festplatten auch direkt
Datenträgerformat aus und können auch am Host anbinden, zum Beispiel um Daten
Das Spoofing der MAC-Adressen wird zwischen dem Typ der Festplatten, also auf die virtuelle Platte zu kopieren und
in den Einstellungen der VM über den feste Größe oder dynamisch erweiterbar diese erst dann dem virtuellen Server an-
Menüpunkt "Erweiterte Features" unter- wechseln. Das Cmdlet convert-vhd steht zubinden: mount-vhd VHD-Datei. Mit
halb des virtuellen Netzwerkadapters ge- auch zur Verfügung, wenn Sie Hyper-V dem Cmdlet unmount-vhd trennen Sie die
steuert. Sie können die Funktion ebenfalls in Windows 10 installiert haben: virtuelle Platte wieder vom System.
in der PowerShell aktivieren:
Convert-VHD -Path Pfad zur VHD(X)- Fazit
Get-VMNetworkAdapter -VMName Datei -DestinationPath Pfad zur Der generelle Umgang mit Hyper-V unter
"VMName" | Set-VMNetworkAdapter Zieldatei Windows Server 2019 ähnelt dem unter
-MacAddressSpoofing On Windows Server 2016. Microsoft hat ver-
Eine weitere Option ist die Möglichkeit, schiedene Funktionen verbessert, wie etwa
Generell müssen Sie darauf achten, dass den Typ der Festplatte zu ändern, zum den Betrieb von Clustern oder die Inte-
bei der Verwendung dieser Virtualisie- Beispiel mit gration von Linux. Die Verwaltung von
rung viele Funktionen in der VM nicht Hyper-V ist weiterhin mit dem Hyper-V-
mehr oder nur eingeschränkt funktionie- Convert-VHD -Path -VHDType Diffe- Manager möglich, aber auch mit dem
ren. Livemigration ist genauso wenig rencing -ParentPath Übergeordnete Windows Admin Center und System Cen-
möglich wie das Erstellen und Verwenden Festplatte ter Virtual Machine Manager. (dr)
von Snapshots. Auch das Speichern des
Zustands der VM ist nicht möglich, die Neben der Möglichkeit, das Format von Link-Codes
VM muss bei Änderungen immer neu Festplatten in der PowerShell umzuwan-
gestartet werden. deln, können Sie auch die Größe von [1] PowerShell-Direct-Anleitung
j3zb5
Festplatten in der PowerShell anpassen.
[2] Microsoft Virtual Machine Converter
Sobald die eingebettete Virtualisierung Dabei hilft das Cmdlet Resize-VHD, zum
e7pe1
aktiviert ist, kann in der VM Hyper-V Beispiel
In Verbindung
von Thomas Joos
Network Controller in
N
eben den in diesem Beitrag gezeig- ausgedrückt, erweitert HNV die Funk-
ten Sicherheitsfunktionen unter- Windows Server 2019 tionen von virtuellen Servern auf die
stützen alle anderen Security-Features für Bereits mit Windows Server 2016 ist es Netzwerkkonfiguration. In einem physi-
Netzwerke in Windows Server 2019 nun möglich, wichtige Einstellungen mit dem schen Netzwerk lassen sich mehrere vir-
IPv6. Das gilt natürlich auch für die Netz- Network Controller zentral für SDN-Netz- tuelle Netzwerke parallel einsetzen. Diese
werkverschlüsselung und das Netzwerk- werke vorzunehmen. In Windows Server können den gleichen oder einen anderen
Peering. Windows Server 2019 bietet 2019 wurde diese Verbindung noch aus- IP-Adressraum verwenden. Der Daten-
IPv6-Adresskonfiguration für virtuelle gebaut. So lassen sich in der neuen Version austausch zwischen den Netzwerken lässt
Maschinen in der virtualisierten Netz- die verschlüsselten SDN-Netzwerke auch sich mit HNV-Gateways einrichten. Viele
werkumgebung. Für Unternehmen, die mit dem Netzwerkcontroller erstellen und Hardware-Switches von Cisco etwa ar-
IPv6 nutzen oder IPv6 in der System-zu- überwachen. Die Vorgehensweise dazu beiten mit dieser Konfiguration ebenfalls
System-Kommunikation unterstützen hat Microsoft in der Hilfe zu Windows zusammen. Auf diesem Weg fassen Sie
wollen, ist die Möglichkeit in den SDN- Server 2019 beschrieben. Diese zeigt, wie mehrere virtuelle Netzwerke zusammen,
Funktionen verankert. Durch die Unter- Sie Zertifikate zur Verschlüsselung erstel- sodass Server in diesem neuen Netzwerk
stützung von IPv6 in SDN-Konfiguratio- len und virtuelle Subnetze verschlüsseln kommunizieren können.
nen können Unternehmen auch IPv6- lassen. Die Einstellungen und einzelnen
unterstützte Lastverteilung, Gateways und Schritte sind natürlich auch in der Power- In Windows Server 2019 lassen sich die
Firewall-Regeln in SDNs erstellen. Shell möglich. Die Informationen dazu Bandbreiten im Netzwerkbereich steuern
finden Sie auf der Webseite "Configure und auch Treiber von Dritthersteller in
Microsoft verspricht auch eine verbesserte Encryption for a Virtual Subnet" [1]. die virtuellen Switches integrieren. Hy-
Leistung für SDN mit Windows Server per-V Network Virtualization unterstützt
2019. Nutzen Unternehmen IPsec-VPN- Network Virtualization ferner dynamische IP-Adressen. Das ist
Tunnelkommunikation für SDN-Gate- Bereits mit Windows Server 2012 hat Mi- in großen Rechenzentren sinnvoll, um ei-
ways, soll sich die Leistung vervielfachen crosoft die Möglichkeiten der Netzwerk- ne IP-Adress-Failover-Konfiguration ein-
und gleichzeitig die CPU-Last der betei- switches für Hyper-V deutlich erweitert binden zu können. Die zentrale Steuerung
ligten Server reduzieren. Windows Server und verbessert. Mit Hyper-V Network virtueller Netzwerke führen Sie im System
2019 ermöglicht derweil die Überwachung Virtualization (HNV) können Unterneh- Center Virtual Machine Manager 2019
und Protokollierung der Verschlüsselung, men einzelne virtuelle Netzwerke vom durch. Arbeiten Sie mit HNV, werden je-
die in virtuellen Netzwerken stattfindet. physischen Netzwerk trennen. dem virtuellen Netzwerkadapter im Netz-
Die verfügbaren Daten liefern Quell- und werk zwei IP-Adressen zugewiesen: die
Zielverkehrsinformationen und ermögli- Die virtuellen Server in diesen Netzwer- Kundenadresse (Customer Address, CA)
chen ACLs für die Steuerung, Verwaltung ken gehen davon aus, in einem echten und die Anbieteradresse (Provider Ad-
und Protokollierung des Verkehrs. physischen Netzwerk zu laufen. Einfach dress, PA). Die CA ermöglicht den vir-
tuellen Servern im Netzwerk den Daten- Server 2019 die Möglichkeit, den Port in ckend-Netzwerk weitergeleitet wird. Das
austausch, genau wie eine normale IP- die Firewallregeln zu integrieren, nicht nur System wird außerdem dauerhaft aktua-
Adresse in einem Netzwerk. Die PA dient IP- und MAC-Adresse für die Quelle und lisiert. Die automatische Verschlüsselung
dem Datenaustausch zwischen VM und das Ziel. Diese Funktion arbeitet natürlich zwischen virtuellen Maschinen ist nur
dem Hyper-V-Host sowie dem physischen umfassend mit der Netzwerkvirtualisie- dann verfügbar, wenn der Datenverkehr
Netzwerk. rung in Hyper-V zusammen. Die neue Ver- innerhalb eines Subnetzes stattfindet. Ge-
sion kann Datenverkehr zwischen Netz- hen die Daten an andere Subnetze, sind
Die erste wichtige Änderung in den vir- werkkarten verschieben und unterstützt sie nicht mehr verschlüsselt.
tuellen Switches von Hyper-V seit Win- für dieses Merkmal auch umfassend die
dows Server 2012 R2 ist die direkte Inte- Netzwerkkarten-Teams. Windows Server 2016 bietet die Mög-
gration der Netzwerkvirtualisierung lichkeit der automatischen Anwendung
direkt in den Switch. HNV stellt keinen Netzwerkverschlüsselung von ACLs auf virtuellen Maschinen, die
vorgelagerten NDIS-Filter dar. Dritther- Zur Verschlüsselung von Netzwerken ge- mit den Subnetzen verbunden sind. Mit
stellerprodukte können auf diesem Weg hört in Windows Server 2019 auch die Windows Server 2019 wird diese Fähig-
direkt auf die CA zugreifen und über die automatische Subnetzverschlüsselung, ein keit der automatischen Anwendung von
PA kommunizieren. Dadurch arbeiten verbessertes Firewall-Auditing und die ACLs auf die Fabric erweitert. Wenn Sie
jetzt auch virtuelle Switches und die Net- Erweiterung der Access Control List eine virtuelle Maschine, mit einem
work Virtualization Generic Routing En- (ACLs) auf logische Subnetze, Virtual VLAN-basierten Netzwerk verbunden
capsulation (NVGRE) zusammen. Network Peering und die IPv6-Unterstüt- haben, werden die ACLs automatisch
zung. Diese Komponenten verbessern die zugewiesen.
Das gibt den Drittherstellerprodukten Sicherheit von Netzwerken in Windows
die Möglichkeit, über die Integration in Server 2019 mit Verschlüsselung. Die Setzen Unternehmen ein Software-defi-
den virtuellen Switches auf die Netz- Netzwerkverschlüsselung spielt vor allem ned Networking zwischen verschiedenen
werkvirtualisierung zugreifen zu können für virtuelle Server eine Rolle, die entwe- Rechenzentren, Niederlassungen und
und mit virtuellen Servern, aber auch der mit Windows Server 2019 oder mit der Cloud ein, spielt die sichere Kom-
dem physischen Netzwerk zu kommu- dem kostenlosen Hyper-V-Server 2019 munikation eine wesentliche Rolle. Mit
nizieren. Der komplette Datenverkehr betrieben werden. Die verschlüsselte Sub- Windows Server 2019 kann jetzt, wie er-
in den virtuellen Switches von Windows netzfunktionalität in Windows Server wähnt, der komplette Datenverkehr in
Server 2019 läuft auch über die Netz- 2019 bezieht sich daher auf die Bereit- virtuellen Netzwerken verschlüsselt wer-
werkvirtualisierung und die integrierten stellung der Verschlüsselung von Daten den. Die Verschlüsselung ist direkt in
Drittherstellerprodukte. zwischen virtuellen Maschinen. das Betriebssystem integriert und schützt
die Datentransfers direkt über den Hy-
HNV ist daher keine Schnittstelle mehr Windows Server 2019 bietet eine auto- pervisor zwischen Servern, die mit Hy-
zwischen Netzwerkkarten und extensible matisierte Funktionalität, mit der die Si- per-V virtualisiert werden.
Switches, sondern integraler Bestandteil cherheit des Systems verbessert und die
der virtuellen Switches selbst. Auch aus Möglichkeiten von Diebstahl und Daten- Zusammen mit Hyper-V und der Peer-
diesem Grund arbeiten NIC-Teams we- schnüffeln verhindert wird. Jedes Paket, Funktion von virtuellen Netzwerken kön-
sentlich besser mit der Netzwerkkvirtua- das eine VM verlässt, ist verschlüsselt, nen mit Windows Server 2019 also kom-
lisierung zusammen. Dazu bietet Windows wenn es an andere Ziele im gleichen Ba- plette Subnetze schnell und einfach
verschlüsselt werden. Dies geschieht au-
tomatisch, ohne dass einzelne Server ge-
trennt konfiguriert und überprüft werden
müssten. Die Kommunikation erfolgt bei-
spielsweise beim Einsatz von Webservern
zusammen mit Datenbankservern auf der
Netzwerk- und Subnetzebene.
durchgeführt wird, erhöht sich auch die schickt wird, lässt sich nicht verschlüsseln. der Hyper-V-Hosts in den erweiterten
Leistung und Effizienz. Auch wenn für die einzelnen Subnetze Einstellungen der Netzwerkkarte festle-
die Verschlüsselung aktiv ist, wird diese gen, zu welcher VLAN-ID die Karte ge-
Verbessertes Firewallprotokoll nicht umgesetzt. hören soll. Anschließend starten Sie im
Das Firewallprotokoll ist ein weiteres Si- Hyper-V-Manager den Manager für vir-
cherheitsmerkmal, das mit den SDNs un- Beschränken Sie Anwendungen darauf, tuelle Switches und wählen die Netzwerk-
ter Windows Server 2019 verbessert wur- nur über das verschlüsselte Subnetz zu verbindung aus die Sie an das VLAN an-
de. Die Funktion ist auf allen Hyper- kommunizieren, können Sie Zugriffs- binden wollen. Auch hier geben Sie die
V-Hosts unter Windows Server 2019 ver- kontrolllisten (ACLs) verwenden, um entsprechende VLAN-ID vor. Dazu müs-
fügbar. Die Technik wird verwendet, um die Kommunikation innerhalb des ak- sen Sie aber zunächst die Option "Iden-
das ordnungsgemäße Funktionieren von tuellen Subnetzes zu erzwingen. Daten- tifizierung virtueller LANs für das Ver-
Netzwerkgrenzen zu überprüfen. Die Fi- verkehr in andere Subnetze wird dann waltungsbetriebssystem aktivieren" setzen.
rewall hilft außerdem, Angriffe auf die nicht mehr verschickt. Danach muss die Nachdem Sie die ID angegeben haben,
Netzwerkschnittstellen zu erkennen. Authentifizierung über die PowerShell fließt der Datenverkehr von dieser Ver-
und den Network Controller eingerichtet bindung über die entsprechende ID.
Zusammen mit der Netzwerkverschlüs- werden. Die entsprechenden Anleitun-
selung in Windows Server 2019 sowie gen dazu finden Sie ebenfalls auf der Mi- Auch interne Netzwerke in Hyper-V un-
dem verbesserten Firewall-Auditing bie- crosoft-Seite "Configure Encryption for terstützen die VLAN-Konfiguration. Zu-
tet Windows Server 2019 auch Netzwerk- a Virtual Subnet" [1]. sätzlich können Sie virtuelle Server an
Peering an. Die Stärke im Bereich der Si- VLANs anbinden. Dazu geben Sie in den
cherheit von virtuellen Maschinen in Virtuelle LANs und Hyper-V Einstellungen der virtuellen Server über
Bezug auf die Sicherheit liegt in der Iso- Hyper-V in Windows Server 2019 un- die Eigenschaften der virtuellen Netz-
lierung durch das SDN. Es gibt aber auch terstützt die Verwendung von VLANs. werkkarten ebenfalls die VLAN-ID an.
die Möglichkeit, Server in verschiedenen Bei solchen Netzwerken lassen sich Da- Möchten Sie, dass ein virtueller Server
Netzwerken miteinander kommunizieren tenströme voneinander trennen, um die mit mehreren VLANs kommunizieren
zu lassen. Dazu binden Sie die virtuellen Sicherheit und die Leistung zu erhöhen. kann, fügen Sie dem Server einfach meh-
Netzwerke als ein einziges Netzwerk ein. So lässt sich zum Beispiel der Netzwerk- rere virtuelle Netzwerkkarten hinzu und
Die Technologie kombiniert Router so, verkehr für die Verwaltung des Servers konfigurieren das entsprechende VLAN.
dass sie sich auf der Netzwerkebene mit- vom Netzwerkverkehr der virtuellen
einander austauschen können. Server trennen. Die Technik muss aber Durch diese durchgehende Unterstützung
direkt im Netzwerk integriert sein, Swit- von VLANs können Sie bei entsprechend
Verschlüsselung für ein ches und Netzwerkkarten müssen die kompatiblen Switches zum Beispiel Test-
virtuelles Subnetz konfigurieren Funktion unterstützen. umgebungen aufbauen oder Hyper-V-
Die Netzwerkverschlüsselung ermöglicht Hosts logisch voneinander trennen, auch
das Chiffrieren des virtuellen Netzwerk- Damit die Anbindung funktioniert, müs- wenn diese im selben Netzwerk konfigu-
verkehrs zwischen VMs, die innerhalb sen Sie in den physischen Netzwerkkarten riert sind. Netzwerkkarten-Teams unter-
von Subnetzen miteinander kommuni-
zieren. Die Technik verwendet die Da- Listing 1: Virtuelles Netzwerk erstellen
tagram Transport Layer Security (DTLS)
#Find the HNV Provider Logical Network
im virtuellen Subnetz, um Pakete zu ver-
$logicalnetworks = Get-NetworkControllerLogicalNetwork -ConnectionUri $uri
schlüsseln. Hierfür sind Verschlüsse- foreach ($ln in $logicalnetworks) {
lungszertifikate notwendig, die auf den if ($ln.Properties.NetworkVirtualizationEnabled -eq "True") {
beteiligten Hyper-V-Hosts installiert sein $HNVProviderLogicalNetwork = $ln
}
müssen. Die Technik arbeitet außerdem }
mit dem Network Controller in Windows #Create the Virtual Subnet
Server 2019 zusammen, daher muss das $vsubnet = new-object Microsoft.Windows.NetworkController.VirtualSubnet
$vsubnet.ResourceId = "Contoso"
Zertifikat auch hier hinterlegt sein.
$vsubnet.Properties = new-object Microsoft.Windows.NetworkController.VirtualSubnetProperties
$vsubnet.Properties.AddressPrefix = "24.30.1.0/24"
Wenn Sie die Verschlüsselung in einem $uri=”https://restserver”
Subnetz aktivieren, verschlüsselt Windows #Create the Virtual Network
$vnetproperties = new-object Microsoft.Windows.NetworkController.VirtualNetworkProperties
Server 2019 den Netzwerkverkehr inner-
$vnetproperties.AddressSpace = new-object Microsoft.Windows.NetworkController.AddressSpace
halb des Subnetzes automatisch. Dies ge- $vnetproperties.AddressSpace.AddressPrefixes = @("24.30.1.0/24")
schieht parallel zu eventuellen anderen $vnetproperties.LogicalNetwork = $HNVProviderLogicalNetwork
Verschlüsselungen, die in der VM akti- $vnetproperties.Subnets = @($vsubnet)
New-NetworkControllerVirtualNetwork -ResourceId "Contoso_VNet1" -ConnectionUri $uri -Properties
viert sind. Datenverkehr, der zwischen $vnetproperties
VMs in verschiedenen Subnetzen ver-
stützen ebenfalls die Anbindung an lich bearbeiten. Dazu wird das Cmdlet Zusätzlich können Sie festlegen, dass be-
VLANs. Verwenden Sie NIC-Teams in Set-VMSwitch verwendet. Um die Grup- stimmte vNICs und damit VMs auch in
virtuellen Servern, empfiehlt Microsoft, penmitgliedschaft zu ändern, verwenden einer Teamlösung auf eine bestimmte phy-
die VLAN-Anbindung direkt über den Sie zum Beispiel folgenden Befehl: sische Netzwerkkarte gebunden sind, die
virtuellen Switch durchzuführen, nicht wiederum Mitglied des Teams ist. Fällt der
für das virtuelle NIC-Team. Seit den Li- Set-VMSwitch -Name TeamedvSwitch jeweilige Netzwerkadapter jedoch aus, wird
nux Integration Services 3.5 lassen sich -NetAdapterName "SET1","SET4" die VM nicht vom Netzwerk getrennt, son-
VLANs nicht zuletzt auch für virtuelle dern Hyper-V nutzt so lange eine andere
Linux-Server nutzen. Die Einstellungen Bei diesem Vorgang werden die zuvor physische Netzwerkkarte des Teams, bis
dazu sind identisch zu denen für virtuelle hinzugefügten Mitglieder "set2" und der ursprüngliche Adapter wieder funk-
Windows-Server. "set3" aus dem Team entfernt und "set4" tioniert. Für die Verwaltung wird das
hinzugefügt. Alternativ können hier aber Cmdlet Set-VMNetworkAdapterTeamMap-
Switch Embedded Teaming: auch die Cmdlets "Add-VMSwitchTeam- ping verwendet, zum Beispiel:
NIC-Teams für Hyper-V Member" und "Remove-VMSwitchTeam-
Die NIC-Teaming-Funktion ist auch in Member" zum Einsatz kommen. Das Set-VMNetworkAdapterTeamMapping
Windows Server 2019 noch verfügbar. Cmdlet "Set-VMSwitchTeam" verfügt -VMNetworkAdapterName SMB1
Besser ist es jedoch, auf die neue Vari- über die Option "-LoadBalancingAlgo- -ManagementOS
ante "Switch Embedded Teaming" (SET) rithm". Hier lassen sich zwei verschiede- -PhysicalNetAdapterName Ethernet2
zu setzen. SET bietet Hochverfügbarkeit ne Werte definieren: "HyperVPort" oder
für virtuelle Netzwerkswitches. Die vir- "Dynamic". Soll das Team in VMs ge- Alternativ können Sie den Befehl auch so
tuellen Netzwerkadapter der einzelnen nutzt werden, bietet es sich an, auch die ausführen, dass er die Netzwerkadapter
Hosts greifen auf virtuelle Switches zu, Option "HyperVPort" zu verwenden. einer bestimmten VM konfiguriert:
aber auch die VMs können auf den vir- Aber auch die Option "Dynamic" ist
tuellen Switch zugreifen und von der sinnvoll einsetzbar. Die Konfiguration Set-VMNetworkAdapterTeamMapping
Leistung der virtuellen Hyper-V-Switches erfolgt auch hier in der PowerShell: -VMName w2k16
mit SET profitieren. Um ein solches -PhysicalNetAdapterName set2
SET-Switch zu erstellen, verwenden Sie Set-VMSwitch -Name SetSwitch
die PowerShell: -VMSwitchLoadBalancingAlgorithm Natürlich lässt sich die Zuordnung in der
Dynamic PowerShell überprüfen. Dazu steht das
new-vmswitch -name SETswitch
-Netadaptername "set1", "set2", Listing 2: Zweites virtuelles Netz erstellen und verbinden
"set3" -AllowManagementOS $True
#Create the Virtual Subnet
-EnableEmbeddedTeaming $true $vsubnet = new-object Microsoft.Windows.NetworkController.VirtualSubnet
$vsubnet.ResourceId = "Woodgrove"
Dieser Befehl verbindet die drei physi- $vsubnet.Properties = new-object Microsoft.Windows.NetworkController.VirtualSubnetProperties
$vsubnet.Properties.AddressPrefix = "24.30.2.0/24"
schen Netzwerkadapter "set1", "set2" und
$uri=”https://restserver”
"set3" mit einem neuen virtuellen Switch #Create the Virtual Network
namens "SetSwitch". Der Name ist na- $vnetproperties = new-object Microsoft.Windows.NetworkController.VirtualNetworkProperties
$vnetproperties.AddressSpace = new-object Microsoft.Windows.NetworkController.AddressSpace
türlich frei wählbar. Möchten Sie über
$vnetproperties.AddressSpace.AddressPrefixes = @("24.30.2.0/24")
das Team die Verwaltung des Betriebs- $vnetproperties.LogicalNetwork = $HNVProviderLogicalNetwork
systems nicht zulassen, verwenden Sie $vnetproperties.Subnets = @($vsubnet)
die Option "-AllowManagementOS New-NetworkControllerVirtualNetwork -ResourceId "Woodgrove_VNet1" -ConnectionUri $uri -Properties
$vnetproperties
$False". Nachdem Sie den virtuellen
Nachdem entsprechende Netzwerke vorhanden sind, können Sie diese miteinander verbinden,
SET-Switch erstellt haben, rufen Sie des-
indem Sie das Peering erstellen:
sen Informationen mit Get-VMSwitch
$ $peeringProperties = New-Object Microsoft.Windows.NetworkController.VirtualNetworkPeering-
ab. Hier sehen Sie auch die verschiede- Properties
nen Adapter, die Bestandteil des virtu- $vnet2 = Get-NetworkControllerVirtualNetwork -ConnectionUri $uri -ResourceId "Woodgrove_VNet1"
$peeringProperties.remoteVirtualNetwork = $vnet2
ellen Switches sind.
#Indicate whether communication between the two virtual networks
$peeringProperties.allowVirtualnetworkAccess = $true
Ausführlichere Informationen erhalten #Indicates whether forwarded traffic is allowed across the vnets
Sie mit Get-VMSwitchTeam Name. Hier $peeringProperties.allowForwardedTraffic = $true
#Indicates whether the peer virtual network can access this virtual networks gateway
zeigt die PowerShell die Einstellungen $peeringProperties.allowGatewayTransit = $false
des virtuellen Switches an. Möchten Sie #Indicates whether this virtual network uses peer virtual networks gateway
den Switch wieder löschen, verwenden $peeringProperties.useRemoteGateways =$false
New-NetworkControllerVirtualNetworkPeering -ConnectionUri $uri -VirtualNetworkId "Contoso_vnet1” -
Sie das Cmdlet Remove-VMSwitch. Na-
ResourceId "ContosotoWoodgrove” -Properties $peeringProperties
türlich lassen sich Teams auch nachträg-
Alles unter
einem Dach
von Thomas Joos
E
ine Hyper-Converged Infrastructu- Da in einer HCI Software und Hardware Serverless Computing sowie zahlreiche
re (HCI) ermöglicht eine einfache zu einer gemeinsamen Basis zusammen- weitere Dienste. Microsoft empfiehlt den
und skalierbare Virtualisierung. Hierbei gefasst werden, sollten Sie beim Aufbau Betrieb auf Hardware seiner Azure-Stack-
werden die Funktionen im Bereich Stora- einer Hyper Converged Infrastructure auf Partner [2], um Leistung und Stabilität
ge, Cluster, Virtualisierung und Netzwerk Hardware setzen, die von Microsoft ent- sicherzustellen. Die bekanntesten Her-
zusammengefasst und zentral verwaltet. sprechend zertifiziert ist. steller sind HPE, Dell EMC, Lenovo, Cis-
Hier steht zum Beispiel auch das neue co und Huawei. Diese bieten Hardware,
Windows Admin Center zur Verfügung. Mit Azure Stack zur hyper- vorkonfigurierte Software sowie Support
HCIs werden häufig auch als Software-de- konvergenten Infrastruktur an. Normalerweise erfolgt die Bereitstel-
fined Data Center (SDDC) bezeichnet. In Ergänzend zum Einsatz von Servern unter lung dabei als Cluster.
diesem Fall lassen sich komplette Rechen- Windows Server 2019 bietet sich Azure
zentren hyperkonvergent betreiben. Stack [1] als Alternative an. Dabei handelt Die Abrechnung von Azure Stack erfolgt
es sich um eine lokale Installation der nicht als Kaufsoftware, sondern Unter-
Wichtige Bestandteile einer hyperkonver- Azure-Funktionen im eigenen Rechen- nehmen müssen die Dienste und Zeiten
genten Infrastruktur mit Windows Server zentrum. Unternehmen können auf die- bezahlen, die sie nutzen. Die Abrechnung
2019 sind Hyper-V, Storage Spaces Direct sem Weg mit eigener Hardware eine Pri- erfolgt also generell ähnlich zu Azure. Mi-
und Cluster-Installationen von Windows- vate-Cloud-Umgebung aufbauen, die crosoft bietet zusätzlich noch andere Ab-
Servern. Wir haben die einzelnen Ele- wiederum Azure-Technologien und Ver- rechnungsvarianten an. Diese sollten Sie
mente in diesem Sonderheft behandelt. waltungsmöglichkeiten unterstützt. Die vor dem produktiven Einsatz mit einem
Natürlich spielt in einer hyperkonvergen- private Cloud auf Basis von Azure Stack Lizenzierungsspezialisten besprechen.
ten Infrastruktur auch Software-definied lässt sich auch mit Microsoft Azure ver-
Networking eine Rolle. Hier kommen im binden, sodass die Möglichkeit zum Auf- Voraussetzungen
Wesentlichen virtuelle Switches im Be- bau einer hybriden Cloud besteht. für Azure Stack
reich Hyper-V zum Einsatz. In hyperkon- Die Einrichtung von Azure Stack nehmen
vergenten Umgebungen sollten Sie außer- Azure Stack stellt Infrastructure-as-a-Ser- Sie mit dem Azure Stack Development
dem auf Windows Server 2019 Datacenter vice (IaaS)-Funktionen zur Verfügung Kit vor, wenn die Installation nicht auf
setzen. Denn hier sind alle Funktionen samt Speicher, virtuellen Maschinen und der Hardware eines Azure-Stack-Partners
von Windows Server 2019 enthalten und Netzwerken. Aber auch PaaS-Features erfolgt. Mit dem Development Kit lassen
es lassen sich unbegrenzt virtuelle Server (Platform-as-a-Service) sind umsetzbar. sich Entwicklungs- und Testumgebungen
erstellen. Dazu gehören Container-Dienste oder für Azure aufbauen. Die Bereitstellung
Zu Gast
von Thomas Joos
In Windows Server 2019 baut Microsoft die Container-Technologie weiter aus. So lassen sich zum
Beispiel Windows-Server-Container parallel zu Linux-Containern betreiben. Der Nano-Server ist
mittlerweile Geschichte und als Nano-Image für Container-Hosts verfügbar. In diesem Beitrag
beleuchten wir die Neuerungen in Sachen Container in Windows Server 2019.
D
ie Nutzung von Containern gehört In Windows Server 2019 lassen sich die Mit dem Windows-Docker-Client ver-
in vielen Firmen inzwischen zum Standard-Images "nanoserver" und "win- walten Sie Container auf Basis von Docker
Standard. Auch Microsoft hat die Zeichen dowsservercore" auch mit Curl und Tar sehr einfach. Der Docker-Client dient nur
der Zeit erkannt und unterstützt Contai- ansprechen. OpenSSH ist ebenfalls in der Verwaltung der Container-Technolo-
ner in Windows. Diese lassen sich auf al- Containern nutzbar. Die Verwaltung fin- gie, die direkt in Windows Server 2019
len Arten von Windows-Servern betrei- det vor allem über die PowerShell oder integriert ist, er stellt selbst keinen Ser-
ben. Diese Server wiederum kann der die Befehlszeile statt. Der Verbindungs- verdienst zur Verfügung. Der Client kann
Administrator als Cluster betreiben, so- aufbau zum Container-Host ist über eine die Windows-Server-Container verwalten,
dass die Container hochverfügbar sind. RDP-Sitzung möglich. Container bauen zusätzlich aber auch andere Hosts wie Li-
auf Images auf, die Sie im Container-Host nux-Server und -Container. Die Docker
Daneben steht die Container-Technologie einbinden. Die Windows-Server-Contai- Toolbox [2] ermöglicht für aktuelle Win-
auf dem Desktop in Windows 10 Profes- ner sowie deren Erweiterung Hyper-V- dows-Versionen die Verwaltung von Do-
sional und Enterprise ab Version 1607 Container basieren dabei auf Docker [1]. cker auf Basis von Servern mit Windows
(Anniversary Update) zur Verfügung. Ad- Microsoft arbeitet für die Integration von Server 2019 oder Linux.
ministratoren oder Entwickler können Docker mit dessen Entwicklern zusam-
mit Windows 10 so Container erstellen men. Die Verwaltung von Docker ist mit Um Windows-Server-Container zu ver-
und diese auf Container-Hosts unter dem Docker-Client, in der PowerShell walten, installieren Sie die notwendigen
Windows Server 2019 übertragen. Hier und im System Center möglich. Erweiterungen auf dem Server. Dazu soll-
kann auch der Docker-Hub in der Cloud te der Server über eine Internetverbin-
zum Einsatz kommen, um die Container- Container-Feature installieren dung verfügen, da so die Installation der
Images über das Internet und die Cloud Um Container zu nutzen, müssen Sie das notwendigen Clients und der Download
bereitzustellen. Verwalten lassen sich die Container-Feature installieren. Dabei von Images wesentlich einfacher ist:
Umgebungen mit Kubernetes. spielt es zunächst keine Rolle, ob es sich
um einen vollständig installierten Server Install-Module -Name DockerMsftPro-
Mit Windows Server 2019 hat Microsoft oder um eine Core-Installation handelt vider -Force
die Container-Technologie erweitert und – zum Beispiel, wenn Sie die SAC-Version
zum Beispiel Support von Kubernetes in- von Windows Server nutzen wie Server Install-Package -Name docker -Provi-
tegriert. Windows Server 2019 unterstützt 1903. Auf einem herkömmlichen Server derName DockerMsftProvider -Force
für den Betrieb von Docker-Containern verwenden Sie dazu den Server-Manager
zudem Technologien aus Docker Swarm. oder die PowerShell, auf einem Core-Ser- Restart-Computer -Force
So können zum Beispiel Container auch ver installieren Sie das Feature in der
einen gemeinsamen Port nutzen, um mit PowerShell. Dazu verwenden Sie den Be- Um eine Mindestversion für die Instal-
dem Netzwerk zu kommunizieren. fehl Install-WindowsFeature Containers. lation vorzugeben, verwenden Sie
Install-Package -Name docker -Provi- [3] erhalten Sie auf der Internetseite des Auch ein Webserver auf Basis des IIS in
derName DockerMsftProvider -Force Docker-Projekts. Windows Server 2019 lässt sich als Con-
-RequiredVersion 18.03 tainer bereitstellen:
Um ein Image auf Basis von Windows
Anschließend steht der Server bereit und Server 2019 zur Verfügung zu stellen, docker run -it -p 80:80
Sie können mit Containern arbeiten. Ge- können Sie die notwendigen Daten direkt microsoft/iis cmd
nerell kann es sinnvoll sein, Docker als bei Microsoft herunterladen:
Windows-Dienst zu starten: Nach dem Start steht der Webserver mit
docker image pull der Standardwebseite bereit. Um die Stan-
Start-Service docker mcr.microsoft.com/windows/ dardwebseite im Container zu löschen,
servercore:1809 verwenden Sie zum Beispiel
Für Entwickler und Administratoren bie-
tet es sich außerdem an, Hyper-V für docker image pull del C:\inetpub\wwwroot\iisstart.htm
Container-Hosts zu nutzen – auch unter mcr.microsoft.com/windows/
Windows 10. Dazu sind auf dem Win- nanoserver:1809 Möchten Sie die Startseite mit einer ei-
dows 10-Host einige Befehle notwendig: genen Seite ersetzen, nutzen Sie
Die neuen Container-Images von Win-
netsh advfirewall firewall add rule dows Server 2019 sind in der Microsoft echo "Test für den IIS im Windows-
name="docker engine" dir=in Container Registry (MCR) verfügbar. Sie Server-Container" >
action=allow protocol=TCP können als Image für Docker-Container C:\inetpub\wwwroot\index.html
localport=2375 neben der Core-Installation auch eine
Nano-Installation verwenden. Der Na- Als Optionen geben Sie den Namen des
Stop-Service docker no-Server steht als Container-Image zur neuen Containers an sowie das Image.
Verfügung. Möchten Sie einen Container Sobald der Container erstellt wurde, kön-
dockerd --unregister-service erstellen und starten, verwenden Sie den nen Sie ihn in der Befehlszeile mit der
Befehl docker run. Mit dem Docker-Client Eingabeaufforderung und der PowerShell
dockerd -H npipe:// -H 0.0.0.0:2375 durchsuchen Sie den Docker-Hub nach verwalten. Um sich eine Liste aller Con-
--register-service Images. Dazu verwenden Sie zum Beispiel tainer auf einem Container-Host anzu-
das Kommando: zeigen, verwenden Sie den Befehl
Start-Service docker
docker search Microsoft docker ps -a
Erste Schritte mit Docker
Der Befehl docker images zeigt die vor- Neben den vollständigen Images für Die installierte Docker-Version und den
handenen Docker-Images auf Ihrem Windows Server 2019 lassen Sich auch Docker-Client lassen Sie sich mit docker
Windows-Server an. Standardmäßig sind .NET Core Images herunterladen: version aufrufen.
noch keine Images vorhanden. Sie müs-
sen diese daher erst herunterladen und docker image pull Windows-Server-Container und der Host
auf dem Container-Host einbinden. Er- microsoft/dotnet:2.1-sdk-nanoser- teilen sich einen Kernel, da die Container
halten Sie bei der Ausführung des Do- ver-1809 den Kernel des Container-Hosts nutzen.
cker-Befehls eine Fehlermeldung, dass Dabei muss das Basis-Image des Contai-
die Authentifizierung fehlt, müssen Sie docker image pull ners mit dem des Hosts übereinstimmen.
sich zuerst mit docker login und Ihrer microsoft/dotnet:2.1-aspnetcore- Windows Server 2019 kennt hier vier Va-
Docker-ID anmelden. Eine Docker-ID runtime-nanoserver-1809 rianten: Hauptversion, Nebenversion,
Build und die Revision. Die Revisions-
nummer wird aktualisiert, wenn Win-
dows-Updates installiert werden. Das
Starten von Windows-Server-Containern
ist nicht möglich, wenn die Build-Num-
mer nicht übereinstimmt. Das kann zum
Beispiel passieren, wenn Sie Vorabversio-
nen von Windows Server einsetzen oder
aktualisierte Container nutzen.
ist der produktive Betrieb nicht empfoh- Rechner. Nach der Installation können Sie lassen sich auch solche Anwendungen zum
len und wird von Microsoft auch nicht mit der Tabulator-Taste durch die Befehle Beispiel mit Kubernetes orchestrieren.
unterstützt. Sie erkennen in der Registry und Optionen des Docker-Clients schal-
im Pfad "HKEY_LOCAL_MACHINE / ten. In der PowerShell importieren Sie das Container erstellen und
Software / Microsoft/Windows NT / Cur- Modul mit Import-Module posh-docker. Serverdienste verwalten
rentVersion", welche Version auf einem Erstellen Sie zum Beispiel mit dem fol-
Container-Host installiert ist. Stellen Sie Container nutzen genden Befehl einen neuen Container
sicher, dass die Tags auf Docker Hub oder Sobald Sie den Container-Host installiert und wechseln durch die Option "-it" in
die Image-Hash-Tabelle in der Beschrei- und gestartet haben, können Sie mit Do- die Befehlszeile, können Sie innerhalb des
bung des Images zur Version des Hosts cker Container-Images bei Microsoft he- Containers die PowerShell starten und
passen. Hyper-V-Container verwenden runterladen und starten. Auf Basis von Installationen vornehmen:
derweil eine eigene Instanz des Windows- Containern lassen sich eigene Images er-
Kernels. Daher müssen die Versionen von stellen. Sie können auch in den Contai- docker run -it --name winiis -p
Container-Host und Container-Image nern Serveranwendungen installieren und 80:80 microsoft/windowsservercore
nicht übereinstimmen. bereitstellen. Wie Sie dabei vorgehen, ha-
ben wir in den vorhergehenden Abschnit- Sobald sich die Befehlszeile des Containers
Hyper-V-Container-Host ten bereits gezeigt. öffnet, beginnen Sie mit dem Befehl power-
einrichten shell auf dem Container eine lokale Power-
Möchten Sie Hyper-V-Container nutzen, Microsoft stellt ein neues Image zur Ver- Shell-Sitzung. Anschließend überprüfen
benötigen Sie auf dem Container-Host fügung, mit dem Windows nahezu kom- Sie zunächst, ob der IIS auf dem Container
noch Hyper-V als Serverrolle. Um dabei plett auch in einem Container betrieben installiert ist. Hier verwenden Sie den glei-
mit einer VM zu arbeiten, müssen Sie für werden kann. Das Image namens "win- chen Befehl wie bei herkömmlichen Ser-
diese die eingebettete (nested) Virtuali- dows" soll mehr Möglichkeiten bieten als vern mit Windows Server 2019:
sierung konfigurieren. Nehmen Sie hier- die Nano- und Core-Bereitstellungen. Es
für auf dem Hyper-V-Host, auf dem Sie bietet auch mehr APIs als die Images für Get-WindowsFeature web-server
den Container betreiben, einige Anpas- Nano-Server (nanoserver) und Core-Ser-
sungen in der PowerShell vor: ver (windowsservercore). Das Image rufen Um den IIS zu installieren, nutzen Sie
Sie in Docker über den folgenden Befehl
#Namen der virtuellen Maschine ab. Dazu muss aber Windows Server 2019 Install-windowsfeature web-server
ersetzen im Einsatz sein:
$vm = "virtual-machine" Sobald der IIS im Container installiert ist,
docker pull können Sie über ipconfig die IP-Adresse
#Virtuellen Prozessor konfigurieren mcr.microsoft.com/windows- des Containers anzeigen lassen und zum
Set-VMProcessor -VMName $vm -Expose- insider:latest Beispiel vom Container-Host aus per
VirtualizationExtensions $true Browser auf die IP-Adresse des Containers
-Count 2 Aktuell sind keine weiteren Details be- zugreifen. Da der IIS installiert ist und Sie
kannt, außer dass das Image über einen den Port 80 auf dem Container aktiviert
#Dynamic Memory ausschalten erweiterten API-Satz verfügt, mehr Diens- haben, wird die Startseite des IIS angezeigt.
Set-VMMemory $vm -DynamicMemoryEnab- te als Nano- und Core-Server bietet und
led $false sich Apps sehr viel leichter integrieren las- Mit docker inspect erhalten Sie erweiterte
sen. Microsoft will auch DirectX integrie- Informationen für Container, auch die
#MAC Spoofing aktivieren ren, sodass auch UI-Tests automatisiert IP-Adresse des Containers. In Windows
Get-VMNetworkAdapter -VMName $vm | mit dem Image durchgeführt werden kön- Server 2019 können Docker-Container
Set-VMNetworkAdapter -MacAddress- nen. Bei dem Image handelt es sich um einen gemeinsamen Netzwerkport nut-
Spoofing On eine nahezu vollständige Win dows- zen. Damit das funktioniert, versetzen
Version, die als Container auf einem Con- Sie den Container-Host in den Docker-
In der VM, die Sie als Container-Host für tainer-Host mit Windows Server 2019 ein- Swarm-Modus:
Docker und Hyper-V-Container nutzen gesetzt werden kann.
wollen, können Sie dann noch Hyper-V docker swarm init --advertise-addr
über die PowerShell installieren Mit dem neuen Windows-Container- 127.0.0.1
Image will Microsoft Entwickler dabei un-
Install-WindowsFeature hyper-v terstützen, nicht nur spezielle Microser- Eigene Images erstellen
vices in Containern zu betreiben, sondern Sie können natürlich auch eigene Images
Mit dem Befehl Install-Module posh-docker auch Anwendungen und Dienste, die bis- erstellen und bearbeiten, zum Beispiel auf
laden Sie die Vervollständigungs-Auto- her die vollständige Installation eines Basis bestehender Container, die Sie wie-
matik für den Docker-Client auf einen Windows-Servers benötigten. Dadurch derum mit docker ps -a anzeigen lassen:
Hier ein Beispiel: Die Automatisierung nehmen Sie über Sie können jederzeit erstellte Container
Befehle in der Datei vor. Dazu öffnen Sie mit Ihren Änderungen als neues Image
docker commit 662f25d6d835 die Datei "Dockerfile" in Notepad mit no- speichern und dieses Image wiederum
windowsiis/joosimageiis tepad c:\build\Dockerfile. In der Datei le- für neue Container verwenden. So legen
gen Sie beispielsweise fest, dass ein neues Sie Container mit allen Einstellungen an,
In Docker können Sie also auch Contai- Image erstellt werden soll, das den IIS als die Sie benötigen. Um ein Image zu er-
ner mit bereits installierten Anwendun- Basis nutzt. In der Datei können Sie auch zeugen, verwenden Sie zum Beispiel fol-
gen als neues Image speichern und dieses bestimmen, dass Änderungen an der genden Befehl:
für neue Container verwenden. Ob das Konfiguration vorgenommen werden:
Image erstellt wurde, erfahren Sie mit do- docker commit ID meincontainerimage
cker images. Container löschen Sie wie- FROM microsoft/iis
derum mittels docker rm Name des Con- Sobald Sie das Image erstellt haben, kön-
tainers, der Befehl docker rmi Name des RUN echo "Dockerfile-Test für nen Sie es mit dem Befehl docker images
Images löscht Docker-Images. automatische Bereitstellung" > anzeigen lassen und es als Grundlage für
c:\inetpub\wwwroot\index.html einen neuen Container verwenden:
Um nun zum Beispiel einen Container
mit IIS zur Verfügung zu stellen und da- Generell können Sie bei Dockerfiles mit docker run -it --name dockertest2
rauf aubauend weitere Images zu erstellen, der Anweisung From festlegen, auf wel- meincontainerimage cmd
müssen Sie auf Basis des vorgefertigten cher Basis der neue Container erstellt wer-
Images zunächst einen neuen Container den soll, etwa mit: Container in die Cloud laden
anlegen: Mit dem Befehl docker pull laden Sie Con-
FROM windowsservercore tainerimages aus Ihrem Docker-Konto
docker run -d -p 80:80 microsoft/iis auf den Container-Host, um auf Basis des
ping -t localhost Mit Run legen Sie danach fest, was im Images einen neuen Container zu erstel-
neuen Containerimage geschehen soll. len. Sie können aber auch den umgekehr-
Über den Befehl können Sie auch gleich Sie installieren zum Beispiel mit dem fol- ten Weg gehen, und Images in das Cloud-
die Ports aktivieren (-p) und sicherstel- genden Befehl den IIS in einem neuen konto hochladen. Das hat den Vorteil,
len, dass der IIS als Dienst gestartet wird Containerimage: dass Sie dieses Image jederzeit wieder he-
(-d). Alle gestarteten Container sehen runterladen und auch auf anderen Con-
Sie mit docker ps. Nehmen Sie Änderun- RUN dism.exe /online /enable-feature tainer-Hosts nutzen können. Sie benöti-
gen an einem Container vor, können Sie /all /featurename:iis-webserver gen dazu eine Docker-ID und müssen
diesen Container zum Beispiel als neues /NoRestart sich mit docker login anmelden. Für das
Image speichern und auf dieser Basis Hochladen von Containerimages verwen-
weitere Container. Dazu verwenden Sie Wollen Sie das Visual-Studio-Paket in ei- den Sie diesen Befehl:
den Befehl docker ps -a, um sich den Na- nem Container einrichten, verwenden Sie:
men des Containers anzuzeigen. An- docker push /iis-dockerfile
schließend erzeugen Sie das Image mit RUN start-Process
docker commit: c:\vcredist_x86.exe -ArgumentList Nach dem Upload können Sie mit do-
'/quiet' -Wait cker pull das Image auf Container-Hosts
docker commit ID Neuer Name herunterladen. Wollen Sie das Image
Sie können über ein Dockerfile auch nicht mehr verwenden, löschen Sie es
Dockerfiles für eigene PowerShell-Skripte in ein Containerimage mit dem Befehl
Images erstellen kopieren und ausführen, zum Beispiel mit
Auf Basis dieses Images legen Sie weitere docker rmi Benutzername/
Container an. Der Vorgang lässt sich auch FROM windowsservercore iis-dockerfile
automatisieren, in dem Sie ein "Docker- ADD script.ps1
file" verwenden. Dabei handelt es sich um /windows/temp/script.ps1 Datenbankserver als
eine Anweisungsdatei für neue Container. RUN powershell.exe -executionpolicy Container bereitstellen
Erstellen Sie dazu ein Verzeichnis auf dem bypass c:\windows\temp\script.ps1 Die Bereitstellung von Microsoft SQL
Host und in dem Verzeichnis eine Datei Server 2016/2017/2019 kann über ein
"Dockerfile" (ohne Endung). Sie können Um auf Basis dieser Änderungen wieder Container-Image erfolgen. Das ermög-
den Vorgang zum Beispiel mit der Power- ein Image zu erstellen, verwenden Sie in licht eine schnelle Installation in lokalen
Shell durchführen: diesem Beispiel Rechenzentren, aber auch in der Cloud.
Bild 2: Das Container-Image für Microsoft SQL Server 2017 und 2019 kann bei Docker und Microsoft heruntergeladen werden.
SQL Server 2019 lässt sich auch mit Win- passenden SQL-Server als Container ein- docker pull
dows Server 2019 als Container bereit- richten und zwar mit der Konfiguration, mcr.microsoft.com/mssql/server:201
stellen. Das ist eine ideale Grundlage, da die die spezifische Anwendung benötigt. 9-CTP3.0-ubuntu
hier Docker und Kubernetes gemeinsam
genutzt werden können. Beide Systeme Die Basis hierfür ist die Möglichkeit, Sobald das Image bereitsteht, können Sie
sind die von Microsoft empfohlenen Lö- SQL Server auch auf einem Linux-Sys- neue Container für die Bereitstellung von
sungen, um SQL Server 2019 als Contai- tem zu installieren. Diese Grundlage SQL Server 2017 erstellen, die die herun-
ner laufen zu lassen. Auf diesem Weg be- dient dem Deployment als Container tergeladenen Images nutzen. Der Befehl
treiben Sie Always-On-Gruppen auch in und das Image wird damit als Linux-Va- dazu lautet:
Containern auf Basis von Docker und riante in Docker verwendet. Daher kann
verwalten diese mit Kubernetes. Als Con- der Container mit dem Linux-basierten docker run -e 'ACCEPT_EULA=Y' -e
tainer-Hosts bietet sich dann Windows SQL Server nicht nur in Windows und 'SA_PASSWORD=Kennwort' -p
Server 2019 an. Linux eingesetzt werden, sondern auch 1433:1433 -d
unter macOS. Alle Systeme, auf denen mcr.microsoft.com/mssql/server:201
Sobald ein Container mit SQL Server be- sich Docker-Container betreiben lassen, 7-latest
reitgestellt ist, ist der Zugriff auf den Con- können SQL Server auch als Container
tainern auch von außerhalb des Netz- installieren. Sollen mehrere Container auf Basis eines
werks möglich. Hier unterstützt SQL Images bereitgestellt werden, definieren
Server in der Container-Bereitstellung im Microsoft stellt die Images für SQL Ser- Sie über die Option "-p" jeweils einen ei-
Grunde genommen alle Tools und Pro- ver unter Docker im Docker-Hub zur genen Port:
gramme, die SQL-Verbindungen ermög- Verfügung [4]. Hier ist das Image für
lichen. Dazu gehören grafische Verwal- SQL Server 2017 und SQL Server 2019 Docker run -e "ACCEPT_EULA=Y" -e
tungstools und Programme genauso, wie verfügbar. Für den Download verwenden "MSSQL_SA_PASSWORD=YourStrong!Pass
Shell-Befehle in Windows, Linux und Sie folgenden Befehl: w0rd" -p 1401:1433 -d mcr.micro-
macOS. Auch die Entwicklungsumge- soft.com/mssql/server:2017-latest
bung Visual Studio Code von Microsoft docker pull
erlaubt die Verbindung zu SQL Server in mcr.microsoft.com/mssql/server docker run -e "ACCEPT_EULA=Y" -e
der Container-Installation. "MSSQL_SA_PASSWORD=YourStrong!Pass
Um das aktuelle Container-Image für Mi- w0rd" -p 1402:1433 -d mcr.micro-
Der Vorteil beim Betrieb von SQL Server crosoft SQL Server 2017 herunterzuladen, soft.com/mssql/server:2017-latest
in einer Container-Umgebung besteht nutzen Sie
auch darin, dass auf Hosts eine größere Das Container-Image ist auch in der Mi-
Anzahl an SQL-Containern betrieben docker pull crosoft Container Registry (MCR) verfüg-
werden kann. Das ermöglicht Hochver- mcr.microsoft.com/mssql/server:201 bar, auch von Linux-Servern aus:
fügbarkeitsszenarien mit Always-On- 7-latest-ubuntu
Gruppen und Anwendungen können ihre sudo docker pull
eigene Datenbank auf einem dedizierten Um SQL Server 2019 herunterzuladen, mcr.microsoft.com/mssql/server:201
SQL-Container speichern anstatt auf ei- nutzen Sie aktuell das folgende Kom- 7-latest
nem zentral betriebenen SQL-Server. Ent- mando. Allerdings wird sich dieses än-
wickler können mit der Bereitstellung ei- dern, sobald neuere Versionen zur Ver- Sobald der Container erzeugt wurde,
ner Anwendung auch gleich den dazu fügung stehen: kann auf ihn zugegriffen werden wie auf
einen herkömmlichen SQL-Server. Die dem Prozess auf dem Host, ist dieser arbeiten wieder mit dem eigentlichen
Bereitstellung des Docker-Containers nicht zu sehen. Container-Host.
überprüfen Sie mit Standardbefehlen,
zum Beispiel mit docker ps -a. Auf dem Host wird in diesem Fall aber Beim Erstellen neuer Container spielen
der Prozess einer neuen VM sichtbar. auch die virtuellen Switches auf dem
Hyper-V-Container erstellen Dabei handelt es sich um den virtuellen Host eine Rolle. Diese zeigen Sie in der
und konfigurieren Computer, der den Hyper-V-Container PowerShell mit Get-VMSwitch an. Con-
Haben Sie Container erstellt, können kapselt und die ausgeführten Prozesse tainer verbinden sich über die virtuellen
Sie diese mit der PowerShell und dem vor dem Hostbetriebssystem schützt. Switches mit dem Netzwerk.
Docker-Client verwalten. Hier gibt es
zunächst keine Unterschiede zwischen Neben herkömmlichen Windows-Ser- Sie können in Containern auch Sitzun-
Hyper-V-Containern und Windows- ver-Containern und Hyper-V-Contai- gen unterbrechen und erneut aufbauen.
Server-Containern. Beim Erstellen eines nern können Sie auf einem Hyper-V- Bei unterbrochenen Sitzungen laufen die
Hyper-V-Containers mit Docker ver- Host auch virtuelle Server erstellen, die Cmdlets in der Sitzung weiter. Um Sit-
wenden sie den Parameter "--isolati- wiederum mit Containern kommunizie- zungen anzuhalten, fortzusetzen und
on=hyperv". Möchten Sie einen her- ren können. Container-Host und Hyper- Ausgaben in unterbrochenen Sitzungen
kömmlichen Container mit Docker zu V-Host schließen sich also nicht aus. anzuzeigen, nutzen Sie Disconnect-PSSes-
einem Hyper-V-Container konvertieren, Herkömmliche Installationen von Win- sion, Connect-PSSession und Receive-
setzen Sie eine Isolierungs-Markierung. dows Server 2019 arbeiten mit Contai- PSSession.
Der Befehl sieht dann zum Beispiel fol- nern und Hyper-V-Containern zusam-
gendermaßen aus: men, genauso wie Core-Server. Die Ser- Möchten Sie von einer lokalen Power-
ver und Dienste lassen sich in einem ge- Shell-Sitzung über das Netzwerk Pro-
Docker run --rm -it --isolation= meinsamen Netzwerk betreiben, auch gramme auf einem Container starten, ver-
hyperv ID des Images cmd zusammen mit anderen Betriebssyste- wenden Sie den Befehl
men wie Windows Server 2012/2012 R2/
Die Vorteile lassen sich an einem Beispiel 2016 oder Linux. Invoke-Command -ContainerId ID
zeigen. Erstellen Sie mit dem folgenden -RunAsAdministrator -ScriptBlock
Befehl einen Container und lassen Sie in Windows-Server-Container in { Befehl } - RunAsAdministrator
diesem Container einen dauerhaften der PowerShell verwalten
Ping-Befehl laufen, ist der Prozess auf Container lassen sich recht einfach über Ein Beispiel für die Ausführung ist:
dem Host selbst zu erkennen: die PowerShell verwalten. Das gilt auch
für lokale Installationen von Container- Invoke-Command -ContainerId
docker run -d cf751d69394a ping Hosts. Nachdem ein Container gestartet b2f55c8c-28d7-4c0c-ab2b-
localhost -t ist, öffnen Sie eine PowerShell-Sitzung 9ee62c9ae6ea -RunAsAdministrator
und verbinden sich mit dem Container. -ScriptBlock { ipconfig }
Der erfolgreich erzeugte Container wird Dadurch verwalten Sie auch Einstellungen -RunAsAdministrator
mit docker ps angezeigt. Mit docker top und Serverdienste im Container. Für den
Name des Containers sehen Sie die Pro- Verbindungsaufbau benötigen Sie die ID Fazit
zesse im Container. In diesem Beispiel des Containers. Diese können Sie zum Microsoft hat die Zeichen der Zeit längst
sehen Sie anschließend den Ping-Prozess Beispiel mit docker ps herausfinden. erkannt und unterstützt Container unter
und dessen ID. Mit dem Befehl get-pro- Windows sowie Linux als Gastsystem.
cess -Name ping lassen Sie sich diese In- Nun geben Sie den Befehl Enter-PSSession Die Administration findet wie gewohnt
formationen anzeigen. Anhand dieser ein. Zusammen mit der Container-ID so- über die PowerShell statt. (dr)
Information ist zu erkennen, dass der wie der Option "RunAsAdministrator"
Prozess die gleiche ID hat wie im Con- bauen Sie so eine Verbindung auf. Der Link-Codes
tainer. Erstellen Sie aber einen Hyper-V- Container besitzt übrigens eine eigene IP-
Container mit dem gleichen Befehl, zum Adresse, damit er mit dem Netzwerk [1] Docker
Beispiel mittels kommunizieren kann. Die Syntax des Be- ebp14
fehls sieht folgendermaßen aus: [2] Docker Toolbox
docker run -d --isolation=hyperv gs2a4
cf751d69394a ping -t localhost Enter-PSSession -ContainerId ID [3] Docker-ID erhalten
-RunAsAdministrator js2c3
können Sie jetzt auf dem gleichen Weg
[4] Docker-Images für die
die ID des Prozesses für den Ping-Be- Befehle, die Sie nun eingeben, werden Bereitstellung von SQL-Servern
fehl abrufen. Dazu verwenden Sie wie- im Container durchgeführt. Mit exit ver- js2c4
der docker top. Suchen Sie erneut nach lassen Sie die Sitzung im Container und
S
napshots laufen in Windows Ser- Dazu kommt für Prüfpunkte auch der Server 2016 nicht mehr Fall, aber nur,
ver 2019 im Microsoft-Jargon un- Volume Shadow Service innerhalb der wenn Sie Production Checkpoints akti-
ter der Bezeichnung "Prüfpunkte", aber virtuellen Maschine (VM) zum Einsatz. vieren. Der Vorteil dabei ist, dass Sie da-
auch als Checkpoints werden die Mo- Dabei muss in der VM natürlich Win- durch auch Datenbankserver absichern
mentaufnahmen manchmal bezeichnet. dows verwendet werden. Virtuelle Li- können, zum Beispiel Domänencontroller
Zu beachten ist aber stets, dass Prüfpunk- nux-Server profitieren von der Technik oder virtuelle Exchange-Server.
te keine Daten sichern und damit keine aber trotzdem: Hier kommt der System-
Datensicherung ersetzen, sondern nur ei- puffer zum Einsatz, wenn die Distribu- Virtuelle Linux-Server verwenden in
ne Rückversicherung vor einer Konfigu- tion dies unterstützt. Produktionsprüf- Windows Server 2019 den internen Sys-
rationsänderung auf dem Server bieten. punkte (Production Checkpoints) bieten tempuffer, um einen konsistenten Prüf-
Snapshots halten also den Zustand eines dabei eine Point- in-Time-Abbildung ei- punkt zu erstellen. Sie können aber auch
Servers fest. Datensicherungsprogramm, nes virtuellen Servers, die die produkti- weiterhin noch die herkömmlichen Prüf-
die Hyper-V unterstützen, nutzen aber ven Workloads in der VM komplett mit punkte nutzen. Hyper-V in Windows Ser-
wiederum Prüfpunkte für das schnelle einbezieht. ver 2019 greift standardmäßig auf die
Erstellen von Datensicherungen. neuen Production Checkpoints zurück,
In den Vorgängerversionen von Windows wenn Sie mit der Version 7.x für VMs ar-
In der neuen Serverversion hat Micro- Server 2019 hat Hyper-V nur die virtuel- beiten. Nur ab dieser Version unterstützt
soft Verbesserungen bei den Prüfpunk- len Festplatten, den Status der VM, die Hyper-V die neuen Prüfpunkte.
ten integriert, die die Verwendung deut- Konfiguration der virtuellen Hardware
lich vereinfachen. Außerdem hat Micro- und Konfigurationsdateien in Prüfpunkte Hyper-V in Windows Server 2012 R2
soft mit Windows Server 2016 die Hy- mit einbezogen, das virtuelle Betriebssys- nutzte die Version 5.0 von VMs, die auch
per-V-Funktion "Backup Change Tra- tem aber übergangen. Die Anwendungen in Windows Server 2019 noch verfügbar
cking" eingeführt. Softwarehersteller auf den virtuellen Servern wurden also ist, um Kompatibilität in einem Cluster
müssen durch diese Technik keine zu- nicht berücksichtigt. Daher war es bisher zu erreichen. Beachten Sie, dass dies
sätzlichen Treiber mehr installieren, um nicht sinnvoll, Datenbankserver über nichts mit der Generation der VM zu tun
Änderungen in VMs zu überwachen. Prüfpunkte abzusichern, das galt auch für hat, also Generation 1 oder 2, sondern
Das erleichtert und verbessert die Da- Domänencontroller. dass es sich um eine interne Versions-
tensicherung und macht das Installieren nummer handelt. Windows Server 2019
zusätzlicher Treiber obsolet. Durch Prüfpunkte wurden allerdings die kommt mit der Version 9.x.
Datenbankdateien erfasst. Spielten Sie ei-
Workloads snapshotten nen Prüfpunkt zurück, konnte es passie- Erstellen Sie in Windows Server 2019 eine
Microsoft hat die Prüfpunkte in Win- ren, dass die Datenbankdateien davon be- neue VM, erhält diese automatisch Ver-
dows Server 2019 deutlich verbessert. einträchtigt wurden. Das ist seit Windows sion 9.x. Übernehmen Sie eine VM von
Produktionsprüfpunkte
konfigurieren
Die Einstellungen für die Production
Checkpoints finden Sie im Hyper-V-Ma-
nager oder im System Center Virtual Ma-
chine Manager in den Eigenschaften von
VMs, wenn Sie auf "Prüfpunkte" klicken.
Setzen Sie noch VMs mit der Version 5
ein, verwenden diese weiterhin die her-
kömmliche Technik für Windows Server
2012 R2. Hier können Sie die Option
"Produktionsprüfpunkte" nicht aktivie-
ren, sondern arbeiten weiterhin mit den
altbekannten Standardprüfpunkten. Bei
VMs ab der Version 7.x lassen sich die
Produktionsprüfpunkte aktivieren. Ent-
fernen Sie den Haken bei "Prüfpunkte
aktivieren", verweigert die VM das Er-
stellen eines Prüfpunktes. Standardmäßig
ist das Erstellen von Prüfpunkten aber
Bild 1: Windows Server 2016/2019 und Windows 10 bieten eine Option für Prüfpunkte, aktiviert.
mit denen sich auch Datenbankserver und Domänencontroller besser absichern lassen.
Nachdem Sie die Option "Produktions-
Servern mit Windows Server 2012 R2, sämtliche VM-Versionen finden Sie im prüfpunkte" aktiviert haben, stellen Sie
kommt weiterhin die alte Version zum Internet unter [1]. über "Erstellen Sie Standardprüfpunkte,
Einsatz. Migrieren können Sie die Version wenn das Erstellen eines Produktions-
in der PowerShell mit dem Cmdlet Up- Durch Produktionsprüfpunkte werden prüfpunkts nicht möglich ist" sicher, dass
date-VmConfigurationVersion. Das Cmdlet die VMs davon in Kenntnis gesetzt, dass das Setzen eines Prüfpunktes auch dann
ein Prüfpunkt erstellt wird. Auch die in- durchgeführt wird, wenn das Gastbe-
Get-VM * | Format-Table Name, ternen Serverdienste der VM werden da- triebssystem diese Funktion nicht un-
Version rüber informiert und können mitgesi- terstützt. Sie können jederzeit die Ein-
chert werden. Auf dieser Basis sichern stellungen von Prüfpunkten anpassen,
zeigt Ihnen die Version aller eingesetzten Sie zum Beispiel Domänencontroller, auch im laufenden Betrieb der VM. Der
VMs an. Die Kompatibilitätsmatrix für Datenbankserver und Exchange effizien- Speicherort für Prüfpunktdateien lässt
Bild 2: Die Version einer virtuellen Maschine können Sie auch in der PowerShell abfragen.
erwähnt nicht mehr ändern. Löschen Sie Verwalten von Prüfpunkten Restore-VMSnapshot -VMName Name der
alle Prüfpunkte, können Sie den Speicher- Auch für die einzelnen Prüfpunkte steht VM -Name Name des Prüfpunkts
ort wieder anpassen. ein Kontextmenü zur Verfügung, über
das Sie diese steuern. Setzen Sie eine Hy- Die Daten des Prüfpunktes bleiben auf
Rufen Sie den Befehl "Zurücksetzen" im per-V-kompatible Datensicherung ein, der Festplatte erhalten. Diese werden nur
Kontextmenü der VM auf, wendet Hy- kann diese ebenfalls automatisiert einen dann entfernt, wenn Sie einen Prüfpunkt
per-V den letzten erstellten Prüfpunkt solchen Prüfpunkt erstellen und dessen nicht anwenden, sondern löschen. Wollen
an und setzt den Computer auf diesen Daten sichern. Im Kontextmenü von Sie zum Beispiel für alle VMs auf einem
Stand zurück. Prüfpunkten stehen verschiedene Mög- Host den aktuellsten Prüfpunkt anwen-
lichkeiten zur Verfügung: den, verwenden Sie:
Prüfpunkte erzeugen Sie manuell über den
Befehl "Prüfpunkt" im Kontextmenü einer Über "Einstellungen" rufen Sie die Set- Get-VM | Foreach-Object { $_ |
VM oder in der PowerShell mit Checkpoint- tings des virtuellen Computers auf, zu
VM. Sie können dazu auch verschiedene dem dieser Prüfpunkt gehört. Es han- Get-VMSnapshot | Sort CreationTime
Optionen in der PowerShell mitgeben, zum delt es sich dabei um die Einstellungen, | Select -Last 1 | Restore-
Beispiel den Namen der VM, für die Sie die zum Zeitpunkt des Erstellens gültig VMSnapshot -Confirm:$false }
einen Prüfpunkt erstellen wollen und die waren. Haben Sie die Konfiguration
Beschreibung des Prüfpunkts: nach dem Erzeugen des Prüfpunkts ge- Beim "Exportieren" von virtuellen Ser-
ändert, sind diese an dieser Stelle nicht vern in Windows Server 2019 können
Checkpoint-VM zu sehen. Auf diese Weise schützen Sie Sie auch Prüfpunkte berücksichtigen.
-Name Servername auch die Einstellungen von virtuellen Über das Kontextmenü eines Prüfpunkts
-SnapshotName Name des Checkpoint Servern. können Sie daher einen virtuellen Server
mit dem Stand des Prüfpunkts exportie-
Um über das Netzwerk einen Prüfpunkt Über die Option "Anwenden" setzt der ren und auf anderen Servern wieder im-
für eine VM zu erstellen, verwenden Sie: Assistent den virtuellen Computer wie- portieren. Diese Vorgänge lassen sich im
der auf den Stand zurück, an dem Sie laufenden Betrieb der VM durchführen.
Get-VM Name der VM -ComputerName den Prüfpunkt erstellt haben. Vorher Mit "Umbenennen" weisen Sie dem Prüf-
Name des Hyper-V-Hosts | Check- erscheint aber ein Abfragefenster, das punkt einen anderen Namen zu. Hyper-
point-VM Sie auf die Folgen hinweist. Alle nicht V verwendet als Namen normalerweise
gespeicherten Daten gehen verloren, da das Datum und die Uhrzeit. Über diesen
Durch diesen Vorgang erstellt der Server Hyper-V alle Einstellungen und Daten Menübefehl können Sie zum Beispiel
eine neue differenzierende Festplatte aus dem Prüfpunkt in die VM schreibt. noch Informationen hinzufügen, warum
(AVHD) der virtuellen Festplatten (VHD). Außerdem können Sie vorher noch ein- Sie den Prüfpunkt erstellt haben.
Für jede virtuelle Festplatte fertigt Hy- mal einen aktuellen Prüfpunkt erstellen.
per-V eine eigene AVHD-Datei an. Set- Dieser sichert dann den aktuellen Zu- Prüfpunkte löschen
zen Sie auf VHDX-Dateien, dann erstellt stand. Im Gegensatz zum Zurücksetzen Das Löschen von Prüfpunkten ist eine
Hyper-V AVHDX-Dateien. Beim Zu- über das Kontextmenü der VM können wichtige Aufgabe. Dazu stehen im Hy-
rücksetzen eines virtuellen Servers gehen Sie hier nicht nur den letzten Prüfpunkt per-V-Manager im Kontextmenü der
keine Änderungen verloren, sondern die- verwenden, sondern beliebige Prüf- Prüfpunkte verschiedene Menüpunkte
se werden wiederum in einem neuen punkte. Diesen Befehl können Sie auch zur Verfügung. Mit "Prüfpunkt löschen"
Prüfpunkt erfasst. in der PowerShell durchführen: entfernen Sie den Prüfpunkt und die da-
zugehörigen Daten vom Server
Wenn Sie einen Server zurück- und überführen die Daten der
setzen oder einen älteren Prüf- AVHD-Dateien in die produk-
punkt anwenden beziehungs- tiven virtuellen Festplatten
weise Prüfpunkte löschen und (VHD). Beim Löschen eines
die differenzierende Festplatte Prüfpunkts gehen keine Daten
des Prüfpunkts in die überge- verloren, sondern Änderungen,
ordnete VHDX-Datei überfüh- die Sie seit dem Erstellen des
ren, vergrößert sich diese Datei Prüfpunkts in der VM durch-
unter Umständen. In diesem geführt haben, werden in die
Fall sollten Sie diese im Hyper- virtuellen Festplatten des Ser-
V-Manager bearbeiten und ver- vers geschrieben. Anschließend
kleinern. Sie finden dazu im werden der Prüfpunkt und sei-
Aktionen-Bereich den Eintrag ne differenzierende Festplatte
"Datenträger bearbeiten". Bild 5: Prüfpunkte verwalten Sie über deren Kontextmenü. gelöscht.
Windows Server 2019 beherrscht diesen Get-VMSnapshot -VMName TestVM | rationID und mit Windows Server 2016
Vorgang online. Das heißt, der virtuelle Where-Object {$_.CreationTime und 2019 durch die Produktionsprüf-
Server kann weiter in Betrieb sein. Hän- -lt (Get-Date).AddDays(-90) } | punkte besser im Griff, aber generell ist
gen von einem Prüfpunkt aber weitere Remove-VMSnapshot das Sichern von Servern, die eine Da-
Prüfpunkte ab, weil Sie diese nachträglich tenbank bereitstellen, über Prüfpunkte
erstellt haben, dann bleibt die AVHD-Da- Sonderfall Hyper-V-Cluster nicht uneingeschränkt empfehlenswert,
tei vorhanden, nur die Konfiguration der Setzen Sie Hyper-V im Cluster ein, müs- zumindest wenn es sich vermeiden lässt.
Systemdateien wird durchgeführt. Und sen Sie bei der Datensicherung und der Das gleiche gilt übrigens für alle Server,
mit "Prüfpunktunterstruktur löschen" ent- Erstellung von Prüfpunkten einige Dinge die eine Datenbank nutzen, auch Ex-
ledigen Sie sich des aktuellen Prüfpunkts beachten. Sie sollten es möglichst vermei- change und SQL. Sie sollten solche Da-
sowie aller Sicherungen, die Sie nach dem den, Prüfpunkte von laufenden virtuellen tenbanken niemals über Prüfpunkte zu-
Prüfpunkt erstellt haben und die auf die- Maschinen in Clustern zu erzeugen. Set- rücksetzen, und wenn dann nur, wenn
sen aufbauen. Der Vorgang verläuft ähn- zen Sie nämlich einen solchen Prüfpunkt Sie Produktionsprüfpunkte einsetzen.
lich zu "Prüfpunkt löschen", führt aber zurück, setzt dieser nicht nur den Inhalt
alle zusammengehörigen Prüfpunkte zu- der virtuellen Festplatten zurück, sondern In Hyper-V haben Sie weiterhin die Mög-
sammen. Durch diesen Vorgang tilgen Sie auch den des Arbeitsspeichers der VM. lichkeit, einem Gastsystem eine differen-
auch alle untergeordneten Prüfpunkte. zierende virtuelle Festplatte zuzuweisen.
Dieser Umstand bereitet vor allem im Dazu bauen die Festplatten auf eine über-
Liegen für eine VM zum Beispiel die drei Zusammenhang mit der Livemigration geordnete Festplatte mit einer Windows-
Prüfpunkte "Prüfpunkt 1", "Prüfpunkt 2" Probleme. Wenn Sie also Prüfpunkte von Installation auf und speichern die Daten
und "Prüfpunkt 3" vor und bauen die drei VMs in einem Cluster durchführen wol- auf einer eigenen Festplatte. Für DCs ist
Prüfpunkte aufeinander auf, können Sie len, fahren Sie die VM sicherheitshalber das nicht empfohlen, da sich solche Fest-
jederzeit zu Prüfpunkt 2 zurück wechseln herunter. Auch wenn Sie einen Prüf- platten zu leicht wieder in den Ursprungsz-
und die Daten von Prüfpunkt 3 löschen. punkt auf eine VM anwenden wollen, ustand zurückversetzen lassen. Hier gibt
Dazu klicken Sie mit der rechten Maus- sollten Sie die Maschine dazu kurz außer es das gleiche Problem wie auch mit den
taste auf Prüfpunkt 2 und wählen "An- Betrieb nehmen. Prüfpunkten.
wenden" aus dem Menü. Die aktive Mar-
kierung "Jetzt" des virtuellen Servers zeigt Bei Domänencontrollern sichern Prüf- Fazit
den Status des virtuellen Servers an. punkte auch die Active-Directory-Da- Prüfpunkte sind ein wichtiges Hilfsmit-
Durch das Anwenden von Prüfpunkt 2 tenbank. Setzen Sie auf einem Domä- tel in Hyper-V-Umgebungen. Allerdings
wird das "Jetzt" vor Prüfpunkt 3 gescho- nencontroller einen Prüfpunkt zurück, sollten Sie diese Funktion mit Bedacht
ben. Sie können Prüfpunkt 3 nun löschen, kann es zu Inkonsistenzen der AD-Da- einsetzen und nur so viele Prüfpunkte
wenn Sie diesen nicht mehr benötigen. tenbank kommen, die auch die anderen vorhalten, wie notwendig. Prüfpunkte
Durch das Löschen wird er nicht mehr Domänencontroller beeinflusst. Das beeinträchtigen die Leistung von VMs
mit dem virtuellen Server zusammenge- liegt daran, dass im Active Directory und sollten nur dann Verwendung fin-
führt, da sich der Status "Jetzt" oberhalb alle Objekte eine bestimmte Nummer den, wenn auch die Konfiguration der
des Prüfpunktes befindet. besitzen, die Update Sequence Number VM angepasst wird. Setzen Sie mehrere
(USN). Jeder Domänencontroller hat Snapshots ein, kann es schnell passieren,
Löschen Sie Prüfpunkt 3 aber, ohne dass eine eigene Liste dieser USNs und be- dass der Status eines Servers oder dessen
Sie Prüfpunkt 2 anwenden, werden alle findet sich auch selbst in dieser Liste. Daten verloren gehen. Es ist wichtig zu
Änderungen aus Prüfpunkt 3 in Prüf- Setzen Sie einen Prüfpunkt zurück, än- verstehen, wie Hyper-V bei Snapshots
punkt 2 übertragen. Erst dann löscht der dern sich die USNs zahlreicher Objekte, generell vorgeht und welche Daten ge-
Server Prüfpunkt 3. Prüfpunkte können was mit hoher Wahrscheinlichkeit zu löscht werden oder erhalten bleiben.
Sie natürlich auch in der PowerShell lö- Inkonsistenzen führt. In jedem Fall aber
schen. Wollen Sie zum Beispiel Snapshots trennen die anderen Domänencontrol- Mit den neuen Produktionsprüfpunkten
einer bestimmten VM löschen, nutzen ler den wiederhergestellten Domänen- optimiert Microsoft zwar die generelle
Sie den Namen, auf Wunsch auch mit controller vom Netzwerk, um das Pro- Vorgehensweise in Hyper-V, die grund-
Platzhalter: blem zu beheben. sätzliche Struktur der Snapshots bleibt
aber beim Alten. (ln/jp)
Get-VM TestVM | Remove-VMSnapshot Vermeiden Sie daher möglichst Prüf-
–Name Experiment* punkte auf DCs, wenn Sie mit Standard-
Link-Codes
prüfpunkten arbeiten. Bei den neuen
Sie können Snapshots aber auch auf Basis Produktionsprüfpunkten wird auch die [1] Kompatibilitätsmatrix
der Erstellungszeit löschen. Wollen Sie Active-Directory-Datenbank erfasst. für VM-Versionen
alle Snapshots entfernen, die älter als 90 Zwar hat Microsoft das Problem seit jsk11
Tage sind, nutzen Sie Windows Server 2012 R2 mit der Gene-
Abschirmung
von Thomas Joos
Qu
ell
e:
int
Der Host Guardian Service sorgt in der
ue
ri –
123
Datacenter Edition für die Sicherheit von VMs.
RF
Virtuelle Server lassen sich so härten und vor
anderen Administratoren, Angreifern und
unberechtigten Zugriffen abschotten. Zu-
sammen mit Shielded-VM verweigert dieser
Sicherheitsmechanismus Angreifern und
Malware den Zugriff auf die Daten der VM.
Auch Netzwerke, die von Angreifern über-
nommen wurden oder bei denen andere
Bereiche kompromittiert sind, stellen keine
Gefahr für derart gesicherte VMs dar.
D
er Host Guardian Service (HGS) Windows Server 2019 unterstützt die Datenverkehr zur Livemigration lässt sich
trennt VMs in Hyper-V besser Ausführung von Ubuntu, Red Hat Enter- mit HGS verschlüsseln.
voneinander. Wenn eine VM durch einen prise Linux und SUSE Linux Enterprise
Angreifer kompromittiert ist, verhindert Server auf abgeschirmten VMs. Sie können in Windows Server 2019 ab-
dieser Dienst die Ausbreitung des Hackers geschirmte VMs auf Maschinen mit in-
oder der Malware. Zusätzlich bietet der Voraussetzungen termittierender Konnektivität zum Host
Host Guardian Service auch Verschlüs- für Shielded-VMs Guardian Service ausführen, indem Sie
selungstechnologien und ermöglicht das Um virtuelle Festplatten einer VM zu ver- die neuen Fallback-HGS- und Offline-
Absichern von VMs auf vielfältigen We- schlüsseln, müssen nicht unbedingt Shiel- Modus-Funktionen nutzen. Der Offline-
gen. So lassen sich die Festplatten mit Bit- ded-VMs zum Einsatz kommen. Seit Modus ermöglicht, geschützte VMs weiter
Locker verschlüsseln, der Zugriff auf die Windows Server 2016 lassen sich auch zu starten, auch wenn HGS nicht erreich-
Konsole einschränken und festlegen, auf virtuelle Trusted Platform Modules bar ist.
welchen Hyper-V-Hosts eine gesicherte (TPM) zu VMs hinzufügen. Dazu steht
VM starten darf. in den VM-Eigenschaften der Menüpunkt Mit "VMConnect Enhanced Session Mo-
"Sicherheit" zur Verfügung. Schalten Sie de" und PowerShell Direct stellen Sie für
Sie können mit dem HGS Hyper-V-Ser- "Trusted Platform Module aktivieren" ein, VMs in Windows Server 2019 die Netz-
ver ab Windows Server 2016 Datacenter um der VM ein virtuelles TPM für die werkverbindung zu Ihrer VM wieder her
Edition schützen. Ältere Versionen oder Verschlüsselung mit BitLocker bereitzu- und aktualisieren deren Konfiguration zu-
Windows Server 2019 Standard Edition stellen. VMs, die Sie auf Basis von BitLo- vor, damit dieser Zugriff funktioniert. Die-
lassen sich nicht mit HGS verbinden. In cker mit einem vTPM verschlüsseln, las- se Funktionen sind automatisch verfügbar,
den abgesicherten VMs können Sie ne- sen sich jederzeit in eine Guarded Fabric wenn Sie eine abgeschirmte VM auf einem
ben Windows Server 2016/2019 auch mit Shielded-VMs integrieren und auch Hyper-V-Host mit Windows Server Ver-
Win-dows Server 2012/2012 R2 betrei- Livemigration ist möglich. Wichtig ist, sion 1803 oder höher platzieren.
ben. Sowohl Windows Server 2019 Da- dass es sich bei der VM um eine Gene-
tacenter als auch der kostenlose Hyper- ration-2-VM handelt. Windows Server 2019 erlaubt Ihnen,
V-Server 2019 können Shielded-VMs den Attestation-Mode des HGS im lau-
auch mit Linux nutzen. Neben dieser VMs können über den Host Guardian fenden Betrieb anzupassen. Dieser Mo-
Neuerung hat Microsoft die Technik der Service auch verschlüsselte Festplatten dus bestimmt, wie sich die geschützten
Shielded-VMs weiter verbessert. Diese nutzen, auch mit vTPM. Dazu setzt Hyper-V-Hosts in der HGS-Infrastruk-
können jetzt auch starten, wenn der HGS Windows Server 2019 auf BitLocker. VMs tur authentifizieren. Microsoft unter-
nicht kontaktiert werden kann. Dazu gibt lassen sich vom non-Shielded-Modus in stützt hier die Authentifizierung mit ei-
es den Offline-Modus. den Shielded-Modus versetzen. Auch der nem TPM-Chip (Hardware-Attestation)
VMs mit HGS absichern terstützung durch Host Guardian" instal- Die Absicherung von Hyper-V-Hosts in
Damit der HGS auf einem Hyper-V-Host lieren, was Hyper-V-Funktionen für den der Fabric-Gesamtstruktur erfolgt nor-
als Guarded Host Shielded-VMs betrei- Betrieb von Shielded VMs freischaltet. malerweise über die Mitgliedschaft in ei-
ben kann, muss der Hyper-V-Host vom ner AD-Gruppe, wenn Sie nicht auf UEFI
Host Guardian Service akzeptiert wer- Außerdem müssen Sie bei der Installation und TPM setzen. Wenn Sie nicht wissen,
den. Dazu ist auf den Hyper-V-Hosts in des Hyper-V-Hosts sowie der Anbindung ob ein Host bereits mit einem HGS-Ser-
produktiven Umgebungen ein TPM- an HGS sicherstellen, die Remoteserver- ver verbunden ist, können Sie das mit den
Chip ab Version 2 notwendig, wenn Sie Verwaltungstools für Shielded-VMs zu Cmdlets Get-WindowsFeature HostGuar-
mit der Hardware-Attestation arbeiten. installieren. Diese tragen die Bezeichnung dian und Get-HgsClientConfiguration
Dieser sichert später auch die Shielded- "Abgeschirmte VM-Tools" und werden überprüfen. Dadurch können Sie recht
VMs entsprechend ab. Der Server muss nicht automatisch auf Hyper-V-Hosts in- schnell sicherstellen, ob ein Host ord-
außerdem EFI 2.3.1 mit Secure Boot nut- stalliert, sondern müssen immer manuell nungsgemäß mit der HGS-Infrastruktur
zen. Für die Einrichtung ist in diesem aufgebracht werden. Neue Shielded-VMs verbunden ist.
Fall keine Vertrauensstellung zwischen müssen Sie immer mit dem Typ "Gene-
der Active-Directory-Gesamtstruktur ration 2" anlegen. Host Guardian
des Host Guardian Service und der AD- Service konfigurieren
Gesamtstruktur mit den Hyper-V-Hosts Um bei der HGS-Absicherung den virtu- Wenn Sie auf einem Server die HGS-Ser-
(Fabric) notwendig. Die Einrichtung ist ellen TPM-Chip einzubinden, können Sie verrolle installiert haben, zum Beispiel in
allerdings recht kompliziert. auf das Add-VMTPM-Cmdlet in der der PowerShell mit
PowerShell zurückgreifen. Gleiches gilt für
Setzen Sie Hyper-V-Hosts ein, die weder die notwendigen Tools, um Hyper-V mit Install-WindowsFeature -Name HostGu-
TPM noch UEFI unterstützen, können dem Host Guardian Service zu verbinden: ardianServiceRole -IncludeManage-
Sie die Hosts auch über das Active Di- mentTools -Restart
rectory absichern und an den HGS an- Install-WindowsFeature
binden. Die Absicherung erfolgt in die- -Name HostGuardian erstellen Sie auf dem Server zunächst ei-
sem Fall über AD-Sicherheitsgruppen. ne neue AD-Domäne. Danach initiali-
Dazu erstellen Sie eine weitere AD-Ge- Install-WindowsFeature sieren Sie den HGS-Server. Im ersten
samtstruktur für den HGS und legen eine -Name RSAT-Shielded-VM-Tools Schritt öffnen Sie dazu eine PowerShell-
entsprechende Vertrauensstellung an. Sitzung und konfigurieren die neue Do-
Install-WindowsFeature mäne für HGS:
Um Shielded-VMs zu nutzen, benötigen -Name FabricShieldedTools -Restart
Sie zunächst einen Server beziehungsweise Install-HgsServer -HgsDomainName
Cluster mit HGS. Auf den zu schützenden Dadurch findet aber noch keine Verbin- "hostgs.com" -SafeModeAdministra-
Hyper-V-Hosts müssen Sie neben Hyper- dung statt, sondern es werden lediglich torPassword (read-host -prompt
V noch das Serverfeature "Hyper-V-Un- die notwendigen Daten installiert. Kennwort -assecurestring) -Restart
Danach richten Sie die Umgebung ein. besten mit bedingten Weiterleitungen in Guarded Hosts befinden. In der Power-
Sie können für Testumgebungen ein beiden Umgebungen. Ihr DNS-Server Shell erledigen Sie dies beispielsweise
selbstsigniertes Zertifikat verwenden, in kann nur Anfragen der Clients beantwor- wie folgt:
produktiven Umgebungen ist jedoch ein ten, für die Zonen hinterlegt wurden.
Zertifikat aus den AD-Zertifikatsdiensten Wollen Sie auch andere Zonen auflösen, $HGSDomainName = "hostgs.com"
zu bevorzugen. Die Konfiguration ist am müssen Sie im DNS konfigurieren, welche $ADDomainName = "contoso.int"
einfachsten, wenn Sie die einzelnen Wer- Server gefragt werden sollen. Der DNS- $ADDomainUser = "Administrator"
te, die Sie in der PowerShell angeben müs- Server überprüft zunächst, ob er für die $ADAdminPasswd = "Kennwort"
sen, zuvor in Variablen speichern, wie im Domäne zuständig ist. Wenn er weder netdom trust $HGSDomainName /do-
Listing "Zertifikat für HGS erzeugen" ge- Zone noch Delegation findet, werden die main:$ADDomainName /userD:$ADDo-
zeigt. Tragen Sie bei den jeweiligen Be- DNS-Server gefragt, die über den Eintrag mainName\$ADDomainUser /pass-
fehlen die Daten Ihrer Umgebung ein. "Bedingte Weiterleitungen" in der Kon- wordD:$ADAdminPasswd /add
Die Ausführung der Befehle darf keine solenstruktur hinterlegt sind.
Fehler verursachen. Die Hyper-V-Hosts, die Sie mit HGS ab-
Sobald die Namensauflösung funktio- sichern wollen, müssen Mitglied einer neu-
Anschließend müssen Sie sicherstellen, niert, können Sie auf dem HGS-Server en AD-Gruppe sein. Dazu legen Sie die
dass die Namensauflösung zwischen den die Vertrauensstellung zwischen HGS- AD-Gruppe an und nehmen die Hyper-
beiden Active-Directory-Gesamtstruktu- AD und dem Fabric-AD einrichten, also V-Hosts auf. Zusätzlich müssen Sie noch
ren funktioniert. Dazu arbeiten Sie am Ihrem produktiven AD, in dem sich die die SIDs der Hyper-V-Hosts auslesen und
auf dem HGS-Server importieren. In dieser
Listing: Zertifikat für HGS erzeugen Umgebung gehen wir davon aus, dass die
Fabric-Domäne die Bezeichnung "conto-
$certificatePasswd = "Kennwort"
so.int" hat und der erste Guarded Host die
$signingCertPath = "C:\signingCert.pfx"
$encryptionCertPath = "C:\encryptionCert.pfx" Bezeichnung "hpdl20.contoso.int":
$certStoreLocation = "Cert:\LocalMachine\My"
$certificatePassword = ConvertTo-SecureString -AsPlainText $certificatePasswd -Force
$GuardedGroupName="GuardedHosts"
$signingCert = New-SelfSignedCertificate -DnsName "signing.$env:userdnsdomain" -CertStoreLocation
$certStoreLocation $guardedhost="hpdl20.contoso.int"
Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath $signingCertPath $GroupMember="CN=hpdl20,OU=Compu-
$encryptionCert = New-SelfSignedCertificate -DnsName "encryption.$env:userdnsdomain" ters,DC=contoso,DC=int"
-CertStoreLocation $certStoreLocation
Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath
$guardedGroup = New-ADGroup -Name
$encryptionCertPath $GuardedGroupName -SamAccountName
$HgsServiceName = "hgscontoso" "GuardedHosts" -GroupCategory
Initialize-HGSServer -HgsServiceName $HgsServiceName -SigningCertificatePath $signingCertPath
Security -GroupScope Global
-SigningCertificatePassword $certificatePassword -EncryptionCertificatePath $encryptionCertPath
-EncryptionCertificatePassword $certificatePassword -TrustActiveDirectory -Force Add-ADGroupMember -Identity $Guar-
dedGroupName -Members $GroupMember
Add-HgsAttestationHostGroup -Name
"GuardedHosts" -Identifier
"S-1-5-21-260484123-1724494931-
1379840826-1109"
Install-WindowsFeature
-Name RSAT-Shielded-VM-Tools
Install-WindowsFeature
-Name FabricShieldedTools -Restart
ten für SCVMM konfiguriert haben. Ru- über das Webportal, zur Verfügung gestellt Nachdem Sie das Zertifikat eingerichtet
fen Sie über das Kontextmenü den Status und gewartet werden sie über die beteiligen und exportiert haben, binden Sie es in
des Hosts auf, dürfen keine Fehler erschei- Microsoft-Server-Produkte, also Windows den HGS-Server ein. Achten Sie dabei da-
nen und die Anbindung an HGS muss Server und SCVMM. rauf, dass die jeweiligen Variablen korrekt
aktiviert und fehlerfrei hinterlegt sein. definiert sind beziehungsweise geben Sie
An dieser Stelle spielen vor allem die Op- Die Installation des Microsoft Azure direkt den jeweiligen Dienstnamen ein:
tionen bei "HGS Client Overall" eine Packs erfolgt über den kostenlosen "Mi-
wichtige Rolle. crosoft Web Platform Installer" [2]. Die- Initialize-HgsServer -HgsServiceName
sen laden Sie herunter und starten die In- $HgsServiceName -EncryptionCerti-
Ist die Vorlage für die Shielded-VM vor- stallation auf dem Server. Dieser bedarf ficateThumbprint $encryptionCert.
bereitet, kopieren Sie diese in die Biblio- dazu einer Internetverbindung, da die Thumbprint -SigningCertificate-
thek von SCVMM und legen auf dieser notwendigen Komponenten herunterge- Thumbprint $signingCert.Thumbprint
Basis eine neue Shielded-VM an. Dazu laden werden müssen. -CommunicationsCertificateT-
müssen Sie lediglich die VHDX-Datei ko- humbprint $signingCert.Thumbprint
pieren. Beim Einsatz von Shielded-VMs Wechseln Sie nach dem Start der Instal- -TrustActiveDirectory -http -https
spielen noch die "Shielded Data Files" eine lationsdatei auf die Registerkarte "Pro- -HttpsCertificatePath ‘C:\Https-
wichtige Rolle. Diese erzeugen Sie mit dukte" und geben Sie im Suchfeld "Azure Certificate.pfx’ -HttpsCertifica-
dem Tool "ShieldingDataFileWizard.exe" Pack" ein. Klicken Sie bei "Windows Azu- tePassword $certificatePassword
aus dem Verzeichnis "C:\Windows\Sys- re Pack: Portal and API" auf "Hinzufügen" -Force
tem32". Auf Basis dieses Assistenten er- und danach auf "Installieren". Ist dies ab-
stellen Sie PDK-Dateien, mit denen Sie geschlossen, rufen Sie auf dem Server zu- Arbeiten Sie mit SCVMM 2016, müssen
neue Shielded VMs aufbauen. Legen Sie nächst die Webseite "https://localhost: Sie noch darauf achten, dass Sie die URLs
in SCVMM eine neue VM an, können Sie 30101 auf ". Zum Azure-Portal gelangen zur Anbindung an den Host Guardian Ser-
bereits während des Vorgangs durch die Sie über die Seite "https://localhost:30091/ vice auf SSL umstellen. Nutzen Sie selbst-
Option "Schutzunterstützung nach der #Workspaces/ WebSystemAdminExten- signierte Zertifikate und nicht die Zertifi-
Bereitstellung in der virtuellen Maschine sion/quickStart". katdienste aus dem Active Directory,
aktivieren" die VM als Shielded-VM kon- müssen Sie das Zertifikat auf den beteiligten
figurieren. Im Rahmen des Einrichtungs- Mit SCVMM haben Sie die Möglichkeit, Servern noch in die Liste der vertrauens-
assistenten benötigen Sie dann die erstellte eine VM Cloud im Portal zu erstellen. würdigen Stammzertifizierungsstellen in-
PDK-Datei. Microsoft zeigt im bereits Anschließend registrieren Sie einen Sys- tegrieren. Auch das erledigen Sie am ein-
vorgestellten Dokument [1] Wege der tem Center Service Provider. Die Vorge- fachsten in der PowerShell:
Fehlerbehandlung dieser nicht ganz ein- hensweise dazu finden Sie ebenfalls über
fachen Aufgabe. das Whitepaper [1]. Sobald Sie die Ein- Import-Certificate -FilePath
richtung vorgenommen haben, erzeugen "C:\temp\HttpsCertificate.cer"
Windows Azure Pack Sie neue VMs mit der Option "Allow Vir- -CertStoreLocation Cert:\LocalMa-
und Shielded VMs tual Machines To Be Shielded" im Web- chine\Root
Unter Windows Server in Verbindung mit portal des Azure Packs.
SCVMM können Sie mit dem "Azure Pack" Fazit
ebenfalls eine Private Cloud mit Shielded- HTTPS für HGS aktivieren Shielded-VMs können sensible virtuelle
VMs aufbauen. Dazu müssen Sie System Per Default kommunizieren Hyper-V- Server mit heiklen Daten recht zuverlässig
Center Service Provider Foundation und Hosts und SCVMM über das HTTP-Pro- schützen. Die Konfiguration ist nicht ein-
das Azure Pack einsetzen. Über dieses Pack tokoll miteinander. In einer produktiven fach und Sie benötigen dazu mehrere Ser-
erhalten Sie ein einfach zu verwendendes Umgebung sollten Sie hier natürlich am ver, auf denen der Host Guardian Service
Webportal, mit dem Sie verschiedene besten SSL aktivieren. Dazu öffnen Sie die installiert ist. In einer idealen Umgebung
Dienste im Netzwerk zur Verfügung zu PowerShell auf dem HGS-Server und legen setzen Sie noch auf den System Center
stellen. Dabei kann es sich um Datenban- ein selbstsigniertes Zertifikat an, das Sie Virtual Machine Manager. Doch auch
ken, Webseiten, virtuelle Server und andere für die Kommunikation per SSL nutzen: wenn es sich lohnt, sich mit Shielded-VMs
Services handeln – und eben auch Shiel- auseinanderzusetzen, ist der Betreib al-
ded-VMs. Verwaltet werden diese Dienste $HttpsCertificate = New-SelfSigned- lerdings eher teuer. Sie benötigen min-
Certificate -DnsName "$HgsService- destens einen Cluster mit Windows Ser-
Link-Codes Name.$env:userdnsdomain" -CertSto- ver 2016 Datacenter Edition und viel Zeit
reLocation Cert:\LocalMachine\My für die Einrichtung, denn für Shielded-
[1] Guarded Fabric and Shielded VMs
gs2m1 Export-PfxCertificate -Cert VMs sind Vorlagen die Voraussetzung.
$HttpsCertificate -Password $cer- Das Setup ist also nicht in wenigen Mi-
[2] Microsoft Web Platform Installer
gs2m2 tificatePassword -FilePath nuten abgeschlossen, sondern benötigt
"c:\HttpsCertificate.pfx" viel Planung und Konzeption. (jp)
Identisch
von Thomas Joos
S
torage Replica ist der Replikation und steht danach zur Verfügung. Die Ver- Die beiden Szenarien lassen sich auch
von DFS (Distributed File System) waltung erfolgt zum großen Teil über die zu einem gemeinsamen Einsatzszenario
deutlich überlegen. Deshalb ist zu erwar- PowerShell. Die Lösung dient aber nicht verbinden. In diesem replizieren Sie die
ten, dass Unternehmen, die bisher auf dem Datenschutz, sondern überwiegend Daten eines Clusters zu einem anderen
DFS-Replikation setzen, mit Windows Ser- der Replikation von Daten in einem Clus- Cluster in einem anderen Rechenzen-
ver 2019 auf Storage-Replikation umstellen. ter. Daher findet die Verwaltung in der trum (von Cluster-Knoten 1, Cluster 1
Auch diese arbeitet mit DFS zusammen, grafischen Oberfläche auch vor allem zu Cluster-Knoten 1, Cluster 2). Dabei
kann aber besser Daten replizieren als das über den Failover-Clustermanager statt. sind die Cluster aber nicht auf verschie-
Dateisystem. Zusätzlich erlaubt Storage dene Rechenzentren aufgeteilt, sondern
Replica die Verschlüsselung von Daten. Szenarien für Storage Replica Bestandteil eines einzelnen Rechenzen-
Nicht zuletzt kooperiert Storage Replica Die Speicherreplikation bietet vor allem trums. Die Daten werden also nicht in-
auch perfekt mit Storage Spaces Direct, drei verschiedene Einsatzszenarien. Im nerhalb eines Clusters repliziert, sondern
dem Zusammenfassen mehrerer physi- ersten Szenario replizieren Sie wichtige zwischen verschiedenen Clustern. Die
scher Festplatten von Cluster-Knoten zu Datenträger schnell und einfach auf an- Cluster selbst sind dann natürlich idea-
einem gemeinsamen Datenspeicher. dere Server (von Server A auf Server B), lerweise über verschiedene Rechenzen-
auch in andere Rechenzentren. Dadurch tren verteilt.
In Windows Server 2012 R2 waren die Sto- erhalten Sie eine recht hohe Absicherung
rage-Funktionen der Editionen Standard Ihrer Daten, vor allem im Katastrophen- Das kann Storage Replica
und Datacenter noch identisch. Mit Win- fall. Sie können also auch ohne Cluster Einfach ausgedrückt bietet Storage Replica
dows Server 2016 hat Microsoft allerdings komplette Server oder deren Datenträger die Möglichkeit, auf Block-Level den In-
Unterschiede in den Storage-Features in- zwischen verschieden Servern replizieren. halt ganzer Festplatten zwischen Servern
tegriert. So unterstützt nur die Datacen- Das geht natürlich auch zwischen RZs. mit Windows Server 2019 zu replizieren.
ter-Edition alle Funktionen, während in Administratoren verfügen dazu über zahl-
der Standard-Edition Storage Spaces Direct Das zweite Einsatzgebiet ist das Replizie- reiche Einstellungsmöglichkeiten. Die Re-
und Storage Replica fehlen. Wollen Sie also ren von wichtigen Daten in einem Geo- plikation kann synchron und asynchron
die Speicherreplikation nutzen, müssen Cluster, auch Stretched Cluster genannt konfiguriert werden. Mit dem Server-Fea-
Sie auf einen Cluster mit Windows Server (also von Cluster-Knoten 1 zu Cluster- ture von Windows Server 2019 lassen sich
2019 auf Basis der Datacenter-Edition set- Knoten 2). Ein Anwendungsfall kann Dateiserver oder andere Server absichern
zen. Wobei Windows Server 2019 auch in zum Beispiel die Replikation von virtu- und hochverfügbar betreiben, indem Da-
der Standard-Edition erlaubt, ein Volume ellen Servern und deren Konfigurations- ten zwischen den Servern automatisiert
mit einem Ziel zu replizieren. daten sowie virtueller Festplatten zwi- repliziert werden. Größere Unternehmen
schen verschiedenen Rechenzentren sein. können mit der Technologie auch auf
Die Funktion wird als neues Server-Fea- Dabei sind die Cluster-Knoten auf ver- Cluster-Ebene Daten zwischen Rechen-
ture über den Server-Manager installiert schiedene Rechenzentren verteilt. zentren replizieren (Stretched Cluster).
HDDs mit einer Größe von bis zu 18 Exa- Windows den Datenträger mit der rech- die Platten im System an. Anschließend
bytes und bis zu 128 Partitionen. ten Maustaste an und wählen den ent- schalten Sie die Platte mit dem folgenden
sprechenden Befehl aus. Sie können die Befehl online:
Datenträger mit dem GPT-Partitionsfor- Konvertierung aber auch in der Befehls-
mat sind besser vor Ausfällen geschützt. zeile durchführen: Set-Disk Nummer -isOffline $false
Sie besitzen redundante Primär- und Si- 1. Starten Sie eine Eingabeaufforderung Den Partitionierungsstil legen Sie dann
cherungspartitionstabellen. Nachdem Sie 2. Tippen Sie diskpart ein. mit diesem Kommando auf GPT fest:
den Partitionierungsstil festgelegt haben, 3. Geben Sie list disk ein.
arbeiten Sie auf beiden Systemen iden- 4. Tippen Sie select disk Nummer der Initialize-Disk Nummer
tisch. Für die Verwaltung spielt es keine Disk, die Sie konvertieren wollen ein. -PartitionStyle GPT
Rolle, ob Sie auf MBR oder GPT setzen. 5. Geben Sie clean ein.
Sie legen Partitionen und Volumes an, er- 6. Tippen Sie convert gpt ein, den umge- Ein weiteres Beispiel, um einen Daten-
stellen Verzeichnisse und Freigaben und kehrten Weg gehen Sie mit convert mbr. träger zu erstellen und danach gleich zu
vergeben Berechtigungen. formatieren, lautet:
Beim Einsatz von Servern oder Compu-
Auch wenn Sie zwischen MBR und GPT tern mit UEFI-System können Sie GPT Get-Disk 1 | Clear-Disk
wechseln können, sollten Sie die Aus- und MBR-Datenträger zwar mischen, –RemoveData New-Partition
wahl des Partitionierungsstils genau aber 32-Bit-Systeme können dann nur -DiskNumber 1
überdenken. Auf dem Datenträger, auf sehr eingeschränkt oder gar nicht mehr -Use-MaximumSize -IsActive
dem Sie das Betriebssystem und die An- zugreifen. -DriveLetter Z | Format-Volume
wendungen installieren, müssen Sie bei -FileSystem NTFS
einer Konvertierung alles neu installie- In der Datenträgerverwaltung (diskmgmt. -NewFileSystemLabel Data
ren. Das lohnt sich in den seltensten Fäl- msc) finden Sie den Partitionierungsstil
len. Die Konvertierung eines MBR-Da- auf der Registerkarte "Volumes" bei den ReFS versus NTFS
tenträgers in einen GPT-Datenträger Eigenschaften des Datenträgers. Neben dem Partitionsstil spielt noch das
und umgekehrt kann nur durchgeführt Dateisystembei der Replikation eine wich-
werden, wenn der Datenträger leer ist. In der PowerShell lassen Sie sich den Par- tige Rolle. Für Datenfestplatten bietet
Die Vorgänge sollten Sie daher in jedem titionierungsstil mit Windows Server seit Version 2012 wie
Fall vor der Einrichtung von Storage Re- angesprochen das Dateisystem ReFS (Re-
plica vornehmen, da ansonsten alle be- Get-Disk | select FriendlyName, silent File System). Es ist stabiler und
reits replizierten Daten neu repliziert PartitionStyle schützt besser vor Ausfällen des Servers
werden müssen. sowie vor Schäden der Hardware als
anzeigen. Sie können auf diesem Weg eine NTFS. In ReFS können Dateien nur sehr
Für eine solche Konvertierung klicken Festplatte auch offline oder online schal- unwahrscheinlich beschädigt werden. Das
Sie in der Datenträgerverwaltung von ten. Dazu zeigen Sie mit get-disk zunächst spielt bei der Replikation natürlich eine
besonders wichtige Rolle. Außerdem kann
ReFS mit einer größeren Anzahl an Da-
teien und größeren Datenträgern umge-
hen und sich selbst bei Ausfall schneller
reparieren. Das alles sind Punkte, die für
die Storage-Replikation von großer Be-
deutung sind.
Auf der anderen Seite lässt sich auf ReFS- auch die Protokolle entsprechend ange- stellen Sie für beide Knoten zwei eigene
Datenträgern weder die Komprimierung passt (Schritt 6). iSCSI-Ziele und weisen diese als Lauf-
noch das verschlüsselte Dateisystem ein- werke zu. Verbinden Sie die Laufwerke
setzen, auch Windows-Datenträgerkon- Um die Speicherreplikation zu nutzen, mit dem iSCSI-Initiator. Erstellen Sie
tingente funktionieren nicht. Außerdem müssen Sie über den Server-Manager danach einen Cluster und fügen Sie die
können Sie Datenträger nicht verklei- das Feature "Speicherreplikat" installie- beiden iSCSI-Laufwerke des Quellser-
nern oder vergrößern wie mit NTFS. Das ren. Die Installation erfolgt nicht über vers als CSV-Laufwerke hinzu (Cluster
spielt bei der Storage-Replikation aber die Serverrollen, sondern als Serverfea- Shared Volume).
ohnehin keine Rolle. ture wie die Cluster-Funktion. Die Ser-
ver, die Sie mit Storage Replica synchro- Für die Verwaltung Storage-Replica-
Um einen Datenträger von FAT32 zu nisieren, müssen in einer gemeinsamen Funktion in der grafischen Oberfläche in
NTFS umzuwandeln, arbeiten Sie in der Active-Directory-Gesamtstruktur be- einem Cluster nutzen Sie den Failover-
Eingabeaufforderung mit dem Befehl con- trieben werden. Hier bedarf es aber nicht Clustermanager. Über den Bereich "Spei-
vert Laufwerksbuchstabe/fs:ntfs. Ein sol- eines Active Directory mit Windows Ser- cher / Datenträger" sehen Sie alle Daten-
ches Kommando gibt es für ReFS aber ver 2016 oder 2019, auch Server 2012 träger, die an den Cluster angebunden
nicht, hier müssen Sie für eine Umwand- R2 ist möglich. Die beteiligten Server sind. Über das Kontextmenü der Daten-
lung immer neu formatieren. müssen aber mit Windows Server 2016 träger starten Sie den Assistenten für die
oder 2019 installiert sein. Die Features Einrichtung von Storage Replica über "Re-
Sie können die Formatierung aber ohne für "Windows-Clustering" und "Spei- plikation / Aktivieren".
weiteres in der Befehlszeile durchführen: cherreplikat" installieren Sie entweder
über den Server-Manager oder in der Im Failover-Clustermanager nehmen Sie
format /fs:ReFS Laufwerksbuchstabe: PowerShell mit: die Einstellungen im Assistenten vor.
Nachdem Sie das Quelllaufwerk im As-
Auch in der PowerShell klappt das gut: Install-WindowsFeature -Name sistenten des Failover-Clustermanagers
Storage-Replica,FS-FileServer ausgewählt haben, wählen Sie das Ziel-
Format-Volume –DriveLetter Lauf- -IncludeManagementTools -Restart laufwerk für die Replikation aus. In die-
werksbuchstabe: -FileSystem ReFS sem Rahmen bestimmen Sie auch ein
–Full Die Features müssen Sie natürlich auf bei- Laufwerk für das Speichern der Logda-
den Servern installieren, deren Festplatten teien. Dieses erreichen Sie in der Power-
Eine Schnellformatierung starten Sie in Sie replizieren. Dazu können Sie ebenfalls Shell durch die Option "DestinationLog-
der Befehlszeile mit die PowerShell nutzen, indem Sie die Na- VolumeName".
men der Server in die Variablen speichern
format /fs:ReFS /q und dann auf den Servern die notwendi- Danach können Sie im Failover-Cluster-
Laufwerksbuchstabe: gen Features aufspielen: manager noch auswählen, ob die Zielfest-
platte schon Daten der Quellfestplatte ent-
Auch für Software-RAIDs in Windows $Replica = " SRV1", "SRV2" hält. In diesem Fall muss der Server nur
Server 2019 lässt sich ReFS verwenden. geänderte Daten übertragen, was Band-
Die Erstellung und Verwaltung ist iden- $ReplicaServer | % {Install-Wind- breite spart. Vor allem bei der Replikation
tisch mit der Verwendung von NTFS. owsFeature -ComputerName $_ -Name in Geo-Clustern kann es daher sinnvoll
Storage-Replica,FS-Fileserver sein, die erste Replikation offline vorzu-
Storage Replica in der Praxis -IncludeManagementTools} nehmen und anschließend erst die Spei-
Die Storage-Replikation läuft im Grunde cherreplikation einrichten. Danach ist der
genommen immer gleich ab. Das Betriebs- Für die Einrichtung benötigen Sie min- Assistent abgeschlossen und beginnt mit
system oder Anwendungen schreiben Blö- destens zwei Server mit Windows Server der Einrichtung der Replikation. Den Sta-
cke auf den Quellserver (Schritt 1). Storage 2019, die Mitglied der Domäne sind und tus sehen Sie im Failover-Clustermanager.
Replica erkennt das und speichert die jeweils über einen Datenträger verfügen, In der Oberfläche ist auch zu erkennen,
Vorgänge in der Protokolldatei. Außer- den Sie replizieren. Sie können dazu ob es sich bei diesem Datenträger um die
dem überträgt der Quellserver die Daten SAS, JBODs, Fibre-Channel-SAN oder Quelle, das Ziel, oder den Datenträger
mit SMB 3.1.1 sowie RDMA zum Ziel- iSCSI-SAN nutzen. Am besten verwen- für Logdateien handelt.
server (Schritt 2). Anschließend schreibt den Sie einen Mix aus HDD und SSD.
der Server im Zielstandort die Daten in Sie können aber problemlos auch iSCSI- Den Status der Replikation ermitteln Sie
sein Protokoll (Schritt 3). Danach bestä- Ziele auf Windows Server 2012 R2 oder in der PowerShell mit dem Get-SRGroup-
tigt der Zielserver die erfolgreiche Repli- Windows Server 2016/2019 erstellen oder Get-SRPartnership-Cmdlet. Die La-
kation (Schritt 4) und der Quellserver und den Cluster-Knoten zuweisen. Da- tenz und die Leistung der Replikation
meldet, dass er die Bestätigung empfan- mit die Replikation eingerichtet werden überprüfen Sie mit dem Test-SRTopolo-
gen hat (Schritt 5). Anschließend werden kann, auch für eine Testumgebung, er- gy-Befehl.
Storage Replica und Druckerfreigabe müssen Sie auf je- GroupNameDest -DestinationCompu-
per PowerShell steuern den Fall freischalten. Das ist notwendig, terName Node01 -DestinationRGName
Für die Replikation alleinstehender Server damit die Kommunikation funktioniert. GroupNameSource -Confirm $true
oder für Skripte können Sie auch die Am besten verwenden Sie die PowerShell
PowerShell verwenden, um die Replika- und folgende Befehle auf einem der be- Sie müssen bei der Einrichtung darauf
tion einzurichten. Dazu definieren Sie die teiligten Server: achten, wie der Name des Zielservers und
wichtigsten Werte zunächst als Variablen der Zielgruppe ist. Arbeiten Sie mit Va-
und erstellen dann auf Basis der Variablen Enable-NetFirewallRule -CimSession riablen, ist die alte Quelle das neue Ziel
die Replikations-Partnerschaft. Quellserver,Ziel-Server -Display- und umgekehrt. Das müssen Sie in den
Group "Remote Desktop","File and Befehlen natürlich berücksichtigen. Um
Wollen Sie zwei Datenträger auf allein- Printer Sharing" die Replikationspartner zu löschen und
stehenden Servern mit Storage Replica neu einzurichten verwenden Sie:
replizieren, benötigen Sie auch hier zwei Nach der Einrichtung überprüfen Sie in
Server mit Windows Server 2016 oder der Ereignisanzeige auf den Servern, ob die Get-SRPartnership |
2019, die Mitglied einer Domäne sind. entsprechenden Einträge für die Erstellung Remove-SRPartnership
Bei der Domäne kann es sich auch um der Gruppe vorhanden sind. Sie finden die
eine Vorgängerversion von Windows Ser- Informationen in der Ereignisanzeige über Get-SRGroup | % { Remove-SRGroup
ver 2016 handeln. Zunächst richten Sie "Anwendungs- und Dienstprotokolle / Mi- -Name $_.name }
auf dem Quellserver eine Storage-Repli- crosoft / Windows / StorageReplica / Ad-
ca-Partnerschaft ein, zum Beispiel mit: min". Auch mit Hilfe der PowerShell brin- Storage Spaces Direct
gen Sie die Informationen auf den Schirm: und Storage Replica
New-SRPartnership -SourceComputer- Zusammen bieten Storage Spaces Direct
Name win1001 -SourceRGName rg01 Get-WinEvent –ProviderName Micro- und Storage Replica die Möglichkeit, geo-
-SourceVolumeName e: -SourceLog- soft-Windows-StorageReplica grafisch getrennte Cluster aufzubauen und
VolumeName e: -DestinationCompu- -MaxEvents 15 | fl deren Daten zu synchronisieren. Dabei
terName win10 -DestinationRGName kommt kein gemeinsamer Speicher im
rg02 -DestinationVolumeName e: Als Ereignisse für den Quellserver kom- Cluster zum Einsatz, sondern die lokal an-
-DestinationLogVolumeName e: men die Events 5002, 2200 und 5015 in geschlossenen Datenträger im Cluster stel-
-LogSizeInBytes 8gb Betracht, während für den Zielserver die len den gemeinsamen Datenträger zur
Ereignisse 2200, 5005, 5015, 5001 und Verfügung. Sinnvolles Einsatzgebiet ist das
Alternativ können Sie die wichtigsten 5009 möglich sind. Mit Replizieren von Daten zwischen verschie-
Daten als Variable speichern und danach denen Clustern, die in unterschiedlichen
die Einrichtung vornehmen. Hier legen Get-NetFirewallRule -CimSession Rechenzentren verteilt sind. Jedes Cluster
Sie auch gleich die Namen der Gruppen Server1,Server2 -DisplayGroup nutzt dabei sein eigenes Storage-Spaces-
fest, in denen sich Quell- und Zielserver "Remote Desktop","File and Printer Direct-System. Die Daten in den beiden
befinden. Sharing" Storage Spaces Direct werden dann durch
Storage Replica zwischen verschiedenen
$quelle = "Node01" lassen Sie sich die Einstellungen anzeigen. Rechenzentren synchronisiert. Natürlich
$Ziel = "Node02" Stellen Sie sicher, dass die Datenträger auf lassen sich Storage Spaces Direct und Sto-
$GroupNameSource = "SyncA" beiden Servern verbunden sind, deren Spei- rage Replica auch getrennt nutzen.
$GroupNameDest = "SyncB" cher Sie replizieren wollen. Legen Sie auf
New-SRPartnership -ReplicationMode den Datenträgern zum Beispiel zwei Par- Fazit
Synchronous -SourceComputerName titionen an, wenn Sie die Funktion testen. Storage Replica erlaubt die Absicherung
$quelle -SourceRGName $ GroupName- Eine Partition dient für Protokolldateien, von wichtigen Servern durch Replikation
Source -SourceVolumeName D: die andere für Daten, die Sie in der Test- in verschiedene Rechenzentren oder den
-SourceLogVolumeName L: umgebung replizieren. In einer produktiven Aufbau eines Geo-Clusters. Damit lassen
-DestinationComputerName $Ziel Umgebung speichern Sie die Protokollda- sich vor allem Hyper-V-Cluster oder Da-
-DestinationRGName $GroupNameDest teien natürlich am besten auf einer eigenen teiserver absichern. Durch die Möglichkeit,
-DestinationVolumeName D: Festplatte. Da das System auf Basis der Pro- einzelne Server, Cluster-Knoten und ganze
-DestinationLogVolumeName L: tokolldateien repliziert, bietet es sich an, Cluster zu replizieren, bietet Storage Re-
-LogSizeInBytes 8GB auf einen sehr schnellen NVMe-Datenträ- plica eine sehr effiziente Replikation von
ger zu setzen. Wollen Sie die Replikations- Daten. Unternehmen, die bisher auf DFS-
Generell kann es sinnvoll sein, die Win- quelle umdrehen, verwenden Sie: Replikation setzen, sollten besonderes Au-
dows-Firewall auf den beteiligten Ser- genmerk auf Storage Replica richten, da
vern zu deaktivieren – vor allem, wenn Set-SRPartnership -NewSourceCompu- die neue Replikationsvariante in jedem
Sie die Funktion noch testen. Die Datei- terName Node02 -SourceRGName Fall effizienter repliziert. (ln/jp)
Beweglich
von Thomas Joos
D
en Anfang unseres Workshops mit den Optionen "/w" und "/r" steuern Die Option "/mir" kopiert nur geänderte
macht Robocopy, das die schnelle sowie mit "/reg" als Standard in der Regis- Dateien und löscht Dateien im Zielord-
und einfache Übernahme von Daten über try festlegen. Bei jedem Vorgang verwendet ner, die im Quellordner nicht mehr vor-
die Kommandozeile erlaubt. der Kopiervorgang die Optionen "/w" und handen sind. Das heißt, der erste Ko-
"/r". Sind im Befehlsaufruf diese Optionen piervorgang dauert recht lang, da erst
Robocopy im Einsatz nicht gesetzt, nutzt das Tool die Standard- alle Dateien kopiert werden müssen. Der
Robocopy ist ein Tool für die Eingabeauf- werte. Die Optionen verwendet es dabei zweite geht aber deutlich schneller, da
forderung, das ähnlich wie Xcopy funk- von links nach rechts. Nach unserer Er- nur geänderte Dateien kopiert werden.
tioniert, aber deutlich mehr Möglichkeiten fahrung greifen die meisten Administra- Löschen Sie im Quellordner eine Datei,
bietet. Das Tool gehört zu den Bordmitteln toren auf die Option "/mir" zurück, um so entfernt der Kopiervorgang diese auch
von Windows. Der einfache Aufruf von schnell und einfach eine Spiegelung eines im Backupordner. So erhalten Sie immer
Robocopy sieht folgendermaßen aus: Ordners anzulegen. Wenn Sie Datei- oder eine 1:1-Kopie Ihrer wichtigsten Daten.
Ordnernamen kopieren, die ein Leerzei- Sie können ohne weiteres auch mehrere
robocopy Quelle Ziel Datei(en) chen enthalten, geben Sie den Pfad in An- Ordner sichern. Verwenden Sie in die-
/Option führungszeichen an, zum Beispiel sem Fall einfach mehrmals den Befehl
nacheinander in einem Skript.
Platzhalter sind erlaubt. Wenn Sie keine Robocopy "\fs01\einkauf\
Dateien oder Platzhalter eingeben, verwen- lieferanten 2011" Nur Freigaben und
det Robocopy standardmäßig *.*, kopiert deren Rechte übernehmen
also alle Dateien. Als Quelle und Ziel kann Um die Daten in einer Freigabe auf einen Wollen Sie keine Daten kopieren, sondern
ein Ordner, ein Laufwerk oder auch ein anderen Rechner zu spiegeln, schreiben nur die bestehenden Freigaben und Rech-
UNC-Pfad angegeben sein ("\\Server\Frei- Sie am besten ein Skript mit dem Befehl te vom Quell- auf den Zielserver über-
gabe"). Die Optionen werden hinter dem tragen, benötigen Sie die Registry:
Befehl angehängt. Sie können beliebig viele robocopy Quellordner Sicherungslauf- 1. Öffnen Sie auf dem Server die Registry
Optionen miteinander kombinieren. werk:\Sicherungsordner /mir durch Eingabe von regedit.
2. Navigieren Sie zu "HKEY_LOCAL_
Schlägt der Kopiervorgang einer Datei fehl, Mit dem Kommando MACHINE \ SYSTEM \ CurrentControl-
führt Robocopy innerhalb eines definierten Set \ services \ LanmanServer \ Shares".
Zeitraums einige weitere Versuche durch, robocopy c:\users\thomas\documents 3. Exportieren Sie diesen Schlüssel über
um den Kopiervorgang noch erfolgreich y:\backup /mir das Kontextmenü.
abzuschließen. Robocopy wartet standard- 4. Wollen Sie nicht alle Freigaben über-
mäßig 30 Sekunden und eine Millionen kopiert Windows die Ordner und Da- nehmen, öffnen Sie die exportierte Da-
Versuche, um den Kopiervorgang durch- teien aus dem "Dokumente"-Ordner auf tei und löschen Sie die Einträge der ent-
zuführen. Diese beiden Werte lassen sich das Laufwerk Y: in den Ordner "backup". sprechenden Freigaben.
verfeature über den Server-Manager Migrationsprojekt beginnen, erscheint Sie sollten sicherstellen, dass Sie diese Mi-
installieren. zunächst der Willkommensbildschirm gration außerhalb der Geschäftszeiten
3. Wollen Sie nachträglich noch Daten am des Dateiserver-Migrationstoolkit. durchführen, da während des Kopiervor-
Prozess anpassen, konfigurieren Sie ein- gangs alle Anwender von ihren Freigaben
fach die entsprechende XML-Datei des Nachdem Sie diesen Bildschirm bestätigt auf dem Quelldateiserver getrennt wer-
Projekts. Das ist zum Beispiel sinnvoll, haben, legen Sie einen Projektnamen und den. Bis zu dieser Stelle brauchen Sie
wenn Sie den Zielpfad ändern wollen, den Speicherort für die Projektdatei fest. nichts zu befürchten. Hier nehmen Sie
da das Tool als Stammordner immer Die Daten des zu migrierenden Datei- nur allgemeine Angaben vor, ohne Ak-
den Namen des Quellservers verwen- servers werden nicht in diesen Ordner tionen durchzuführen.
det. Diese Konfiguration können Sie migriert. Im Projektordner liegen nur die
nur in der XML-Datei vornehmen. Konfigurationsdaten des Projekts, die Sie Nach dem Beenden des Assistenten be-
4. Sie starten das Projekt und kopieren die bei einem erneuten Start laden können. ginnt die eigentliche Migration. Zunächst
Daten auf den neuen Server. Das Da- Die Konfiguration speichert das Tool in müssen Sie mit "Server hinzufügen" den
teiserver-Migrationstoolkit kopiert die einer XML-Datei, die Sie nachträglich Namen des zu migrierenden Quellservers
Daten, die Ordnerstruktur und die Be- bearbeiten können. Sie können später eingeben. Nachdem Sie den Server hin-
rechtigungen auf den neuen Server. Die den Ordner festlegen, in den die Daten zugefügt haben und der Assistent den Na-
Daten auf dem alten Server bleiben er- kopiert werden. men des Servers auflösen kann, zeigt das
halten, die Freigaben auf Wunsch auch. Tool alle Freigaben auf diesem Server in
Im nächsten Fenster des Assistenten legen der Liste an und markiert diese automa-
Dateiserver-Migrationstoolkit Sie fest, ob Sie einen DFS-Stamm migrie- tisch. Sie können mit dem Tool auch Da-
in der Praxis ren möchten. Wenn Sie einen normalen ten zwischen Dateiservern mit Windows
Nachdem Sie das Dateiserver-Migrati- Dateiserver migrieren wollen, können Sie Server 2019 migrieren.
onstoolkit auf dem neuen Dateiserver in diesem Fenster das Kontrollkästchen
installiert haben, rufen Sie aus der Pro- deaktivieren. Im nächsten Fenster legen Fazit
grammgruppe den Dateiservermigrati- Sie den Speicherort der Dateien und Ord- Um Dateifreigaben auf einen neuen Server
ons-Assistenten auf. Dieser führt Sie ner fest, die von dem zu migrierenden zu migrieren, können Administratoren
durch die Migration. Wollen Sie zu DFS Dateiserver auf den neuen Server kopiert entweder auf Robocopy, den Windows
migrieren, müssen Sie zunächst Vorar- werden sollen. Wenn Sie diese Angaben Server Storage Service oder auf das betagte
beiten durchführen. Dazu später mehr. vorgenommen haben, beenden Sie den Dateiserver-Migrationstoolkit setzen. Na-
Wenn Sie den Assistenten gestartet haben, Assistenten mit "Fertigstellen". An dieser türlich stellt der Server Storage Migration
können Sie entweder ein neues Migrati- Stelle sind keine weiteren Maßnahmen Service in Windows Server 2019, zusam-
onsprojekt anfangen oder ein abgespei- notwendig und der Assistent ist bereit zur men mit der Verwaltung über das Win-
chertes fortsetzen. Wenn Sie ein neues Migration. dows Admin Center, die modernste Mög-
lichkeit dar und kann auch Dateien von
NAS-Systemen zu Windows Server 2019
migrieren.
Link-Codes
Handarbeit
von Christian Schulenburg
P
hysisch oder virtuell ist heute Weiterhin steht durch das Setzen einer platten mit 7200 RPM in einem JBOD.
kaum noch eine Frage, denn in Rolle auf allen Servern ein größerer Pool SAS-Festplatten sind SATA-Festplatten
den meisten Serverräumen haben virtu- an Servern dieser Rolle zur Verfügung, so- aufgrund der besseren Performance und
elle Strukturen Einzug gehalten. Im Be- dass sich die Last besser verteilt und die der geringeren Fehlerrate vorzuziehen.
reich von Exchange hat Microsoft diesen Ausfallsicherheit weiter erhöht. Ein teure SAN-Umgebung ist für einen
Pfad seit Exchange 2016 jedoch verlassen hochverfügbaren Betrieb von Exchange
und bevorzugt den Einsatz von physi- Als Client unterstützt Exchange 2019 Out- nicht nötig. Um die Performance weiter
schen Low-Cost-Servern – nicht zuletzt, look ab 2013. Die Installationsmedien von zu optimieren, setzt Microsoft auf ein op-
um die Komplexität der zusätzlichen Vir- Exchange 2019 lassen sich leider nicht tionales Tiering mit SSDs. Auf diesen wer-
tualisierungsschicht zu entfernen. In die- mehr direkt bei Microsoft-Downloads he- den die sogenannten MetaCache Data-
sem Beitrag schaffen wir eine Umgebung runterladen. Sie beschaffen es zukünftig bases (MCDB) abgelegt, die bis zu 10
aus zwei Windows-2019-Servern, die über nur noch über das Volume Licensing Ser- Prozent der eigentlichen Postfachdaten
Database Availability Groups (DAG) und vice Center, eine Volume-Lizenz voraus- enthalten und die Nutzererfahrung zum
DNS Round Robin (DNS RR) abgesichert gesetzt. Alternativ besteht nur die Mög- Beispiel bei der Anmeldung oder den Da-
werden. Sollten Sie bereits über eine vir- lichkeit über ein Visual-Studio-Abon- tenabruf weiter verbessern. Details zur
tuelle Umgebung verfügen, ist eine Inte- nement, das eine Testversion bereithält. MCDB finden Sie in einem eigenen Bei-
gration von Exchange natürlich problem- Das aktuellste Kumulative Update (CU) trag in diesem Heft auf Seite 150.
los möglich. Wie Sie hier vorgehen, lesen enthält die vollständigen Installationsda-
Sie in im Beitrag auf Seite 141. teien [1], sodass die Exchange-Umgebung Microsoft hat für das Sizing der Umge-
sich im Anschluss direkt auf dem neusten bung einen Requirement Calculator für
Über die Verteilung der Rollen müssen Sie Stand befindet. Exchange 2019 veröffentlicht, der auch
sich keine Gedanken machen, denn Mi- MCDB berücksichtigt und an dem Sie
crosoft hat diese weiter reduziert und es Sizing der Server sich orientieren. In der Excel-Tabelle ge-
ist nur noch die Rolle "Mailbox" übrigge- War in vorangegangenen Exchange-Ver- ben Sie Ihre Rahmendaten ein und am
blieben. "Hub/Transport", "Client Access" sionen die Festplattenperformance noch Ende erhalten Sie eine Konfigurations-
und "Unified Messaging" sind in der Rolle ein wichtiger Faktor, so hat sich dies seit empfehlung für die Zusammenstellung
"Mailbox" aufgegangen. Auf diesem Weg Exchange 2016 deutlich verändert und der Festplatten und die Verteilung der
kommen immer der gleiche Installations- die notwendigen Festplatten-IOPS haben Datenbanken (Bild 1). Den Kalkulator
prozess und die gleiche Konfiguration zum sich bezogen auf Exchange 2003 über 90 und eine Beschreibung zum Sizing [2]
Einsatz. Durch die Vereinheitlichung ver- Prozent reduziert. Die Datenbanken ver- finden Sie ebenfalls im TechNet sowie im
einfacht sich auch die Administration. teilen Sie auf möglichst große SAS-Fest- Artikel ab Seite 132.
.\setup.exe /PrepareDomain
/IAcceptExchangeServerLicenseTerms
Installation von
Umgebung vorbereiten mit Install-WindowsFeature RSAT-ADDS Exchange Server 2019
Für Exchange 2019 müssen alle Domain- die Remoteverwaltungstools für das Acti- Nachdem nun alle Vorbereitungen im
controller auf Windows 2012 R2 Server ve-Directory unter Windows Server 2019 Active Directory getroffen wurden, kön-
laufen. Das Gleiche gilt für die Gesamt- installieren. nen Sie mit der Installation des ersten Ex-
strukturfunktionsebene sowie die Domä- change-Servers beginnen. Die dafür be-
nenfunktionsebene. Um die Gesamtstruk- Führen Sie nun die Exchange-2019-Se- nötigten Windows-Features spielen Sie
turfunktionsebene zu prüfen, öffnen Sie tupdatei mit den folgenden Erweiterun- vorab über folgenden Befehl auf:
das Active-Directory-Domänen und -Ver- gen aus. Den Namen der Exchange-Or-
trauensstellungen-Snap-In und klicken mit ganisation legen Sie über den zweiten Install-WindowsFeature Server-Media-
der rechten Maustaste auf "Active Directo- Schritt fest. Im Beispiel lautet diese Or- Foundation, NET-Framework-45-Fea-
ry-Domänen und -Vertrauensstellungen" ganisation FirstOrg: tures, RPC-over-HTTP-proxy, RSAT-
und danach auf "Gesamtstrukturfunkti- Clustering, RSAT-Clustering-
onsebene heraufstufen". Für die Domä- .\setup.exe /PrepareSchema CmdInterface, RSAT-Clustering-
nenfunktionsebene klicken Sie im gleichen /IAcceptExchangeServerLicenseTerms Mgmt, RSAT-Clustering-PowerShell,
Snap-In mit rechts auf die Domäne und .\setup.exe /PrepareAD WAS-Process-Model, Web-Asp-Net45,
schauen nach der Domänenfunktionsebe- /IAcceptExchangeServerLicenseTerms Web-Basic-Auth, Web-Client-Auth,
ne. Sind die Voraussetzung für Exchange /on:FirstOrg Web-Digest-Auth, Web-Dir-Browsing,
2019 nicht erfüllt, können Sie an dieser
Stelle Funktionsebenen heraufstufen.
Web-Dyn-Compression, Web-Http-Er- Weitere Informationen zum Setupverlauf nie" und fügen die neue Domain hinzu.
rors, Web-Http-Logging, Web-Http- hält das Exchange-Setup-Log vor, das Sie Damit diese Richtlinie zum Tragen
Redirect, Web-Http-Tracing, Web- im Verzeichnis "C:\ ExchangeSetupLogs \ kommt, nutzen Sie den Link "anwenden"
ISAPI-Ext, Web-ISAPI-Filter, ExchangeSetup.log" finden. Dies ist eine im linken Fenster.
Web-Lgcy-Mgmt-Console, Web-Metaba- gute Anlaufstelle, falls es während der In-
se, Web-Mgmt-Console, Web-Mgmt- stallation zu Problemen kommt. Installie- Einrichten der Zugriffspunkte
Service, Web-Net-Ext45, Web-Re- ren Sie nach der Bereitstellung des ersten In Exchange 2019 wird ein Großteil des
quest-Monitor, Web-Server, Servers direkt den zweiten Exchange-2019- Datenverkehrs über HTTPS abgewickelt,
Web-Stat-Compression, Web-Static- Server nach dem gleichen Muster. weshalb die Zugangspunkte umso wich-
Content, Web-Windows-Auth, Web- tiger sind. Um zu verstehen, welche URLs
WMI, Windows-Identity-Foundation, Administration Center Sie für welchen Dienst nutzen, finden Sie
RSAT-ADDS und Installationsprüfung im Folgenden einen Überblick über die
Die Administration erfolgt in Exchange verschiedenen virtuellen Verzeichnisse
Alternativ lassen sie sich während der In- 2019 über das Exchange Administration und ihrer Funktion:
stallation von Exchange automatisch Center (EAC), das Sie im Browser über - Outlook Anywhere: Dabei handelt es
nachinstallieren. Während des Setups "https://servername/ecp" aufrufen. Das sich um den Zugriffspunkt für Outlook.
müssen Sie hierfür den Punkt "Für die EAC unterstützt alle gängigen Browser. - Exchange ActiveSync (EAS): Über die-
Installation von Exchange Server erfor- Alternativ erfolgt die Konfiguration per sen Dienst kommunizieren mobile
derlichen Windows Server-Rollen und - Exchange Management Shell (EMS), über Clients mit dem Server. Auch Windows
Funktionen automatisch installieren" ak- die Sie wesentlich mehr Konfigurations- Mail und Outlook ab Version 2013 las-
tivieren. Einzig das Windows-Feature möglichkeiten als über das EAC haben. sen sich über dieses Protokoll anbinden.
"Media Foundation" müssen Sie bereits Das EAC als auch die EMS können Sie - Exchange-Webdienste (EWS): Diese
vorab mit Install-WindowsFeature Server- über den Startbildschirm aufrufen. Um sind eine wichtige Schnittstelle für Ap-
Media-Foundation auf die Hardware brin- sicherzustellen, dass alles funktioniert plikationen, um auf Inhalte von Ex-
gen, damit sich die Unified Communica- und richtig installiert wurde, prüfen Sie change zuzugreifen. Outlook nutzt die
tions Managed API aufspielen lässt. zunächst mit Dienste unter anderem zum Abrufen
des Verfügbarkeitsdienstes und den Ab-
Als Nächstes installieren Sie Visual C++ Get-ExchangeServer |ft Name, wesenheitsassistenten.
und das .NET Framework 4.8, das in ServerRole –AutoSize - Offline Address Book (OAB): stellt den
kommenden CUs zur Voraussetzung wird Clients das Offline-Adressbuch zur Ver-
[3]. Installieren Sie im Anschluss noch welche Server mit welcher Rolle sich nun fügung.
die Microsoft Unified Communications im Netzwerk befinden. Schauen Sie auch - Outlook Web App (OWA): bietet den
Managed API 4.0 Runtime [4]. gleich mit Test-ServiceHealth und Get- Nutzern einen Browserclient zur E-
HealthReport nach, ob alle Dienste auf Mail-Bearbeitung.
Damit sind alle Voraussetzung erfüllt. Ru- den neuen Servern laufen. Bevor es wei- - Exchange Admin Center (ECP): ist die
fen Sie nun das Exchange-2019-Setup auf tergeht, verschieben Sie am besten die be- Administrationsoberfläche in Exchange
und folgen Sie den Anweisungen auf dem reits angelegten Datenbanken an den vor- 2019 und wird über das IIS-Verzeichnis
Bildschirm. Während Sie die Setup-Routine gesehenen Ort und geben Sie ihnen einen ECP angesprochen.
ausführen, wird auch die Bereitschaft des sprechenden Namen. Am schnellsten geht - Autodiscover: Über die URL fragen die
Servers geprüft, was nun ohne Beanstan- das mit folgendem Befehl: Clients die Zugriffspunkte am Server ab.
dungen durchlaufen sollte, sodass am Ende - Powershell: ist der Zugriffspunkt bei
Exchange 2019 installiert wird. Kommt es Get-MailboxDatabase -Server EX1 | der Nutzung der RemotePowerShell.
während der Installation zu Fehlern, kön- Set-MailboxDatabase -Name DB01
nen Sie das Setup durch ein erneutes Auf- Move-DatabasePath DB01 -EdbFilePath Seit Exchange 2007 empfiehlt Microsoft
rufen fortsetzen. Das Setup erkennt dabei D:\Datenbanken\DB01\MBXDB01.edb die Nutzung des gleichen Namensbereichs
die offenen Punkte und holt diese nach. -LogFolderPath für die interne und externe Anbindung.
D:\Datenbanken\DB01\ Als Name für sämtliche Clientzugriffe auf
Eine unbeaufsichtigte Installation ist eben- allen Servern einer Umgebung reicht
so möglich. Hierfür müsse Sie die Setup- Richten Sie nun im EAC über den Punkt "mail.domäne.de". Neben dem Zugriffs-
datei mit den entsprechenden Parametern "Nachrichtenfluss / Akzeptierte Domä- punkt für die Clients erstellen Sie als zwei-
in einer Commandline ausführen: nen" eine neue akzeptierte Domain ein, ten DNS-Eintrag ein Autodiscovereintrag:
für die Sie senden und empfangen möch- "autodiscover.domäne.de". Optional rich-
Setup /mode:Install /role:MB ten. Im letzten Schritt erstellen Sie, eben- ten Sie noch Namen für andere Dienste,
/OrganizationName:"FirstOrg" falls im Bereich "Nachrichtenfluss" im wie "imap.domäne.de" oder "smtp.domä-
/IAcceptExchangeServerLicenseTerms EAC, noch eine neue Adressrichtlinie ne.de" ein. Einen Überblick zur Namens-
/InstallWindowsComponents unter dem Punkt "E-Mail-Adressrichtli- auflösung finden Sie in Bild 3.
Add-DatabaseAvailabilityGroupServer Bild 6: Mit einer DAG verteilen Sie Kopien von Postfachdatenbanken über mehrere Postfachserver,
-Identity DAG01 -MailboxServer Ex1 wodurch Sie den Ausfall eines Servers absichern.
Set-TransportConfig -Internal-
SMTPServers @{Add="10.0.0.5",
"10.0.0.6"}
Umsteigen
von Christian Schulenburg
RF
an – 123
Besonderheiten und Stolpersteine, die wir in diesem
Workshop betrachten, um sicherzustellen, dass der
g Chinnap
Umstieg reibungslos abläuft.
mroen
Quelle: Su
E
ine Migration zu Exchange 2019 unter anderem das Power-
ist nur von den Versionen 2013 Shell-Skript namens "Ex-
und 2016 möglich. Sollten Sie von Ex- change Environment Re-
change 2007 oder 2010 auf Exchange 2019 port" [2]. Damit erhalten Sie
migrieren wollen, müssen Sie eine Zwi- einen grafischen Einblick in
schenmigration auf Exchange 2013 oder die Anzahl der Server und
2016 durchführen. Exchange 2013, 2016 deren genauen Versionsstän-
und 2019 sind sich sehr ähnlich, wodurch de. Weiterhin sehen Sie die
sich eine Migration zwischen diesen Ver- Datenbanken und die genaue Zahl der Connectoren und
sionen im Vergleich zu einer Migration Postfächer mit ihren Durchschnittsgrößen URLs dokumentieren
von Exchange 2010 sehr einfach darstellt. je Datenbank. Auf diese Infos kommen wir Beim Dokumentieren der Einstellungen
später während des Sizings zurück. für die Sende- und die Empfangsconnecto-
Ein Inplace-Upgrade, also die direkte Ak- ren stellt sich oft die Frage, wer über wel-
tualisierung eines Servers, ist jedoch auch Wichtig bei der Planung eines neuen Ex- chen Sendeconnector sendet und welcher
bei Exchange 2019 nicht möglich. Sie in- change-Servers ist weiterhin die Erfassung Empfangsconnector als Relay zum Einsatz
stallieren bei einer Exchange-Migration da- statistischer Daten, wie die durchschnitt- kommt. Sollten Sie bei der Relay-Nutzung
her in den allermeisten Fällen einen neuen liche Größe der E-Mails sowie die Anzahl unsicher sein, finden Sie mit folgendem
Server in die Organisation und übertragen gesendeter und empfangener E-Mails pro PowerShell-Befehl heraus, welche Con-
die Funktionen nach und nach auf diesen. Tag. Diese Informationen rufen Sie bei nectoren sich zum Relayen nutzen lassen:
Diese sogenannte Swing-Migration werden Exchange 2013/2016 über das PowerShell-
wir im Folgenden detailliert betrachten. Skript "MessageStats.ps1" [3] ab. Get-ReceiveConnector | Get-ADPermis-
sion | Where-Object { $_.Extended-
Exchange 2019 fügt sich übrigens nahtlos Das Skript wertet die Message Tracking Rights -like "*ms-Exch-SMTP-
in eine vorhandene 2013/2016-Umgebung Logs eines Tages nach den Benutzern aus Accept-Any-Recipient*" }
ein und arbeitet mit Outlook ab Version und speichert das Ergebnis in einer CSV-
2013 als E-Mail-Client zusammen. Für die Datei ab. In Excel importieren Sie das Er- Oft ist ein Exchange-Server schon meh-
Migration dürfen sich in der Organisation gebnis und fügen dann noch die Funktio- rere Jahre produktiv im Einsatz und es ist
keine Exchange-2010-Server oder älteren nen hinzu, um genaue Werte für die immer wieder interessant, wer ihn alles
Versionen befinden. Sollte dies der Fall gesendeten und empfangenen E-Mails pro nutzt. Abgesehen von Management- und
sein, müssen Sie diese zunächst deinstal- Tag und deren Durchschnittsgröße zu er- Backupprogrammen kommen oft unbe-
lieren, bevor Sie auf Exchange 2019 wech- halten. Das genaue Vorgehen beschreibt kannte Clients zum Vorschein, angefan-
seln können. Ausführliche Hinweise zu die- die verlinkte Seite detailliert. Auch diese gen von lokalen Newsletter-Tools bis hin
ser Migration finden Sie unter anderem im Daten nutzen Sie später im Sizing. Den zu alten POP3/SMTP-Clients.
IT-Administrator Sonderheft I/2018 [1]. Pfad zu den benötigten Protokollen fragen
Sie am Exchange-Server über folgendes Verschaffen Sie sich vor der Umstellung
Pre-Migration-Check durchführen Cmdlet ab: einen Überblick über die Postfachbegren-
Bevor Sie mit der Migration beginnen, geht zungen. Die Limits lesen Sie direkt über
es darum, sich einen Überblick über die Get-TransportServer |fl MessageTra- das Exchange Admin Center (EAC) an
Infrastruktur zu verschaffen. Dabei hilft ckingLogPath den Datenbanken aus. Alternativ ist die
Get-OutlookAnywhere | fl id*,*host*
Get-OabVirtualDirectory | fl
id*,*url*
Get-OwaVirtualDirectory | fl
id*,*url*
Get-WebServicesVirtualDirectory | fl
id*,*url*
Get-ActiveSyncVirtualDirectory | fl
id*,*url*
Get-AutodiscoverVirtualDirectory | Bild 2: Die Domänen- und die Gesamtstrukturebene müssen für Exchange 2019 mindestens
fl id*,*url* auf Windows Server 2012 R2 ausgeführt werden.
Bevor Sie nun das Schema aktualisieren, setup /PrepareDomain /IAccept- Communications Managed API 4.0 Run-
schauen Sie, ob die vorhandenen Exchange- ExchangeServerLicenseTerms time ein. Was Exchange betrifft, haben
Server auf einem aktuellen Stand sind. Bei Sie nun alle Voraussetzung für das Setup
einem Upgrade von Exchange 2013 muss Die Befehle bauen aufeinander auf; ein getroffen. Bevor Sie es jedoch starten,
mindestens das Cumulative Update 21 für nachgelagerter Befehl fragt die vorherge- richten Sie Ausnahmen für den Virens-
Exchange 2013 auf allen Exchange-2013- henden Anpassungen ab und holt diese canner ein, damit es während der Instal-
Servern in der Organisation, einschließlich gegebenenfalls nach. Die Vorbereitung lation und des Betriebs von Microsoft Ex-
Edge-Transport-Servern, installiert sein. des Active Directory wird auch beim Star- change zu keinen Verzögerungen kommt.
Welche Exchange-Versionen im Einsatz ten des Exchange-Setups geprüft und not- Eine genaue Beschreibung zu den Aus-
sind, erkennen Sie unter anderem im En- falls nachgeholt, sofern der Installations- nahmen bei Antivirusprogrammen fin-
vironment Report. Für eine Koexistenz mit benutzer über die nötigen Rechte verfügt. den Sie unter [5].
Exchange 2016 spielen Sie mindestens des-
sen Cumulative Update 11 auf. Ist die Aktualisierung abgeschlossen, fragen Als Installationsmedium nutzen Sie wie
Sie mit repadmin ab, ob die Replizierung bereits beschrieben das aktuellste kumu-
Active Directory aktualisieren zu allen Domaincontrollern erfolgt ist. In lative Update für Exchange. Rufen Sie
Im nächsten Schritt bereiten Sie die AD- größeren Umgebungen kann das etwas Zeit einfach das Setup auf und folgen Sie den
Struktur vor. Zunächst aktualisieren Sie in Anspruch nehmen. Das Ergebnis des Anweisungen auf dem Bildschirm. Die
mit der Setup-Erweiterung "/PrepareSche- Schema-Updates prüfen Sie mit dsquery. Routine prüft auch die Bereitschaft des
ma" die Exchange-Attribute global. Im Beachten Sie, dass nach Abschluss keine Servers und sollte ohne Beanstandungen
Anschluss kümmert sich "/PrepareAD" älteren Exchange-Server installiert werden durchlaufen, sodass am Ende Exchange
um die globalen Exchange-Objekte und können, sofern sich diese nicht während 2019 installiert wird.
universellen Sicherheitsgruppen. Als der Migration in der Umgebung befinden.
Nächstes passt "/PrepareDomain" noch Kommt es während der Installation zu
einzelne Domänen an, in denen Exchange Eigentlicher Installationsbeginn Fehlern, können Sie das Setup durch das
genutzt wird. Zum Ausführen müssen Sie Nachdem nun alle Vorbereitungen ge- erneute Aufrufen fortsetzen. Offene
Mitglied der Gruppen "Schema-Admins", troffen sind, beginnen Sie mit der Instal- Punkte werden erkannt und automatisch
"Domänen-Admins" und "Organisations- lation auf einem Windows-2019-Server. nachgeholt. Weitere Informationen zum
Admins" sein. Ältere Versionen sind nicht nutzbar. Die Setupverlauf finden Sie im Exchange-Se-
reine Installation des neuen Servers hat tup-Log im Verzeichnis "C:\Exchange-
Erweitern Sie das Schema direkt von dem dabei keine Auswirkungen auf die Pro- SetupLogs\ExchangeSetup.log" – eine
zukünftigen Exchange-Server, müssen Sie duktivumgebung. Die Windows-Features gute Anlaufstelle, falls es während der
die Remoteverwaltungstools für das Active können Sie bereits vorab aufspielen oder Installation zu Problemen kommt.
Directory mit Install-WindowsFeature Sie lassen diese automatisch während des
RSAT-ADDS vorab installieren. Führen Sie Setups nachinstallieren. Aktivieren Sie Prüfen der Installation
nun die Exchange-2019-Setupdatei mit hierfür den Punkt "Für die Installation Um sicherzustellen, dass alles richtig in-
den folgenden Erweiterungen aus: von Exchange Server erforderliche Win- stalliert wurde, prüfen Sie zunächst mit
dows-Server-Rollen und -Funktionen au-
setup /PrepareSchema /IAccept- tomatisch installieren". Get-ExchangeServer |ft Name,
ExchangeServerLicenseTerms ServerRole –AutoSize
setup /PrepareAD /IAcceptExchange- Spielen Sie zunächst noch Visual C++
ServerLicenseTerms und im Anschluss die Microsoft Unified welche Server mit welchen Rollen sich
nun im Netzwerk befinden. Sehen Sie
dabei gleich mit Test-ServiceHealth und
Get-HealthReport nach, ob alle Dienste
auf dem neuen Server laufen. Nach der
Installation befinden sich die Mailboxen
noch auf dem Exchange-2013/2016-Ser-
ver und der Traffic läuft ebenfalls über
diese Server.
EAC-Menüpunkt "Empfänger" unter dem schiebung vor dem Abschluss angehalten. Get-Mailbox -PublicFolder |
Punkt "Migration". Dort sehen Sie eine Auf diese Weise bereiten Sie Migrationen New-MoveRequest -TargetDatabase
Übersicht aktueller Verschiebeaktionen gezielt vor und haben mehr Kontrolle MBX19PF01
und über das "+" starten Sie eine neue über den Abschluss, sodass der Einfluss
Aktion, um die Mailboxen der Benutzer auf den Client minimiert wird. Fände der Den Erfolg der Aktion testen Sie wieder
zu bewegen. In unserem Fall wählen Sie Abschluss während einer aktiven Out- mit Get-MoveRequest. Je nach Größe der
den Eintrag "In eine andere Datenbank look-Verbindung statt, würde der Mitar- öffentlichen Ordner kann etwas Zeit ver-
verschieben", durch den Sie eine lokale beiter zum Neustart des E-Mail-Clients gehen, bis die Migration abgeschlossen
Verschiebeaktion starten. aufgefordert werden. Führen Sie den letz- ist. Am Ende sollten sich alle öffentlichen
ten Schritt in Ruhe in einem Wartungs- Ordner auf dem neuen Server befinden.
Hier wählen Sie zunächst die zu verschie- fenster durch. Das Fortsetzen und andere Sie prüfen den Ablageort der öffentlichen
benden User aus. Alternativ lesen Sie eine Aktionen zu einer Verschiebeaktion zeigt Ordner mit folgendem Befehl:
CSV-Datei mit den primären E-Mail- das EAC nach dem Status einer Anfor-
Adressen ein. Bewegen Sie mehrere User derung individuell an. Get-Mailbox -PublicFolder |
zusammengefasst, spricht man von einem ft Name,Alias,Servername,Database
Batch-Move. Im EAC starten Sie einzelne Eine interessante Funktion ist die auto-
Moves und Batch-Moves über den glei- matische Benachrichtigung per E-Mail Altes Exchange deinstallieren
chen Assistenten. In der Shell unterschei- bei Abschluss eines Migrationsschrittes. Der letzte Schritt der Migration ist es, den
den sich die Befehle. Hier kommen New- So bekommen Sie alle Informationen zu alten Server aus der Organisation zu ent-
MoveRequest und New-MigrationBatch dem Abschluss in Ihr Postfach und sehen fernen. Sicherheitshalber lassen Sie den
zum Einsatz. über den verknüpften Report die Details Exchange-2013/2016-Server aber zu-
ein. Es empfiehlt sich, zunächst Benut- nächst noch etwas mitlaufen oder fahren
Haben Sie die Nutzer ausgesucht, wählen zerpostfächer zu verschieben, bevor Sie diesen nur herunter, um das Verhalten
Sie im nächsten Schritt das Ziel und den mit Shared Mailboxes, Raumpostfächern zu beobachten.
Postfachtyp (Archiv und/oder Postfach) und Gerätepostfächern weitermachen.
aus. Nachdem Sie diese Punkte mit "Wei- Wenn fast alle Postfächer verschoben Tauchen dann keine Probleme auf, ent-
ter" bestätigt haben, definieren Sie, ob sind, sollten sich als Letztes noch die Dis- fernen Sie den Server komplett und schal-
die Aktion direkt starten soll oder zu- covery Search Mailbox und die AuditLog ten ihn nicht einfach dauerhaft aus, bevor
nächst ausgesetzt wird. Gleiches legen Mailbox auf dem alten Server befinden. Sie ihn aus dem Rack herausnehmen. Ex-
Sie auch für den Abschluss der Aktion Deren Verschiebung starten Sie wie folgt: change speichert seine Konfiguration im
fest. In diesem Fall würde die Mailbox AD und nur über die Deinstallation be-
in der Zieldatenbank erstellt und die Ver- Get-Mailbox -Database DB16 kommen Sie die Hinterlassenschaften kor-
-AuditLog | New-MoveRequest rekt gelöscht. Bevor Sie die Deinstallation
Link-Codes -TargetDatabase DB19 starten, entfernen Sie zunächst die Daten-
banken auf dem alten Server über das
[1] IT-Administrator Sonderheft I/2018
Get-Mailbox -Database DB16 EAC. Dadurch stellen Sie sicher, dass keine
Exchange Server 2016
j3p21 -RecipientTypeDetails Discovery Postfächer mehr auf dem Server liegen
Mailbox | New-MoveRequest und dies nicht erst bei der Deinstallation
[2] Exchange Environment Report
j3p22 -TargetDatabase DB19 auffällt. Rufen Sie im nächsten Schritt die
[3] Skript MessageStats.ps1
Deinstallation des Exchange-Servers über
is163 Nachdem die Move Requests abgeschlos- die Systemsteuerung unter "Programme
[4] Exchange 2019 Server Role sen wurden, räumen Sie etwas auf und lö- und Funktionen" auf und folgen Sie den
Requirements Calculator schen die zugehörigen Informationen: Hinweisen des Assistenten. Wählen Sie alle
i2p23 Rollen und die Verwaltungstools ab. Nach-
[5] Running Antivirus Software Get-MoveRequest | where {$_.status dem die Deinstallation abgeschlossen wur-
on Exchange Server -eq "Completed"} | Remove-Move- de, entfernen Sie den Server noch aus der
j3p25 Request AD-Domäne, damit auch das Computer-
[6] Clientspezifische konto gelöscht wird.
Nachrichtengrößenbegrenzungen Migration öffentlicher Ordner
j3p26
Über die Migration der öffentlichen Ord- Fazit
[7] Größenbeschränkungen ner müssen Sie sich mit Exchange 2013/ Die Migration auf Exchange Server 2019
von Nachrichten
2016 keine allzu großen Gedanken mehr gleicht früheren Exchange-Migrationen.
j3p27
machen, da diese in eigenen Postfächern In Abhängigkeit von der Größe der alten
[8] Remote Connectivity Analyzer
(ExRCA)
liegen. Verschieben Sie die öffentlichen Datenbanken ist die Migration jedoch eine
h4z17 Ordner einfach in eine Datenbank auf zeitliche Herausforderung, die sich über
dem Exchange-2019-Server: Wochen ziehen kann. (ln)
Gut geplant
von Christian Schulenburg
M
icrosoft hat bereits viele White- Je komplexer die Umgebung, desto un- physischen Low Cost-Servern – vor allem
paper und Best-Practice-Anlei- vorhersehbarer sind Fehler. Es gibt keinen um Ressourcen umfänglicher zu nutzen
tungen veröffentlicht. Für Exchange 2019 Bereich in der IT, der gegen Fehler gefeit und die Komplexität durch die zusätzliche
wurden die vielen Änderungen für Ex- ist. Microsoft hat dies als Grundsatz ge- Virtualisierungsschicht zu entfernen. Da-
change 2016 weitestgehend übernom- nommen, um die Architektur der emp- bei wird auf verschiedenste Redundanzen
men, da die beiden Versionen vom Ent- fohlenen Installation deutlich zu verän- auf Serverebene verzichtet und auf inte-
wicklungsstand sehr nahe beieinander dern. Redundanzen, angefangen von grierte Sicherungsmechanismen für Ex-
liegen. Microsoft Engineers haben dabei einem zweiten Netzteil bis hin zu einer change gesetzt.
die Federführung übernommen und ein ausgereiften SAN-Infrastruktur, spielen
empfohlenes Deployment [1] veröffent- in der Betrachtung für Exchange 2019 kei- In diesem Zusammenhang spricht Mi-
licht, dass sich vor allem auf das eigene ne Rolle. Die Umgebung wird vereinfacht crosoft von "Exchange Native Data Pro-
Rollout für Office 365 bezieht. Die dabei und der Fehlerfall planbar, sodass alles in tection", das auch ohne Backup die Mail-
betrachteten Aspekte wollen wir in die- einem vorhersehbaren Wiederherstel- box-Datenbank umfänglich schützt.
sem Artikel näher beschreiben und teil- lungsmodel mündet. Gerade die Verein- Dabei müssen mindestens drei Kopien
weise ausbauen. fachung – Symplicity – ist ein sehr wich- einer Mailbox-Datenbank vorhanden
tiger Punkt, der uns durch den Artikel sein, damit im Fehlerfall eine andere Da-
Jede Umgebung birgt eigene Anforderun- begleiten wird. Dies bezieht sich nicht nur tenbank aktiviert und ein Reseed der de-
gen, sodass für die Erarbeitung immer auf die reine Konfiguration, sondern auch fekten Datenbank nach Fehlerbeseitigung
betriebliche Anforderungen zugrunde lie- auf die Ausstattung der Server. durchgeführt wird. Eine vierte Kopie läuft
gen. Das Thema Hochverfügbarkeit im zusätzlich als Lagged Mailbox Database
Bereich Rechenzentrum als auch auf Da- Keine Virtualisierung, Copy. Ein Backup ist nur noch optional
tenbankebene spielt eine wichtige Rolle, weniger IOPS und richtet sich an die Bedürfnisse der
genauso wie die Kostenreduzierung der Physisch oder virtuell ist heute kaum Organisation.
Infrastruktur sowie die Erhöhung der noch eine Frage, denn in die meisten Re-
Verfügbarkeit durch Reduzierung der chenzentren haben virtuelle Strukturen Ein wichtiger Faktor bei der Konfiguration
Komplexität. Andere Architekturen wer- Einzug gehalten, um Ressourcen effizient eines Servers war bisher die Festplatten-
den unterstützt und finden Support, Mi- zu nutzen. Im Bereich von Exchange hat performance. Die Anforderungen in die-
crosoft bemerkt aber ganz klar, dass diese Microsoft diesen Pfad seit Exchange 2016 sem Bereich hat Microsoft in Exchange
nicht empfohlen sind. verlassen und bevorzugt den Einsatz von 2019 bezogen auf ältere Versionen deutlich
reduziert. Im Vergleich zu Exchange 2003 Alle Rollen auf allen Servern flexibler, bietet mehr Auswahl und ist we-
verringern sich die notwendigen IOPS um Exchange 2016 arbeitete nur noch mit ei- niger komplex.
über 90 Prozent. Dies hat auch Auswir- ner Rolle, in der die früheren Rollen Hub
kungen auf die Speicherarchitektur: Für Transport, Client Access und Unified Mes- Zur Auswahl standen bisher nur Win-
das Betriebssystem, die Exchange-Dateien saging (UM) aufgegangen sind. Exchange dows Network Loadbalancing (WNLB)
sowie -Protokolle sollte jedem Server ein 2019 arbeitet auch weiterhin nur mit einer oder Hard-/Software-Loadbalancer. Ge-
RAID1-Festplattenpaar zur Verfügung ste- Rolle, aber aus dieser verabschieden sich gen WNLB sprachen vor allem die feh-
hen. Neu ist seit Exchange 2013, dass die nun die Unified-Messaging-Bestandteile. lende Diensteprüfung und die fehlende
Datenbanken auf möglichst große SAS- Für Umgebungen, bei denen UM im Ein- Kompatibilität des Windows-Netzwerk-
Festplatten mit 7.200 RPM in einem JBOD satz ist, kann das ein Show Stopper für eine lastenausgleichs mit Windows-Failover-
verteilt werden. SAS-Festplatten sind SA- Migration sein. Microsoft empfiehlt hier clustering, das die Voraussetzung für Da-
TA-Festplatten aufgrund der besseren Per- die Nutzung von Clouddiensten. Der Fo- tabase Availability Groups (DAG) ist. Da
formance und der geringeren Fehlerrate kus von Exchange liegt somit auf einem sich WLNB nicht auf einem DAG-Server
vorzuziehen. Als Dateisystem sollte für performanten Enterprise-Messaging-Sys- einrichten lässt, sind zusätzliche Server
die Datenbanken das Resilient File System tem und nicht auf Collaboration. zu installieren, was die Komplexität deut-
(ReFS) zum Einsatz kommen und Bit- lich erhöht. Ein Ausfall eines Webdienstes
Locker sorgt in dabei für die Verschlüs- Mit nur einer Rolle kommen immer der auf einem Exchange-Server wird durch
selung der Daten. Eine teure SAN-Um- gleiche Installationsprozess und die gleiche WLNB nicht erkannt und Anfragen wer-
gebung ist für einen hochverfügbaren Konfiguration zum Einsatz. Durch diese den weitergeleitet, solange die IP-Adresse
Betrieb von Exchange nicht nötig. Vereinheitlichung soll sich auch die Ad- des Servers erreichbar ist.
ministration vereinfachen lassen. Weiter-
Mit Exchange 2019 hat sich das Storage hin steht durch diesen Schritt ein größerer Die Gründe, die gegen WLNB sprechen,
Design geändert und es wurde ein Tiering Pool an Servern für jede Aufgabe zur Ver- sprechen für Loadbalancer: Diensteprü-
mit Solid State Disks (SSDs) eingeführt. fügung, sodass die Last besser verteilt und fung und die Nutzung von Multi-Role-
Nachdem das Exchange-Team über Jahre die Ausfallsicherheit weiter erhöht wird. Servern. Mit der beschriebenen Archi-
rein auf Low-Cost-Speicher gesetzt hat, tekturveränderung ab Exchange 2013
kam es hier zu einer Strategieänderung. Ausfallsicherheit und können Sie in Exchange 2019 DNS Round
Auf den SSDs werden bestimmte Daten Lastenverteilung neu aufgelegt Robin als zusätzliche Option nutzen. Ge-
ausgelagert, um die User-Experience zum Die Auswirkungen des Ausfalls eines rade in Hinblick auf die Vereinfachung
Beispiel bei der Anmeldung oder den Da- Clientzugriffsservers (CAS) an einem ist dies der empfohlene Weg von Micro-
tenabruf weiter zu verbessern. Die neue Standort kompensieren Sie üblicherweise soft. Hierüber erfolgt keine Lastenvertei-
Cache-Datenbank hat den Namen Meta- über Loadbalancing-Mechanismen. Unter lung, aber eine erhöhte Verfügbarkeit ist
Cache Database (MCDB) und wird auf Exchange 2010 wurde meist eine Client- gegeben. Browser und Outlook-Clients
den schnellen SSDs ausgelagert. Diese zugriffsserver-Array zusammen mit einem wenden diese Art der Auflösung nahezu
Datenbank enthält bis zu 10 Prozent der Hard-/Software-Loadbalancer bereitge- ohne Einschränkungen an und finden oh-
eigentlichen Postfachdaten. Ein Disk-Lay- stellt, um Fehlertoleranz und eine effizien- ne Probleme das richtige Ziel, selbst wenn
out nach Microsoft Best Practice sieht zu- te Auslastung von Servern zu erzielen. Die ein CAS nicht erreichbar ist. Loadbalancer
künftig wie folgt aus: Loadbalancer mussten dabei eine Sitzung sind weiterhin eine nützliche Ergänzung,
- Zwei HDDs für das Betriebssystem und zwischen dem Client und einem bestimm- im Exchange-Umfeld spielen Sie aber eine
Exchange 2019, ten Clientzugriffsserver herstellen und untergeordnete Rolle.
- 12 HDDs für Exchange Datenbanken halten (Sitzungsaffinität). Durch diese Vo-
und Logs, raussetzung war bei Exchange 2010 die Über interne und
- eine HDD als DAG AutoReseed Spare Verwendung einer Layer-7-Lastenaus- externe Namensbereiche
Disk und gleichslösung Voraussetzung, die als "Las- Eine der großen Diskussionen bei der Pla-
- vier SSDs für die Metacache Database. tenausgleich auf Anwendungsebene" be- nung einer Exchange-Umgebung ist im-
kannt ist. mer wieder die Festlegung der DNS-Na-
Microsoft hat für das Sizing der Umge- men. Microsoft empfiehlt die Nutzung
bung einen Requirement Calculator für Seit Exchange 2013 ist dies nicht mehr des gleichen Namensbereiches für die in-
Exchange 2019 veröffentlicht, an dem Sie nötig. Der CAS arbeitet als statusloser terne und externe Anbindung. Sofern die
sich zu den Anforderungen an die Hard- Lightweight-Proxyserver, über den Clients interne Domain nicht dem externen Do-
ware orientieren sollten [2]. Leider wird eine Verbindung zu Exchange-Postfach- mainnamen entspricht, führen Sie ein
der Calclator in der aktuellen Version servern herstellen. Sitzungsaffinität ist Split-DNS in Ihrer Domain ein. Beim
nicht mehr direkt veröffentlicht, sondern keine Voraussetzung mehr und eingehen- Split-DNS richten Sie eine lokale Zone
über das Installationsmedium von Ex- de Verbindungen werden an einen ver- ein, die mit den passenden Namen auf
change bereitgestellt. Die Excel-Datei fin- fügbaren Mailboxserver umgeleitet. Die die internen IP-Adressen referenziert.
den Sie im Unterordner "Support". Lastenausgleichsarchitektur ist dadurch Dies ist auch notwendig, da offizielle Zer-
tifikatstellen zukünftig keine internen Do- Namensentscheidung ist auch von der Set-PowerShellVirtualDirectory
mänennamen beziehungsweise IP-Adres- Netzwerktopologie abhängig und es kann Get-MapiVirtualDirectory
sen in neuen Zertifikaten hinterlegen, so- Sinn ergeben, einen gebundenen Namens-
dass Sie um eine einheitliche Benennung bereich zu nutzen. Dies ist zum Beispiel Einzig die Autodiscover-URL richten Sie
kaum herumkommen. der Fall, wenn ein Datencenter in Europa direkt über den Server ein:
und eines in Nordamerika angesiedelt ist
Für ein Split-DNS legen Sie zunächst im und Sie den Traffic zwischen den Locations Set-ClientAccessServer -Identity
DNS eine zusätzliche Reverse Lookup Zone begrenzen wollen. LABEX19 –AutoDiscoverService-
mit dem öffentlichen Domänenamen an. InternalUri https://autodiscover.
Im Anschluss erstellen Sie A-Records für Zum Einsatz kommt also nur ein Name domain.de/Autodiscover/Autodisco-
die externen Namen mit den IP-Adressen für sämtliche Clientzugriffe auf allen Ser- ver.xml
der internen Server. Sollte der Name Ihrer vern einer Umgebung: "mail.domain.de".
Website der E-Mail-Domäne entsprechen, Neben dem Zugriffspunkt für die Clients DAG richtig konfiguriert
wird die Auflösung der Website intern zu- erstellen Sie als zweiten DNS-Eintrag ein Seit Exchange 2010 gehören DAGs zum
nächst nicht mehr funktionieren. Autodiscover-Eintrag: "autodiscover. festen Bestandteil von Exchange und sind
domain.de". Optional richten Sie noch der einfachste Weg, um Mailbox-Server
Richten Sie zur Fehlerbeseitigung einen Namen für andere Dienste ein, etwa abzusichern. Dabei werden Datenbank-
zusätzlichen A-Record mit dem Namen "imap.domain.de" oder "smtp.domain.de". kopien über die Windows-Cluster-Tech-
www ein und geben Sie diesem Eintrag die nologien auf bis zu 16 verschiedene Mail-
IP-Adresse der externen Website. Die IP- Die Namen der Webzugriffe ändern Sie box-Server verteilt, um eine passive Kopie
Adresse der Website erhalten Sie über eine im Exchange Administration Center un- kurzfristig zu aktivieren. Die Einrichtung
nslookup-Abfrage von einem Client, der ter dem Punkt "Server / Virtuelle Ver- erfolgt dabei komplett über Exchange,
noch Zugriff auf die Domain hat: zeichnisse". Als weitere Möglichkeit zur ohne dass Sie sich mit dem Failover-Clus-
Einrichtung der URLs steht Ihnen die ter-Manager näher beschäftigen.
nslookup www.domain.de PowerShell mit den folgenden Befehlen
und den Parametern "InternalUrl" und Bei der Nutzung einer DAG laufen alle
Eine ausführliche Beschreibung zur Ein- "ExternalUrl" zur Verfügung: DAG-Mitglieder unter der gleichen Be-
richtung eines Split-DNS finden Sie unter triebssystemversion und weisen die glei-
[3] in Internet. Set-ActiveSyncVirtualDirectory che Verzeichnisstruktur für die Daten-
banken auf. Darüber hinaus verfügen alle
So bestimmen Sie Set-WebServicesVirtualDirectory Member-Server einer DAG über die glei-
den DNS-Namen che Exchange-Version. Bis Exchange 2013
Nachdem geklärt ist, dass interne und ex- Set-OabVirtualDirectory benötigte jede DAG ein Cluster Name
terne Namen identisch sind, stellt sich die Object (CNO). Dabei handelt es sich um
Frage, welche Namen zur Anwendung Set-OwaVirtualDirectory ein AD-Objekt, das Exchange für die in-
kommen und damit in das Zertifikat müs- terne Cluster-Kommunikation nutzt. Der
sen. Zunächst einige Hintergrundaspekte: Set-EcpVirtualDirectory Name der DAG entspricht dem CNO.
Beim Namen wählen Sie ein ungebunde-
nen Namensbereich für Ihre Rechenzen-
tren, sofern Sie über verschiedenen Zu-
gangspunkte aus dem Internet verfügen.
Im Gegensatz zum gebundenen Namens-
bereich findet ein Name für alle Rechen-
zentren Verwendung. Die öffentlichen IP-
Adressen der verschiedenen Zugriffspunkte
werden über den gleichen Namen im öf-
fentlichen DNS registriert und die Auflö-
sung erfolgt, wie bereits beschrieben, extern
über DNS Round Robin.
Set-DatabaseAvailabilityGroupNetwork
-Identity DAG10\DAGNetwork02
Bild 2: In Exchange 2019 lautet die Empfehlung, dass interne und externe Namensbereiche identisch -ReplicationEnabled:$false
sind. Die Konfiguration nehmen Sie über das EAC oder die PowerShell vor. -IgnoreNetwork:$true
Bei Exchange 2013 vor dem SP1 muss- Hier gibt es keine Änderungen zum bis- Zeugenserver kommen weiterhin nur
ten Sie zunächst das CNO vorbereiten. herigen Vorgehen. Im folgenden Beispiel dann zur Anwendung, wenn eine gerade
Mit dem Update auf Exchange 2013 SP1 fügen wir den Server LABEX161 der Anzahl von Mitgliedern in der DAG vor-
und in Verbindung mit Windows 2012 DAG01 hinzu und richten auf dem Ser- liegt. Ist eine DAG über zwei Standorte
R2 führt Microsoft die AD-unabhängige ver LABEX162 eine Kopie der Datenbank verteilt und kommt ein Witness-Server
Cluster-Konfiguration ein. Damit sind DB01 ein: zum Einsatz, sollte der Server nach Mög-
auch keine IP-Adressen aus den Subnet- lichkeit in einem dritten Standort liegen.
zen der DAG-Mitglieder mehr nötig. Add-DatabaseAvailabilityGroupServer Sofern keine dritte Lokation vorhanden
Ein Pre-Staging des CNOs ist somit -Identity DAG01 -MailboxServer ist, bietet sich auch die Nutzung von Mi-
nicht mehr erforderlich und die Ein- LABEX161 crosoft Azure an. Voraussetzung ist, dass
richtung fällt deutlich leichter. Eine ein Netzwerkfehler zwischen den pri-
DAG neuen Typs richten Sie mit folgen- Add-MailboxDatabaseCopy -Identity mären Standorten keinen Einfluss auf
dem Befehl ein: DB01 -MailboxServer LABEX162 den dritten Standort hat. Dadurch kann
–ActivationPreference 2 immer ein automatischer Failover erfol-
New-DatabaseAvailabilityGroup -Name gen, egal welches Rechenzentrum be-
DAG01 -DatabaseAvailabilityGroup- Dieses Vorgehen stellt ein weiterer Schritt troffen ist.
IpAddresses ([system.net.ipad- zur Vereinfachung der Architektur dar
dress])::none und beschleunigt die Einrichtung einer Fazit
DAG deutlich. Bei der Konfiguration von Microsoft Ex-
Eine AD-unabhängige DAG können Sie change 2019 hat sich nur wenig verändert.
ebenfalls über die EAC einrichten. Fügen DAG-Netzwerk Vor allem durch das Tiering mit SSD-
Sie bei der Erstellung einfach die DAG- und Zeugenserver Festplatten für MCDB müssen Sie bei der
IP-Adresse 255.255.255.255 in der Kon- DAG-Netzwerke werden bei der Einrich- Festplattenkonfiguration einmal genauer
figurationsmaske hinzu. tung einer DAG automatisch angelegt und hinschauen. Dem Weg zurück auf physi-
für den Replikations- oder MAPI-Verkehr sche Server mit einfachen Festplatten
Beim Hinzufügen eines Servers zur DAG verwendet. Jede DAG enthält maximal ein bleibt Microsoft treu. Das Mantra "ein-
wird auch weiterhin automatisch das Fai- MAPI-Netzwerk und beliebige Replikati- facher ist besser" ist stark spürbar und er-
lover-Cluster-Feature installiert. Im Un- onsnetzwerke. Bei Exchange 2010 war die leichtert die Arbeit der Administratoren
terschied zu einer klassischen DAG wer- Trennung zwischen Clientzugriffs- und deutlich. (ln/dr)
den Ihnen im Failover-Cluster-Manager das Replikationsnetz noch Best Practice,
zur DAG beziehungsweise zum Cluster während Microsoft von der logischen Link-Codes
keine Informationen mehr angezeigt. Trennung zu Gunsten der Vereinfachung
Wundern Sie sich nicht, wenn Sie zukünf- ab Exchange 2013 abrückt. Dies ist zum [1] The Exchange 2019
tig einen Blick in den Manager werfen einen der höheren Netzwerkbandbreiten Preferred Architecture
f7p51
und Ihnen augenscheinlich Informatio- geschuldet – 10 GBit verbreitet sich immer
nen fehlen. mehr – sodass Performanceengpässe der [2] Exchange 2019 Server Role
Requirements Calculator
Vergangenheit angehören.
i2p23
Im nächsten Schritt fügen Sie die Server
[3] Setting Up Split DNS
der DAG hinzu und verteilen die Mail- Zum anderen nutzt Exchange meist die f7p53
boxdatenbanken auf die Exchange-Server. gleiche Netzwerkinfrastruktur, sodass
Stolperfallen
vermeiden
von Christian Schulenburg
Auch wenn Microsoft eine andere Empfehlung ausspricht, liebäugeln doch viele IT-Abteilung
mit dem Gedanken, Exchange genauso virtuell zu betreiben wie die meisten der anderen Server
im Unternehmen. Dieser Artikel zeigt, welche Stolperfallen beim lokalen Betrieb eines
virtualisierten Exchange-Servers drohen.
O
b Exchange 2019 virtualisiert wird, gung, wovon allein VMware neun durch nig Einfluss auf die eingesetzte Hardware
hängt hauptsächlich von der Stra- die verschiedenen Versionen beisteuert. und den Hypervisor, weshalb Sie hier ge-
tegie des Unternehmens ab. In den meis- nau prüfen müssen, ob die Installation
ten Unternehmen ist die Virtualisierung Das heißt aber nicht, dass der Betrieb von Exchange in der virtuellen Umge-
fester Bestandteil des IT-Plans und es von Exchange über andere Hypervisoren bung vom Anbieter unterstützt wird.
spricht nichts dagegen, auch Exchange in mit allen Funktionen direkt unterstützt
diese einzubeziehen. Microsoft bevorzugt wird. Dies wird innerhalb des SVVP Bei Azure ist es zum Beispiel Vorausset-
jedoch grundsätzlich einen physischen nicht getestet und eine detailliertere Aus- zung, dass Sie für alle Laufwerke mit Ex-
Rollout, was wir im Artikel zur Microsoft sage gegenüber Drittanbietern gibt es change-Datenbanken und -Protokollen
Preferred Architecture für Exchange 2019 nicht. Achten Sie unbedingt auf die Kon- Azure Premium Storage nutzen. Zudem
ab Seite 137 im Detail aufgreifen. figurationsempfehlung des Lieferanten, bringt Azure mit sich, dass Sie E-Mails
damit Sie im Problemfall einen zuver- an externe Domänen von Azure nur über
208 Hypervisoren zur Wahl lässigen Ansprechpartner auch auf dieser definierte Smart Hosts oder SMTP-Re-
Als Hypervisor unterstützt Exchange sämt- Seite haben. lay-Anbieter wie Microsoft Exchange
liche Versionen von Hyper-V. Darüber hi- Online Protection versenden können.
naus finden Hypervisoren von Drittanbie- Sofern Microsoft bei einem Support-Call Andere Dienstleister haben andere Vo-
tern Unterstützung, die über das "Windows von einem Problem des Hypervisors aus- raussetzungen und oft gibt es umfang-
Server Virtualization Validation Program" geht, sind Sie in Pflicht, das Problem in reiche Ressourcen und Guides, wie auch
(SVVP) validiert wurden. Über dieses sind einer physischen Umgebung oder in Hy- bei Amazon [2].
aktuell über 230 Hypervisoren von ver- per-V zu reproduzieren. Exchange 2019
schiedensten Herstellern gegen verschie- installieren Sie dann innerhalb des Hy- Sizing von CPU und RAM
dene Windows-Versionen zertifiziert. Hier- pervisors auf Windows Server 2019. Die Beim Sizing orientieren Sie sich an den
zu zählen nicht nur die bekannten wie physische Host-Maschine nutzen Sie aus- grundsätzlichen Exchange-Vorgaben. Die
VMware oder Citrix, sondern auch eine schließlich für virtuelle Maschinen. Auf Umgebung planen Sie mit dem "Office
ganze Reihe von Exoten [1]. dem Host darf nur Managementsoftware Exchange Server Role Requirements Cal-
wie Antivirus oder Backup installiert wer- culator" [3]. Leider wird der Calculator
Über die verlinkte Liste des SVVP stellen den. Andere Applikationen wie SQL Ser- in der aktuellen Version nicht mehr di-
Sie sicher, dass die gewählte Plattform zu- ver oder Active Directory hingegen nicht. rekt veröffentlicht, sondern über das In-
sammen mit dem Guest-Betriebssystem stallationsmedium von Exchange bereit-
supported ist. Das ist die Grundvoraus- Einfluss von Cloudumgebungen gestellt. Die Excel-Datei finden Sie im
setzung für eine von Microsoft unterstüt- Heute spielt nicht nur die eigene virtuelle Unterordner "Support". Einige Punkte
ze Exchange-Installation. Da Exchange Umgebung eine Rolle in der IT-Strategie, sind dabei in einer virtuellen Umgebung
2019 zwingend Windows 2019 voraus- sondern auch Infrastructure-as-a-Service zu beachten: Bei der Berechnung der
setzt, stehen nur 17 Produkte zur Verfü- (IaaS). Gerade bei IaaS haben Sie oft we- Prozessoren geben Sie im Requirements
Failover und
Snapshots in der Praxis
Ein geplantes Verschieben eines virtuellen
Exchange-Servers von einem Host zu ei-
Bild 1: Beim Sizing des Exchange-Servers für eine virtuelle Umgebung spielt bei der Berechnung nem anderen über Livemigration oder
der CPUs im "Office Exchange Server Role Requirements Calculator" die Anzahl der virtuellen vMotion ist supported. Anders verhält es
Prozessoren eine wichtige Rolle. sich im Fehlerfall des Hosts, bei dem der
virtuelle Server auf einem anderen Host
Calculator an, dass es sich um eine vir- den ist. Dabei müssen Sie den Arbeits- durch eine Cluster-Funktion verfügbar
tuelle Umgebung handelt. Dabei sollte speicher dem Exchange-Server fest zutei- gemacht wird. Hier unterstützt Exchange
das Verhältnis der logischen Prozessoren len – eine dynamische Speicherzuweisung nur den "Cold Boot", bei dem der virtuelle
bezogen auf die im Hypervisor zugewie- ist nicht gestattet! Dies ist eine logische Server auf der Gegenseite ganz normal
senen virtuellen Prozessoren den Wert Konsequenz, da Exchange viele Daten im gestartet wird.
von eins zu zwei nicht übersteigen. Emp- Arbeitsspeicher-Cache hält und dynami-
fohlen wird ein Verhältnis von eins zu scher Speicher somit zu einer schlechten Würde der Server auf einem alternativen
eins. Bei einem Server mit zwei Prozes- Systemperformance führt. Host aus einem Standby aktiviert, vergin-
soren, die je über acht Kerne verfügen, gen auch in diesem Fall einige Sekunden,
darf die Anzahl virtuellen Prozessoren Storage für in denen der Heartbeat zwischen den
32 nicht übersteigen. virtualisiertes Exchange DAG-Mitgliedern unterbrochen ist und
Speicherseitig unterstützt ein virtuali- ein Exchange-Failover zu einem anderen
Während Sie Hyperthreading in physi- siertes Exchange nur Blocklevel-Storage. Exchange-Server stattfindet. Wird nun
schen Umgebungen zwingend deaktivie- Zum Einsatz als Speicher für die Daten- der virtuelle Server einfach aus dem
ren sollten, spielt dies in virtuellen Um- banken kommt fest zugeordneter Storage Standby reaktiviert, kommt es zu einem
gebungen keine Rolle. Durch die Er- und bei Hyper-V auch dynamischer Spei- inkonsistenten Zustand, den es zu vermei-
höhung der logischen Prozessoren, cher zur Anwendung. Hinzu gesellen sich den geht.
kommt es bei physischen Servern zu einer SCSI-Pass-Through-Speicher und iSCSI-
erhöhten Speichernutzung und gelegent- Storage, den Sie direkt aus der virtuellen Erst mit Windows 2016 und den neuen
lich auch zu einer erhöhten CPU-Belas- Maschine ansprechen. NAS wird nicht "Production Checkpoints" von Hyper-V
tung. Virtuelle Server sind davon nicht unterstützt und es ist auch nicht suppor- wird die Snapshot-Technologie auch für
betroffen, da sie die zusätzlichen Prozes- ted, diesen in der virtuellen Maschine als Exchange wieder unterstützt. Dabei wer-
soren nicht direkt im Zugriff haben. Ach- Blocklevel-Storage einzubinden. den über den Volumenschattenkopie-
ten Sie aber darauf, dass Sie nicht mehr Dienst (VSS) innerhalb der virtuellen Ma-
CPUs als im Calculator vorgegeben zu- Sofern Windows Server 2012 Hyper-V schinen Checkpoints des Servers erstellt,
weisen, da es ansonsten zu ähnlichen Pro- zum Einsatz kommt, lassen sich auch vir- sodass auch Programme korrekt gesichert
blemen wie in physischen Umgebungen tuelle Festplatten mit einer festen Größe werden. Trotz dieser Möglichkeit sollten
kommen kann. Beim Thema Hyperthrea- auf einer SMB-3.0-Freigabe nutzen. Eine Sie die Funktion nur mit Bedacht anwen-
ding richten Sie sich nach den Vorgaben direkte Einbindung des SMB-3.0-Shares
Ihres Virtualisierungsanbieters. innerhalb von Exchange ist nicht möglich. Azure einfach testen
Robust
von Christian Schulenburg
S
eit Exchange 2016 gibt es nur noch Safety Net abgesichert.
die Mailbox-Rolle – neben der Die Shadow-Redun-
Edge-Rolle, die in diesem Beitrag außen danz erstellt redundan-
vor bleibt. Die Mailbox-Rolle entspricht te Kopien aller einge-
dem empfohlenen Multi-Rollen-Server henden Nachrichten
bei Exchange 2013, der aus den Rollen auf einem weiteren
Client Access und Mailbox bestand. Diese Mailbox-Server, bevor
Funktionalitäten wurden in die Mailbox- diese dem sendenden
Rolle aufgenommen. Clientzugriff und Server bestätigt werden Quelle: kostsov – 123RF
Ausfallsicherheit
bei CAS-Servern
Den Ausfall eines Clientzugriffsservers an
einem Standort kompensieren Sie übli-
cherweise über Loadbalancing-Mechanis-
men. In älteren Exchange-Versionen wurde
meist ein Clientzugriffsserver-Array zu-
sammen mit einem Hard-/Software-Lo-
adbalancer (LB) bereitgestellt, um Fehler-
toleranz und eine effiziente Auslastung
von Servern zu erzielen. Mit der Architek-
turveränderung ab Exchange 2013 hielt
DNS Round Robin als zusätzlicher Redun-
danzmechanismus Einzug. Dies ist – seiner
Einfachheit geschuldet – der von Microsoft
empfohlene Weg zur Absicherung des
Clientzugriffs. Hierüber erfolgt keine Las-
tenverteilung, aber eine erhöhte Verfüg-
barkeit ist gegeben. Browser und Outlook-
Bild 1: Schon bevor eine eingehende E-Mail dem sendenden Server quittiert wird, Clients wenden diese Art der Auflösung
erstellt Exchange automatisch eine Kopie auf einem anderen Server. nahezu ohne Einschränkungen an und fin-
den ohne Probleme das richtige Ziel, auch
E-Mails absichern Get-SendConnector | ft Name, wenn ein CAS nicht erreichbar ist. Load-
Um das Senden von E-Mails sicherzustel- SourceTransportServers -autosize. balancer sind weiterhin eine nützliche Er-
len, reicht es aus, beim Sendeconnector gänzung, im Exchange-Umfeld spielen sie
einfach mehrere Exchange-Server einzu- Alternativ sehen Sie sich die Einträge unter aber eine untergeordnete Rolle.
tragen, die E-Mails nach extern versenden dem Punkt "Quellserver" im Exchange
dürfen. Ein häufiger Fehler ist es, für jeden Administrator Center (EAC) an, zu finden Um DNS Round Robin nutzen zu kön-
Exchange-Server einen eigenen Sendecon- in den Eigenschaften des Sendeconnectors nen, müssen Sie für die Zugriffsnamen
nector einzurichten. Das sollten Sie ver- unter "Nachrichtenfluss / Sendeconnector / zwei A-Records im DNS registrieren. Mi-
meiden, da bei gleichen Kosten und glei- Bereichsdefinition" (Bild 2). crosoft empfiehlt die Nutzung des glei-
cher Nähe immer der Connector mit dem chen Namensbereichs für die interne und
niedrigsten alphanumerischen Wert zum Sofern bei der ausgehenden Übermittlung externe Anbindung. Sofern die interne
Einsatz kommt, auch wenn dieser nicht mehrere Smarthosts zum Einsatz kom- Domain nicht dem externen Domain-
verfügbar ist. Durch die Zuordnung von men, tragen Sie diese in den gleichen Sen- namen entspricht, führen Sie ein Split-
zwei Servern zu einem Sendeconnector deconnector ein. Exchange sorgt auf diese DNS in Ihrer Domain ein. Dies ist not-
lässt sich der Ausfall eines Servers beim Weise für das Loadbalancing über Round wendig, da offizielle Zertifikatsstellen
Versand kompensieren. Die zugeordneten Robin und die Fehlertoleranz zwischen keine internen Domainnamen bezie-
Server eines Connectors prüfen Sie am den Smarthosts. Um den eingehenden E- hungsweise IP-Adressen in neuen Zerti-
einfachsten über die PowerShell: Mail-Traffic ausfallsicher zu gestalten, fikaten hinterlegen. Für ein Split-DNS
legen Sie zunächst im DNS eine zusätz-
liche Reverse Lookup Zone mit dem öf-
fentlichen Domainnamen an. Im An-
schluss erstellen Sie A-Records für die
externen Namen mit den IP-Adressen
der internen Server. Im Internet richten
Sie die entsprechenden Namen mit den
A-Records zu den öffentlichen IP-Adres-
sen beider E-Mail-Server ein.
ein Name, etwa "mail.domain.de". Neben sen. Bei der Nutzung einer DAG laufen move-MailboxDatabaseCopy zunächst alle
dem Zugriffspunkt für die Clients erstellen alle DAG-Mitglieder unter der gleichen Datenbankkopien vom Server. Im An-
Sie mit "autodiscover.domain.de" als zwei- Betriebssystemversion und weisen die schluss tilgen Sie den Server auch aus der
ten DNS-Eintrag einen Autodiscover-Ein- gleiche Verzeichnisstruktur für die Da- DAG, und zwar mit dem PowerShell-Be-
trag. Optional richten Sie noch Namen für tenbanken auf. Darüber hinaus verfügen fehl Remove-DatabaseAvailabilityGroup-
andere Dienste ein, etwa "imap.domain.de" alle Member-Server einer DAG über die Server. Danach können Sie den Server mit
oder "smtp.domain.de". gleiche Exchange-Version. der Option "RecoverServer" wiederher-
stellen. Zum Abschluss fügen Sie den Ser-
Die Namen der Webzugriffe ändern Sie Seit Exchange 2013 SP1 und in Verbin- ver der DAG mit den Befehlen Add-Da-
im Exchange Administration Center unter dung mit Windows 2012 R2 bietet Micro- tabaseAvailabilityGroupServer und Add-
dem Punkt "Server / Virtuelle Verzeich- soft die AD-unabhängige Cluster-Konfi- MailboxDatabaseCopy wieder hinzu.
nisse". Als weitere Möglichkeit zu Einrich- guration an. Damit sind keine IP-Adressen
tung der URLs stehen Ihnen PowerShell- aus den Subnetzen der DAG-Mitglieder Bei der Wartung in einer hochverfügba-
Befehle mit den Parametern "InternalUrl" mehr nötig. Ein Pre-Staging des CNOs ist ren Umgebung sind ebenfalls einige
und "ExternalUrl" zur Verfügung. Einzig somit nicht mehr erforderlich und die Ein- Punkte zu beachten. Theoretisch laufen
die Autodiscover-URL richten Sie über richtung wird um einiges vereinfacht. Eine die hochverfügbaren Dienste weiter und
einen gesonderten PowerShell-Befehl ein. DAG neuen Typs richten Sie mit folgen- ändern automatisch aktive Knoten. Einen
Ein vollständiges Skript [1] liefert Ihnen dem Befehl ein: Failover-Test sollten Sie aber geplant
alle URLs in einem Durchgang. durchführen und nicht bei einem Update
New-DatabaseAvailabilityGroup -Name oder ähnlichen Aktionen. Als Erstes len-
Haben Sie die DNS-Einträge und die vir- DAG01 -DatabaseAvailabilityGrou- ken Sie die Clientanfragen zu einem an-
tuellen Verzeichnisse konfiguriert, können pIpAddresses ([system.net.ipad- deren Server um. Kommt DNS Round
Sie die HA-Funktion testen. Sofern Out- dress])::none Robin zum Einsatz, löschen Sie einfach
look eine Verbindung zu Ihrem Exchange- temporär den DNS-Eintrag des zu war-
Server aufgebaut hat, sehen Sie anhand der Eine AD-unabhängige DAG können Sie tenden Servers, damit Clients die IP des
IP-Adresse im Ressourcenmonitor, mit ebenfalls über die EAC einrichten. Tippen Servers nicht mehr erhalten. Sofern ein
welchem Server Sie verbunden sind. Fah- Sie bei der Erstellung einfach die DAG-IP Loadbalancer Verwendung findet, deak-
ren Sie den Server nun herunter oder de- "0.0.0.0" in der Konfigurationsmaske ein. tivieren Sie den Zugriff auf den Server.
aktivieren Sie temporär die Netzwerkver-
bindung, baut Outlook automatisch eine Im nächsten Schritt fügen Sie die Server Bezüglich der DAG ist der Aufwand etwas
Verbindung zum alternativen DNS-Eintrag der DAG hinzu und verteilen die Mailbox- größer: Zunächst leeren Sie die Transport-
auf. Ist Outlook auch weiterhin verbunden, datenbanken auf die Exchange-Server. Hier komponente des Servers und leiten alle E-
haben Sie die Hochverfügbarkeit des gibt es keine Änderungen zum bisherigen Mails aus der Warteschlange zu einem an-
Clientzugriffs erfolgreich getestet. Vorgehen. Im folgenden Beispiel wird der deren Server. Im nächsten Schritt pausieren
Server "Ex191" der "DAG01" hinzugefügt Sie den Cluster-Knoten und deaktivieren
Hochverfügbarer Postfach-Server und auf dem Server "Ex192" eine Kopie die automatische Aktivierung einer Mail-
Seit Exchange 2010 gehören DAGs zum der Datenbank "DB01" eingerichtet: boxkopie. Aktive Datenbanken werden in
festen Bestandteil von Exchange und sind diesem Schritt auf anderen DAG-Mitglie-
der einfachste Weg, um Mailbox-Server Add-DatabaseAvailabilityGroupServer dern aktiviert. Auf dem Server sollten sich
abzusichern. Dabei werden Datenbank- -Identity DAG01 nun keine aktiven Datenbanken mehr be-
kopien über die Windows-Cluster-Tech- -MailboxServer Ex191 finden. Als Letztes aktivieren Sie den War-
nologien auf bis zu 16 verschiedene Mail- tungsmodus. Sie können nach diesen
box-Server verteilt, um eine passive Kopie Add-MailboxDatabaseCopy -Identity Schritten den Server in Ruhe aktualisieren.
kurzfristig zu aktivieren. Die Einrichtung DB01 -MailboxServer Ex192
erfolgt dabei komplett über Exchange, -ActivationPreference 2 Die Aktivierung nach einer erfolgreichen
ohne dass Sie sich näher mit dem Fail- Wartung erfolgt in umgekehrter Reihen-
over-Clustermanager beschäftigen müs- Mit diesen Schritten haben Sie die Da- folge. Das genaue Vorgehen beschreibt
tenbank DB01 schnell auf zwei Servern Microsoft unter [2].
Link-Codes hochverfügbar gemacht.
Fazit
[1] Exchange 2016/2019: URLs und Host- Wiederherstellung und Exchange 2019 macht es Administratoren
namen per PowerShell konfigurieren Upgrade bei HA mit den etablierten Verfahren der DAG und
j6z31
Bei der Wiederherstellung eines Servers den Möglichkeiten von DNS Round Robin
[2] Ausführen des Wartungsprozesses
aus einer DAG mit der Option "Recover- einfach, auch in kleinen Umgebungen mit
auf DAG-Mitgliedern
j6z32
Server" ist einiges zu beachten. Entfernen wenigen Handgriffen eine hochverfügbare
Sie vor der Wiederherstellung mit Re- Umgebung aufzubauen. (ln)
Ungebetene Gäste
von Christian Schulenburg
Ein großer Anteil der täglichen E-Mails ist nach wie vor
Spam. Als harmlose Werbung raubt er den Anwendern Zeit,
als Träger für Malware stellt diese Unart der Kommunikation
ein ernstes Sicherheitsrisiko dar. Unser Workshop zeigt, wie
Sie diese unerwünschten Nachrichten aussortieren. Quelle: olegdudko – 123RF
D
er Großteil der Nutzer einer loka- senderfilterung" prüft den Absender im in einer E-Mail gültige als auch ungültige
len Exchange-Version hat eine ei- SMTP-Befehl "MAIL FROM:" mit einer Empfänger, würde die E-Mail für alle
genständige Anti-Spam- und Anti-Mal- definierten Liste der Absender oder Ab- Empfänger abgelehnt werden. Neben die-
ware-Lösung im Einsatz. Sofern Sie noch senderdomänen, die keine Nachrichten sen Filtern bietet die Rolle des Edge-Ser-
keinen Schutz haben, bringt Exchange an die Organisation senden dürfen. Der vers noch einen Verbindungsfilter-Agen-
2019 Bordmittel mit, die eine Grundab- "Empfängerfilter" vergleicht die Nach- ten, der die IP-Adresse des Remoteservers
sicherung bieten. Die Möglichkeiten von richtenempfänger im SMTP-Befehl gegen verschiedene IP-Sperrlisten prüft,
Office 365 sind hingegen so umfangreich, "RCPT TO:" mit einer vom Administrator sowie einen Anlagenfilter-Agenten, der
dass sie eine Alternative zu selbstgehos- definierten Empfängersperrliste. Bei einer die Anlagen tiefergehend prüft.
teten Security-Tools darstellen. Übereinstimmung darf die Nachricht
nicht in die Organisation gelangen. Der Spam klassifizieren
Anti-Spam-Filter einrichten Empfängerfilter vergleicht darüber hinaus Sämtliche Prüfungen werden im Header
Das Exchange-2019-eigene, kostenlose An- Empfänger in eingehenden Nachrichten einer E-Mail vermerkt, sodass Sie jederzeit
ti-Spam ist standardmäßig nicht installiert. mit dem lokalen Empfängerverzeichnis, nachvollziehen können, wie eine E-Mail
Sie nehmen die Funktion über das Skript um zu bestimmen, ob die Nachricht an bewertet wurde und wie vertraulich diese
"Install-AntispamAgents.ps1" in Betrieb, gültige Empfänger adressiert ist. Wenn ist. Dazu zählt auch der "SpamConfidence-
das sich im Installationsverzeichnis von eine Nachricht nicht an gültige Empfän- Level" (SCL), der die E-Mail beurteilt. Über
Exchange findet. Das Verzeichnis rufen ger gerichtet ist, wird sie zurückgewiesen. den SCL definieren Sie verschiedene Re-
Sie am schnellsten über die Variable "$Ex- geln, zum Beispiel, wann eine E-Mail ab-
Skripts" auf. Nach der Installation starten Als weiterer Filter verwendet der "Sender gelehnt wird in ein Quarantänepostfach
Sie den Transportdienst neu (Restart-Ser- ID-Agent" die IP-Adresse des sendenden beziehungsweise in den Outlook-Junk-
vice MSExchangeTransport) und machen Servers und die angegebene Antwortadres- Ordner verschoben wird. Die Konfigura-
die internen SMTP-Server mit folgendem se (Purported Responsible Address; PRA) tion erfolgt über das Set-ContentFilter-
Befehl bekannt: des Absenders, um zu bestimmen, ob der Config-Cmdlet mit folgenden Attributen:
Absender gefälscht ist. Die "Inhaltsfilte- - SCLDeleteEnabled
Set-TransportConfig -Internal- rung" beurteilt den Inhalt einer Nachricht - SCLDeleteThreshold
SMTPServers @{Add="10.0.2.4", und führt definierte Aktionen aus. Um zu - SCLRejectEnabled
"10.0.2.5"} verhindern, dass fälschlicherweise erkannte - SCLRejectThreshold
E-Mails nicht mehr zugestellt werden kön- - SCLQuarantineEnabled
Jetzt helfen Ihnen verschiedene Agenten, nen, landen diese in einem Spam-Quaran- - SCLQuarantineThreshold
um Spam-E-Mails auszusperren. Die tänepostfach. Der "Protokollanalyse-Agent" - SCLJunkThreshold
Konfiguration der verschiedenen Filter implementiert schließlich die Absender-
findet in Exchange 2019 komplett in der zuverlässigkeitsfunktion (Sender Reputa- In den Organisationseinstellungen defi-
Exchange Management Shell (EMS) statt, tion Level; SRL), die eine E-Mail aufgrund nieren Sie über das Set-OrganizationCon-
wichtige Befehle zur Konfiguration ent- verschiedener Merkmale klassifiziert. fig-Cmdlet allgemeine Schwellenwerte, die
nehmen Sie der entsprechenden Tabelle. Sie bei Bedarf für Mailboxen anpassen:
Der Empfängerfilter ist auf Mailbox-Ser-
Auf einem Postfach-Server stehen nun vern vorhanden, von einer Konfiguration Set-Mailbox User -SCLJunkEnabled
einige Spamfilter zur Verfügung. Die "Ab- sehen Sie aber besser ab. Findet der Filter $True -SCLJunkThreshold 6
Get-TransportService|fl Agent*
Fazit
E-Mails stellen oft das zentrale Einfallstor
für Cyberattacken dar. Phishing- und Vi-
renmails sehen zunehmend täuschen echt
aus und lassen sich von Mitarbeitern nur
noch schwer von seriösen E-Mails unter-
scheiden. Microsoft bietet mit seiner Anti-
Spam- und Anti-Malware-Lösung einen
Schutz, der mit Office 365 Advanced Threat
Protection auch eine Alternative zur selbst
gehosteten Lösung darstellt. (jp)
Link-Codes
Höhere
S
eit Exchange 2007 reduziert Mi- Die Funktion richtet sich primär an grö- Benchmarks fehlen. Microsoft hat im
crosoft in jeder Version kontinu- ßere Umgebungen und so setzt sie Micro- Mai 2019 einen Guide [2] veröffentlicht,
ierlich die IOPS. Einfache SATA-Fest- soft auch in Office 365 ein. Hier arbeiten der aber einige Fragen aufwirft, die wir
platten wurden für Exchange in den über 175.000 physische Server mit über im Folgenden klären. Auf jeden Fall soll-
letzten Versionen als ausreichend dekla- 5,5 Milliarden Postfächern [1] und die An- ten Sie mit MCDB zunächst in einer
riert, doch mit Exchange 2019 hat sich wendererfahrung ist dabei enorm wichtig. Testumgebung Erfahrungen sammeln,
das Storage-Design geändert und Micro- Neben der MCDB trägt auch eine opti- bevor Sie es in einer produktiven Um-
soft führte ein Tiering mit Solid State mierte Arbeitsspeichernutzung zur Per- gebung nutzen.
Disks (SSDs) ein. Nachdem das Ex- formanceverbesserung bei. Zusammen mit
change-Team über Jahre rein auf Low- MCDB soll die Mailboxanmeldung 50 Pro- Voraussetzungen
Cost-Speicher gesetzt hatte, kam es hier zent und der E-Mail-Zugriff zwei- bis drei- des Speichersystems
zu einer Strategieänderung. Die SSDs la- mal schneller vonstattengehen. Auch sind Die Voraussetzungen für MCDB sind über-
gern bestimmte Daten, um die User Ex- durch die Funktion bis zu 20 Prozent mehr schaubar und neben Exchange 2019 muss
perience zum Beispiel bei der Anmel- Nutzer auf einem Server möglich. Sogar eine Database Availability Group (DAG)
dung oder dem Datenabruf weiter zu in kleineren Umgebungen kann sich somit mit mindestens zwei Servern vorhanden
verbessern. Die neue Cache-Datenbank der Einsatz von MCDB lohnen, weil da- sein, die auf "Auto-Reseed" eingestellt ist.
hat den Namen "MetaCache Database" durch weniger Server nötig sind. Kontrollieren Sie die Einstellung mit
(MCDB) und werkelt auf den schnellen
SSDs. Diese Datenbank enthält bis zu 10 Anleitungen zu MCDB sucht man im Get-DatabaseAvailabityGroup|fl
Prozent der eigentlichen Postfachdaten. Internet noch vergebens und auch valide Name, Auto*
Bild 1: Das Einrichten der MetaCache Database erfolgt in der PowerShell über das Manage-MCDB-Cmdlet.
Anschließend finden sich die Pfade in den Eigenschaften der Datenbanken.
www.it-administrator.de/newsletter
Link-Codes eingeben auf www.it-administrator.de
Exchange 2019 MetaCache Database
Bild 2: Im letzten Schritt der MCDB-Einrichtung wird die SSD formatiert und über einen Mountpoint eingebunden.
Im dritten Schritt konfigurieren Sie die erwirken. Alternativ ist der Aufruf über Dies ist der Zustand, in dem sich MCDB
Server. Dabei werden die unformatierten den Parameter "ForceFailover" mit dem nach einem SSD-Fehler befindet.
SSDs erkannt, formatiert und die ent- Manage-MCDB-Befehl möglich: - Offline: Logischer Fehler, wie etwa eine
sprechenden Mountpoints eingerichtet. nicht vorhandene MCDB-Instanz.
Dazu nutzen Sie das Attribut "Confi- Manage-MCDB -DagName Name der DAG - Initializing: Vorübergehender Zustand.
gureMCDBOnServer": -ServerName "EX19" Das System bestimmt, in welchem an-
-ForceFailover:$true deren Zustand es sich befinden soll.
Manage-MCDB -DagName Name der DAG - Healthy: Bereit.
-ConfigureMCDBOnServer Auf dem Exchange-Server wird nun die
-ServerName "EX19" Datenbank auf dem zusätzlichen Daten- Fazit
-SSDSizeInBytes 9663676416 träger eingerichtet. Das Volume findet MCDB hat das Potenzial, die Perfor-
sich als verknüpftes Volume unter Lauf- mance Ihrer Exchange-Umgebung spür-
Sollte Ihnen hier eine Fehlermeldung mit- werk "C:" im Verzeichnis "ExchangeMe- bar zu verbessern. Leider gibt es bisher
teilen, dass die definierten Festplatten taCacheDbs". Hier ist ein Ordner mit nur sehr wenige Anleitungen, was an-
nicht zur Verfügung stehen, prüfen Sie dem Namen der Datenbank enthalten, gesichts der Verbreitung von Exchange
zunächst "Mediatyp" und "PartitionStyle", in dem sich die MCDB befindet. Ex- doch überrascht. In einer einfachen Um-
wie in den Voraussetzungen beschrieben. change nutzt nun den zusätzlichen Ca- gebung lässt sich MCDB leicht einrich-
Hat alles geklappt, wird an dieser Stelle che und verbessert damit die Anwen- ten. Offen sind aber weiterhin Themen
die SSD-Festplatte mit NTFS und einer dererfahrung. wie zum Beispiel das Einbinden neuer
Blockgröße von 64K formatiert. Außer- Datenbanken oder die Zuordnung der
dem legt das System den Mountpoint zur MCDB-Status prüfen HDDs zu den SSDs – beide Aspekte sind
Festplatte unter "C:\ExchangeMCDBVol- Den Status der MCDB prüfen Sie über nirgends beschrieben. Durch die nied-
umes" an. Den letzten Befehl nutzen Sie das Get-MailboxDatabaseCopyStatus- rigen Preise für SSDs lässt sich aber mit
ebenfalls, um eine defekte SSD auszutau- Cmdlet, wobei Sie explizit die Meta- überschaubaren Kosten die Nutzerer-
schen und neu einzubinden. CacheDatabase-Attribute abfragen: fahrung deutlich verbessern. Hoffen wir,
dass Microsoft mehr Informationen zu
Sind alle Schritte ausgeführt, wird der Get-MailboxDatabaseCopyStatus|fl diesem Thema veröffentlicht und die
MCDB-Status zunächst als "Storage Off- Name, Meta* Funktion dann auch eine größere Ver-
line" markiert. Das bedeutet, dass die Um- breitung erfährt. (jp)
gebung vorbereitet ist, die Meta-Cache- Neben allgemeinen Informationen zum
Datenbanken aber noch nicht angelegt Cache, wie den Pfad, erhalten Sie hierbei Link-Codes
sind und die Beschleunigung nicht aktiv auch den Status. Dieser kann folgende
[1] Accelerating Exchange 2019
ist. Das Aktivieren erreichen Sie erst durch Einstellungen aufweisen:
with SSDs
einen Failover der Postfachdatenbank, den - Disabled: MCDB ist deaktiviert. j9z41
Sie über - StorageOffline: Die Basisinfrastruktur
[2] MetaCache Database Setup
fehlt oder ist nicht zugänglich, wie zum j9z42
Move-ActiveMailboxDatabase Beispiel Mountpoints oder Dateipfade.
V
oraussetzung für das Senden über nächst als interne Nachricht angesehen dass TLS vom Gerät unterstützt wird, denn
Office 365 sind in der Firewall frei- und es erfolgt keine Spamprüfung bei den SSL 3.0 darf nicht mehr verwendet werden.
geschaltete ausgehende Ports für die Geräte Empfängern. Der Versand kann von jedem Auch TLS 1.0 und TSL 1.1 werden nächs-
und Anwendungen. Zum Senden von E- beliebigen Ort erfolgen. Es ist somit egal, tes Jahr deaktiviert, weshalb TLS 1.2 zur
Mails über Office 365 steht sowohl die ob die E-Mails aus dem lokalen Netzwerk Anwendung kommen sollte [1]. Durch die
SMTP-Clientübermittlung als auch die di- oder von einem Hostinganbieter gesendet genutzte SMTP-Clientübermittlung sind
rekte SMTP-Übermittlung ohne Authen- werden – eine Überprüfung der IP-Adresse die Absender an die Grenzwerte von 30
tifizierung bereit (siehe Tabelle). Der ein- findet nicht statt. Nachrichten pro Minute oder 10.000 Emp-
fachste und von Microsoft empfohlene fängern pro Tag gebunden.
Weg ist die Clientübermittlung mittels ei- Zur Nutzung tragen Sie im Gerät als
nes Office-365-Postfachbenutzers. Dieser SMTP-Server "smtp.office365.com" ein. Direktes Senden einrichten
Benutzer wird am Gerät oder der Anwen- Die DNS-Auflösung des SMTP-Servers Sofern der erste Weg nicht in Betracht
dung zur Authentifizierung hinterlegt und muss dabei am Gerät möglich sein, denn kommt und Sie nur E-Mails an Postfächer
benötigt dabei eine feste Lizenz. Ein Res- die Eingabe einer IP-Adresse zur Verbin- in Ihrem Unternehmen zustellen müssen,
sourcenpostfach kann hier somit nicht dung mit Office 365 ist nicht möglich. Als können Sie E-Mails auch direkt an den
zum Einsatz kommen. Über diesen Weg Port nutzen Sie 578 oder 25. TLS/StartTLS Office-365-mx-Record senden lassen. Da-
senden Sie E-Mails an Personen innerhalb muss aktiviert sein und als Benutzername bei sind keine Anmeldeinformationen
und außerhalb der Organisation. Die in und Kennwort hinterlegen Sie die Anmeld- nötig. Als SMTP-Server hinterlegen Sie
Office 365 eingehende E-Mail wird zu- einformationen des Benutzers. Wichtig ist, im Gerät den mx-Eintrag Ihrer Subskrip-
contoso- contoso-
Server smtp.office365.com
com.mail.protection.outlook.com com.mail.protection.outlook.com
Innerhalb und außerhalb Innerhalb und außerhalb
Empfänger Innerhalb der Organisation
der Organisation der Organisation
Ausnahmefälle behandeln
Unterstützt die Anwendung oder der
Drucker nur SSL 3.0, ist eine direkte
Übermittlung nicht möglich. Auch wenn
kein direkter Internetzugang verfügbar
ist, müssen Sie einen kleinen Umweg ge-
hen und einen lokalen SMTP-Relay-Ser- Bild 3: Soll kein Postfachnutzer verwendet und auch E-Mails an extern gesendet werden,
ver einrichten. Dieser dient als zentraler ist in Office 365 ein zusätzlicher Empfang-Cconnector notwendig.
Knoten zum Weiterleiten an Office 365.
Bei dem Server muss es sich nicht um Ex- "Allgemein" zunächst die IP-Adresse des men Zugriff " aus und aktivieren Sie TLS.
change handeln, denn es reicht die Rolle lokalen SMTP-Servers, auf der der Server In den "Erweiterten Übermittlungsein-
des SMTP-Servers auf einem Windows- E-Mails annehmen soll, und den Port hin- stellungen" hinterlegen Sie nun den mx-
IS zu aktivieren. zu. Als Port nutzen Sie im Standard wieder Eintrag Ihrer Subskription als Smarthost,
Port 25. In der Registerkarte "Zugriff " etwa "contoso-com.mail.protection.out-
Installieren Sie zunächst über den Server- wählen Sie in der Zugriffssteuerung den look.com". Das genaue Vorgehen zum
Manager auf einem Windows-Server die "Anonymen Zugriff für die lokalen Clients" Einrichten eines lokalen SMTP-Servers
Rolle "Webserver (IIS)". Ist das geschehen, aus. Tragen Sie ebenfalls auf der Register- über einen Windows-Webserver zeigt [4].
spielen Sie im Anschluss das Feature karte in den Computerlisten die Geräte Nun müssen Sie noch an den Geräten den
"SMTP-Server" auf dem gleichen Server ein, die an den Server senden und weiter- lokalen SMTP-Server hinterlegen. Ist das
ein. Nun öffnen Sie über das Startmenü leiten dürfen. Mit diesen Einstellungen ha- geschehen, ist alles bereit und E-Mails
oder den Server-Manager unter "Tools" ben Sie nun definiert, wie E-Mails zum lo- von den Geräten werden über den lokalen
die Konsole "Internet Informationsdienste kalen Server gelangen. SMTP-Server an Office 365 weitergeleitet.
(IIS) 6.0". Erweitern Sie den aktuellen Ser-
ver und klicken Sie mit der rechten Maus- Im nächsten Schritt richten Sie den Ver- Fazit
taste auf den virtuellen SMTP-Server. Wäh- sand zu Office 365 ein. Wählen Sie in der Es gibt verschiedene Wege, um E-Mails
len Sie im Folgenden die Eigenschaften Registerkarte "Zustellung" bei der ausge- von lokalen Geräten oder Anwendungen
aus und fügen Sie unter der Registerkarte henden Sicherheit zunächst den "Anony- an Office 365 weiterzuleiten. Mit den be-
schriebenen Technologien sind Sie in der
Lage, auch ohne lokalen Exchange-Server
E-Mails weiterzuleiten. So können die Kol-
legen dann auch komfortable Scans per E-
Mail senden und werden den lokalen E-
Mail-Server nicht missen. (jp)
Link-Codes
Genau geprüft
von Christian Schulenburg
K
ein Unternehmen möchte, dass Während SPF, DKIM und DMARC schnell berechtigt ist, E-Mails zu versenden. Da-
von seiner E-Mail-Domäne aus einzurichten sind, ist die Voraussetzung bei werden bei jedem Verbindungsaufbau
bösartige E-Mails versendet werden, doch von DNS-based Authentication of Named die Domänenangaben des Sendeservers
ausschließen können Administratoren Entities (DANE) wesentlich umfangreicher. ausgelesen und zusammen mit der Ab-
entsprechende Versuche von Angreifern DANE verknüpft das Zertifikat mit dem senderadresse verifiziert. Server, für die
nicht. Verfahren in Sachen Sender- und Domänenamen. Der Grundschutz mittels es keinen Eintrag gibt, sind nicht auto-
Empfängerreputation gibt es seit Jahren, einer Transportverschlüsselung (TLS) ver- risiert, im Namen der angegebenen Ab-
doch ist die Durchdringung in Firmen hindert nur das Mithören und mit DANE senderdomäne Nachrichten zu versen-
nicht sehr hoch. Durch die immer neuen wird dieser um eine sichere Identifizie- den. Wie der Empfangsserver mit dem
und intelligenteren Bedrohungen, die in rungsfunktion erweitert. DANE benötigt Fehler umgehen soll, beschreiben wir im
vielen Fällen per E-Mail ihren Weg in die zwingend DNSSEC und die zusätzlichen Laufe des Workshops unter dem Punkt
Unternehmen finden, gilt es hier aufzu- Informationen werden im DNS über einen DMARC ausführlicher.
klären. Mit verhältnismäßig geringen Mit- TLSA-Record veröffentlicht. Aufgrund der
teln lässt sich eine wesentlich höhere Si- schnellen Einrichtung konzentrieren wir Im DNS-Eintrag wird auch eine Anwei-
cherheit erreichen. uns im folgenden Artikel auf die Verfahren sung für empfangende Server hinterlegt,
SPF, DKIM und DMARC. die festlegt, wie diese verfahren sollen,
Dabei gilt es vor allem festzustellen, ob wenn E-Mails von unautorisierten Ser-
eine E-Mail von dem Absender stammt, SPF ist der Anfang vern eintreffen. Dabei stehen "Hard Fail
von dem sie zu kommen scheint. Darüber Das Sender Policy Framework (SPF) ist (-all)", "Soft Fail (~all)" und "Neutral
hinaus gilt es herauszufinden, ob der sen- eine einfache Methode, um gefälschte Ab- (?all)" zur Auswahl. Bei einem Hard Fail
dende Server auch berechtigt ist, von die- sender zur identifizieren und zu blockie- sollen E-Mails direkt abgelehnt werden,
ser Domäne zu senden. Möglich wird das ren. SPF geht von der Annahme aus, dass während bei einem Soft Fail noch andere
durch spezielle Methoden der Absende- alle E-Mails einer Senderdomäne von au- Kriterien zur Bewertung herangezogen
ridentifizierung, die zu Standardinstru- torisierten Mailservern versendet werden. werden. Neutral weist den Empfangs-
menten der E-Mail-Sicherheit gehören: Um die Mailserver zu autorisieren, wird server an, E-Mails ebenfalls anzuneh-
SPF, DKIM und DMARC. Mit DANE in der DNS-Zone ein TXT-Record als men, was die SPF-Funktion mit dieser
kommt noch eine Möglichkeit zur Vali- SPF-Eintrag hinterlegt. In diesem Eintrag Einstellung aushebelt. Bei SPF ist zudem
dierung des Empfängers hinzu. sind IP-Einträge, A-Records oder MX- darauf zu achten, dass E-Mails oft von
Records gespeichert, über die der Versand verschiedenen Servern gesendet werden,
Bei allen Verfahren veröffentlichen Sie erfolgt. In folgendem Beispiel darf somit wie zum Beispiel Massenmailern oder
Informationen, die externen Kommuni- nur der Server von der angegebenen IP- der eigenen Homepage, die Sie ebenfalls
kationspartnern zur Verfügung gestellt Adresse autorisiert E-Mails versenden: autorisieren müssen.
werden. Auf diesem Weg kann zum ei-
nen Ihr Partner zweifelsfrei feststellen, v=spf1 ip4: 194.59.16.20 -all Die aktuelle Einstellung Ihrer Domäne
ob eine E-Mail tatsächlich von Ihnen prüfen Sie am besten mit einem der vielen
kommt und zum anderen steigt Ihre ei- Der empfangende Mailserver kann nun Onlinetools, wie auf der Webseite von
gene Reputation. im DNS prüfen, ob der sendende Server Mx-Toolbox [1] (Bild 1). an gleicher Stelle
In einer lokalen Exchange-Umgebung E-Mail an die folgende Adresse "check- Nutzung von DMARC wird wieder ein
müssen Sie ein paar Schritte mehr gehen. auth@verifier.port25.com". Als Antwort TXT-Eintrag im DNS veröffentlich. Die-
Zu beachten ist, dass Exchange selbst kein auf Ihre E-Mail erhalten Sie einen aus- ser enthält die DMARC-Einstellungen
DKIM unterstützt und die Header-Ergän- führlichen Report mit einem Hinweise mit den folgenden Möglichkeiten:
zung durch Zusatzsoftware oder eigene zur Nutzung von DKIM. - v: Kennzeichnet die aktuelle Version 1.
Appliances erfolgt. Oft ist diese Funktion - p: Definiert, wie der Empfänger mit E-
in den E-Mail-Sicherheitslösungen der Umgang mit Missbrauch Mails umgehen soll, die nicht korrekt
verschiedenen Anbieter integriert. über DMARC-Regeln mit SPF oder DKIM überprüft werden
Die Funktion "Domain-based Message konnten. Zur Wahl stehen "none", "qua-
Zur Einrichtung von DKIM erstellen Sie Authentication, Reporting and Confor- rantine" und "reject".
zunächst ein Schlüsselpaar. Am Schnells- mance" (DMARC) ist kein eigenständiges - pct: Beschreibt den Prozentsatz der E-
ten geht das mit dem Programm Open- Sicherheitsfeature, sondern baut auf SPF Mails, die von "p" gefiltert werden.
SSL [4]. Die Anwendung installiert sich und DKIM auf. SPF und DKIM geben - rua: An diese Adresse wird ein Sum-
in das Programmverzeichnis, von dem nämlich keinen Aufschluss darüber, wie menbericht gesendet, was in der Regel
Sie es über die Kommandozeile die mit einer fehlgeschlagenen Prüfung weiter einmal täglich erfolgt.
openssl.exe mit entsprechenden Parame- umgegangen werden soll. Diese Lücke - ruf: An diese Adresse sendet der Emp-
tern aufrufen. Einen privaten Schlüssel schließt DMARC. fänger einen forensischen Report über
erstellen Sie mit die fehlerhafte E-Mail.
Das Verfahren hilft, die eigene Domäne - adkim: Hier definieren Sie, wie restrik-
openssl.exe genrsa -out DKIM_Priva- gegen Missbrauch zu schützen, indem ver- tiv die DKIM-Prüfung vorgeht. Bei "s"
te_Key_2019.key 2048 öffentlicht wird, wie der Empfänger einer (=Strict) muss die Domäne genau über-
E-Mail den Domäneninhaber bei Miss- einstimmen, während bei "r" (Relaxed)
Der öffentliche Schlüssel wird im An- brauch informieren soll. Mit DKIM findet auch Subdomänen gestattet sind.
schluss mit dem privaten Schlüssel er- also keine zusätzliche Prüfung über SPF - aspf: Hier definieren Sie, wie restriktiv
zeugt, sodass eine Schlüsselpaar vorliegt: und DKIM hinaus statt, sondern es defi- die SPF-Prüfung ist, vergleichbar zu
niert Statusmeldungen und Zusammen- adkim.
openssl.exe rsa -in fassungen. Dabei zeigt sich, dass Domänen
DKIM_Private_Key_2019.key -out mit DMARC-Einstellungen seltener Opfer In folgendem Beispiel wird nur eine Zu-
DKIM_Public_Key.public -pubout von Phishing-Angriffen werden. sammenfassung gesendet und der Emp-
-outform PEM fänger soll dabei E-Mails zunächst weiter-
Voraussetzung für DMARC ist, dass SPF hin, unabhängig vom Testergebnis, weiter
Die beiden Dateien liegen nun im "Bin"- als auch DKIM eingerichtet sind. Zur annehmen:
Verzeichnis unterhalb des OpenSSL-In-
stallationsverzeichnisses. Damit der öf-
fentliche Schlüssel im DNS hinterlegt
werden kann, entfernen Sie die Zeilen-
umbrüche sowie die erste und die letzte
Zeile mit "—–BEGIN PUBLIC KEY—–"
und "—–END PUBLIC KEY—–". Der
Schlüssel wird im Anschluss im DNS als
TXT-Eintrag zusammen mit der DKIM-
Version (v=DKIM1) und dem Schlüssel-
typ (k=rsa) veröffentlicht. Der Name des
Eintrags entspricht wieder dem Keyse-
lector, auf den im Header einer E-Mail ver-
wiesen wird, sodass der korrekte Schlüssel
für den empfangenen Server verfügbar ist.
v=DMARC1; p=none; rua=mailto:chris- um sich mit den Meldungen in Ruhe zu porting gegebenenfalls auch vertrauliche
tian@schulenburg.co; adkim=r; beschäftigen. Damit Sie den Eintrag nicht Daten weitergibt, weshalb nicht alle Funk-
aspf=r; pct=100; sp=none manuell erstellen müssen, gibt es wieder tionen mit der EU-Datenschutz-Grund-
einige Wizards, die Sie dabei unterstützen verordnung vereinbar sind. So sind ag-
Gerade für die ersten Schritt mit DMARC [5]. Die Einstellungen testen Sie ebenfalls gregierte Reports (rua) bezogen auf ihre
wählen Sie zunächst die Aktion "p=none", mit der MxToolbox und dem entspre- Versand-IP bedenklich, während Failure
chenden Tool [6]. Reports (ruf) eine Vielzahl personenbe-
zogener Daten enthält und von der Nut-
Link-Codes
Die definierten Reporte kommen klassi- zung abzuraten ist. Eine Empfehlung zur
[1] MxToolbox scherweise in einzelnen E-Mails mit einer Vereinbarkeit von DMARC mit der EU-
js2y1 XML-Anlage. Die Auswertung kann unter Datenschutz-Grundverordnung wurde
[2] DKIM zum Überprüfen von E-Mails Umständen etwas Zeit in Anspruch neh- von der eco-Kompetenzgruppe E-Mail
js2y2 men. Hier haben sich einige Anbieter unter [8] veröffentlicht.
[3] Eintrag mit MxToolbox prüfen dem Thema angenommen und die Be-
js2y3 richte lassen sich an diese direkt senden Fazit
oder einfach weiterleiten. Die Anbieter Phishing- und Virenmails sehen zuneh-
[4] OpenSSL
bereiten die Daten entsprechend auf und mend täuschend echt aus und lassen sich
js2y4
Sie bekommen schnell einen guten Über- von Mitarbeiter nur noch schwer von
[5] DMARC Deployment Tools blick. An dieser Stelle sei exemplarisch seriösen E-Mails unterschieden. Mit den
js2y5
auf den kostenlosen Service von Postmark vorgestellten Funktionen SPF, DKIM
[6] DMARC-Tool auf MxToolbox [7] verwiesen. und DMAC können Sie Ihre Domäne
js2y6 sehr gut absichern. Vergessen Sie aber
[7] Postmark Wie bereits erwähnt, stellen Sie durch die nicht, auch selber diese Funktionen zu
js2y7 Kombination sicher, dass die Envelope- nutzen, wenn Sie E-Mails annehmen. Je
[8] DMARC und die DSGVO Sender-Adresse mit der "Body from"- mehr die Funktionen Sie einsetzen, desto
js2y8 Adresse einer E-Mail übereinstimmt. Zu besser lassen sich SPAM und Co. früh-
beachten ist, dass DMARC über das Re- zeitig aussortieren. (dr)
Virtualisierung
Infrastrukturen mit vSphere, Hyper-V
und Open Source planen und umsetzen
Sicherer Transport
von Christian Schulenburg
T
LS steht für "Transport Layer Secu- 1.1 abgeschaltet, sodass Office 365 nur ist nach der Installation als einziges aktiv,
rity" und ist ein Protokoll zur siche- noch die Kommunikation über TLS 1.2 sodass Sie hier keine Anpassungen vorneh-
ren Übertragung von Daten über das In- ermöglicht [2]. Aus diesem Grund sollten men müssen. Achten Sie hierbei vor allem
ternet. TLS ist unter seinem alten Namen Sie sicherstellen, dass Ihre lokale Ex- auf die Clients. Setzen Sie noch Windows-
SSL weitläufiger bekannt. SSL 3.0 war dabei change-Installation ebenfalls über TLS 7-Clients ein, werden diese zunächst keine
die letzte Version unter diesem Namen und 1.2 kommunizieren kann und dies nicht Verbindung zu Exchange 2019 aufnehmen
wurde beginnend mit der Version TLS 1.0 deaktiviert ist. Unser Workshop betrachtet können, da TLS 1.2 in Windows 7 stan-
weiterentwickelt. TLS kommt dabei nicht nur Exchange-Versionen ab Exchange dardmäßg nicht aktiviert ist [3].
nur beim Zugriff auf Webseiten über 2010, denn ältere Versionen befinden sich
HTTPS zur Anwendung, sondern auch zur nicht mehr im Support und werden von Vorraussetzungen für TLS 1.2
Absicherung bei anderen Protokollen wie Microsoft nicht weiterentwickelt. Viele Teile der Verschlüsselung waren in
LDAP, SIP, IMAP, POP3 oder SMTP. Exchange hart codiert, doch wurden diese
Setzen Sie bereits Exchange 2019 ein, müs- nach und nach ausgetauscht, sodass zur
TLS 1.0 wurde 1999 veröffentlicht und TLS sen Sie nicht tätig werden, denn TLS 1.2 Verschlüsselung die Funktion der darun-
1.2 ist bereits 2008 erschienen. Aufgrund
dieser langen Verfügbarkeit unterstützen Exchange-Voraussetzung zur Nutzung von TLS 1.2
es bereits nahezu alle Anwendungen. Es
kommen aber weiterhin verschiedenste Exchange-Version Voraussetzung
Protokollversionen zum Einsatz, die oft
- TLS 1.2 wird als einziges Protokoll direkt nach der Installation
weniger sicher sind. Dies hat sich unter an- Exchange 2019
unterstützt.
derem die Sicherheitslücke "Poodle" zu
- Cumulative Update (CU) 8 für die Nutzung von TLS 1.2 und
Nutze gemacht, sodass ein Fallback auf SSL
Exchange 2016 CU9, sofern TLS 1.0 und TLS 1.1 deaktiviert werden sollen.
3.0 erfolgte und die Verschlüsselung ange- - Aktuellste .NET-Version und relevante Patches (aktuell 4.7.1).
griffen werden konnte. Die darauf folgende - Cumulative Update 19 für die Nutzung von TLS 1.2 und CU20,
Empfehlung war, SSL 3.0 zu verbieten [1]. Exchange Server 2013
sofern TLS 1.0 und TLS 1.1 deaktiviert werden sollen.
- Aktuellste .NET-Version und relevante Patches (aktuell 4.7.1).
Für mehr Sicherheit in dem Verfahren - SP3 Rollup (RU) 19 für die Nutzung von TLS 1.2 und RU20,
Exchange Server 2010
gehen große Firmen hier voran und Mi- sofern TLS 1.0 und TLS 1.1 deaktiviert werden sollen.
crosoft hat bei Office 365 bereits 2014 - Aktuellste .NET-Version und relevante Patches (aktuell 3.5.1).
SSL 3.0 deaktiviert. Zum 31. Oktober Exchange Server älter - Diese Produkte sind aus dem Support und eine Unterstützung
2018 wurden nun auch TLS 1.0 und TLS als Exchange 2010 ist nicht mehr gegeben.
Fazit
Die Verschlüsselung ist ein wichtiger
Punkt, um die Sicherheit von Exchange
zu gewährleisten. Microsoft hatte die un-
terstützten Versionen bis vor kurzem
Bild 2: Ist Ihr Server online erreichbar, erlaubt ein Webtool, die angebotenen Protokolle zu prüfen. noch in der Anwendung fest hinterlegt,
doch wurde das Verhalten geändert, so-
In den meisten Fällen wird eine Umstel- Werte für die Einträge "Enabled" und dass Sie sich bei der Konfiguration von
lung dieser Server schwer möglich sein, "DisabledByDefault" an. Die Einstellungen TLS zukünftig allein auf das Betriebssys-
sofern die Kommunikation ungestört unterscheiden wieder nach eingehenden tem konzentrieren können und neuere
weiterlaufen soll. und ausgehenden Verbindungen: Versionen, wie TLS 1.3, schneller in Ex-
- HKEY_LOCAL_MACHINE \ SYSTEM \ change einbinden. (jp/dr)
Bevor Sie mit dem Deaktivieren begin- CurrentControlSet \ Control \ SecurityP-
nen, stellen Sie sicher, dass TLS 1.2 auf roviders \ SCHANNEL \ Protocols \ TLS Link-Codes
allen Server aktiviert ist. Neben der reinen 1.0 beziehungsweise TLS 1.1 \ Client: Dis-
[1] Vulnerability in SSL 3.0 –
Absicherung der Kommunikation sind abledByDefault DWORD = 1; Enabled
Poodle attack and Exchange 2010
jedoch weitere Bereiche von Exchange DWORD = 0 or Exchange 2013
betroffen: -HKEY_LOCAL_MACHINE \ SYSTEM \ i8zb1
- Outlook Client Connectivity CurrentControlSet \ Control \ SecurityP- [2] An Update on Office 365
- Exchange Active Sync roviders \ SCHANNEL \ Protocols \ TLS Requiring TLS 1.2
- Outlook on the Web (beziehungsweise 1.0 beziehungsweise TLS 1.1 \ Server: Dis- i8zb2
Outlook Web App / Outlook Web abledByDefault DWORD = 1; Enabled [3] TLS 1.2 in Windows 7
Access) DWORD = 0 i8zb7
- Exchange Admin Center (EAC) und [4] IIS Crypto
Exchange Control Panel (ECP) Sind diese Einstellungen gesetzt, kommt i8zb3
- Autodiscover nur noch TLS 1.2 zur Anwendung. [5] New IIS functionality to help
- Exchange Web Services (EWA) identify weak TLS usage
- PowerShell über Exchange over HTTPS Vorsicht bei POP3 und IMAP i8zb4
- POP and IMAP (Exchange Server 2013 Sofern Sie POP3 und IMAP nutzen, hängt [6] Online-Test von Qualys SSL Labs
i8zb5
und später) das Verhalten von der eingesetzten Ex-
change-Version ab. Bei Exchange 2010 ist [7] Message Header Analyzer
is1n6
TLS 1.0 und 1.1 werden letztendlich so der Verschlüsselungsweg in der Anwen-
[8] Protokollierung der
über die Registry deaktiviert, wie TLS 1.2 dung hart codiert und kann nur SSL 3.0
SMTP-Aktivitäten in Exchange
aktiviert wurde. Hier passen Sie in den und TLS 1.0 einsetzen. Haben Sie nun TLS i8zb6
Bereichen der Versionen die DWORD- 1.0 deaktiviert, versucht die Kommunika-
Neue Postfächer
von Christian Schulenburg
Übernahme- und
D
ie Migration zu Office 365 hat das figuration für eine reine Migration als
Ziel, in einem definierten Zeit- sehr aufwändig. mehrstufige Migration
raum alle Postfächer in Microsofts cloud- Für die Migration stehen verschiedene Op-
basierte Arbeitsumgebung zu transferie- Daher kommen nun die zusätzlichen tionen zur Verfügung und die mehrstufige
ren und die lokale Exchange-Installation klassischen Hybridkonfigurationen mit Methode und die Übernahmemethode
im Anschluss abzuschalten. Zeitlich ge- einer deutlichen einfacheren Einrichtung sind die klassischen Varianten. Die Über-
sehen zählen die Übernahmemigration zur Anwendung: die minimale Hybrid- nahmemethode richtet sich dabei an ältere
und die mehrstufige Migration zu den konfigurationen und die Expresskonfi- Exchange-Version (2003 und 2007) mit we-
ersten direkten Wegen, um E-Mails aus guration. Zu den bisher möglichen hy- niger als 2000 Postfächern. Empfohlen ist
einer lokalen Exchange-Umgebung zu briden Migrationswege gesellt sich seit dabei eine Umgebung von 150 und weniger
Office 365 zu bewegen. Die beiden Vari- Juli 2019 noch der Hybrid Agent als mo- Nutzern. Postfächer werden bei diesem
anten haben den großen Nachteil, dass derne Hybridkonfiguration hinzu. Gerade Vorgehen in einem Durchgang übernom-
IT-Verantwortliche nach der Migration während der Übergangsphase bietet der men und im Anschluss wird alles direkt
der Daten die Benutzerprofile mit einem Betrieb über den Agenten einige Verbes- auf Office 365 umgeschwenkt. Ein paral-
erheblichen Mehraufwand auf den Clients serungen, auf die wir im Laufe des Arti- leles Arbeiten ist nicht vorgesehen. Mit die-
neu erstellen müssen. kels ausführlicher eingehen. ser Variante legen Sie Office-365-Accounts
entsprechend der lokalen Postfächer auto-
Migration via Im Vergleich zur vollständigen Hybrid- matisch an und übertragen deren Postfach-
Hybridkonfigurationen konfiguration werden bei einer minima- inhalte in die neuen Postfächer.
Dies lässt sich nur umgehen, wenn IT- len Hybridkonfiguration nicht alle Funk-
Abteilunge eine aufwändige Hybridkon- tionen auf einen dauerhaften Parallel- Wichtig ist, dass Sie bei dieser Migrations-
figuration zwischen den Exchange-Welten betrieb ausgerichtet, was die Einrichtung art nach Abschluss der Übernahme sämt-
einrichten, die jedoch eigentlich für den deutlich erleichtert. Außerdem unterstüt- liche Profile am Client neu einrichten müs-
parallelen Betrieb vorgesehen ist. Denn zen die Hybridkonfigurationen Exchange- sen. Ebenfalls ist zu beachten, dass Outlook
bei der Hybridkonfiguration geht es nicht Server ab der Version 2010, während die Anywhere für die lokale Exchange-Um-
um die Verschiebung, sondern um den Übernahmemigration und die mehrstu- gebung funktioniert und eine bereits aktive
zeitgleichen Betrieb und die Verteilung fige Migration nur für Exchange 2003 Active-Directory-Synchronisierung zwi-
der Postfächer auf die lokale Exchange- und Exchange 2007 vorgesehen sind, ob- schen Office 365 und der lokalen AD-
Umgebung und Exchange Online. Post- wohl sie auch mit aktuelleren Exchange- Umgebung vorher deaktiviert ist.
fächer lassen sich in der vollständigen Versionen funktionieren würden.
Hybridkonfiguration zwischen den Um- Gestartet wird die Migration über das Ex-
gebungen einfach verschieben, ohne dass Wir stellen Ihnen die verschiedenen Mög- change Admin Center (EAC) von Ex-
die Nutzer etwas davon mitbekommen. lichkeiten vor und werfen daneben auch change Online unter dem Menüpunkt
Diese Option bietet sich für Migrationen einen Blick auf die Möglichkeit der IMAP- "Empfänger / Migrationen". Hier erstellen
förmlich an, doch gestaltet sich die Kon- Migration und den PST-Import-Service. Sie zunächst einen neuen Migrationsend-
punkt, bevor Sie im Anschluss einen neu- 365 weitergeleitet werden, konvertieren Der Hybrid Agent ist der modernere Weg
en Migrationsbatch starten. Dieser Batch- Sie das lokale Postfach zu einem E-Mail- zur Migration und bietet in der Über-
job überträgt alle Daten und Sie überwa- aktivtierten Benutzer mit einer Proxy- gangsphase mehr Funktionen, wie zum
chen den Vorgang im EAC. Am Ende der Adresse aus Office 365. Weisen Sie im An- Beispiel das Teilen von Frei-/Gebucht-In-
Übernahme wird der MX-Eintrag umge- schluss den Benutzer noch Lizenzen zu. formationen oder MailTipps. Der Agent
stellt und ein letztes Mal synchronisiert. Diese Schritte wiederholen Sie mehrmals, ist ebenfalls Teil des Hybrid Configuration
Nachdem die Profile der Benutzer aktua- bis sich alle Postfächer in Office 365 be- Wizards (HCW), weshalb alle Hybrid-
lisiert wurden, greifen diese nun auf das finden. Sind alle Nutzer in Exchange On- konfigurationen über den gleichen Weg
neue Postfach in Office 365 zu. Zum Ab- line, stellen Sie den MX-Eintrag auf Ex- starten. Dem Hybrid-Agenten widmen
schluss weisen Sie den Nutzern noch eine change Online um und konfigurieren wir in diesem Sonderheft einen eigenen
Lizenz zu, damit diese nicht nach 30 Ta- Autodiscover. Die Lizenzen der Benutzer Artikel ab Seite 168.
gen gelöscht werden. Weiter passen Sie dürfen an der Stelle nicht vergessen wer-
noch die Autodiscover-Einträge an, damit den. Details zu den klassischen Migratio- Die Hybridmigration starten Sie über das
diese zu Office 365 zeigen. nen finden Sie unter [1] und [2]. Exchange Online EAC und den Punkt
"Datenmigration" unter den Eintrag "Se-
In Umgebungen mit mehr als 2000 Post- Hybridkonfiguration nutzen tup". Hier wählen Sie " Exchange" aus,
fächern steht für Exchange 2003 und 2007 Die Hybridkonfiguration ermöglicht Ih- um den "Office 365 Hybrid Configuration
die mehrstufige Migration zur Verfügung. nen eine Verbindung zwischen der loka- Wizard" (HCW) zu starten. Alternativ
Im Unterschied zur Übernahmemethode len Exchange-Installation und Exchange initiieren Sie die Einrichtung über das lo-
ist dieses Vorgehen für eine längere Mi- Online. Dabei müssen Sie bei der mini- kale Exchange Admin Center über den
grationsphase vorgesehen. Dabei werden malen Hybridkonfiguration auf verschie- Menüpunkt "Hybrid". Beim HCW han-
zunächst die Benutzer aus der lokalen dene Funktionen zwischen den Umge- delt es sich um eine Click-To-Run-An-
Umgebung über das "Microsoft Azure bungen verzichten, die bei einer vollstän- wendung, die direkt über Microsoft he-
Active Directory Synchronization Tool" digen Hybridkonfiguration zur Verfü- runtergeladen wird, sodass immer die
oder die "Microsoft Azure Active Directo- gung stehen. Hier sei vor allem auf die aktuellste Version im Einsatz ist. Wichtig
ry Sync Services" (AAD Sync) in Office
365 angelegt und synchronisiert. Im
nächsten Schritt legen Sie wieder einen
Migrationsendpunkt an, wobei Sie die
mehrstufige Migration auswählen und
anschließend über eine CSV-Datei die zu
übertragenen Postfächer definieren.
ist, dass die Benutzer in Exchange Online zur Migration anstehen. Wählen Sie zum ein zu übertragendes Postfach darf maxi-
noch nicht über ein Postfach verfügen. Testen zunächst zwei bis drei Nutzer aus. mal 500.000 Elemente enthalten.
Eine Migration wäre in diesem Fall nicht Eine ausführliche Übersicht zum Status
möglich und Sie müssten die Postfächer der Migration finden Sie im EAC unter Bei dieser Migration legen Sie zunächst
zunächst löschen. dem Punkt "Empfänger / Migration", wo die Nutzer getrennt von der Datenüber-
Sie auch alternativ neue Verschiebeaktio- nahme an und lizenzieren diese. Es ist
Nach dem Start des Wizards geben Sie zu- nen zwischen Ihrer lokalen Exchange- nicht zwingend notwendig, dass die E-
erst die Login-Daten zu den Exchange- Umgebung und Exchange Online ansto- Mail-Domains identisch sind, da die Da-
Umgebungen ein, bevor Sie im nächsten ßen. Zum Abschluss ändern Sie noch den ten unabhängig von dieser in ein Postfach
Schritt die minimale Hybridkonfiguration MX-Record, damit dieser wieder zu Ex- geleitet werden. Über eine CSV-Datei ver-
auswählen. Hier bestimmen Sie im Fol- change Online zeigt und E-Mails hier zen- knüpfen Sie die Office-365-Postfächer
genden, ob Sie die klassische oder die mo- tral empfangen werden. mit den entsprechenden Anmeldedaten
derne Variante nutzen. Bei der klassischen des IMAP-Servers. Zum IMAP-Server le-
Variante definieren Sie – je nach Größer Migrationen über IMAP gen Sie wieder über das EAC unter "Emp-
der Umgebung – ob die Active-Directo- Die bisher beschriebenen Migrationsme- fänger / Migration" einen Migrationsend-
ry-Synchronisation einmalig oder dauer- thoden beziehen sich alle auf Exchange, punkt an. Als Nächstes erstellen Sie einen
haft genutzt wird. Im Anschluss wird die aber es lassen sich auch andere E-Mail- Migrationsbatch, in dem Sie eine Migra-
Hybridumgebung eingerichtet, sodass bei- Systeme über das Internet Message Access tion zu Exchange und den Punkt "IMAP-
de Umgebungen zusammenarbeiten. Protocol (IMAP) [3] migrieren. Dieses Migration" auswählen. Nutzen Sie nun
Nachdem die Nutzer synchronisiert sind, Vorgehen ist bei verschiedenen Anbietern, die bereits erstellte CSV-Datei und starten
vergeben Sie zunächst die Lizenzen in Of- wie der G Suite, Outlook.com oder Hot- Sie die Migration. In der Übersicht unter
fice 365. Als Nächstes starten Sie unter mail möglich. Beachten müssen Sie, dass "Migration" sehen Sie wieder einen Status
dem Punkt "Datenmigration / Exchange" nur E-Mail-Ordner und deren Inhalt über- der laufenden Migrationen. Sind alle Post-
die Verschiebung der Benutzerpostfächer. tragen werden. Weiterhin dürfen Nach- fächer übertragen, stellen Sie den MX-
Hier sehen Sie eine Liste der Benutzer, die richten nicht größer als 35 MByte sein und Eintrag um, damit E-Mails zu Office 365
Einfache
Übung
von Christian Schulenburg
D
ie Migration der Postfächer zu Ex- zum Beispiel eine Multifaktorauthentifi- können jetzt auch Loadbalancer anstelle
change Online ist eine der großen zierung oder eine Authentifizierung mit spezifischer Exchange-Server über den
Herausforderungen bei der Nutzung von Clientzertifikaten. Kommt diese bereits Hybrid Agent ansprechen.
Office 365. Daher ist es wichtig, diesen zur Anwendung, nutzen Sie weiterhin die
Schritt möglichst einfach zu gestalten. klassische Exchange-Hybrid-Topologie. Vorbereitungen
Anders als bei einer Migration innerhalb Darüber hinaus werden MailTips, die für den Hybrid Agent
einer Organisation ist das Verschieben zu Nachrichtenverfolgung und die Multi- Den Hybrid Agent installieren Sie entwe-
Exchange Online problematisch, da die Mailbox-Search nicht über den Hybrid der auf einem eigenständigen Server
Postfächer zwischen zwei separat verwal- Agent abgewickelt. Sollen diese Funktio- (Agenten-Server) oder auf einem Ex-
teten Organisationen verschoben werden. nen übergreifend zur Anwendung kom- change-Server mit der CAS-Rolle. Dabei
men, nutzen Sie das klassische Modell. kommt Exchange ab Version 2010 zur
Die Verbindung einer lokalen Exchange- Anwendung, das auf Windows Server
Instanz mit Exchange Online wird als Hy- Der Agent wird stetig optimiert und so 2012 R2 oder 2016 mit .NET Framework
bridanbindung bezeichnet. Der Hybrid wurden bereits zwei Monate nach dem 4.6.2 oder höher installiert sein muss. So-
Agent ist ein neues Tool, um diese zu er- ersten Launch Verbesserungen der Pre- fern Agent und Exchange auf einem ge-
leichtern. Von Microsoft wird dieses Ver- view bereitgestellt. Unterstützte der Hy- meinsamen Server laufen sollen, achten
fahren als "Modern Hybrid" bezeichnet brid Agent in der ersten Veröffentlichung Sie darauf, dass die Kompatibilität zwi-
und erweitert so den "Hybrid Configu- nur die Einzelinstallation, lassen sich in schen Exchange und .NET [1] gewähr-
ration Wizard" (HCW). Der neue Hybrid der aktuellen Version auch mehrere Agen- leistet ist, damit Sie keine unsupportete
Agent stellt eine Verbindung zwischen ten in einer lokalen Organisation instal- Kombination nutzen. Darüber hinaus
der lokalen Exchange-Version und Ex- lieren. Dies war eine große Einschränkung muss der Server nur Mitglied der Domain
change Online her. Dabei reduziert der der ersten Version vom Februar 2019, bei sein und Zugriff auf das Internet haben.
Hybrid Agent die Anforderungen um ex- der es keine Redundanzmöglichkeiten
terne DNS-Einträge, Zertifikataktualisie- gab, Frei/Gebucht-Informationen sich im Als Ausgangsverbindungen benötigen Sie
rungen und eingehende Netzwerkverbin- Offline-Fall nicht einsehen ließen und nur Port 443 und Port 80 – letzterer dient
dungen der Firewall, die das Unterfangen Verschiebeaktionen nicht durchgeführt einzig der Zertifikatsperrlistenprüfungen.
in der Vergangenheit komplex machten. wurden. Mit dem Update des Hybrid Der Agent kommuniziert mit einem Azu-
Agent im April 2019 besserte Microsoft re-Proxy-Dienst mit mandantenspezifi-
Praxistauglich an dieser Stelle nach und er unterstützt schem Endpunkt, der zu Ihrer Online-Um-
durch Mehrfachinstallation nun wie erwähnt mehrere Agenten. Da- gebung führt. Verfügbarkeitsinformationen
Der Hybrid Agent unterstützt keine "Hy- rüber hinaus gibt es nun auch Statusin- als auch Postfachmigrationen werden über
brid Modern Authentication". Dazu zählt formationen zum Hybrid Agent und Sie diesen "Azure App Proxy" geführt. Sofern
Test-HybridConnectivity
-testO365Endpoints
Ist dies erledigt, richten Sie Sen- Update und unterstützt Ex-
de- und Empfangsconnectoren change Server ab 2010. OCT
ein. Der E-Mail-Verkehr wird ist ein Bestandteil des HCW
über TLS abgesichert, wofür Sie und Sie wählen die Übertra-
im nächsten Schritt ein gültiges gung während der Hybridkon-
Zertifikat auswählen. Darin muss figuration aus.
der externe Hostname eingetra-
gen sein, der sich extern auflösen Letzter Exchange-Server
lassen und per Port 25 erreichbar der Hybridkonfiguration
sein muss. Der Hybrid Agent ist Sind alle Postfächer zu Exchange
dabei nicht für das Routen der Online migriert, dürfen Sie den
E-Mails verantwortlich, sondern letzten Exchange-Server nur
es werden nur entsprechende deinstallieren, wenn kein Ab-
Konfigurationen vorgenommen. gleich der Benutzer über Azure
Das Ergebnis sehen Sie nach Ab- AD Connect erfolgt. Letzteres
schluss der Konfiguration im Bild 3: Nach der erfolgreichen Verbindung der Umgebungen integriert Ihre lokalen Verzeich-
lassen sich zum Beispiel Postfächer in Exchange Online
EAC unter "Nachrichtenfluss/ nisse in das Azure Active Di-
aus der lokalen Umgebung einrichten.
Konnektoren". rectory, wodurch Benutzer nur
noch eine einzige Identität ha-
Nachdem Sie die Vorgaben eingetragen fahrung, indem Sie die Frei-/Gebucht-In- ben. Dies ist keine Voraussetzung für die
haben, wird die entsprechende Konfi- formationen für Postfächer aus den ver- Nutzung einer Hybridkonfiguration und
guration in den Exchange-Organisatio- schiedenen Organisationen in einem neu- wir sind daher in diesem Beitrag nicht wei-
nen durchgeführt. Klappt alles, ist die en Termin prüfen. ter darauf eingegangen.
Hybridanbindung Ihrer lokalen Ex-
change-Organisation zu Exchange On- Einstellungen Nutzen Sie diese Funktion, benötigen Sie
line erfolgreich abgeschlossen. Während zwischen den Welten einen Exchange-Server, um die lokalen
der Installation werden ebenfalls Ver- Zu berücksichtigen ist, dass beide Ex- Exchange-Attribute zu pflegen. Ist dieser
knüpfungen auf dem Server erstellt, change-Organisationen unabhängig von- nicht vorhanden, fehlen die Exchange-Er-
über die Sie bei Änderungen in Ihrer einander sind, was auch die Konfiguration weiterungen für die Active-Directory-Ob-
Exchange-Organisation den HCW er- betrifft. In der EAC wechseln Sie über jekte, die für einen reibungslosen Hybrid-
neut starten können. den Reiter "Unternehmen" beziehungs- betrieb mit Office 365 notwendig sind.
weise "Office 365" schnell zwischen den Diese Anforderung hat zur Folge, dass Sie
Verbindung testen Welten. Grundsätzlich müssen Sie Richt- auch weiterhin Exchange-Updates mit
Ist die Hybridverbindung eingerichtet, linien wie Retention Policy, OWA Policy möglichen Schema-Erweiterungen ein-
gibt es einiges zu testen. Als Erstes prüfen oder Mobile Device Policy separat erstel- spielen müssen.
Sie den E-Mail-Transport, in dem Sie E- len und konfigurieren. Bei der Migration
Mails zwischen Postfächern der lokalen der Einstellungen hilft Ihnen der "Organi- Fazit
und der Online-Umgebung hin und her zation Configuration Transfer Wizard" Microsoft hat viel für die reibungslose
senden. Auch von extern sollten Sie die (OCT). Die Version 1 wurde im Juni 2018 Migration zwischen lokalen Exchange-
Erreichbarkeit testen. veröffentlicht und unterstützte zu diesem Umgebungen und Exchange Online getan
Zeitpunkt nur die Richtlinien. Im Oktober und sehr viel Komplexität aus dem The-
Als Nächstes probieren Sie das Erstellen 2018 gab es bereits die nächste Version, ma genommen. Auch kleinere Unterneh-
von Postfächern aus. In der lokalen EAC die weitere Eigenschaften wie Active Sync men schauen einer Migration nun we-
legen Sie nun auch Postfächer für Ex- Device Access Rule, Address Lists oder sentlich entspannter entgegen und müs-
change Online an. Es dauert einen Au- Policy Tip berücksichtigt. sen die Einrichtung nicht scheuen. Mi-
genblick, bis der Benutzer in Office 365 crosoft sieht KMUs als Nutzer von Office
verfügbar ist. Zunächst müssen Sie diesem Die erste Version unterstützte nur die 365 und hat mit dem Hybrid Agent den
noch eine Lizenz zuweisen, damit eine erstmalige Übertragung. Erkannte der Weg geebnet. (jp)
Anmeldung an dem Postfach möglich ist. Wizard eine Einstellung mit dem glei-
Migrieren Sie nun Postfächer in Office chen Namen, wurde diese ignoriert. Die Link-Codes
365 von Ihrer lokalen Umgebung zu Ex- Version 2 überschreibt nun Einstellun-
change Online. Hierfür rufen Sie in der gen in Exchange Online. Die Übertra- [1] .NET- und Exchange Supportmatrix
j7p51
EAC von Exchange Online den Punkt gung stellt zwar keine Synchronisation
[2] Microsoft Hybrid Agent
"Empfänger / Migrationen" auf und wäh- dar, aber ist eine einfache Möglichkeit,
Public Preview
len "Zu Exchange Online migrieren" aus. Einstellungen schnell weiterzugeben. j7p52
Als Letztes testen Sie noch die Nutzerer- OCT benötigt lokal das letzte kumulative
Nicht jeder Administrator hat eine ausreichende Sicherheitslösung im Einsatz oder möchte
parallel zu Exchange ein separates Security-Produkt lokal vorhalten. Wir zeigen Ihnen in dem
Beitrag, wie Sie die E-Mail-Sicherheit auslagern und Ihre lokale E-Mail-Umgebung mit
Exchange Online Protection in der Cloud verbinden.
W
ie in dem Beitrag zu Sicherheit in für Office 365. Haben Sie noch kein Kon- enthalten. In den meisten Fällen abonnie-
Exchange 2019 und Office 365 auf to, wird die Benutzer-ID während der Be- ren Sie ATP neben EOP als zusätzlichen
Seite 147 beschrieben, gehen die Mög- stellung der Testversion erstellt. EOP selbst Dienst für circa 2 Euro je Benutzer und
lichkeiten von Office 365 über viele lokale buchen Sie direkt als Subskription in Of- Monat. Eine Übersicht der vorhandenen
Sicherheitslösungen hinaus, wodurch Mi- fice 365 oder es ist bereits Bestandteil einer Lizenz sehen Sie nach der Buchung im Mi-
crosofts Exchange Online Protection Exchange Online Subscription. Die Lizen- crosoft 365 Admin Center unter dem
(EOP) [1] eine Alternative zur selbstge- sierung von EOP erfolgt über die einzelne Punkt "Setup / Produkte".
hosteten Security-Lösung darstellt. In die- Benutzerlizensierung und die Kosten lie-
sem Beitrag schauen wir uns die lokale gen aktuell bei cirka 0,84 Euro je Benutzer Einsatz von EOP vorbereiten
Anbindung am Beispiel von Exchange und Monat. Alternativ gibt es aus der lo- Sind die Lizenzen vorhanden, kümmern
2019 an, wobei sich jeder SMTP-Server kalen Exchange-Umgebung auch eine spe- Sie sich weiter um die zu nutzende E-Mail-
anbinden lässt und die Nutzung von EOP zielle Enterprise CAL mit Diensten, die Domain. Für den Start verwenden Sie eine
nicht auf Exchange Server beschränkt ist. ebenfalls die Nutzung von EOP beinhaltet. Testdomain beziehungsweise eine nicht
Dabei bleiben die Postfächer in der loka- Für den Start und zum Testen nutzen Sie genutzten Subdomain, damit Sie das Vor-
len Instanz und nur der ein- und ausge- zunächst eine Trial-Version. gehen in Ruhe ausprobieren können. Rich-
hende Datenverkehr wird über EOP ge- ten Sie die Domain, die Sie über EOP nut-
leitet. E-Mails innerhalb der Organisation Erweitern lässt sich der EOP-Schutz durch zen wollen, im Microsoft-365-Dashboard
werden somit nicht mittels EOP über- die Advanced Threat Protection (ATP), über den Punkt "Setup / Domänen" ein.
prüft. Der Vorteil ist, dass Sie keine zu- das gegen unbekannte Schadsoftware und Während der Einrichtung führen Sie zu-
sätzliche Hard- beziehungsweise Software Viren hilft. Dies gewährleistet einen bes- nächst einen Besitzernachweis der Domain
benötigen und die Prüfung außerhalb Ih- seren Schutz vor Zero-Day-Attacken, die durch, bevor Sie diese nutzen können. Die
res Netzwerks durchführen. noch nicht bekannt sind. Zur Prüfung wer- Überprüfung erfolgt über einen TXT- oder
den alle Anlagen mit einer unbekannten MX-Eintrag im DNS Ihres Domain-Pro-
Verfügbare Lizenzen Signatur einer Verhaltensanalyse unterzo- viders. Der Assistent zeigt Ihnen dabei,
Um den Dienst nutzen zu können, benö- gen. Die Funktion ist in wenigen Office- welche Einträge zur Prüfung im Detail hin-
tigen Sie zunächst ein Microsoft-Konto 365-Plänen, wie Office 365 Enterprise E5, terlegt werden müssen.
Bild 1: Haben Sie die Lizenzen bestellt, richten Sie Ihre E-Mail-Domain ein, wobei Sie einen Besitzernachweis der Domain durchführen müssen.
Ist die Domain verifiziert, müssen Sie zu- legen Sie für diese einen eigenen Kontakt nur Richtung Cloud aktualisiert werden
nächst keine weiteren DNS-Einträge set- in der EAC an, sofern Sie DBEB nutzen. und nicht andersherum. Eine genauere
zen. Die Domain steht Ihnen nun zur Beschreibung zur Einrichtung von Azure
weiteren Einrichtung in Microsoft 365 Benutzer anlegen AD Connect finden Sie unter [2].
zur Verfügung. Im nächsten Schritt legen Sie die Empfän-
ger in Microsoft 365 an. Hierbei stehen Ih- Sofern Sie auf eine Synchronisation ver-
Wechseln Sie im nächsten Schritt über nen verschiedene Wege zur Verfügung. Um zichten wollen, legen Sie die Nutzer direkt
die linke Menüleiste in das Admin Center einen Abgleich aller Empfänger zu errei- in der EAC-Seite von EOP unter "Emp-
von EOP. Den Eintrag finden Sie im Me- chen, empfiehlt es sich, die Synchronisation fänger / Kontakte" an. Hier sehen Sie eben-
nüpunkt "Admin Center / Online Pro- des lokale Active Directory zum Azure falls alle aktiven Nutzer. Die Vorbereitun-
tection for Exchange". Beim EOP Admin Active Directory zu nutzen. Die Synchro- gen von EOP sind soweit abgeschlossen
Center handelt es sich ebenfalls um das nisation richten Sie über den "Azure Active und es erfolgt im nächsten Schritt die Kon-
Exchange Administration Center (EAC), Directory Connect" ein. Den Link finden figuration des E-Mail-Routings.
das aber nur Menüpunkte zur Konfigu- Sie am schnellsten in der Übersicht unter
ration von EOP enthält. Passen Sie in der "Benutzer / Aktive Benutzer" in Microsoft E-Mail-Verkehr regeln
EAC zunächst die weiteren Eigenschaften 365. Klicken Sie hier auf "Mehr" und den Um die Verbindung zwischen EOP und
der E-Mail-Domain im Punkt "Nachrich- Punkt "Verzeichnissynchronisierung". Nach Ihrer lokalen E-Mail-Umgebung herzustel-
tenfluss / Akzeptierte Domänen" an. dem Download führen Sie die Installation len, werden zwei Connectoren in EOP be-
auf einem Mitgliedsserver aus. nötigt und einer in der lokalen Umgebung.
Da E-Mails von EOP zur lokalen Exchange- Richten Sie zunächst in Ihrer Exchange-
Umgebung weitergeleitet werden, konfi- Die Installation auf einem Domänencon- Umgebung einen lokalen Send-Connector
gurieren Sie die neue Domain als internes troller ist nicht empfohlen. Während der ein. Dieser sorgt dafür, dass ausgehende E-
Relay. Durch diese Einstellungen werden Einrichtung geben Sie die Credentials ei- Mails über EOP geleitet werden. Wechseln
alle E-Mails für die Domain angenommen nes lokalen Admins und von Microsoft Sie zur Einrichtung in der lokalen EAC
und weitergeleitet. Sollen ungültige Emp- 365 ein. Verwendet das lokale Active Di- zum Punkt "Nachrichtenfluss / Sendcon-
fänger abgelehnt werden, stellen Sie die rectoy einen Namen, der nicht der E- nectors" und starten Sie den Vorgang. Wäh-
Domain auf "Authoritative", sofern alle Mail-Domain entspricht, richten Sie einen rend der Konfiguration geben Sie dem
Empfänger in EOP bekannt sind. Auf diese zusätzlichen UPN ein. Dieser muss im Connector einen sprechenden Namen und
Weise aktivieren Sie das "Directory Based Anschluss bei jedem Benutzer angepasst tragen Sie Ihren EOP-Smarthost ein. Dieser
Edge Blocking" (DBEB). Ungültige E-Mails werden. Nur auf diesem Weg erhalten Sie entspricht Ihrer Domain, wobei die Punkte
werden im Anschluss mit folgendem Fehler eine korrekte Verzeichnissynchronisation. durch Striche ersetzt und um den Syntax
abgelehnt: "550 5.4.1 [InvalidAlias@\Do- Mit dem Synchronization Service Mana- ".mail.protection.outlook.com" ergänzt wer-
main]: Recipient address rejected: Access ger, den Sie im Windows-Menü finden, den. Der Name der Subdomain "eop.schu-
denied". Da Verteilergruppen über Azure können Sie den Status des Abgleiches gut lenburg.co" lauten somit "eop-schulenburg-
AD Connect nicht synchronisiert werden, nachvollziehen. Beachten Sie, dass Nutzer co.mail.protection.outlook.com".
Umstellung des
Bild 2: Mit Azure Active Directory Connect übertragen Sie E-Mail-Verkehrs
lokale Benutzerinformationen zu Microsoft 365. Die Connectoren sind jetzt sowohl in der
lokalen Umgebung als auch in Office 365
Nachvollziehen können Sie den Namen in dass Sie EOP-E-Mails empfangen können. vorbereitet. Um den eingehenden, exter-
den DNS-Einstellungen der Domainkon- Hierfür muss die Verbindung über Port nen E-Mail-Verkehr über EOP zu lenken,
figuration in der Office-365-Administration 25 möglich sein. Exchange steht im Stan- passen Sie den MX-Record bei Ihrem
im Punkt "Domänen". dard bereits auf Empfang, aber die vor- Provider an und tragen Sie den EOP-
gelagerte Firewall muss gegebenenfalls MX-Server Ihrer Subscription "domain-
Zum Testen definieren Sie im Connector angepasst werden. Um die eingehenden tld.mail.protection.outlook.com" ein. Den
zunächst nur eine Zieldomain, zu der über Adressräume beschränken zu können, genauen DNS-Namen finden Sie wieder
den Connector gesendet wird, die restlichen hat Microsoft eine Übersicht der EOP- im Punkt "Domänen" im Microsoft 365
E-Mails werden weiterhin über den Stan- Quellserver veröffentlicht [3]. In der lo- Admin Center und einem Klick auf "DNS
dard-Sendconnector gesendet. Sollte Ihre kalen Umgebung ist damit alles einge- verwalten".
ersten Sendeversuche Richtung EOP mit richtet und im nächsten Abschnitt richten
dem Fehler "550 5.7.606-649 Access denied, wir die Office-365-Connectoren ein. Um den E-Mail-Verkehr nach extern auch
banned sending IP" fehlschlagen, ist Ihre über EOP zu lenken, deaktivieren Sie den
genutzte IP-Adresse blockiert. Diese lässt Wechseln Sie nun in das Admin Center Standard-Internet-Connector und passen
sich über die folgende Seite sehr schnell von EOP zum Punkt "Nachrichtenfluss / Sie bei dem EOP-Connector die Zieldo-
freischalten: "https://sender.office.com/". Connectoren". Hier richten Sie zwei Con- main an, sofern diese noch nicht auf "*"
Dort geben Sie die freizugebene IP-Adresse nectoren ein – einen als Sendeconnector steht. Weiterhin ändern Sie Ihren SPF-
sowie eine administrative E-Mail-Adresse für den Versand zur lokalen Exchange-Um- Eintrag auf den empfohlenen Wert aus
an, die im Anschluss eine Freischaltungs- gebung und den zweiten Connector als der DNS-Konfiguration, damit es hier zu
E-Mail erhält. Empfangsconnector für E-Mails von der keinen Fehlern kommt. Die Einrichtung
lokalen Umgebung. Der Empfangscon- ist damit abgeschlossen und die Anbin-
Ist der Sendeconnector eingerichtet, stel- nector ist schnell eingerichtet: Starten Sie dung eingerichtet. Eine noch ausführli-
len Sie in Ihrer lokalen Umgebung sicher, das Erstellen über das Pluszeichen und chere Beschreibung zum Vorgehen finden
wählen Sie im Bereich "Von" den Eintrag Sie bei Microsoft unter [4].
Link-Codes "E-Mail-Server Ihrer Orgnisation" und bei
"An" den Eintrag "Office 365". Geben Sie Fazit
[1] EOP
dem neuen Connector einen Namen und Microsoft bringt mit seiner Anti-Spam-
js2z1
tragen Sie die externe IP-Adresse der sen- und Anti-Malware-Lösung einen Schutz,
[2] Einrichtung von Azure AD Connect
js2z2
denden Server ein. Ist das geschehen, steht der eine Alternative zur selbstgehosteten
Office 365 auf Empfang und leitet über den Lösung darstellt und der lokale Mailserver
[3] EOP-Quellserver
js2z3 Connector eingehende E-Mails weiter. schnell einbindet. Das Routing der E-
Mails stellt dabei die größte Herausfor-
[4] EOP einrichten
j5z41 Im zweiten Schritt richten Sie einen wei- derung dar, die mit der Anleitung aber
teren Connector ein. Dieses Mal wählen einfach zu nehmen ist. (dr)
Abwesenheits-
management
von Heiko Brenn
M
it Hilfe der PowerShell können Sie nem Windows-Client arbeitet. Darüber ny.net/PowerShell/ -Authentication
in Exchange 2019 viele Aufgaben hinaus soll die Installation zusätzlicher Kerberos -Credential $MyCred
einfach, schnell und standardisiert erle- PowerShell-Module auf dem Client ver-
digen. Das Thema Abwesenheitsmana- mieden werden. Um das zu erreichen, ma- Import-PSSession $Session -Disable-
gement ist hierfür ein gutes Beispiel, denn chen Sie sich das implizite Remoting der NameChecking
nicht nur zur Urlaubszeit gerät das Ein- PowerShell zunutze. Sie greifen damit di-
richten beziehungsweise Anpassen der rekt auf den Exchange-Server zu und füh- Ein erster Test mit dem Cmdlet "Get-Mail-
Out-of-Office-Einstellungen für einzelne ren dort die erforderlichen Cmdlets aus. box" zeigt die Liste aller Exchange-Postfä-
oder mehrere Mitarbeiter immer wieder cher. Somit ist die Verbindung zum Server
zur Herausforderung in den Administra- Zunächst verwenden Sie das Cmdlet erfolgreich hergestellt und wir können uns
tions- und Helpdesk-Teams. "New-PSSession", um eine Verbindung den Abwesenheitseinstellungen widmen.
zum Server "Exchange.company.net" auf-
Obwohl wir uns in diesem Workshop mit zubauen. Für die erfolgreiche Ausführung Bestehende
der On-Premises-Variante von Exchange dieser Cmdlets benötigen Sie ein Benut- Einstellungen abfragen
beschäftigen, sind die aufgeführten Power- zerkonto, das die erforderlichen Rechte Für die Abfrage der aktuellen Einstellun-
Shell-Cmdlets auch für Exchange Online auf diesem Exchange-Server besitzt. Die gen steht das Cmdlet "Get-MailboxAu-
verfügbar. Damit ist gewährleistet, dass Anmeldeinformationen übergeben Sie toReplyConfiguration" zur Verfügung.
einmal erstellte One-Liner und Skripte in dem Cmdlet "Get-Credentials". Damit zeigen Sie beispielsweise Angaben
der Regel sowohl lokal als auch in Hybrid- einzelner Benutzer, aller Benutzer oder
und Cloudumgebungen in gleicher Weise Im letzten Schritt importieren Sie dann Benutzer einer bestimmten Gruppe oder
einsetzbar sind. mit der Ausführung des "Import-PSSessi- OU an. Um die Konfiguration eines ein-
on"-Befehls die Exchange-Cmdlets in un- zelnen Benutzers zu prüfen, nutzen Sie
Verbindung sere lokale PowerShell-Umgebung. Somit den Parameter "-Identity". Für die ein-
zum Server herstellen können Sie aus unserer aktuellen Session deutige Identifizierung eines Users kön-
Damit Sie mit Hilfe der PowerShell Be- direkt auf den Exchange-Server zugreifen. nen Sie hier beispielsweise Name, Alias,
fehle an den Exchange-Server senden Hier ein Beispiel für den gesamten Vor- Distinguished Name oder die E-Mail-
können, müssen Sie zunächst eine Ver- gang in der PowerShell: Adresse verwenden, etwa so:
bindung zu diesem herstellen.
$MyCred = Get-Credential Get-MailboxAutoReplyConfiguration
In unserem Szenario gehen wir davon aus, -Identity thomas@company.net
dass der Exchange-Administrator sich $Session = New-PSSession -Configura-
nicht direkt etwa per RDP auf dem Ex- tionName Microsoft.Exchange -Con- Get-MailboxAutoReplyConfiguration
change-Server anmeldet, sondern auf ei- nectionUri http://Exchange.compa- -Identity Thomas
Get-Mailbox | Get-MailboxAutoReply-
Configuration | Where-Object {
$_.AutoReplyState –eq "scheduled"
-OR $_.AutoReplyState -eq "enab-
led"} | fl identity | Out-file
-filepath C:\test\result.txt
lect-Object" und geben die Namen der write to Sandra@company.net" veranstaltung. Für die Umsetzung benö-
gewünschten Felder an: -ExternalMessage "This user is no tigen wir zunächst eine Datei, die die zu
longer working for us. Please verarbeitenden Benutzer enthält. Zum
Get-Mailbox | Get-MailboxAutoReply- write to Sandra@company.net" Erstellen nutzen Sie zum Beispiel folgen-
Configuration | Select-Object den Befehl:
Identity,Starttime,Endtime,Exter- In einem zweiten Beispiel ist ein Mitar-
nalMessage,InternalMessage | beiter krank geworden und kann die ent- Get-Mailbox |Select-Object Prima-
Out-GridView sprechende Abwesenheit nicht selbst rySmtpAddress | ConvertTo-CSV
erstellen, also übernimmt das die IT-Ver- -NoTypeInformation | Select-Object
Erstellen von waltung. Auf Basis der Krankmeldung ist -Skip 1| %{$_ -replace '"',“”}|
Abwesenheitskonfigurationen nun auch ein Endzeitpunkt für die Ab- out-file C:\test\user.txt
Nachdem Sie bereits einige Möglichkeiten wesenheit bekannt, und die Out-of-Of-
zum Anzeigen vorhandener Abwesen- fice-Konfiguration lässt sich demgemäß Wir erhalten die primären E-Mail-Adres-
heitseinstellungen kennengelernt haben, so einrichten: sen aller Mailboxen als Textdatei. Mit "Se-
geht es nun um die Bearbeitungsmöglich- lect-Object -Skip1" eliminieren wir die
keiten dieser Einstellungen. Dazu schauen Set-MailboxAutoReplyConfiguration Überschrift und mit "%{$_ -replace '"',“”}"
wir uns das Cmdlet "Set-MailboxAuto- -Identity Thomas@company.net werden die Anführungszeichen entfernt.
ReplyConfiguration" etwas näher an. -AutoReplyState Scheduled
-InternalMessage "I'm on sick leave Die Liste können Sie nun über eine For-
Beginnen wir mit dem Erstellen einer Ab- until 12/07/2019. Your email will Each-Schleife verarbeiten. Dabei erstellen
wesenheitsbenachrichtigung für einen not be forwarded. -ExternalMessage Sie für jeden Eintrag in der Textdatei
User. Nehmen wir an, dieser User hat das "I'm on sick leave until 12/07/2019. (sprich: Postfach) die festgelegte Abwe-
Unternehmen verlassen und bei E-Mails Your email will not be forwarded." senheitskonfiguration:
an dieses Postfach sollen dauerhaft Be- -EndTime "12/07/2019 00:00:00"
nachrichtigungen versendet werden. Der $Users = Get-Content
Benachrichtigungstext soll dabei für in- Die Mitteilungen für interne und externe C:\test\user.txt
terne und externe E-Mails identisch sein. Empfänger können Sie hier natürlich im
Der entsprechende Befehl würde dann Bedarfsfall auch unterschiedlich konfi- $(foreach ($User in $Users)
zum Beispiel so aussehen: gurieren.
{Set-MailboxAutoReplyConfiguration
Set-MailboxAutoReplyConfiguration Für unser drittes Beispiel wollen wir Ab- $User –AutoReplyState Scheduled
-Identity Thomas@company.net wesenheitsmitteilungen für mehrerer Be- –StartTime "08/09/2019" –EndTime
-AutoReplyState Enabled nutzer erstellen. Ein Szenario hierfür wäre "10/09/2019" –ExternalMessage "At
-InternalMessage "This user is no beispielsweise eine Schulung für ein ge- the moment I'm attending a trai-
longer working for us. Please samtes Team oder eine Unternehmens- ning event. I will answer your
Bild 3: Auch HTML-Benachrichtigung lassen sich mit den entsprechenden Vorlagen konfigurieren.
email asap." –InternalMessage "At Möglichkeiten zur PowerShell-Skripten im Team. Die benö-
the moment I'm attending a trai- Delegations eruieren tigten Anmelde-Informationen sind im
ning event. I will answer your Sie haben nun Wege kennengelernt, wie Windows Credential Store oder einem
email asap." Administratoren Abwesenheitseinstellun- Passwortserver sicher gespeichert. Der
}) gen anzeigen und erstellen können. Was Benutzer, der eine Abwesenheitskonfi-
aber, wenn diese Aufgaben an Helpdesk- guration erstellen soll, greift mit einer
HTML nutzen Mitarbeiter oder Benutzer in Fachberei- komfortablen Weboberfläche auf die
Bisher haben wir die Benachrichtigungs- chen wie beispielsweise der Personalabtei- Funktionen zu und hat dabei keinerlei
mitteilungen als reine Textnachricht ver- lung delegiert werden sollen? Folgende Berührungspunkte mit der darunterlie-
fasst, aber auch die Verwendung von Fragen sind dabei zunächst zu beleuchten: genden PowerShell-Welt.
HTML ist selbstverständlich möglich. 1. Können die Mitarbeiter mit der Power-
Shell umgehen? Die Oberfläche selbst wird im Übrigen
In diesem Fall ist der HTML-Nachrich- 2. Dürfen/können Sie diesen Mitarbeitern automatisch aus dem jeweiligen Power-
tentext zunächst in einer Datei zu spei- Administrationsberechtigungen für die Shell-Skript erstellt. Damit entfällt zudem
chern. Die Inhalte dieser Datei werden Bearbeitung von Postfächern vergeben? das manuelle Programmieren von GUI-
dann bei der Ausführung von "Set-Mail- Code komplett. Ein weiterer Vorteil ergibt
boxAutoReplyConfiguration" an das Lautet die Antwort auf beide Fragen "Ja", sich aus der Tatsache, dass in der Abwe-
Cmdlet übergeben. können Sie die oben aufgezeigten Mög- senheitsbenachrichtigung Variablen für
lichkeiten problemlos in dieser Form de- Start und Ende der Abwesenheit zur Ver-
In Schritt 1 weisen Sie den Inhalt der vor- legieren. Sollte das nicht der Fall sein, weil fügung stehen.
gefertigten Nachricht der Variable "$mes- die Kollegen zum Beispiel kein Power-
sage" zu: Shell-Know-how besitzen oder aber wenn Diese Variablen werden automatisch aus
die Vergabe der Berechtigungen aus or- den Datumsangaben übernommen. Das
$message = get-content ganisatorischen Gründen nicht möglich vereinfacht das Erstellen einer Out-of-
C:\test\html_oof.txt ist, müssen Sie sich spezielle Werkzeuge Office-Konfiguration zusätzlich und sorgt
zu Nutze machen. Diese sollten folgende außerdem dafür, dass zukünftig die Be-
Danach konfigurieren Sie "$message" bei Eigenschaften mitbringen: nachrichtigungen immer mit korrekten
externen und internen Nachrichten: 1. Zentrale Ausführung und Überwa- und aktuellen Datumsinformationen das
chung aller PowerShell-Skripte Haus verlassen.
Set-MailboxAutoReplyConfiguration 2. Zentrale und sichere Speicherung der
-Identity Nora –AutoReplyState erforderlichen Credentials zur Ausfüh- Fazit
Scheduled –StartTime "08/09/2019" rung der PowerShell Die PowerShell ist ein hervorragendes
–EndTime "10/09/2019" –External- 3. Ausführung von PowerShell-Skripten Werkzeug für die einfache Umsetzung
Message $message –InternalMessage auch für Nicht-PowerShell-Experten wiederkehrender Aufgaben bei der Ex-
$message change-Administration. Mit entsprechen-
Diese Punkte sind beispielsweise mit der den Erweiterungen ist es aber auch eine
Führen Sie nun "Get-MailboxAutoReply- Software ScriptRunner sehr einfach um- perfekte Basis für die sichere und kom-
Configuration" für diesen Benutzer aus, setzbar. Hierbei werden alle PowerShell- fortable Delegation festgelegter Anwen-
sehen Sie ein Ergebnis wie in Bild 3. Ist die Skripte zentral gespeichert, verwaltet und dungsfälle an Mitarbeiter und Teams au-
Durchführung der gewünschten Aufgaben ausgeführt. ßerhalb der IT-Administration. (ln)
beendet, schließen Sie mit Remove-PSSes-
sion -ID n die aktuelle Session. Die ID der Darüber hinaus ermöglicht dieser Ansatz Heiko Brenn ist Head of International Busi-
Session erhalten Sie mit Get-PSSession. auch das gemeinsame Entwickeln von ness bei der ScriptRunner Software GmbH.
– 123RF
a
pova Valeriy
Clientmanagement
Quelle: Pota
Stationäre und mobile Rechner
administrieren und absichern
Impressum
Redaktion Produktion / Verlag / Herausgeber digitalen oder analogen Medien, nur mit So erreichen Sie den Leserservice
John Pardey (jp), Anzeigendisposition Heinemann Verlag GmbH schriftlicher Genehmigung des Verlags. Leserservice IT-Administrator
Chefredakteur, verantwortlich Lightrays: Leopoldstraße 87 Aus der Veröffentlichung kann nicht Stephan Orgel
für den redaktionellen Inhalt Andreas Skrzypnik, Lorenz Mueller 80802 München geschlossen werden, dass die beschrie- 65341 Eltville
john.pardey@it-administrator.de dispo@it-administrator.de Tel.: 089/4445408-0 benen Lösungen oder verwendeten Tel.: 06123/9238-251
Tel.: 089/4445408-88 Fax: 089/4445408-99 Bezeichnungen frei von gewerblichen Fax: 06123/9238-252
Daniel Richey (dr), Fax: 089/4445408-99 (zugleich Anschrift Schutzrechten sind. E-Mail: leserservice@it-administrator.de
Stellv. Chefredakteur/CvD Titelbild: Dmitri Luchinovich – 123RF aller Verantwortlichen)
daniel.richey@it-administrator.de Haftung Bankverbindung für Abonnenten
Druck Kontoinhaber: Heinemann Verlag
Lars Nitsch (ln), Web: www.heinemann-verlag.de Für den Fall, dass in IT-Administrator
Brühlsche Universitätsdruckerei Volksbank Raiffeisenbank
Schlussredakteur/Textchef E-Mail: info@heinemann-verlag.de unzutreffende Informationen oder in
GmbH & Co. Kg Rosenheim-Chiemsee eG
lars.nitsch@it-administrator.de veröffentlichten Programmen, Zeich-
Am Urnenfeld 12 IBAN: DE08 7116 0000 0102 6181 50
Eingetragen im Handelsregister des nungen, Plänen oder Diagrammen Feh-
35396 Gießen BIC: GENODEF1VRR
Janek Müller (jm), Amtsgerichts München unter ler enthalten sein sollten, kommt eine
Volontär HRB 151585. Haftung nur bei grober Fahrlässigkeit
Vertrieb So erreichen Sie die Redaktion
janek.mueller@it-administrator.de des Verlags oder seiner Mitarbeiter in
Anne Kathrin Heinemann Redaktion IT-Administrator
Geschäftsführung / Betracht. Für unverlangt eingesandte
Autoren dieses Sonderhefts Vertriebsleitung Heinemann Verlag GmbH
Anteilsverhältnisse Manuskripte, Produkte oder sonstige
Heiko Brenn, Thomas Joos, Dr. Christian kathrin@it-administrator.de Leopoldstr. 87
Geschäftsführende Gesellschafter zu Waren übernimmt der Verlag keine
Knermann, Christian Schulenburg Tel.: 089/4445408-20 80802 München
gleichen Teilen sind Anne Kathrin Haftung.
Tel.: 089/4445408-10
und Matthias Heinemann. Fax: 089/4445408-99
Anzeigen Abo- und Leserservice Manuskripteinsendungen
Anne Kathrin Heinemann, E-Mail: redaktion@it-administrator.de
Vertriebsunion Meynen GmbH & Co. KG Die Redaktion nimmt gerne Manuskrip-
Anzeigenleitung, verantwortlich Stephan Orgel ISSN
te an. Diese müssen frei von Rechten So erreichen Sie die Anzeigenabteilung
für den Anzeigenteil Große Hub 10 1614-2888 Dritter sein. Mit der Einsendung gibt der Anzeigenverkauf IT-Administrator
kathrin@it-administrator.de 65344 Eltville Verfasser die Zustimmung zur Verwer- Anne Kathrin Heinemann
Tel.: 089/4445408-20 Urheberrecht tung durch die Heinemann Verlag Heinemann Verlag GmbH
leserservice@it-administrator.de Alle in IT-Administrator erschienenen GmbH. Sollten die Manuskripte Dritten
Es gilt die Anzeigenpreisliste Leopoldstr. 87
Tel.: 06123/9238-251 Beiträge sind urheberrechtlich ge- ebenfalls zur Verwertung angeboten
Nr. 16 vom 01.11.2018 80802 München
Fax: 06123/9238-252 schützt. Alle Rechte, einschließlich Über- worden sein, so ist dies anzugeben. Die
setzung, Zweitverwertung, Lizenzierung Redaktion behält sich vor, die Manu- Tel.: 089/4445408-20
Internet vorbehalten. Reproduktionen und Ver- skripte nach eigenem Ermessen zu bear- Fax: 089/4445408-99
www.it-administrator.de breitung, gleich welcher Art, ob auf beiten. Honorare nach Vereinbarung. E-Mail: kathrin@it-administrator.de
+ Zwei Sonderhefte
im Print- & E-Paper-Format
117mm aussen
18mm innen
Jahres-CD
Microsoft Azure
Stack HCI
Jetzt erhältlich!
& '*
thomas-krenn.com/serie