Thomas Joos
Microsoft Windows Small Business Server 2008 – Das Handbuch
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Thomas Joos
Microsoft Windows Small Business Server 2008 – Das Handbuch
Thomas Joos: Microsoft Windows Small Business Server 2008 – Das Handbuch Microsoft Press Deutschland, Konrad-Zuse-Str. 1, 85716 Unterschleißheim Copyright © 2009 by Microsoft Press Deutschland
Das in diesem Buch enthaltene Programmmaterial ist mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. Autor, Übersetzer und der Verlag übernehmen folglich keine Verantwortung und werden keine daraus folgende oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieses Programmmaterials oder Teilen davon entsteht. Das Werk einschließlich aller Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die in den Beispielen verwendeten Namen von Firmen, Organisationen, Produkten, Domänen, Personen, Orten, Ereignissen sowie E-Mail-Adressen und Logos sind frei erfunden, soweit nichts anderes angegeben ist. Jede Ähnlichkeit mit tatsächlichen Firmen, Organisationen, Produkten, Domänen, Personen, Orten, Ereignissen, E-Mail-Adressen und Logos ist rein zufällig.
15 14 13 12 11 10 9 8 7 6 5 4 3 2 11 10 09 ISBN 978-3-86645-126-1 © Microsoft Press Deutschland (ein Unternehmensbereich der Microsoft Deutschland GmbH) Konrad-Zuse-Str. 1, D-85716 Unterschleißheim Alle Rechte vorbehalten Fachlektorat: Georg Weiherer, Münzenberg Korrektorat: Dorothee Klein, Judith Klein, Siegen Layout und Satz: Cordula Winkler, mediaService, Siegen (www.media-service.tv) Umschlaggestaltung: Hommer Design GmbH, Haar (www.HommerDesign.com) Gesamtherstellung: Kösel, Krugzell (www.KoeselBuch.de)
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Übersicht Vorwort
23
.............................................................................
1
Neuerungen und Lizenzierung
2
Planen und Einführen von Small Business Server 2008
3
Installieren von Small Business Server 2008
4
Konfigurieren der Grundeinstellungen
5
Datenträgerverwaltung
6
Verwalten von Datei- und Druckservern
...................................
209
7
Benutzer- und Computerverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
307
8
Erste Schritte mit Exchange Server 2007
385
9
Exchange-Speicher und öffentliche Ordner verwalten
25
............................................... .................
55
...............................
83
.....................................
115
.........................................................
179
.................................. .................
427
............................
459
....................................
509
............................................
523
10
Exchange-Clientanbindung intern und extern
11
Spamschutz und Nachrichtensicherheit
12
Einsetzen von Gruppenrichtlinien
13
Windows SharePoint Services 3.0 mit SP1
14
WSUS 3.0 SP1 – Schnelleinstieg
15
Datensicherung und -wiederherstellung
16
Systemüberwachung und Fehlerbehebung
17
Neue Sicherheitsfunktionen
.................................
585
..............................................
609 631
................................... ...............................
689
...................................................
739
18
Verwalten von Netzwerkrichtlinien- und Zugriffsdiensten . . . . . . . . . . . . .
773
19
Integrieren eines zusätzlichen Servers in das Small Business Server-Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
833
5
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Übersicht
20
Windows PowerShell
21
Webserver – IIS 7.0
22
Virtualisierung mit Hyper-V
23
Migrieren zu Small Business Server 2008
A
.............................................................
905
...............................................................
927
....................................................
Inhalt der CD-ROM zum Buch Stichwortverzeichnis Der Autor
987
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1025
...............................................
1055
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1059
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1071
6
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Inhaltsverzeichnis Vorwort 1
23
.............................................................................
Neuerungen und Lizenzierung
25 26 26 27 28 32 38 42 46 47 48 49 50 51 52 53 53
...............................................
Allgemeine Fragen zum Small Business Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wichtige Neuerungen von Small Business Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Neuerungen und Editionen im Vergleich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Was ist neu in Windows Server 2008 für Small Business Server 2008? . . . . . . . . . . . . . . . . . . Neue Netzwerkfeatures in Windows Server 2008 und Windows Vista . . . . . . . . . . . . . . . . . . Was ist neu in Exchange Server 2007? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Neuerungen in SQL Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows SharePoint Services 3.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Small Business Server 2008 und die benötigte Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einschränkungen und Besonderheiten von Small Business Server 2008 . . . . . . . . . . . . . . . . Lizenzieren von Small Business Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Geräte-Lizenzen (Device CALs) oder Benutzer-Lizenzen (User CALs) . . . . . . . . . . . . . . . . . . Beispielhafte Einsatzszenarien für Lizenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Lizenzierung beim Einsatz von Terminalserver und Small Business Server 2008 . . . . . . . . Downgraderechte zu älteren Editionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Planen und Einführen von Small Business Server 2008
55 56 56 57 59 60 61 61 61 62 62 66 66 67 67 67 68 69 69
.................
Die optimale Server-Hardware für Small Business Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . Auswahl der Servermarke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . RAID-Systeme für Datenträger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Datenträger-Auswahl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Arbeitsspeicher für Small Business Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ausfallsicherheit planen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Serverschrank oder Aufstellungsort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . KVM (Keyboard, Video, Mouse)-Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Netzwerk-Infrastruktur planen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Funknetzwerke – Wireless LAN für Client-PCs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Unterbrechungsfreie Stromversorgung (USV) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . USV-Varianten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kaufberatung USV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Internetzugang planen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Upstream und Downstream beachten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Welche Tarife bieten die Provider an? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anbindung von Small Business Server 2008 an das Internet planen . . . . . . . . . . . . . . . . . . . . E-Mail-Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Inhaltsverzeichnis
Datensicherung mit Hard- und Software planen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hardware für die Datensicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autoloader und Libraries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Software zur Datensicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Virenschutz planen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Virenschutz im Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Virenschutz auf Arbeitsstationen und Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Viren- und Spamschutz für Exchange Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planung des Serverraums . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planung der Benutzeranbindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Active Directory planen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planen der Exchange Server-Verwendung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anforderungen der Benutzer planen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planen der Verteilerlisten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planen der öffentlichen Ordner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Installieren von Small Business Server 2008
................................
Vorbereitungen für die Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installieren des Betriebssystems auf dem Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Grundinstallation von Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Fortsetzen der Installation und der SBS-Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Notwendige Nacharbeiten zur Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Service Pack 2 für Windows Server 2008 installieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Benutzerkontensteuerung konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Treiber und Hardware installieren und verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aktivierung von Small Business Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows Server 2008-Startoptionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anpassen des Bootmenüs – es gibt keine Datei boot.ini mehr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden von bcdedit.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows Server 2008-Bootmanager reparieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hintergrundinformationen zum Installationsmechanismus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Konfigurieren der Grundeinstellungen
......................................
Das Netzwerk- und Freigabecenter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der Netzwerkverbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der Netzwerkstandorte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SBS mit dem Internet verbinden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Internetadresse für Exchange und Remote-Webarbeitsplatz . . . . . . . . . . . . . . Arbeiten mit dem Server-Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Server über das Netzwerk verwalten – Remotedesktop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aktivieren des Remotedesktops . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verbindungsaufbau über Remotedesktop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zurücksetzen von getrennten Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Verbindungsmöglichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Heraufstufen der Funktionsebene von Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
69 70 70 71 71 71 72 73 73 75 75 78 79 80 81 82 83 84 85 85 89 91 91 93 95 104 106 109 110 112 113 113 115 116 117 118 119 122 124 128 128 129 130 132 138
8
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Inhaltsverzeichnis
5
Konfiguration der Auslagerungsdatei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Diagnose des Servers und von Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfung der Ereignisanzeigen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows Small Business Server 2008 Best Practices Analyzer . . . . . . . . . . . . . . . . . . . . . . . . . . Exchange Server Best Practices Analyzer (ExBPA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden der Domänencontroller-Diagnose (dcdiag.exe) . . . . . . . . . . . . . . . . . . . . . . . . . . . . Testen der Namensauflösung mit nslookup.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen der Active Directory-Standorte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen der Domänencontroller-Liste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen der Active Directory-Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Domänenkonto der Domänencontroller überprüfen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen der administrativen Freigaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen der Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS-Einträge von Active Directory überprüfen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Testen der Betriebsmaster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Small Business Server 2008 als DHCP-Server einsetzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Festlegen der Leasedauer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Grundkonfiguration eines DHCP-Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Netzwerkverbindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von DHCP-Bereichen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Statische IP-Adressen reservieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusätzliche DHCP-Einstellungen vornehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten und Optimieren der DHCP-Datenbank . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ausfallsicherheit für DHCP-Server unter Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Internetprotokoll Version 6 – IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorteile von IPv6 gegenüber IPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aufbau und Grundlagen von IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Small Business Server 2008 und Windows Vista nutzen IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration von IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration von IPv6 in der Befehlszeile mit netsh.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Deaktivieren von IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Network Diagnostics Framework (NDF) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
140 142 142 143 144 147 150 151 151 152 152 154 155 155 156 160 160 161 163 164 165 166 167 168 171 172 173 173 174 175 177 177 178
Datenträgerverwaltung
179 181 184 188 188 188 190 191 195 196 197 198 200
.........................................................
Einrichten von Datenträgern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Laufwerken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verkleinern und Erweitern von Datenträgern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verkleinern von Partitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erweitern von Partitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Datenträgern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden von Schattenkopien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SBS-Daten auf neue Datenträger optimal verschieben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verbindungspunkte in NTFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Befehlszeilentools für die Verwaltung von Dateiservern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Festplattenverwaltung in der Befehlszeile mit DiskPart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen von virtuellen Laufwerken mit Subst.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Inhaltsverzeichnis
6
Anzeigen der geöffneten Dateien in der Befehlszeile – Openfiles.exe . . . . . . . . . . . . . . . . . . . . . Weitere Befehlszeilentools für die Datenträgerverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Der neue Windows-Explorer und die neue Windows-Suche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
201 201 206 208
Verwalten von Datei- und Druckservern
209 211 213 215 216 217 219 219 220 220 221 222 225 226 235 236 237 238 238 238 241 242 242 244 248 251 254 254 257 258 260 264 267 268 270 270 271 271 273 276 278 279 280
....................................
Verzeichnisse mit der Windows SBS Console freigeben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Berechtigungen für Dateien und Verzeichnisse verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erweiterte Berechtigungen auf Verzeichnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Besitzer für ein Objekt festlegen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vererbung von Berechtigungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Effektive Berechtigungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Berechtigungen für Benutzer und Gruppen verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überwachen von Dateien und Verzeichnissen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aktivierung der Überwachung von Dateisystemzugriffen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anzeigen des Überwachungsprotokolls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Freigeben von Verzeichnissen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Versteckte Freigaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Freigaben mit der Windows SBS Console erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anzeigen aller Freigaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Auf Freigaben über das Netzwerk zugreifen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden von net use . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Freigaben auf ein anderes Laufwerk verschieben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Robocopy – Robust File Copy Utility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Befehlszeilen-Referenz von Robocopy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anmerkungen zum Umgang mit Robocopy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Grafische Oberflächen für Robocopy – CopyRite XP und Robocopy GUI . . . . . . . . . . . . . . . . . Ressourcen-Manager für Dateiserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kontingentverwaltung mit dem FSRM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dateiprüfungsverwaltung im FSRM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Speicherberichteverwaltung im FSRM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Organisieren und Replizieren von Freigaben über DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einführung und wichtige Informationen beim Einsatz von DFS . . . . . . . . . . . . . . . . . . . . . . . . Voraussetzungen für DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installieren und Einrichten von DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einrichten eines DFS-Namespace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einrichten der DFS-Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen eines Diagnoseberichts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Encrypting File System (EFS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Die Funktionsweise von EFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verschlüsselung für mehrere Personen nutzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wann EFS nicht genutzt werden sollte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wiederherstellen von verschlüsselten Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Offlinedateien für den mobilen Einsatz unter Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Arbeiten mit Offlinedateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Synchronisieren der Offlinedateien mit dem Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Speicherplatzverwendung von Offlinedateien . . . . . . . . . . . . . . . . . . . . . . . . Verschlüsseln von Offlinedateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Inhaltsverzeichnis
7
Network File System (NFS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Identitätsverwaltung für UNIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Server/Client für UNIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Druckserver einrichten und verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zugreifen auf freigegebene Drucker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Druckjobs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Druckverwaltungs-Konsole – Die Zentrale für Druckserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kostengünstige Wege zur PDF-Erstellung im Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Professionelle PDFs mit Bullzip PDF Printer erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PDFs aus Office-Programmen erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PDF-Dateien mit Freeware lesen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Faxserver verwenden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installieren der notwendigen Hardware für den Faxdienst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration auf den Arbeitsstationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Faxen auf den Arbeitsstationen konfigurieren und testen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
281 283 286 288 290 291 291 296 296 298 298 299 300 303 304 305
Benutzer- und Computerverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
307 308 308 314 314 316 316 320 325 326 331 332 333 336 338 342 344 346 347 350 352 353 355 357 357 358 360 366
Verwalten von Benutzern in der Windows SBS Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anlegen eines neuen Benutzerkontos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen und Verwalten von Benutzerrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen und Verwalten von Gruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erweiterte Benutzer-, Gruppen- und Adresslistenverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen und Verwalten von Raum- und Gerätepostfächern . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Benutzerpostfächern in der Exchange-Verwaltungskonsole . . . . . . . . . . . . . Kontakte verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verteilergruppen verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Adresslisten verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Offlineadresslisten verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Standard-Container in Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Die wichtigsten Administratorkonten in Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Active Directory-Benutzerverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Benutzerverwaltung für Terminalserverbenutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Benutzerprofilen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Allgemeines zu Ordnerumleitungen und servergespeicherten Profilen . . . . . . . . . . . . . . . . . . Änderungen in den Benutzerprofilen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verbindungspunkte (Junction Points) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kompatibilität mit Profilen von älteren Windows-Versionen . . . . . . . . . . . . . . . . . . . . . . . . . . Anlegen von neuen servergespeicherten Profilen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Festlegen von servergespeicherten Profilen für Benutzer in Active Directory . . . . . . . . . . . . Benutzerprofile für Terminalserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verbindliche Profile (Mandatory Profiles) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gruppen verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Computerkonten in Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Suchen nach Informationen in Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Inhaltsverzeichnis
8
Delegieren von Administrationsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Szenario: Delegierung zum administrativen Verwalten einer Organisationseinheit . . . . . . . Installieren der Verwaltungsprogramme für die delegierten Aufgaben . . . . . . . . . . . . . . . . . . Windows Vista und Active Directory-Domänen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Notwendige Netzwerkeinstellungen für die Domänenaufnahme . . . . . . . . . . . . . . . . . . . . . . . . Erweiterte Netzwerkeinstellungen für die Domänenaufnahme . . . . . . . . . . . . . . . . . . . . . . . . . . Manuelles Erstellen eines Computerkontos für den PC in der Domäne . . . . . . . . . . . . . . . . . Erste Anmeldung an der Windows-Domäne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erste Schritte in der Windows-Domäne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Minianwendung für Small Business Server für Sidebar verwalten . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
368 369 371 371 372 374 376 378 379 380 384
Erste Schritte mit Exchange Server 2007
385 387 391 393 395 396 397 397 399 401 406 406 408
...................................
Erster Blick in die Exchange-Verwaltungskonsole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einführung in die Exchange-Verwaltungsshell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erster Einblick in die neuen Strukturen der Exchange-Datenbanken . . . . . . . . . . . . . . . . . . . . . . . Clientzugriff testen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Allgemeine Informationen zu Serverrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Systemdienste und -Verzeichnisse von Exchange Server 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Systemdienste von Exchange Server 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verzeichnisstruktur von Exchange Server 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der E-Mail-Domänen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sende- und Empfangsconnectoren auf Hub-Transport-Servern konfigurieren . . . . . . . . . . . . . . Sendeconnectoren verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Empfangsconnectoren verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anpassen der standardmäßigen SMTP-Meldung eines Exchange Servers (SMTP-Banner) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Fehlerbehebung bei Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E-Mail-Warteschlangen (Queues) verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erster Einblick in die Warteschlangenanzeige . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Warteschlangen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nachrichtenverfolgung mit Small Business Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SMTP zur Diagnose für Fortgeschrittene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Transport- und Journalregeln für den Nachrichtenfluss erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . E-Mail-Adressenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . POP3-Connector in Small Business Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Exchange-Speicher und öffentliche Ordner verwalten
..................
Einführung in die Datenbankstruktur von Exchange in Small Business Server 2008 . . . . . . . . . Speichergruppen verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Allgemeine Informationen zu Speichergruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Speichergruppen und Transaktionsprotokollen . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden der fortlaufenden lokalen Replikation (LCR) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Empfehlungen für den Einsatz der fortlaufenden lokalen Datensicherung . . . . . . . . . . . . . . . Einrichten und Verwalten der fortlaufenden Datensicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . Wiederherstellen einer Datenbank aus der LCR-Sicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
409 410 411 412 413 414 417 420 422 425 426 427 428 429 429 431 435 435 436 439
12
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Inhaltsverzeichnis
10
Postfachdatenbanken und Datenbanken für öffentliche Ordner . . . . . . . . . . . . . . . . . . . . . . . . . . . Anlegen eines neuen Postfachspeichers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ändern des Speicherorts von Postfach- und öffentlichen Ordner-Datenbanken . . . . . . . . . Verwalten von Postfachdatenbanken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Datenbanken für öffentliche Ordner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Warten von Exchange-Datenbanken mit Eseutil.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Starten von Eseutil auf einem anderen Computer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Offline-Defragmentierung einer Exchange-Datenbank . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen der fortlaufenden Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Notfalllösungen für die Datenbank . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dateien aus Exchange-Datenbanken in PST-Dateien exportieren . . . . . . . . . . . . . . . . . . . . . . . . . . Öffentliche Ordner einrichten und verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen und Verwalten von öffentlichen Ordnern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von öffentlichen Ordnern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen von Top-Level-öffentlichen Ordnern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Öffentliche Ordner in der Exchange-Verwaltungskonsole verwalten . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
440 440 440 440 445 445 446 448 449 449 451 451 451 452 456 457 458
Exchange-Clientanbindung intern und extern
459 460 460 461 462 463 467 469 473
............................
Neue Funktionen in Outlook 2007 zusammen mit Small Business Server 2008 . . . . . . . . . . . . . Abwesenheits-Assistent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autodiscover und AutoConnect von Outlook 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Startoptionen von Outlook 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DynDNS für den Internetzugang mit dynamischen IP-Adressen nutzen . . . . . . . . . . . . . . . . . . . Zertifikate und die Veröffentlichung des Exchange-Zugangs verstehen . . . . . . . . . . . . . . . . . . . . . Konfigurieren von SSL für Outlook Web Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Importieren des Zertifikats auf einem Client-PC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Importieren eines Zertifikats und Konfigurieren der vertrauenswürdigen Stammzertifizierungsstelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sicherheitszertifikate unter Windows Mobile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden des selbstsignierten Zertifikats in Small Business Server 2008 . . . . . . . . . . . . . . . Outlook Web Access (OWA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aktivieren und Deaktivieren des OWA-Zugriffs für Benutzerkonten . . . . . . . . . . . . . . . . . . . Weitere Neuerungen in der Bedienung von Outlook Web Access . . . . . . . . . . . . . . . . . . . . . . Verwalten der virtuellen Verzeichnisse von Outlook Web Access 2007 . . . . . . . . . . . . . . . . . Verwalten des Daten- und Dateizugriffs in Outlook Web Access . . . . . . . . . . . . . . . . . . . . . . . Anpassen des Outlook Web Access-Themes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Outlook Anywhere (RPC über HTTP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aktivieren von Outlook Anywhere . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration von Outlook 2003/2007 für Outlook Anywhere . . . . . . . . . . . . . . . . . . . . . . . . . Exchange ActiveSync (EAS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Allgemeine Infos zu EAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aktivieren von ActiveSync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Exchange ActiveSync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Benutzerverwaltung für die mobilen Dienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren eines Smartphones für Exchange ActiveSync . . . . . . . . . . . . . . . . . . . . . . . . . . . . Troubleshooting Exchange ActiveSync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
475 476 476 477 478 479 480 483 485 486 487 488 493 494 494 495 496 497 499 13
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Inhaltsverzeichnis
11
Remote Wipe – ferngesteuertes Löschen eines Endgeräts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Exchange ActiveSync-Postfachrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden von POP3 oder IMAP4 für den mobilen Verbindungsaufbau . . . . . . . . . . . . . . . . . . . POP3 und IMAP4 im Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aktivieren von POP3 und IMAP4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Der Remote-Webarbeitsplatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Über Remote-Webarbeitsplatz mit dem Arbeitsplatz-PC verbinden . . . . . . . . . . . . . . . . . . . . . Konfigurieren des Remote-Webarbeitsplatzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Office Live Small Business Website . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
500 500 501 502 502 503 504 505 506 507
Spamschutz und Nachrichtensicherheit
509 510 511 511 513 515 517 518 519 520 520 520 521
.....................................
Spam Confidence Level (SCL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der Antispam-Agenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Absenderfilterung konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden der Absenderzuverlässigkeits-Filterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verbindungsfilter konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Empfängerfilterung konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden der Inhaltsfilterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden der E-Mail-Poststempelüberprüfung von Outlook . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden der Sender-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Phishing- und Spamschutz in Outlook 2003 SP2/Outlook 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . Spamschutz für Verteilergruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Einsetzen von Gruppenrichtlinien
............................................
Lokale Sicherheitsrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Neue lokale Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gruppenrichtlinien verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gruppenrichtlinien – Grundlagen und Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Neuerungen in den Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Neue administrative Vorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kompatibilität zwischen ADM- und ADMX-Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Voraussetzungen für die Bearbeitung von GPOs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Administration von domänenbasierten GPOs mit ADMX-Dateien . . . . . . . . . . . . . . . . . . . . . Beschreibung der wichtigsten neuen Gruppenrichtlinien-Einstellungen . . . . . . . . . . . . . . . . . Steuerung der Anbindung von USB-Sticks über Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . Aktualisierte Gruppenrichtlinien und weitere Neuerungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Standardgruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gruppenrichtlinien mit der Gruppenrichtlinienverwaltung konfigurieren und verwalten . . . Neue Gruppenrichtlinie – Internet Explorer-Einstellungen verteilen . . . . . . . . . . . . . . . . . . . . Gruppenrichtlinien erzwingen und Priorität erhöhen – Kennwortkonfiguration für die Anwender . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vererbung für Gruppenrichtlinien deaktivieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Datensicherung von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sichern von Gruppenrichtlinien in der GPMC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der Datensicherung von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
523 524 525 526 527 528 528 531 533 533 534 538 539 541 541 543 551 556 558 558 559
14
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Inhaltsverzeichnis
13
Wiederherstellen von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kopieren von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Importieren von Gruppenrichtlinien in eine neue Gruppenrichtlinie . . . . . . . . . . . . . . . . . . . Gruppenrichtlinienmodellierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anmelde- und Abmeldeskripts für Benutzer und Computer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Softwareverteilung über Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Fehlerbehebung und Tools für den Einsatz von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . Geräteinstallation mit Gruppenrichtlinien konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Geräteidentifikationsstring und Gerätesetupklasse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gruppenrichtlinien-Einstellungen für die Geräteinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration von Gruppenrichtlinien für den Zugriff auf Wechselmedien . . . . . . . . . . . . . AutoIt – Einstellungen und Softwareinstallationen automatisieren . . . . . . . . . . . . . . . . . . . . . . . . Automatisierung leicht gemacht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Das Erstellen von Skripts mit AutoIt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Eigene grafische Oberflächen erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
561 561 564 565 567 570 572 573 573 575 578 580 580 582 582 584
Windows SharePoint Services 3.0 mit SP1
585 586 590 592 593 594 595 597 598 599 600
.................................
Einführung in Windows SharePoint Services 3.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Benutzerberechtigungen in SharePoint Services zuweisen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Praxisbeispiele für SharePoint Services 3.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SharePoint Services erweitern mit zusätzlichen Vorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erweiterungen herunterladen und installieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erweiterungen konfigurieren und verwenden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Webseiten einfach erweitern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen von Blogs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Webparts in Webseiten einfügen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Seiteninhalte konfigurieren und einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SharePoint und Outlook verwenden – Erstellen einer Besprechung mit Besprechungsarbeitsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Benutzerverwaltung und Berechtigungen steuern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Design der SharePoint Services anpassen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Office 2007 mit SharePoint verwenden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
WSUS 3.0 SP1 – Schnelleinstieg
..............................................
Updates für Client und Server verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorteile des Patchmanagements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Microsoft Baseline Security Analyzer (MBSA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Neuerungen und Voraussetzungen für WSUS 3.0 SP1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anbinden der Client-Computer über Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Neue Gruppenrichtlinien-Vorlage für WSUS 3.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gruppenrichtlinien für die Anbindung von Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problemlösungen bei der Client-Anbindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Genehmigen und Bereitstellen von Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . WSUS in der Befehlszeile verwalten – WSUSUtil.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
601 603 605 605 607 609 610 612 613 615 621 621 622 626 628 629 630 15
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Inhaltsverzeichnis
15
Datensicherung und -wiederherstellung
....................................
Grundlagen und Konzepte zur Datensicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hardware für die Datensicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sicherungsstrategien konzeptionieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Datensicherung mit Bordmitteln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Die Windows Server-Sicherung im Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Daten mit dem Sicherungsprogramm wiederherstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kompletten Server mit dem Sicherungsprogramm wiederherstellen . . . . . . . . . . . . . . . . . . . . . . . . Bluescreens verstehen und beheben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ursachenforschung bei Bluescreens betreiben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bluescreens vs. Blackscreens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows-Einstellungen für Bluescreens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Den Fehlern bei Bluescreens mit Zusatztools auf der Spur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Datensicherung und Wiederherstellung von Exchange-Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einführung in die Datensicherung von Exchange Server 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . Online-Sicherung einer Exchange-Datenbank . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Offline-Sicherung von Exchange Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wiederherstellen von Postfachdatenbanken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wiederherstellen einer Offline-Sicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration der Aufbewahrungszeit für gelöschte Elemente und Postfächer . . . . . . . . . . . Exchange-Tools für die Datensicherung und Wiederherstellung . . . . . . . . . . . . . . . . . . . . . . . . Die Datenbankwiederherstellungs-Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Isinteg.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Active Directory-Datensicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Active Directory sichern und wiederherstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wiederherstellen von Active Directory-Daten aus der Datensicherung . . . . . . . . . . . . . . . . . . Offline-Defragmentation der Active Directory-Datenbank . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reparieren der Active Directory-Datenbank . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen von Snapshots der Active Directory-Datenbank . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Freeware-Tools für die Sicherung und Überwachung von Active Directory . . . . . . . . . . . . . . . . . Objekte aus Active Directory wiederherstellen mit ADRestore . . . . . . . . . . . . . . . . . . . . . . . . . Active Directory Explorer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Insight for Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Object Restore For Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anzeigen der geöffneten Ports mit TCPView . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Free PowerShell Commands for Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Quest Spotlight on Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Systemüberwachung und Fehlerbehebung
................................
Ereignisanzeige – Fehlerbehebung in Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Berichte erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überwachung der Systemleistung – Zuverlässigkeits- und Leistungsüberwachung . . . . . . . . . . . Der Systemmonitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Beobachten der Indikatorendaten in Systemmonitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sammlungssätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
631 632 632 632 638 640 647 648 650 651 653 655 656 657 657 659 661 663 665 668 669 669 671 672 673 675 678 679 680 680 680 682 683 683 684 685 686 688 689 690 696 698 700 702 702
16
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Inhaltsverzeichnis
17
Leistungsüberwachung für Fortgeschrittene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Speicherengpässe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Die Prozessorauslastung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zuverlässigkeitsüberwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Der Task-Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Diagnose des Arbeitsspeichers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Die Systemkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Neue Aufgabenplanung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Neuerungen bei der Aufgabenplanung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen einer neuen Aufgabe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusatztools für die Systemüberwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Process Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Den Systembremsen auf der Spur – Autoruns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Der Super-Task Manager – Process Explorer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sysinternals-Sicherheitstools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Effiziente Inventarisierung mit LOGINventory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Look@LAN – Überwachung und Dokumentation der Netzwerkgeräte und Computer . . . . The Dude – die kostenlose Netzwerkübersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
704 704 706 707 709 715 716 718 720 722 722 722 723 723 726 728 732 735 737
Neue Sicherheitsfunktionen
739 740 740 742 744 745 745 747 750 751 756 760 761 761 762 763 763 764 764 765 765 765 766 766 767 767
...................................................
Neuerungen im Betriebssystemkern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Benutzerkontensteuerung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sicherheit mit der Windows SBS Console überwachen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . BitLocker-Laufwerkverschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Voraussetzungen für BitLocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Die Funktionsweise von BitLocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einrichtung von BitLocker auf einem neuen Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aktivieren und Initialisieren von TPM in Small Business Server 2008 . . . . . . . . . . . . . . . . . . Aktivieren der BitLocker-Laufwerkverschlüsselung mit und ohne TPM . . . . . . . . . . . . . . . . Aktivieren von BitLocker bei bereits installiertem Small Business Server 2008 . . . . . . . . . . Rettungsmöglichkeiten zur Wiederherstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ausschalten von BitLocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . BitLocker und Active Directory-Domänen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dateiausführungsverhinderung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Arbeitsstationen im SBS-Netzwerk mit Freeware absichern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Schädlinge zuverlässig mit HitmanPro entfernen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Schnelle Windows-Übersicht mit WinPatrol 2009 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Browser mit Freeware schützen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Spyware-Reinigung ohne Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . So entfernen Sie Viren, Trojaner und Spyware in einem Schritt . . . . . . . . . . . . . . . . . . . . . . . . Kostenloses Sicherheitsprogramm von Microsoft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . So testen Sie Programme gefahrlos und entfernen diese rückstandslos . . . . . . . . . . . . . . . . . . Autostart-Programme reduzieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows aufräumen mit Zusatztools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . So prüfen Sie die Desktop-Firewalls auf den Computern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Inhaltsverzeichnis
18
Trojaner-Jagd: Anzeigen der geöffneten Ports mit TCPView . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kostenlose Sicherheit mit Microsoft-Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Angry IP Scanner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
769 769 771 772
Verwalten von Netzwerkrichtlinien- und Zugriffsdiensten
773 774 775 776 777 779 779 781 784 784 785 793 795 798 804 807 808 808 815 819 826
.............
Aktivieren und Verwalten der VPN-Konnektivität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überblick über den Netzwerkzugriffsschutz (NAP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Funktionsweise von NAP im Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Komponenten von NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erste Schritte mit NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwaltung von Clients zur Unterstützung von NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der Serverkomponenten von NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Netzwerkzugriffsschutz (NAP) mit DHCP einsetzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorbereitungen für den Einsatz von NAP mit DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration des Netzwerkrichtlinienservers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren des DHCP-Servers für NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren des NAP-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows Vista-Clientrechner in Domäne aufnehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen der NAP-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Fehlersuche der NAP-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Netzwerkzugriffsschutz (NAP) mit VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration des NPS-Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration des RADIUS-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VPN-Verbindung unter Windows Vista konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen der Verbindungsanforderungsrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen der Integritätsrichtlinien, Netzwerkrichtlinien und der Windows-Sicherheitsintegritätsverifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfung der Client-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten und Konfigurieren der RAS-Benutzer und RAS-Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . Point to Point Tunnel Protocol (PPTP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Layer 2 Tunnel Protocol (L2TP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwaltung und Überwachung des VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der RAS-Protokollierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Integrieren eines zusätzlichen Servers in das Small Business Server-Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Core-Server-Installation und -Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten eines Core-Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Herunterfahren von Servern mit Shutdown.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Core-Server aktivieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Remoteverwaltung eines Core-Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren eines Core-Servers mit scregedit.wsf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hardware über die Befehlszeile installieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
827 828 828 828 829 829 830 831
833 834 836 843 844 845 846 847
18
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Inhaltsverzeichnis
20
Erste Schritte nach der Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Arbeiten mit dem Server-Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Server-Manager mit der Befehlszeile verwenden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installieren und Verwalten von Serverrollen auf einem Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Features installieren und verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Remoteserver-Verwaltungstools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installation von Serverrollen und Features auf einem Core-Server . . . . . . . . . . . . . . . . . . . . . . . . . Installieren der DNS-Serverrolle auf einem Core-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installieren der DHCP-Serverrolle auf einem Core-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installieren der Dateiserver-Rolle auf einem Core-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installieren der Druckserver-Rolle auf einem Core-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installation von zusätzlichen Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Serverrollen und -features in der Befehlszeile verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Unbeaufsichtigte Installation von Rollen und Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Server in SBS-Domäne aufnehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Notwendige Netzwerkeinstellungen für die Domänenaufnahme . . . . . . . . . . . . . . . . . . . . . . . Erste Anmeldung an der Windows-Domäne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erste Schritte in der Windows-Domäne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusätzlicher Domänencontroller . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorbereitungen für die Integration eines zusätzlichen Domänencontrollers in eine Domäne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Integration eines neuen Domänencontrollers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Delegierung der RODC-Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Notwendige Nacharbeiten nach der Integration eines zusätzlichen Domänencontrollers . . Grundlagen für ein Ausfallkonzept . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dokumentationen für das Ausfallkonzept . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Archivierung der notwendigen Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Workflow für Änderungen erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Welche Ausfälle kann es geben? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen eines Ausfallkonzepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Genehmigung und Umsetzung des Konzepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
847 849 851 852 858 866 867 868 869 869 869 870 871 872 878 878 880 881 882
Windows PowerShell
905 907 907 909 910 912 913 916 917 918 922 923 925 926
............................................................
Die grundsätzliche Funktionsweise der PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Die PowerShell-Laufwerke verwenden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Skripts mit der PowerShell erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows PowerShell zur Administration verwenden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anzeigen und Verwalten von Prozessen mit der PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . Praxisbeispiele für die wichtigsten Cmdlets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Spezielle SBS-Befehle in die PowerShell einbinden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Die Communitys – Tools für die PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Normale Befehlszeile verwenden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Batchdateien verwenden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Arbeiten mit Umgebungsvariablen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwaltung mit WMI und dem Tool WMIC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
882 883 890 891 892 892 894 895 896 898 902 903
19
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Inhaltsverzeichnis
21
Webserver – IIS 7.0
...............................................................
Neuerungen in IIS 7.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Authentifizierung in IIS 7.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Neue IBLD21_WPG-Gruppe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installieren, Konfigurieren und erste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Starten und Beenden des Webservers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IIS in der Befehlszeile verwalten – AppCMD.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anzeigen der Webseiten in IIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hinzufügen und Verwalten von Webseiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der Webanwendungen und virtuellen Verzeichnisse einer Website . . . . . . . . . . . Verwalten von Anwendungspools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen und Verwalten von Anwendungspools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zurücksetzen von Arbeitsprozessen in Anwendungspools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Modulen im IIS 7.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hinzufügen und Verwalten von Modulen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Delegierung der IIS-Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorgehensweise bei der Delegierung von Berechtigungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von IIS-Manager-Benutzern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Berechtigungen der IIS-Manager-Benutzer verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der Delegierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aktivieren der Remoteverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sicherheit in IIS 7.0 konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Authentifizierung in IIS 7.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Serverzertifikate verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Secure Sockets Layer (SSL) konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Webseiten, Dokumente und HTTP-Verbindungen . . . . . . . . . . . . . . . . . . . . . . Festlegen des Standarddokuments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Das Feature Verzeichnis durchsuchen aktivieren und verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der HTTP-Fehlermeldungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von HTTP-Umleitungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IIS 7.0 überwachen und Logdateien konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ablaufverfolgungsregeln für Anforderungsfehler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Allgemeine Protokollierung aktivieren und konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen der Arbeitsprozesse der Anwendungspools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Optimieren der Serverleistung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Komprimierung aktivieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ausgabezwischenspeicherung verwenden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . FTP-Server betreiben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration des FTP-Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen virtueller Verzeichnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Virtualisierung mit Hyper-V
....................................................
Die Grundlagen von Hyper-V . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . System Center Virtual Machine Manager 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
927 928 931 933 933 934 935 937 937 940 942 944 945 946 947 948 948 948 950 952 955 958 958 961 962 970 970 971 972 973 974 974 975 977 977 977 978 980 982 985 985 987 988 991
20
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Inhaltsverzeichnis
23
A
Installieren und Verwalten von Hyper-V . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung der Voraussetzungen für den Einsatz von Hyper-V . . . . . . . . . . . . . . . . . Unterstützte Gastbetriebssysteme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installieren von Hyper-V . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen und Verwalten von virtuellen Computern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen eines virtuellen Computers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Virtuelle Server verwalten und Betriebssysteme installieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . Migrieren von Microsoft Virtual Server 2005 zu Hyper-V . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anpassen der Einstellungen von virtuellen Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten und Optimieren virtueller Festplatten von Servern . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen und Verwalten von Snapshots von virtuellen Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der virtuellen Netzwerke in Hyper-V . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Betreiben von Hyper-V im Cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Exportieren und Importieren von virtuellen Computern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Finden und Beheben von Fehlern in Hyper-V . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Delegieren von Berechtigungen in Hyper-V . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
993 993 994 995 998 999 1003 1006 1006 1009 1011 1013 1016 1018 1019 1021 1024
Migrieren zu Small Business Server 2008
Richtige Datensicherung als Vorbereitung zur Aktualisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Small Business Server für die Migration vorbereiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SharePoint Services migrieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Netzwerkanpassungen für die Migration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aktive Directory und Exchange für die Migration vorbereiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Migrations-Tool und Tool zur Erstellung einer Antwortdatei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Letzte Schritte vor der Migration – Der Small Business Server Best Practices Analyzer . . . . . . Migration durchführen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gruppenrichtlinien übernehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Exchange-Daten und -Postfächer übernehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Postfächer für die Migration vorbereiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Die Besonderheiten des ersten Exchange-Servers in der Organisation . . . . . . . . . . . . . . . . . . Migration abschließen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereinigen von Active Directory und Entfernen von Domänencontrollern . . . . . . . . . . . . . . . . . Herabstufen eines Domänencontrollers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erzwungene Herabstufung eines Domänencontrollers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereinigen der Metadaten von Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Fehler beim Entfernen von Active Directory mit dcpromo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zertifikate migrieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1025 1026 1026 1028 1028 1030 1031 1032 1034 1035 1036 1038 1038 1045 1047 1048 1049 1050 1052 1053 1054
Inhalt der CD-ROM zum Buch
................................................
1055
.............................................................
1059
...........................................................................
1071
Stichwortverzeichnis Der Autor
..................................
21
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Vorwort
23
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Vorwort
Mit Small Business Server 2008 stellt Microsoft seine neue Lösung für die Infrastruktur kleinerer und mittelständischer Unternehmen zur Verfügung. In diesem neuen Produkt integriert Microsoft Technologien aus Exchange Server 2007 und Windows Server 2008. In diesem Buch zeigen wir Ihnen die optimale Installation, Einrichtung und Verwaltung des Servers und gehen auch darauf ein, wie Sie Fehler finden und beheben. In vielen Bereichen zeigen wir Ihnen auch tiefgehende Möglichkeiten zur Diagnose und technische Hintergründe, die bei der Verwaltung helfen sollen. Vor allem die Themen Sicherheit und Zuverlässigkeit sind mit der neuen Version verbessert worden. Es gibt neue Funktionen, um externe Mitarbeiter besser an das Unternehmen anzubinden. Auch der neue Netzwerkzugriffschutz, der Netzwerke vor unsicheren Arbeitsstationen sichern soll, und die BitLocker-Funktion, mit der Serverfestplatten verschlüsselt werden, sind Beispiele für Verbesserungen. Die neuen Internetinformationsdienste sind in der Version 7.0 noch sicherer und zuverlässiger. Im Bereich Active Directory gibt es eine neue Art Domänencontroller, den schreibgeschützten Domänencontroller, mehr Gruppenrichtlinien und wichtige Detailverbesserungen wie die Möglichkeit, Active Directory zur Wartung als Dienst zu beenden. Die Verwaltungswerkzeuge wurden überarbeitet, und mit dem Server-Manager wird ein zentrales Verwaltungswerkzeug zur Verfügung gestellt. Mit dem neuen TCP/IP-Stack wird jetzt auch offiziell IPv6 unterstützt, was an vielen Serverdiensten wie DNS oder DHCP produktiv verwendet werden kann. Die Installation von USB-Sticks kann genauso über Gruppenrichtlinien verhindert werden wie Arbeitsstationen mit Windows Vista automatisch in den Energiesparmodus versetzt werden können. In diesem Buch zeigen wir Ihnen alle Neuerungen im Praxiseinsatz auf und gehen auch auf die wichtigsten Themen bei der Verwaltung eines Netzwerkes ein. Darüber hinaus erläutern wir in diesem Buch die Planungsschritte, die für die Umsetzung eines Small Business Server 2008-Projektes notwendig sind. In den einzelnen Kapiteln dieses Buches erhalten Sie ausführliche Anleitungen, wie Sie Small Business Server optimal im Unternehmen installieren und einsetzen können. Wir haben dabei nicht nur Klick-Anleitungen zusammengestellt, sondern erläutern in den einzelnen Bereichen auch gezielt die technischen Hintergründe des Servers. Spätestens bei einer eventuellen Fehlerbehebung spielen diese eine wesentliche Rolle, denn es gibt leider noch keinen Assistenten, der Small Business Server 2008 automatisch repariert. Wir geben Ihnen mit diesem Buch die notwendigen Informationen an die Hand, den Small Business Server 2008 allumfassend zu beherrschen und greifen auch bewusst zusätzliche Tools auf, die Administratoren das Leben mit Small Business Server 2008 erleichtern. Dieses Buch soll eine Hilfestellung sein, den Server zu installieren, zu verwalten, aber auch Fehler zu beheben oder Ausfallkonzepte zu erstellen. Wir erschlagen Sie in diesem Buch nicht mit Fachbegriffen, die nicht notwendig sind, gehen aber auf alle Hintergründe ein, die ein Administrator im Zusammenhang mit Small Business Server 2008 kennen muss. In diesem Buch werden auch gezielt die Neuerungen des Servers besprochen und das Zusammenspiel der einzelnen Komponenten. Zu jedem Kapitel und jedem Abschnitt gibt es gezielte Fehlerbehebungsmaßnahmen und Optimierungsschritte. Zusätzlich zeigen wir Ihnen bei mehreren Möglichkeiten der Einrichtung die aus unserer Sicht sinnvollste Variante und begründen Ihnen auch, warum diese Variante der beste Weg ist. Informationen, die nicht Bestandteil dieses Buches sind, geben wir Ihnen als Quellenhinweis, damit Sie sich auch in dieser Richtung mit weiteren Informationen versorgen können. Der Aufbau dieses Buches geht von einer Neuinstallation und der ersten Einrichtung des Servers aus, sodass Sie Schritt für Schritt die einzelnen Maßnahmen vornehmen können. Wir wünschen Ihnen mit Small Business Server 2008 und der Lektüre dieses Buches viel Spaß und Erfolg!
24
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 1
Neuerungen und Lizenzierung
In diesem Kapitel: Allgemeine Fragen zum Small Business Server 2008
26
Lizenzieren von Small Business Server 2008
49
Zusammenfassung
53
25
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 1
Neuerungen und Lizenzierung
In diesem ersten Kapitel gehen wir zunächst auf die wichtigsten Neuerungen von Small Business Server 2008 ein sowie auf die Lizenzierung. Auch allgemeine Fragen zur Planung mit Verweisen auf die einzelnen Kapitel dieses Buches zeigen wir Ihnen in diesem Kapitel.
Allgemeine Fragen zum Small Business Server 2008 Small Business Server 2008 kann für Unternehmen bis zu 75 Arbeitsplätzen eingesetzt werden. Auch bei Small Business Server 2008 gibt es weiterhin eine Standard Edition sowie eine erweiterte Premium Edition. Es müssen aber nicht mehr alle enthaltenen Produkte auf einem Server installiert sein. Small Business Server 2008 baut auf die gleichen Technologien wie Windows Server 2008 auf. Ein Netzwerk mit Small Business Server 2008 kann ohne Weiteres um zusätzliche Server ergänzt werden. In den einzelnen Kapiteln dieses Buches kommen wir noch näher auf die Möglichkeiten der Installation und Einrichtung zu sprechen. In diesem Abschnitt sollen die häufigsten Fragen beantwortet werden, die sich beim Einsatz eines Small Business Server 2008 stellen. HINWEIS Small Business Server 2008 bietet auch die Möglichkeit, auf dem zweiten Server im Netzwerk SQL Server 2008 zu installieren. Es würden den Rahmen dieses Buches sprengen, auf die Verwaltung und die Hintergründe in SQL Server 2008 einzugehen. Aus diesem Grund haben wir für Sie auf der DVD zu diesem Buch die Online-Dokumentation zu SQL Server 2008 hinterlegt. Dieses umfassende Werk bietet Ihnen ausführliche Informationen zum SQL Server 2008, dessen Bedienung und Installation.
Wichtige Neuerungen von Small Business Server 2008 Small Business Server 2008 basiert zum wesentlichen Teil auf den Funktionen von Windows Server 2008 in der Standard Edition sowie Exchange Server 2007, ebenfalls in der Standard Edition. Diese Neuerungen und deren praktischen Nutzen besprechen wir detaillierter in den einzelnen Kapiteln. Neu ist, dass Small Business Server 2008 jetzt als 64-Bit-Version zur Verfügung steht. Windows Small Business Server 2008 Standard muss auf einem einzelnen Server installiert werden. Basis des Produkts sind Windows Server 2008 Standard Edition, Exchange Server 2007 Standard Edition, Windows SharePoint Services 3.0, Windows Server Update Services 3.0. Außerdem liefert Microsoft mit dem Produkt noch 120-Tage-Testversionen von Windows Live OneCare für Server sowie Forefront Security für Exchange Server mit aus. Unternehmen, welche auf die Premium Edition setzen, erhalten darüber hinaus noch den Datenbank-Server Microsoft Small Business Server 2008 Standard Edition für Small Business sowie eine weitere Lizenz für Windows Server 2008 dazu. Der Datenbank-Server darf und soll auf einer zweiten Servermaschine installiert werden. Die Lizenzierung erfolgt sehr einfach: Für jeden verbundenen Benutzer oder PC müssen Sie eine CAL erwerben, die dann für alle enthaltenen Produkte gültig ist. Microsoft bietet auf diesem Weg daher StandardCALs an sowie Premium-CALs, welche zusätzlich die Anbindung an den zweiten Server und SQL Server 2008 erlauben. Als Voraussetzung für Small Business Server muss die Hardware mindestens 4 GB RAM bieten, bis maximal 32 GByte sind möglich. Im Lieferumfang von SBS 2008 sind bereits fünf Benutzerlizenzen enthalten, der Rest lässt sich leicht nachinstallieren.
26
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Allgemeine Fragen zum Small Business Server 2008
Abbildg. 1.1
Die neue Verwaltungskonsole von Small Business Server 2008
Neuerungen und Editionen im Vergleich Die meisten Funktionen von Small Business Server 2008 sind sowohl in der Standard Edition als auch in der Premium Edition enthalten. In der folgenden Tabelle geben wir Ihnen einen schnellen Überblick, welche Unterschiede es zwischen den einzelnen SBS 2008-Editionen gibt. Tabelle 1.1
Verschiedene Funktionen von Small Business Server 2008 im Überblick Produkttechnologie
Standard Edition
Premium Edition
Windows Server 2008 Standard
X
X
Exchange Server 2007 Standard
X
X
Windows SharePoint Services 3.0
X
X
Microsoft Office Live Small Business
X
X
Windows Server Update Services 3.0
X
X
SQL Server 2008 Standard for Small Business
X
ACHTUNG Im Gegensatz zu Small Business Server 2003 R2 enthält Small Business Server 2008 keinen ISA-Server und damit keine integrierte, vollwertige Firewall mehr. 27
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 1
Neuerungen und Lizenzierung
Was ist neu in Windows Server 2008 für Small Business Server 2008? Windows Server 2008 enthält zahlreiche neue Funktionen, und auch an der Sicherheit hat Microsoft einiges optimiert. Windows Server 2008 und Windows Vista basieren auf der gleichen Codebasis. Im Gegensatz zu seinen Vorgängern besteht Windows Server 2008 aus einem sprachunabhängigen Paket und ist nicht komplett lokalisiert. Dadurch besteht die Möglichkeit, auch ausländische Versionen zu kaufen und diese durch ein deutsches Sprachpaket zu lokalisieren. Durch die einheitliche Basis des Kernels werden zukünftig Sicherheitspatches deutlich schneller erscheinen können, da auch diese nicht erst lokalisiert werden müssen. Windows Server 2008 bietet vor allem Verbesserungen im Bereich der Sicherheit und der Installation von Serverfunktionen. Das System wird deutlich flexibler und einfacher verwaltbar, ohne dabei auf notwendige Sicherheitsfunktionen zu verzichten. Windows Server 2008 ist bereits nach der Installation gehärtet und abgesichert, der Sicherheitskonfigurations-Assistent (Security Configuration Wizard, SCW) wird nicht mehr benötigt. Windows Vista und auch Windows Server 2008 wurden im Rahmen der neuen Secure Development Lifecycle (SDLC) entwickelt. Bei SDLC handelt es sich nicht um ein Feature, sondern um eine Firmenphilosophie von Microsoft. Die bisherigen Windows-Versionen wurden hauptsächlich so entwickelt, dass diese funktional sind und ansprechend aussehen. Die Sicherheit spielte meist nur eine untergeordnete Rolle. Bei der Entwicklung von Windows Vista und Windows Server 2008 hat Microsoft Wert darauf gelegt, dass die Entwickler regelmäßig geschult werden, wie man Funktionen sicher integrieren kann. Alle neuen Funktionen wurden bereits in der Entwicklung auf Angriffsmöglichkeiten hin getestet und bezüglich der Sicherheit optimiert. Die einzelnen Funktionen und die Sicherheit wurden regelmäßig überprüft und zertifiziert.
Verbesserungen im NTFS-Dateisystem Korruptionen im Dateisystem konnten bisher nur mittels Chkdsk.exe behoben werden. Unter Windows Server 2008 erkennt das Dateisystem selbst korrupte Bereiche und repariert diese automatisch. Verbesserungen an der NTFS-Kernelcodebasis berichtigen erkannte Probleme, während das System läuft. Transactional NTFS ermöglicht transacted Filesystem-Operationen im NTFS. Dadurch sind NTFS und die Registry in der Lage, ihre Arbeit in einer Transaktion zu koordinieren. Transactional NTFS wendet Transactional-Datenbankkonzepte am Dateisystem an. Das Dateisystem wird dadurch wesentlich stabiler. Durch diese Funktion kann Windows Server 2008 auch besser mit dem neuen SQL Server 2008 zusammenarbeiten. Heutzutage speichern viele Anwendungen die Daten nicht mehr relational. SharePoint speichert zum Beispiel seine Daten in SQL-Datenbanken, was in sehr große Datenbanken resultiert, abhängig von den gespeicherten Dateien. SQL Server 2008 unterstützt die transaktionale Speicherung von Dateien auf dem Dateisystem, die aber weiterhin mit der Datenbank verbunden sind. Auch wenn die Daten auf dem Dateisystem gespeichert werden, verhalten sich diese so, als ob sie ausschließlich in der Datenbank gespeichert sind und können daher auch transaktional verwendet werden. Damit diese Funktion stabil und sicher funktioniert, wird das transaktionale Dateisystem von Windows Server 2008 verwendet. Der Lese- und Schreibzugriff erfolgt dadurch mit NTFS-Performance und mit SQL-Sicherheit. Es gibt 2D- und 3D-Daten, also ortsabhängige Verknüpfungen in SQL Server 2008. Sie können zum Beispiel alle geografischen Punkte in einem gewissen Bereich von Daten einer Datenbank anzeigen lassen und diese mit Virtual Earth sogar visualisieren. Die geografischen Daten werden dazu mit in der Datenbank gespeichert, was zum Beispiel bei Vertriebsgebieten sehr sinnvoll ist.
28
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Allgemeine Fragen zum Small Business Server 2008
Internetinformationsdienste (IIS 7.0) Mit jeder neuen Serverversion bringt Microsoft auch eine neue Version der Internetinformationsdienste (Internet Information Services, IIS) auf den Markt. In Windows Server 2008 sind die IIS 7.0 integriert, die gegenüber den IIS 6.0 von Windows Server 2003 noch mal deutlich verbessert wurden. Die meisten Anwendungen, die auf Basis von ASP, ASP.NET 1.1 oder ASP.NET 2.0 entwickelt wurden, sollten auch problemlos unter den IIS 7.0 laufen. Auch die Verwaltungsoberfläche für IIS sieht unter Windows Server 2008 anders aus. Die Verwaltung der Webanwendungen ist zwar ähnlich zu den Vorgängern, allerdings sind viele Aufgaben an eine andere Stelle gewandert. Bei der Installation von einzelnen Komponenten können jetzt noch detaillierter die Funktionen ausgewählt werden, die auch gebraucht werden. Alle anderen Komponenten werden nicht installiert. Abbildg. 1.2
In SBS 2008 sind die neuen IIS 7.0 von Windows Server 2008 enthalten
Vor allem im Bereich der Webanwendungen ist dies ein deutlicher Sicherheitsfortschritt. Die Konfiguration des Webservers und dessen Anwendungen wird in XML-Dateien gespeichert, was die Verwaltung noch mal deutlich vereinfacht. Es besteht mit den IIS 7.0 die Möglichkeit, die Verwaltung von einzelnen Webseiten und Anwendungen an andere Administratoren zu delegieren. Dies geschieht durch die neuen Verwaltungswerkzeuge, die für Administratoren deutlich mehr Möglichkeiten bieten als noch bei den Vorgängerversionen. 29
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 1
Neuerungen und Lizenzierung
Interaktion von Windows Server 2008 und Windows Vista Viele Vorteile bei der Einführung von Windows Server 2008 ergeben sich durch die Interaktion mit Windows Vista. So können zum Beispiel die Gruppenrichtlinieneinstellungen für die Benutzerkontensteuerung, die Windows-Firewall und die Installation und Verwendung von USB-Sticks verwendet werden. Windows Vista und Windows Server 2008 wurden ursprünglich als Teile desselben Projekts entwickelt und haben eine Reihe neuer Technologien in den Bereichen Netzwerk, Speicher, Sicherheit und Verwaltung gemein. Weitere Gemeinsamkeiten sind: 쐍 Durchgängiger Netzwerkzugriffsschutz (NAP) für Clients und Server 쐍 Leichtere Bereitstellung und sofortige Nutzung der Terminaldienste-Neuerungen in Windows Server 2008 쐍 Höhere Verfügbarkeit dank skalierbarem Druckserver und richtlinienbasiertem QoS (Quality of Service) 쐍 Schnellere Kommunikation dank erweiterter Indizierungs- und Caching-Funktionen 쐍 Höhere Geschwindigkeit im Netz, da die durchgängige IPv4/IPv6-Fähigkeit von Windows Server 2008 und Windows Vista mehr Skalierbarkeit und Zuverlässigkeit bietet 쐍 Clients können Druckaufträge vor dem Senden an die Druckserver lokal darstellen, um die Serverlast zu senken und dessen Verfügbarkeit zu erhöhen 쐍 Serverressourcen werden lokal zwischengespeichert, sodass sie auch dann verfügbar sind, wenn der Server nicht verfügbar ist (Offlinedateien). Kopien werden automatisch aktualisiert, sobald die Verbindung zwischen Client und Server erneut hergestellt wird. 쐍 Anwendungen oder Skripts, die auf Client und Server ausgeführt werden müssen, können die Vorteile des Transactional File System nutzen, um das Fehlerrisiko bei Datei- und Registrierungsoperationen zu reduzieren und im Falle eines Fehlers oder Abbruchs zu einem vorherigen fehlerfreien Status zurückzukehren 쐍 Die Suche von Windows Server 2008-Servern über einen Windows Vista-Client bietet aufgrund der auf beiden Systemen erweiterten Index- und Zwischenspeichertechnologien eine deutliche Verbesserung bei der Suche
Neue Benutzeroberfläche in Windows Server 2008 Das Erste, was nach der Installation von Windows Server 2008 auffällt, ist die geänderte Oberfläche für die Verwaltung. Windows Vista und Windows Server 2008 haben eine fast identische grafische Oberfläche. Auch die Bedienung der beiden Betriebssysteme ist nahezu identisch. Die Ansicht des Windows-Explorers wurde ebenfalls angepasst und auch die Bedienung wurde optimiert. Zusätzlich wurde auch das Startmenü optimiert und erleichtert so die Navigation und Verwaltung. Auch wenn es sich beim Windows-Explorer nicht um die wichtigste Funktion des Servers handelt, gehen wir zunächst kurz auf dessen neue Oberfläche ein. Diese wird dazu benötigt, Installationsdateien zu kopieren und Daten zu sichern. Daher sollte vor dem Umgang mit den Serverrollen erst der Umgang mit der Oberfläche beherrscht werden. Wer bereits Windows Vista einsetzt, muss sich nicht umgewöhnen, da die Oberflächen der beiden Betriebssysteme sehr ähnlich sind. Der Windows-Explorer zeigt in Windows Server 2008 deutlich mehr Informationen an und auch die Suchfunktionen wurden stark verbessert. Für die meisten Dateitypen werden Vorschaufenster angezeigt, deren Größe und Aussehen angepasst werden können. Das Explorerfenster listet auf der linken Seite zusätzliche Favoriten auf, mit denen der Administrator schnell zu den Ordnern wechseln kann, die er am häufigsten verwendet, zum Beispiel die Systemverzeichnisse oder Archivordner mit Installationsdateien von 30
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Allgemeine Fragen zum Small Business Server 2008
Programmen. Die übliche Ordnerstruktur des Windows-Explorers wurde darunter angeordnet und ist von der Ansicht ebenfalls angepasst worden. Haben Sie sich etwas mit der neuen Bedienung auseinandergesetzt, werden Sie sicherlich auf diese Funktionen nicht mehr verzichten wollen. Abbildg. 1.3
Windows Server 2008 und Small Business Server 2008 haben eine komplett neue Oberfläche
Viele Tätigkeiten lassen sich intuitiv durchführen, und es ist nicht mehr notwendig, sich durch verschiedene Menüs zu hangeln, um zum Beispiel eine Datei zu kopieren oder Einstellungen vorzunehmen. Im Rahmen der Weiterentwicklung des Windows-Explorers wurde auch die Suchfunktion im Betriebssystem deutlich erweitert. Windows Vista und Windows Server 2008 arbeiten bei der Suche auch im Netzwerk Hand in Hand. Die Suche ist direkt über das Startmenü erreichbar und kann beliebig konfiguriert werden. Vor allem die neue Suche ist für Unternehmenskunden ein erheblicher Vorteil. In Anwendungen, dem Startmenü, dem Windows-Explorer und in der Systemsteuerung steht die Suche zur Verfügung. Da auch die Anzahl der Programme in der Systemsteuerung stark erweitert wurde, lassen sich spezielle Einstellungsmöglichkeiten in der Suche schneller finden als über das Klicken durch die verschiedenen Menüs. Die Anzeige des Suchergebnisses in Windows Server 2008 wurde ebenfalls deutlich überarbeitet und zeigt die Suchergebnisse in einem Explorer-Fenster an, unabhängig davon, wo die Speicherorte der Dateien sind. Die Suche wird im Windows-Explorer standardmäßig auf den aktuellen Ordner fokussiert. Suchabfragen können gespeichert werden und stehen durch diese Funktion als virtuelle Ordner zur Verfügung. Die virtuellen Ordner in Windows Server 2008 sind keine statischen Verzeichnisse auf dem Dateisystem, sondern enthalten verschiedene Filter, die nach Schlüsselwörtern unterteilt sind. So
31
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 1
Neuerungen und Lizenzierung
kann zum Beispiel ein virtueller Ordner erstellt werden, der als Filter alle Dateien enthält, für die als Besitzer der Benutzer Administrator angegeben ist. Der virtuelle Ordner sammelt dann auf dem kompletten Server alle Dateien zusammen, deren Besitzer der Administrator ist und zeigt diese an.
Neue Netzwerkfeatures in Windows Server 2008 und Windows Vista Microsoft hat im Bereich der Konfiguration der Netzwerkschnittstellen einige Verbesserungen vorgenommen, um die Anbindung von Windows Server 2008 an ein Netzwerk effizienter zu gestalten. Die wichtigste Neuerung ist, dass sowohl in Windows Server 2008 als auch in Windows Vista standardmäßig IPv6 installiert und aktiviert ist. Windows Server 2008 und Windows Vista versuchen untereinander möglichst immer mit IPv6 zu kommunizieren. Gelingt dies nicht, wird für die Kommunikation IPv4 verwendet. Für Anwender und Administratoren ändert sich dabei nichts, diese Kommunikation läuft transparent ab. Windows Server 2008 beinhaltet eine aktualisierte Implementierung des TCP/IPStacks mit signifikanten Verbesserungen, die sich speziell an mehrere wichtige Netzwerkprobleme richten und Verbesserungen bei Leistung und Durchsatz, eine allgemeine Wi-Fi-Achitektur und APIs zur Inspizierung von Netzwerkpaketen bieten. Die Maximierung der Netzwerkauslastung erfordert eine komplexe Optimierung der TCP/IP-Konfigurationseinstellungen. In Windows Server 2008 müssen Sie dies nicht mehr manuell erledigen, indem Sie die Netzwerkbedingungen erkennen und die Leistung automatisch optimieren. Wenn Windows Server 2008 auf den Domänencontroller über das Netzwerk zugreifen kann, wechselt es automatisch in das Domänenprofil. Dank Netzwerk-Awareness können Anwendungen mit erweiterter Sicherheit, wie die Windows-Firewall, unterschiedliche Konfigurationen auf Grundlage des Netzwerktyps haben, mit dem gegenwärtig eine Verbindung besteht, und automatisch zwischen den Konfigurationen wechseln, wenn sich der Netzwerktyp ändert. In Windows Server 2008 kann auch die Gruppenrichtlinie das Netzwerk erkennen: Sie erkennt automatisch, wenn sich der Computer am Domänennetzwerk befindet und beginnt mit der Verarbeitung aller neuen Gruppenrichtlinieneinstellungen, ohne auf den nächsten Aktualisierungszyklus zu warten. Das bedeutet, Windows Server 2008 überprüft automatisch, ob neue Einstellungen der Gruppenrichtlinie vorliegen, wenn es eine Verbindung mit dem Domänennetzwerk aufnimmt. Administratoren sind dadurch in der Lage, Sicherheitseinstellungen schneller bereitzustellen. Windows Server 2008 verwendet auch den Server Message Block (SMB) in der Version 2.0. Die Kommunikation zwischen Windows Server 2008- und Windows Vista-Computern wird dadurch extrem beschleunigt, wenn auf Daten zugegriffen wird. Microsoft plant Aktualisierungen, damit auch die Kommunikation mit Windows Server 2003 und Windows XP beschleunigt wird. Derzeit ist allerdings die Geschwindigkeit zwischen den neuen und den alten Windows-Versionen noch langsamer als zwischen Windows Server 2008 und Windows Vista. Windows Server 2008 und Windows Vista bringen zahlreiche neue Netzwerkfeatures mit, die in den einzelnen Kapiteln dieses Buches noch ausführlicher besprochen werden. Die wichtigsten Neuerungen im Kern der Netzwerkkommunikation sind zusammenfassend folgende Punkte: 쐍 TCP/IP-Stack der nächsten Generation Der TCP/IP-Stack der nächsten Generation ist sowohl für IPv4 als auch für IPv6 eine vollständige Neuentwicklung. Durch einen besseren Durchsatz wird die Nutzung der Netzwerkbandbreite verbessert. Bei der Unerreichbarkeitserkennung handelt es sich um ein Feature von IPv6, bei dem der Server verfolgt, ob ein benachbarter Knoten erreichbar ist. Dies ermöglicht eine bessere Fehlererkennung und Korrektur. Diese Erkennung wird in Windows Server 2008 auch für das IPv4-Protokoll genutzt, sodass ausgefallene Netzwerkknoten schneller erkannt werden können. Der TCP/IP-Stack unterstützt eine Architektur 32
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Allgemeine Fragen zum Small Business Server 2008
mit einer doppelten IP-Schicht, in der die IPv4- und IPv6-Implementierungen gemeinsame Transportebenen verwenden. In der Standardeinstellung ist sowohl IPv4 als auch IPv6 aktiviert. Für eine IPv6-Unterstützung muss keine separate Komponente installiert werden. IPv6 kann für Verbindungen deaktiviert werden. IPv6 kann über die grafische Oberfläche und in der Befehlszeile mit netsh interface ipv6 konfiguriert werden. Windows Server 2008 und Windows Vista beinhalten einen DHCPv6-fähigen DHCP-Client, der einen DHCPv6-Server unterstützt. Windows Server 2008 beinhaltet einen DHCPv6-fähigen DHCP-Serverdienst. 쐍 QoS (Quality of Service) Windows Server 2008 und Windows Vista verfügen über neue Möglichkeiten für die Verwaltung des Netzwerkverkehrs. Die QoS-Richtlinien ermöglichen es, die Senderate für ausgehenden Netzwerkverkehr zu priorisieren oder zu verwalten. Die QoS-Richtlinieneinstellungen sind Teil der Gruppenrichtlinien. 쐍 Http.sys-Erweiterungen Bei Http.sys handelt es sich um neue Funktionen für die neuen IIS 7.0 von Windows Server 2008. Diese Neuerungen werden ausführlich in Kapitel 21 besprochen. 쐍 WinInet-Erweiterungen Bei diesen Erweiterungen handelt es sich zum größten Teil ebenfalls um Funktionen für die Webkomponente von Windows Server 2008. Zu den Erweiterungen der WinInet-API in Windows Server 2008 gehören hauptsächlich Unterstützung für IPv6-Literale und Bereichs-IDs, Unterstützung für HTTP-Dekomprimierung, Unterstützung für internationalisierte Domänennamen, Unterstützung für die ETW-Ablaufverfolgung, IPv6-Unterstützung in Web Proxy Auto-Discovery-Skripts. So kann durch IPv6-literale IDs ein Benutzer mit einem WinInet-basierten Webbrowser (zum Beispiel dem Internet Explorer 7) die Adresse http:// [3ffe:ffff:100:2a5f::1] eingeben, um eine Verbindung mit dem Webserver unter der IPv6-Adresse 3ffe:ffff:100:2a5f::1 herzustellen. WinInet beinhaltet eine integrierte Unterstützung für Codierungsschemas zur gzip- und deflate-Komprimierung. 쐍 Windows Sockets-Erweiterungen Windows Server 2008 beinhaltet die neue Schnittstelle Winsock Kernel (WSK). WSK erleichtert Softwareherstellern die Entwicklung von Protokolltreibern in Windows. WSK beinhaltet eine neue Socket-API im Kernel-Modus. 쐍 NDIS 6.0 Network Driver Interface Specification (NDIS) 6.0 legt eine Standardschnittstelle zwischen Netzwerktreibern im Kernel-Modus und dem Betriebssystem fest. Windows Server 2003 und XP verwenden NDIS 5.1, welches aber vollständig kompatibel zu NDIS 6.0 von Windows Vista und Windows Server 2008 ist. NDIS 6.0 bietet vor allem eine deutlich erhöhte Geschwindigkeit im Vergleich zu NDIS 5.1. 쐍 Windows Peer-zu-Peer-Netzwerkumgebungserweiterungen Hierbei handelt es sich – vereinfacht ausgedrückt – um Funktionen, die andere Windows Server 2008- oder Windows Vista-Computer im Netzwerk erkennen und entsprechend reagieren können. Auf diese Funktionen baut zum Beispiel Windows-Teamarbeit sowie die Vista-Funktion Personen in meiner Umgebung auf. 쐍 Windows-Firewall-Erweiterungen In der neuen Verwaltungskonsole lassen sich jetzt wesentlich effizienter Regeln erstellen und mit IPSec verknüpfen. 쐍 IPsec-Verbesserungen
IPsec wurde deutlich erweitert.
Netzwerk- und Freigabecenter – Optimale Verwaltung des Netzwerkes Die Konfiguration und Verwaltung von Netzwerkfunktionen wurden in 2008 ebenfalls verbessert. Die Konfiguration der Netzwerkfunktionen in Windows Server 2008 sind in das neue Netzwerk- und Freigabecenter integriert. Alle netzwerkrelevanten Einstellungen können in diesem Center verwaltet werden. Sie erreichen dieses am besten über die Systemsteuerung oder durch einen Klick mit der rechten Maustaste auf das Netzwerksymbol unten rechts im Infobereich der Taskleiste. Im Netz33
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 1
Neuerungen und Lizenzierung
werk- und Freigabecenter kann auch eine detaillierte Karte des Netzwerks angezeigt werden und Sie erkennen, an welcher Position des Netzwerkes sich Ihr Server befindet. Windows Vista-Arbeitsstationen werden automatisch angezeigt, auf Windows XP-Rechnern muss zur Anzeige zunächst ein Patch installiert werden. Dieser wird auf der Seite http://go.microsoft.com/fwlink/?LinkId=70582 zum Download angeboten. Es gibt zahlreiche neue Assistenten, um die Konfiguration der verschiedenen Netzwerkeinstellungen zu optimieren und zu konfigurieren. Die Konfiguration der Netzwerkverbindungen finden Sie ebenfalls im Netzwerk- und Freigabecenter. Sie erreichen die Eigenschaften der Netzwerkverbindungen aber am schnellsten über Start/Ausführen/ncpa.cpl. Abbildg. 1.4
Netzwerke lassen sich unter Small Business Server 2008 wesentlich effizienter verwalten
HINWEIS Im Gegensatz zu Windows Server 2003/Small Business Server 2003 ist die Firewall in Windows Server 2008/Small Business Server 2008 standardmäßig nach der Installation bereits aktiviert. Die integrierte Firewall von Windows Server 2008 hat allerdings nichts mit einer vollwertigen Firewall wie dem ISA-Server zu tun. Administratoren müssen daher bei älteren Anwendungen darauf achten, dass entsprechende Firewallregeln erstellt werden, um die Kommunikation mit dem Netzwerk zu erlauben. Aktualisieren Sie einen Server mit Windows Server 2003/Small Business Server 2003 auf Windows Server 2008/Small Business Server 2008, bleibt die Firewall deaktiviert. Nur wenn Sie die Firewall, zum Beispiel mit dem Security Configuration Wizard (SCW), aktiviert haben, wird diese bei der Installation ebenfalls aktiviert. Installieren Sie eine der Standardfunktionen, wie zum Beispiel IIS 7.0 oder den Dateiserver, werden entsprechende Regeln automatisch erstellt und Ports freigeschaltet.
34
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Allgemeine Fragen zum Small Business Server 2008
Network Access Protection (Netzwerkzugriffsschutz, NAP) Windows Server 2008 enthält den so genannten Next Generation TCP/IP-Stack, der deutlich stabiler und schneller ist und vor allem IPv6 unterstützt. Ein neues Sicherheits-Feature stellt die Network Access Protection (NAP) dar. Über diesen Netzwerkzugriffsschutz können Unternehmen anhand entsprechender Richtlinien sicherstellen, dass nur solche Clients Zugang zum Firmennetz erhalten, die bestimmten Sicherheitskriterien genügen. Die für NAP erforderliche Client-Software ist in Vista und Windows Server 2008 bereits enthalten, während für Windows XP SP2 oder Windows Server 2003 eine separat zu installierende NAP-Client-Software angeboten wird. Abbildg. 1.5
Netzwerkrichtlinien sind auch in Small Business Server 2008 verfügbar
Im Service Pack 3 für Windows XP ist der Client ebenfalls bereits enthalten. Ein NAP-Server kann feststellen, ob Remote-PCs, die über ein VPN eine Verbindung mit dem Firmennetz herstellen möchten, oder auch Computer im Netzwerk die Sicherheitsrichtlinien des Unternehmens einhalten. Trifft dies nicht zu, lehnt der VPN-Server die Verbindung ab. Genauso kann der Netzwerkzugriffsschutz ermitteln, ob ein im LAN befindlicher Computer die gesetzten Sicherheitskriterien erfüllt und ihm damit Zugang zum Firmennetz gewähren oder verweigern. Durch den Einsatz von NAP können Sie feststellen, ob Sicherheitspatches aufgespielt sind oder der Computer durch eine Antiviren- sowie eine Antispyware-Software geschützt wird. Erfüllt ein Client diese Kriterien nicht, weist NAP ihn ab oder leitet ihn in eine eingeschränkte Umgebung um, wo er automatisch aktualisiert werden kann. Dort können Clients von einem FTP-Server oder WSUS (Windows Server Update Services) Aktualisierungen
35
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 1
Neuerungen und Lizenzierung
herunterladen und aufspielen, um ihre Sicherheitskonfiguration auf neuesten Stand zu bringen und so die von NAP aufgestellten Zugangsvoraussetzungen zu erfüllen. Windows Server 2008 und Windows Vista beinhalten folgende Technologien für die NAP-Erzwingung: 쐍 DHCP-Erzwingung DHCP-Server können Richtlinien für Integritätsanforderungen immer dann erzwingen, wenn ein Computer versucht, im Netzwerk eine IP-Adresskonfiguration zu leasen oder zu erneuern. Bei der DHCP-Erzwingung handelt es sich um die einfachste Erzwingung für die Bereitstellung, da sämtliche DHCP-Clientcomputer IP-Adressen leasen müssen. 쐍 VPN-Erzwingung VPN-Server können Richtlinien für Integritätsanforderungen immer dann erzwingen, wenn ein Computer versucht, eine VPN-Verbindung mit dem Netzwerk herzustellen. Die VPN-Erzwingung bietet einen sicheren eingeschränkten Netzwerkzugriff für alle Computer, die auf das Netzwerk über eine VPN-Verbindung zugreifen. Die VPN-Erzwingung mit NAP unterscheidet sich von der Quarantänesteuerung für Netzwerkzugriffe in Windows Server 2003. 쐍 802.1X-Erzwingung Weist ein Netzwerkrichtlinienserver (Network Policy Server, NPS) einen 802.1X-basierten Zugriffspunkt (ein Ethernet-Switch oder ein drahtloser Zugriffspunkt) an, für den 802.1X-Client so lange ein eingeschränktes Zugriffsprofil zu verwenden, bis eine Reihe von Korrekturfunktionen ausgeführt wurden. NPS ist die Microsoft-Implementierung eines Remote Authentication Dial-In User Service-(RADIUS-)Servers und -Proxys. NPS ersetzt den Internetauthentifizierungsdienst (Internet Authentication Service, IAS) von Windows Server 2003. Der Dienst führt sämtliche Funktionen von IAS in Windows Server 2003 für die VPN- und 802.1X-basierte drahtlose und verdrahtete Verbindungsauthentifizierung durch. Zusätzlich werden eine Integritätsprüfung und das Gewähren von uneingeschränktem oder eingeschränktem Zugriff auf NPS-Clients durchgeführt. NPS unterstützt außerdem das Senden von RADIUSVerkehr über IPv6 (gemäß RFC 3162). Ein eingeschränktes Zugriffsprofil kann aus einer Reihe von IP-Paketfiltern oder einer virtuellen LAN-ID bestehen, mit der der Verkehr eines 802.1XClients eingeschränkt wird. Die 802.1X-Erzwingung bietet einen sicheren eingeschränkten Netzwerkzugriff für alle Computer, die auf das Netzwerk über eine 802.1X-Verbindung zugreifen. 쐍 IPsec-Erzwingung Kann die Kommunikation in einem Netzwerk auf kompatible Computer beschränken. Da IPsec verwendet wird, können Sie Anforderungen für eine geschützte Kommunikation mit kompatiblen Clients definieren. Dies kann für einzelne IP-Adressen oder pro TCP/UDPPortnummer erfolgen. Anders als bei der DHCP-, VPN- und 802.1X-Erzwingung beschränkt die IPsec-Erzwingung die Kommunikation auf kompatible Computer, nachdem diese erfolgreich eine Verbindung hergestellt und eine gültige IP-Adresskonfiguration abgerufen haben. Bei der IPsecErzwingung handelt es sich um die sicherste Form eines eingeschränkten NAP-Netzwerkzugriffs.
Neue Funktionen in Active Directory Auch im Bereich Active Directory bietet Windows Server 2008 zahlreiche Neuerungen. Schreibgeschützer Domänencontroller (Read-only Domain Controller) Für Unternehmen, die sich um die Datensicherheit in ihren Außenstellen sorgen, bietet Windows Server 2008 einen neuen Domänencontroller-Typ »Read-only Domain Controller« (schreibgeschützter Domänencontroller, RODC) an. Hierbei wird auf dem Domänencontroller ein Replikat der Active Directory-Datenbank gespeichert, die keinerlei Änderungen akzeptiert. Außerdem lässt sich die Berechtigung zur RODC-Verwaltung an einen beliebigen Domänenbenutzer delegieren, um beispielsweise Aktualisierungen von Gerätetreibern vor Ort rasch durchführen zu können. Schreibende Domänencontroller richten keine Replikationsverbindung zu RODCs ein, da eine Replikation nur von normalen Domänencontrollern zu RODCs erfolgen kann. RODCs richten Replikationsverbindungen zu den 36
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Allgemeine Fragen zum Small Business Server 2008
schreibenden Domänencontrollern ein, die Sie bei der Heraufstufung angeben. Bei RODCs handelt es sich um keine Wiederbelebung der Reservedomänencontroller (Backup Domain Controller, BDC) von Windows NT 4.0, sondern um eine vollständige Neuentwicklung, die viele Möglichkeiten offenbart. Neue Gruppenrichtlinien Eine sehr wichtige Neuerung für Unternehmen sind die neuen Gruppenrichtlinienfunktionen in Windows Server 2008. Natürlich lassen sich die meisten dieser Funktionen erst im Zusammenspiel mit Windows Vista einsetzen. USB-Speichersticks sind die Achillesferse in den meisten Sicherheitskonzepten. Die bisherigen Windows-Versionen bringen keine Verwaltung für die mobilen Speicher mit. Ein böswilliger Nutzer kann damit problemlos Daten in das Firmennetz einschleusen oder entwenden. Windows Vista und Windows Server 2008 gehen dieses Problem direkt in den Gruppenrichtlinien an. Je nach Einstellung können Administratoren künftig den Zugriff auf USB-Geräte sperren oder einen reinen Lese- oder Schreibzugriff gewähren. Administratoren können jetzt entscheiden, wer USB-Sticks nutzen darf. Unter Windows XP und Windows Server 2003 gab es für unterschiedliche Sprachversionen von Windows unterschiedliche Versionen der Vorlagendateien (*.adm-Dateien). Da dies vor allem für internationale Unternehmen nicht sehr effizient ist, hat Microsoft das Design der Vorlagendateien angepasst. Änderungen in Gruppenrichtlinien müssen dadurch nicht in jeder Sprachversion eingestellt werden, sondern nur noch einmal zentral im Unternehmen. Die alten Vorlagen-Dateien (*.adm) können unter Windows Server 2008 weiterhin verwendet werden. Windows Server 2008 verwendet für seine neuen Vorlagendateien sprachneutrale *.admx-Dateien. Diese bauen auf XML auf. Diese *.admx-Dateien werden nicht mehr für jede einzelne Gruppenrichtlinie hinterlegt, sondern zentral im Policy-Ordner. Richtlinien für Kennwörter Unter Windows Server 2008 können mehrere Richtlinien für Kennwörter definiert werden, sodass besonders sensiblen Bereichen des Unternehmens komplexere Kennwörter zugewiesen werden als anderen. Kennwortrichtlinien können jetzt auch einzelnen OUs zugewiesen werden. Wichtig für diese neue Funktion ist die OU Passwort Setting Container, der unterhalb der OU System im Snap-In Active Directory-Benutzer und -Computer angezeigt wird. In dieser OU werden nach Erstellung die Passwort Settings Objects (PSO) gespeichert. Eine PSO enthält alle notwendigen Einstellungen zur Konfiguration von Kennwortrichtlinien. Sicherheitsrichtlinien für Kennwörter können jetzt auch globalen Sicherheitsgruppen zugewiesen werden. Spezielle Kennwortrichtlinien, die einzelnen Anwendern, Gruppen oder OUs zugewiesen werden, überschreiben automatisch die Einstellungen in der Default Domain Policy. Damit diese neue Funktion genutzt werden kann, muss sich die Domäne im Betriebsmodus Windows Server 2008 befinden. Active Directory-Dienst manuell starten und stoppen Unter Windows Server 2008 ist es möglich, den Systemdienst für Active Directory im laufenden Betrieb zu stoppen und wieder zu starten. Durch diese Funktion kann Active Directory auf einem Server auch neu gestartet werden, während die anderen Dienste des Servers weiter funktionieren. Das kann zum Beispiel für die Offlinedefragmentation der Active Directory-Datenbank sinnvoll sein oder für die Installation von Updates. Active Directory Snapshot-Viewer Mit dem neuen Active Directory Snapshot-Viewer können versehentlich gelöschte Objekte der Domäne angezeigt werden. Mit dieser Funktion lassen sich zwar keine Objekte wiederherstellen, Sie erkennen aber, welche Objekte versehentlich gelöscht worden sind. Dazu kann unter Windows Server 2008 mit Ntdsutil.exe ein Snapshot von Active Directory durchgeführt und mit dem SnapshotViewer dieses auf gelöschte Objekte untersucht werden. 37
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 1
Neuerungen und Lizenzierung
Was ist neu in Exchange Server 2007? Exchange Server 2007 bietet in Verbindung mit Outlook 2007 die neuen Funktionen AutoErmittlung (Autodiscover) und AutoVerbinden (AutoConnect). Outlook 2007 ist in der Lage, automatisch eine Verbindung zu einem Exchange Server im Netzwerk herzustellen, ohne dass auf dem PC erst manuell ein Outlook-MAPI-Profil erstellt werden muss. Diese neuen Funktionen ersparen Anwendern und Administratoren die komplexe Konfiguration am Client und bieten die Möglichkeit, die Konfiguration direkt am Server für alle Clients durchzuführen.
Datenbankoptimierungen – Datensicherheit Viele Administratoren werden dankbar über die neue Funktion Local Continuous Replication (LCR), zu Deutsch Fortlaufende lokale Replikation, sein. Mit dieser Funktion legt Exchange 2007 parallel zu seiner produktiven Datenbank ein Replikat an, das zum Beispiel bei einer Wiederherstellung genutzt werden kann. Fällt die Festplatte auf dem Server aus, auf dem die Exchange-Datenbank gespeichert wurde, kann ein Administrator ohne Zeit- und Datenverlust auf das Replikat umschalten. Die Anwender können ohne Ausfall und Datenverlust weiterarbeiten. Idealerweise sollte dazu das Replikat der Datenbank auf einem getrennten Datenträger abgelegt werden. Die Datensicherung von Exchange wird durch diese Funktion erheblich optimiert, da ständig in Echtzeit alle Daten redundant vorliegen. Exchange Server 2007 Standard Edition unterstützt maximal fünf Speichergruppen mit fünf Postfachspeichern. Die Postfachspeicher innerhalb einer Speichergruppe teilen sich einen gemeinsamen Satz von Transaktionsprotokollen. Weder in der Standard Edition noch in der Enterprise Edition gibt es eine Begrenzung des Postfachspeichers. Unter Exchange Server 2003 war die Größe der Datenbank in der Standard Edition mit installiertem SP2 noch auf 75 GB begrenzt. Die Datenbankdateien sind nicht mehr in *.edb- und *.stm-Dateien aufgeteilt, sondern bestehen nur noch aus einer einzelnen *.edbDatei pro Datenbank. Insgesamt kann Exchange 2007 mehrere Milliarden Logdateien verwalten. Außerdem wurden die Datenbanken-Blockgrößen von 4 KB auf 8 KB vergrößert, mit dem Hintergedanken, dass so eine durchschnittliche E-Mail in eine einzige Speicherseite passt. Diese und weitere Maßnahmen tragen zur Reduzierung der Ein-/Ausgaben pro Sekunde bei und führen unter anderem dazu, dass Exchange Server 2007 wesentlich mehr Postfächer pro Server bedienen kann.
Neue Tools zur Verwaltung, Überwachung und Fehlerbehebung Die neue grafische Oberfläche zur Verwaltung von Exchange 2007 trägt die Bezeichnung Exchange-Verwaltungskonsole. Es wurden mehr Assistenten integriert, die bei der Verwaltung helfen sollen. Im Gegensatz zu den Vorgängern von Exchange 2007 sind alle Assistenten aufeinander abgestimmt und lassen sich identisch bedienen, sehen also nicht mehr komplett unterschiedlich aus. Die Assistenten zeigen beim Abschluss der Konfiguration auch das entsprechende Konfigurationsskript für die Befehlszeile an. Nach Abschluss der Aktion eines Assistenten werden ausführlichere Informationen ausgegeben, die im Fehlerfall besser bei der Fehlerbehebung unterstützen. Exchange erstellt bei der Durchführung von Aufgaben in der Exchange-Verwaltungskonsole so genannte CMDlets, skriptbasierte Aktionen, die auch über die Exchange-Verwaltungsshell durchgeführt werden können. Die führende Konfigurationsoberfläche ist daher nicht mehr die grafische Oberfläche, sondern diese CMDlets in der Exchange-Verwaltungsshell. Die Oberfläche dient ausschließlich der grafischen Unterstützung.
38
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Allgemeine Fragen zum Small Business Server 2008
Abbildg. 1.6
Exchange Server 2007 verfügt über eine neue Verwaltungsoberfläche
Alle Aufgaben, die Administratoren durchführen, sind unter Exchange 2007 daher transparent und einfach auch in der Befehlszeile durchzuführen. Bisher mussten automatisierte Aufgaben kompliziert über VB-Skripts durchgeführt und dabei verschiedene Schnittstellen verwendet werden. Exchange 2007 wird daher neue Meilensteine in der Automatisierung setzen, die auch für Windows Vista und Windows Server 2008 verwendet werden können. Eine weitere Änderung in Exchange 2007 ist die Integration des Exchange Server Best Practices Analyzers (ExBPA) in die neue Exchange-Verwaltungskonsole, den Nachfolger des Exchange Server 2003 System Managers. Die Verwaltungskonsole baut auf die neue MMC von Windows Server 2003 R2 auf (MMC 3.0), die auch im ISA Server 2006 oder dem Microsoft Operations Manager 2005 Einsatz findet. Der ExBPA überprüft die Installation des Exchange Servers auf eventuelle Konfigurationsfehler. Microsoft hat in dem Produkt über 2000 Regeln integriert, die typische Installations- und Konfigurationsfehler aufdecken und beheben helfen sollen. Interessant an dieser Lösung ist, dass die Regeln ständig aus dem Internet aktualisiert werden können und so immer auf dem neuesten Stand sind. In Exchange Server 2003 musste der ExBPA gesondert heruntergeladen und installiert werden. Neben dem ExBPA hat Microsoft in die Toolbox der Exchange-Verwaltungskonsole auch noch Zusatzprogramme integriert, welche die Performance des Exchange Servers überwachen und ebenfalls Hinweise zur Problemlösung geben können. Eines dieser Zusatztools ist zum Beispiel der Exchange Troubleshooting Assistant (ExTrA), der ebenfalls aus dem Internet aktualisiert werden kann. Die Kombination von ExBPA und ExTrA hilft Administratoren, Fehler in Exchange Server 2007 zu vermeiden und, falls diese doch auftreten, zu beheben. In bisher keinem Exchange Server gab es eine solche Flut von Zusatztools, die Administratoren bei ihrer Arbeit helfen sollen.
39
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 1
Neuerungen und Lizenzierung
Exchange Server 2007 in der Befehlszeile verwalten Eine weitere Neuerung in Exchange Server 2007 ist die neue Exchange-Verwaltungsshell, die auf der neuen Microsoft PowerShell aufbaut und alle Verwaltungsaufgaben in der Befehlszeile unterstützt. Exchange Server-Administratoren können daher zukünftig alle Verwaltungsaufgaben, die auch in der grafischen Oberfläche durchgeführt werden können, in der Verwaltungsshell skriptgesteuert und automatisiert durchführen. Skriptbasierte Aktionen mussten in Exchange 2003 noch durch komplizierte VB-Skripts durchgeführt werden, während in Exchange 2007 einfache PowerShellSkripts verwendet werden können. In den einzelnen Kapiteln dieses Buches zeigen wir Ihnen die Aufgaben auch innerhalb der Befehlszeile, nicht nur in der grafischen Oberfläche. Abbildg. 1.7
Auch in der Befehlszeile bietet Exchange 2007 zahlreiche Neuerungen
Neuerungen in Outlook Web Access und zur Unterstützung von mobilen Geräten In Exchange Server 2007 wurden auch zahlreiche Verbesserungen in Outlook Web Access und zur Unterstützung von mobilen Endgeräten, wie zum Beispiel Smartphones, integriert. Mit Outlook Web Access können Anwender weltweit über einen Browser auf ihr Postfach im Unternehmen zugreifen. Die Verwaltung von Outlook Web Access (OWA) wurde deutlich optimiert. Die Oberfläche von Outlook Web Access kann von Anwendern selbst an ihre Bedürfnisse angepasst werden. Auch die Planung von Besprechungen und die Abfrage des globalen Adressbuches wurden an Outlook angeglichen, sodass die Bedienung von Outlook Web Access sich stark an Outlook annähert. Für die Planung von Besprechungsanfragen können Besprechungsräume als eigener Menüpunkt ausgewählt und in Exchange 2007 auch verwaltet werden. Die rechte Maustaste wird auch in Outlook Web Access unterstützt. Auch die Anzeige der Ordner in Outlook Web Access wird automatisch aktualisiert, wenn eine neue Mail eintrifft. Benutzer können in Outlook Web Access die Spracheinstellungen unabhängig vom Browser einstellen. Unter Exchange 2003 wurde Outlook Web Access noch in der Sprache angezeigt, in welcher der Browser installiert wurde. Vor allem beim Zugriff im Urlaub oder bei international tätigen Unternehmen ist diese Möglichkeit ein echter Gewinn. GZIP-Komprimierung funktioniert unabhängig von Forms-Based Authentication innerhalb von Outlook Web Access. Beim Herunterladen von Anhängen haben Sie dadurch den Vorteil, dass die zu übertragende Datenmenge deutlich verringert wird. Über Outlook Web Access besteht die Möglichkeit, auch auf Dateien von Dateiservern oder 40
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Allgemeine Fragen zum Small Business Server 2008
SharePoint-Servern zuzugreifen. OWA gibt dazu die Authentifizierung des aktuellen Anwenders SSL-gesichert weiter und funktioniert als Reverse-Proxy. Sie können auf beliebige Netzwerkpfade zugreifen, es ist aber nur lesender Zugriff möglich. Diese Funktion kann natürlich auch deaktiviert werden. Es besteht auch die Möglichkeit, diese Funktion nur einzelnen Benutzern zu gestatten, Filtermöglichkeiten sind ebenfalls möglich. Ein Administrator kann Anwendern das Recht geben, ihre mobilen Endgeräte automatisch löschen zu lassen, wenn diese verloren gegangen sind oder gestohlen wurden. Verbindet sich ein solches Gerät über das Internet mit dem Exchange Server, wird ein Löschbefehl gesendet, der die sensiblen Daten direkt auf dem Smartphone löscht. Die neue Oberfläche von OWA sieht darüber hinaus noch mehr aus wie Outlook, damit auch mobile Nutzer effizient arbeiten können. Es ist auch in Outlook Web Access möglich, dass Anwender andere Postfächer auf dem Exchange Server öffnen, wenn sie die Berechtigung dazu haben, ohne OWA schließen und neu öffnen zu müssen. Die Konfiguration von Outlook Web Access ist in Exchange 2007 nahezu komplett in die Exchange-Verwaltungskonsole integriert. Es sind keine zusätzlichen Tools notwendig und Sie müssen weniger Konfigurationen im IIS vornehmen. Outlook Web Access 2007 bietet verschiedene Möglichkeiten, um den Datenzugriff für Anwender zu steuern. Exchange Server 2007 bietet eine neue Funktion, die WebReady Document Viewing genannt wird. Mit dieser Funktion können Anwender auf Dateien zugreifen und diese anzeigen, ohne dass auf dem PC, mit dem Sie sich per OWA verbinden, die entsprechende Applikation installiert wird. Abbildg. 1.8
Neu und verbessert – Outlook Web Access in Small Business Server 2008
41
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 1
Neuerungen und Lizenzierung
Was ist weggefallen und was bleibt? Exchange 2007 baut immer noch auf die Datenbanktechnologie von Exchange 2000 und 5.5 auf. Exchange 2007 basiert auf der Joint-Engine-Technologie (JET). Auf deren Basis wurde die Extensible Storage Engine (ESE) von Exchange 2003 und Exchange 2007 entwickelt. Erst eine künftige Exchange Server-Version wird Ihre Datenbank in den neuen SQL Server 2005 oder dessen Nachfolger integrieren können. Mit Exchange Server 2007 gibt es im Snap-In Active Directory-Benutzer und -Computer keine Registerkarten mehr für die Verwaltung der Exchange-Attribute. Es gibt auch keine Exchange-Aufgaben mehr im Snap-In Active Directory-Benutzer und -Computer. Die komplette Benutzerverwaltung der Exchange-Attribute findet jetzt in der Exchange-Verwaltungskonsole statt. Ab sofort darf der Windows SMTP-Dienst nicht mehr auf Exchange 2007 installiert sein, da Exchange seinen eigenen SMTPDienst mitbringt. Auf den Clients müssen Sie Outlook XP, 2003 oder 2007 installiert haben, ältere Outlook-Versionen werden nicht mehr unterstützt. Auch Outlook XP wird nur eingeschränkt unterstützt. Idealerweise setzen Sie auf den Clients Outlook 2007 ein, um alle Funktionen zu unterstützen. Exchange 2007 unterstützt nicht mehr den X.400 Connector. Wer noch X.400-Anbindungen betreiben muss, sollte einen Exchange 2003 Server in die Organisation integrieren. Öffentliche Ordner werden bis ins Jahr 2016 von Exchange unterstützt. Ursprünglich war angedacht, den Nachfolger von Exchange 2007 ohne die öffentlichen Ordner auszuliefern, da Microsoft die Datenspeicherung in den kostenlos erhältlichen SharePoint Services präferiert. Auch die RoutingGruppen und die administrativen Gruppen wurden abgeschafft. Da Exchange 2007 die Active Directory-Standorte unterstützt, ist daher keine zusätzliche Konfiguration von physisch getrennten Exchange Servern mehr notwendig. Alle Berechtigungen und Konfigurationen übernimmt Exchange aus dem Active Directory. Exchange 2007 ist daher noch mehr von Active Directory abhängig als die Vorgängerversionen. Die Verwaltung einzelner Exchange Server kann delegiert werden, daher sind auch die administrativen Gruppen nicht mehr notwendig. In Exchange 2007 werden die Verarbeitungen von Besprechungsanfragen und Terminen vom Client auf den Server verlegt. Das hat den Vorteil, dass keine Inkonsistenzen entstehen können, wenn mit mehreren Clients, zum Beispiel PC, OWA und Smartphones, auf Postfächer zugegriffen wird. Unter den Vorgängerversionen von Exchange 2007 wurden die Termine von den Clients verwaltet und nur auf den Exchange Server repliziert. Die verschiedenen Clients und Geräte, also OWA, Smartphones, Heim-PCs und Unternehmens-PCs, greifen dadurch immer auf die aktuellen Daten der Termine zu, Outlook muss dabei nicht laufen. Durch diese Funktion können auch Kalendereinträge durch Outlook Voice Access (OVA) vorgelesen werden, wenn die Unified Messaging-Dienste installiert und konfiguriert wurden (siehe Kapitel 9 und 10). Außerdem muss dazu ein Exchange Server der Organisation an der Telefonanlage des Unternehmens angeschlossen werden. Damit in einer Active Directory-Domäne Exchange 2007 installiert werden kann, müssen Sie sicherstellen, dass die Domänenfunktionsebene mindestens auf Windows 2000 pur gehoben wurde, es dürfen daher in dieser Domäne keine Windows NT 4.0-Domänencontroller betrieben werden. Die WAP-Funktion von Exchange 2003 (Outlook Mobile Access, OMA) ist kein Bestandteil mehr von Exchange Server 2007. Microsoft empfiehlt für die Anbindung von mobilen Benutzern Smartphones mit Windows Mobile und der Funktion Exchange ActiveSync (EAS), bei der die Synchronisation von Postfächern über das Internet durchgeführt wird.
Neuerungen in SQL Server 2008 Den Bereich der Datenverschlüsselung hat Microsoft in SQL Server 2008 stark verbessert. Sichere Daten wie Personal- oder Gesundheitsdaten lassen sich auf Datenbankebene sehr einfach durch einen Mausklick verschlüsseln. Diese Vorgänge sind in der neuen Version wesentlich vereinfacht 42
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Allgemeine Fragen zum Small Business Server 2008
und nicht mehr so komplex wie bei den Vorgängerversionen. SQL Server 2005 hat sämtliche Daten unkomprimiert direkt auf der Festplatte abgelegt. Dies ist aus Performancegründen auch notwendig gewesen. Vor allem aber bei Data Warehouses mit einer Größe von mehreren Gigabyte kann diese Technik sehr speicherplatzintensiv sein, was vor allem bei Unternehmen, die SANs einsetzen, auch schnell extrem teuer wird. SQL Server 2008 unterstützt jetzt daher auch die Datenkomprimierung, um Speicherplatz zu sparen. Die Daten können sofort bei der Speicherung komprimiert werden, was I/O-Bandbreite und Arbeitsspeicher einspart. Leere Zellen verbrauchen unter SQL Server 2008 wesentlich weniger Speicherplatz, was den gesamten Speicherverbrauch des Servers weiter reduziert. In SQL Server 2008 lassen sich Datenbanken, die auf gleichen Datenträgern gespeichert sind, priorisieren. So besteht die Möglichkeit, Produktivdatenbanken eine höhere Priorisierung zuzuweisen, wie zum Beispiel Datenbanken für die Reporterstellung. Diese Priorisierung kann auch auf Basis der Hardware-Ressourcen und Benutzer erfolgen. Bestellsysteme können so zum Beispiel 70 % der Ressourcen nutzen und Reportingsysteme nur 30 %. Berichte erstellt der Server dadurch zwar etwas langsamer, dafür stehen wichtige Produktiv-Datenbanken immer performant zur Verfügung und werden bei der Erstellung von Berichten in den Geschäftszeiten nicht mehr ausgebremst. Abbildg. 1.9
Die neue Verwaltungsoberfläche von SQL Server 2008
Richtlinien und verbesserte Entwicklungsmöglichkeiten in SQL Server 2008 einsetzen In SQL Server 2008 ist das so genannte Declarative Management Framework enthalten. Diese Technik bietet Richtlinien, die Sie auf SQL-Servern setzen können, ähnlich wie die Gruppenrichtlinien in einem Active Directory. Auf dieser Weise lassen sich zum Beispiel Richtlinien für Tabellen zentral festgelegen. Weiterhin können Sie konfigurieren, für wen diese Bedingungen gelten, zum Beispiel Tabellen oder andere Datenbankkomponenten. Bedingungen und Komponenten fasst der Server in Richtlinien zusammen. Mehrere Richtlinien lassen sich zu Gruppen zusammenfassen. Auch im Bereich der SQL Server-Entwicklung hat Microsoft viele Verbesserungen integriert. Das Entitäten-Datenmodell soll 43
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 1
Neuerungen und Lizenzierung
zum Beispiel die relationalen Datenbankfunktionen mit den objektorientierten Techniken von .NET verbinden. Datenbankobjekte in C# und Visual Basic lassen sich jetzt so verwenden, als würde es sich um objektorientierte Modelle handeln. Entwickler können dadurch mit Datenbankobjekten besser umgehen, da sich diese objektorientiert verhalten. Dabei leidet nicht die Performance des Datenbankzugriffes, SQL-Zugriffe und -Befehle erstellt der Server dabei automatisch. Die neue Funktion Change Data Capture ermöglicht die Nachverfolgung von Änderungen in Tabellen. Änderungen in Datenbanken lassen sich dadurch wesentlich effizienter in Data Warehouses übernehmen. Zur Überwachung haben Datenbankverwalter bisher entweder Trigger oder eine Anwendungslogik verwendet, was aber auf Kosten der Performance ging. Trigger verlangsamen die Datenbankzugriffe und sind kompliziert zu implementieren. Die Anwendungslogik ermöglicht auch eine Änderungsverfolgung, was aber nur funktioniert, wenn alle schreibenden Zugriffe über die Anwendung erfolgen. Change Data Capture überwacht direkt die Logdateien und automatisiert die Überwachung. Der wichtige Unterschied besteht darin, dass Change Data Capture die Tabellen für die Änderungsverfolgung nicht synchron während eines schreibenden Vorgangs (INSERT, UPDATE, DELETE, MERGE) pflegt, sondern asynchron aus den Logdateien. Das bedeutet, dass der Server die schreibenden Operationen mit voller Geschwindigkeit durchführen kann. Im Hintergrund liest das System das Log und pflegt die Tabellen zur Änderungsverfolgung. Diese Tabellen werden bei der Einrichtung automatisch erzeugt. Die Vorgänge kosten also keinerlei Performance. Zeitgleich können Änderungen in Änderungstabellen geschrieben werden, die auf anderen Datenträgern liegen können. Eine weitere Neuerung von SQL Server 2008 ist ein optimierter Datentyp namens HierarchyId für die Verarbeitung von hierarchischen Strukturen und Baumstrukturen. Solche Strukturen treten zum Beispiel in Organisationsstrukturen (wer ist Manager von wem?) oder in Produkthierarchien auf. Der HierarchyIdDatentyp selbst ist ein Binärwert, dessen Größe von der Größe der Hierarchie abhängt. HierarchyId ist als CLR-Datentyp implementiert. Über relational hinaus Heutzutage speichern viele Anwendungen die Daten nicht mehr relational. SharePoint speichert zum Beispiel seine Daten in SQL-Datenbanken, was in sehr große Datenbanken resultiert, abhängig von den gespeicherten Dateien. SQL Server 2008 unterstützt die transaktionale Speicherung von Dateien auf dem Dateisystem, die aber weiterhin mit der Datenbank verbunden sind. Auch wenn die Daten auf dem Dateisystem gespeichert werden, verhalten sich diese, als ob sie ausschließlich in der Datenbank gespeichert sind und können daher auch transaktional verwendet werden. Damit diese Funktion stabil und sicher funktioniert, wird das transaktionale Dateisystem verwendet. Diese neue Technik wird von Windows Server 2008 und Windows Vista unterstützt. Der Lese- und Schreibzugriff erfolgt dadurch mit NTFS-Performance und mit SQL-Sicherheit. Es gibt 2D- und 3D-Daten, also ortsabhängige Verknüpfungen in SQL Server 2008. Sie können zum Beispiel alle geografischen Punkte in einem gewissen Bereich von Daten einer Datenbank anzeigen lassen und diese mit Virtual Earth sogar visualisieren. Die geografischen Daten werden dazu mit in der Datenbank gespeichert, was zum Beispiel bei Vertriebsgebieten sehr sinnvoll ist. Die Partitionierung und Abfragen von Data Warehouses sind ebenfalls verbessert worden. Dimensionstabellen können mit dem neuen SQL-Befehl MERGE aktualisiert werden. Der Befehl kombiniert hauptsächlich die beiden Befehle INSERT und UPDATE. Mit dem Befehl werden Datensätze aus einer Quelltabelle in einer Zieltabelle aktualisiert, wenn es die Daten dort schon gibt, sonst werden diese neu eingefügt. Solche Befehle gab es in anderen Datenbanksystemen meist unter dem Namen UPSERT oder REPLACE. Der häufigste Anwendungsfall ist sicherlich die Aktualisierung von Stammdaten in einem Data Warehouse. Es gibt neue Designtools für die Erzeugung von Data 44
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Allgemeine Fragen zum Small Business Server 2008
Warehouses, welche unter anderem die Entwicklung vereinfachen und die Performance verbessern. Data Warehouses können mit neuen Assistenten erstellt werden, die direkt bei der Erzeugung auf eventuelle Performanceprobleme hinweisen und Lösungsvorschläge unterbreiten. Abbildg. 1.10
SQL Server 2008 unterstützt bei der eigenen Optimierung
Die Skalierbarkeit und die Performance werden durch Hinweise verbessert. Professionelle Anwender können diese Hinweise natürlich auch ausblenden. Anfänger können sehr einfach und effizient Berichte, Abfragen und Tabellen erstellen. Die Reporting Services basieren nicht mehr auf dem IIS. Es muss also nicht mehr der IIS installiert werden, wenn auf einem Server Berichte zur Verfügung gestellt werden sollen. Auch der Report Designer wurde komplett neu entwickelt und ist auch zukünftig weiterhin in das Visual Studio integriert. Datenfelder sind nicht einfach Listen, sondern werden in Hierarchien grafisch dargestellt. Daten können per Drag&Drop in Berichte integriert werden. Alternativ können die Felder auch direkt im Bericht ausgewählt werden. Erfahrene Anwender sehen an den Feldern sehr schnell, welche Daten enthalten sind, weil die Anzeige verbessert wurde, um die Entwicklung zu optimieren. Gruppierungen von Daten können leichter erstellt werden. Entweder wird auch hier wieder Drag&Drop oder das Kontextmenü verwendet. Berichte können direkt im Report Designer formatiert werden. Der Bericht kann mit einer Vorschau angezeigt werden. Einzelne Felder können jetzt viel einfacher nachträglich aufgesplittet und die Berichte angepasst werden. Diese Funktionen konnten in der Vergangenheit nur mit sehr teuren Zusatztools ermöglicht werden. Berichte können dadurch mit wachsender Anforderung weiter optimiert werden. Diese Funktionen gehen weit über die Tabellenberichte von SQL Server 2005 hinaus. Es gibt statische und dynamische Felder, die jederzeit geändert oder erweitert werden können. Auch das nachträgliche Löschen ist möglich. Einzelne Felder im Bericht können nachträglich ein- und ausgeblendet werden, es ist keine statische Festlegung von Feldern mehr notwendig. Neue Datentypen für das Datum und die Uhrzeit Um Daten oder Zeiten zum Beispiel im Millisekundenbereich zu erfassen, bietet SQL Server 2008 vier neue Daten- und Zeittypen. Zunächst gibt es den Typ Date, der nur das Datum im vierstelligen Bereich von 0001-01-01 bis 9999-01-01 im gregorianischen Kalender erfasst. Stunden können mit diesem Datentyp nicht erfasst werden. Für die Erfassung der Uhrzeit gibt es den Zeittyp Time. Dieser Typ erfasst die Zeit ohne Datum. Mit dem Typ können 24 Stunden erfasst werden. Die Erfassung geht 45
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 1
Neuerungen und Lizenzierung
dabei in eine benutzerdefinierte Genauigkeit bis zu 100 ns. Außerdem gibt es noch den Datentyp DateTimeOffset, mit dem Datum und Uhrzeit auch basierend auf der Zeitzone erfasst werden können. Der Datentyp DateTime2 erfasst Datum und Uhrzeit, berücksichtigt aber keine Zeitzonen. DateTime2 ist maximal 8 Byte groß, der Speicherplatz hält sich also in Grenzen. Bis zu sieben Nachkommastellen können für Zeitangaben erfasst werden, was einer Genauigkeit von 100 Nanosekunden (ns) entspricht. Achten Sie aber darauf, dass die Genauigkeit natürlich vom Betriebssystem abhängt. Windows Vista und Windows Server 2008 bieten hier deutlich genauere Werte im Millisekundenbereich, bei Windows Server 2003 und XP sind diese Werte etwas ungenauer. Die Anzahl der Nachkommastellen kann benutzerspezifisch gesetzt werden. Visual Studio 2008 Die neue Version des Visual Studio unterstützt Entwickler darin, Programme zu schreiben, welche die neuen Funktionen von Windows Server 2008 und SQL Server 2008 optimal nutzen. Visual Studio ist also die effiziente Schnittstelle zwischen SQL Server 2008 und Windows Server 2008. Die neuen Anwendungen lassen sich für die Oberfläche von Windows Vista optimal anpassen. Wohl eine der wichtigsten Neuerungen ist die Integration von Silverlight, einer neuen Webpräsentationstechnologie, mit der Anwendungen für IIS 7.0 entwickelt werden. Entwickler können dank Multi-Targeting auf alle Versionen von .NET Framework ab 2.0 zurückgreifen. Mit Unit Testing lassen sich Anwendungskomponenten automatisiert und wiederholt testen. Durch LINQ kann der Entwickler direkt in C# oder VB einheitliche Abfragen formulieren. Mit den Visual Studio Tools für Office werden Anwendungen für 2007 Microsoft Office System entwickelt. Die eXtensible Application Markup Language (XAML) fungiert als Austauschformat zwischen Designern und Entwicklern. Abbildg. 1.11
Applikationen für SQL Server 2008 mit Visual Studio entwickeln
Windows SharePoint Services 3.0 In Small Business Server 2008 sind die Windows SharePoint Services 3.0 (WSS) direkt integriert. Wesentliche Neuerungen in den SharePoint Services 3.0 sind ein Papierkorb, über den Sie gelöschte Objekte wiederherstellen können, und die Interaktion mit den aktuellen Office 2007-Produkten von Microsoft. Mit den SharePoint Services 3.0 können Sie außerdem Wiki-Bibliotheken erstellen, also 46
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Allgemeine Fragen zum Small Business Server 2008
Knowledge-Datenbanken ähnlich wie die Wikipedia. Außerdem unterstützt die neue Version auch Blog-Arbeitsbereiche sowie RSS-Feeds. Mit Outlook 2007 können Benutzer Informationen gemeinsam nutzen und gemeinsam an Aufgaben und Projekten arbeiten. Dadurch haben Sie Zugriff auf verschiedene Bereiche für die Zusammenarbeit in Windows SharePoint Services 3.0, mit deren Hilfe Sie Diskussionen beginnen, Kalender freigeben, gemeinsame Kontaktlisten aktualisieren und bei gemeinsam verfassten Dokumenten Versionsüberprüfungen durchführen können. Kalenderinhalte können leichter und schneller freigegeben werden. Durch die Integration von Features aus Outlook und Windows SharePoint Services wird das Senden eines Projektzeitplans an Mitarbeiter so einfach wie das Erstellen einer neuen E-Mail-Nachricht. Empfänger können bei der empfangenen Freigabenachricht auf die neue, in der Nachricht enthaltene Schaltfläche Diesen Kalender öffnen klicken. Das Freigabenachricht-Feature kann auch mit anderen Arten von SharePoint-Listen und -Bibliotheken verwendet werden, wie z. B. mit Kontakte-, Aufgaben- und Diskussionslisten. Die SharePoint Services 3.0 benötigen .NET Framework 3.0, welches ebenfalls mit Windows Server 2008 ausgeliefert wird. Abbildg. 1.12
Mit den SharePoint Services 3.0 von Windows Server 2008 lässt sich ein Intranet aufbauen
Small Business Server 2008 und die benötigte Hardware Für Small Business Server 2008 wird generell keine spezielle Serverhardware benötigt. Im nächsten Kapitel 2 gehen wir genauer auf die einzelnen Möglichkeiten bei der Serverhardware ein. Der folgende Abschnitt enthält einen Überblick der wichtigsten Systemvoraussetzungen. 47
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 1
Neuerungen und Lizenzierung
쐍 Prozessor Mindestens 2 GHz, besser schneller 쐍 Speicher Mindestens 4 GB RAM (bei weniger bricht die Installation mit einem Fehler ab), maximal 32 GB RAM 쐍 Freier Festplattenplatz 쐍 Faxmodem
Mindestens 60 GB, besser mehr
Bei der Verwendung der Faxdienste benötigt der Server natürlich ein Faxmodem
쐍 Zusätzliche Server Beim zweiten Server sollte auch mindestens eine 2 GHz-CPU verbaut sein. Der Server sollte mindestens über 2 GB RAM verfügen. Installieren Sie einen 32-Bit (x86)-Server, ist das Maximum des Arbeitsspeichers 4 GB RAM. Setzen Sie als zweiten Server einen 64-Bit (x64)-Server ein, beträgt das Maximum des Arbeitsspeichers 32 GB. 쐍 Unterstützte Client-Betriebssysteme Windows XP SP2 und höher, Windows Vista Business/ Ultimate/Enterprise und höher, Windows Mobile 5.0 und höher
Einschränkungen und Besonderheiten von Small Business Server 2008 Small Business Server 2003 kann für Unternehmen bis maximal 75 Mitarbeiter eingesetzt werden. Wenn Sie diese Benutzeranzahl erreichen, können Sie die Lizenzierung mit dem Transition Pack erweitern. Wenn Sie einen Terminalserver in einem Small Business Server 2008-Netzwerk einsetzen wollen, müssen Sie einen zusätzlichen Server integrieren und lizenzieren. Für diesen Server müssen zusätzliche Terminalserver-Lizenzen erworben werden. TS-CALs sind nicht in die Small Business Server 2008-Cals integriert. Es können beliebig viele zusätzliche Server in eine Small Business Server 2008-Domäne aufgenommen und betrieben werden. Weitere wichtige Einschränkungen beim Einsatz von Small Business Server 2008 sind: 쐍 Eine SBS 2008-Netzwerk darf nur eine Domäne enthalten, untergeordnete Domänen lassen sich nicht erstellen. 쐍 Es lassen sich keinerlei Vertrauensstellungen zu anderen Domänen herstellen, das gilt auch für Domänen unter Small Business Server 2003/2008. 쐍 Small Business Server 2008 Premium enthält die Möglichkeit, einen zweiten Server zu installieren. Der Server muss Mitglied der Small Business-Server Domäne sein. Der zweite Server darf kein Domänencontroller einer neuen Domäne sein. 쐍 In der SBS-Domäne lassen sich beliebig weitere Server integrieren, die Sie aber lizenzieren müssen. Nur bei Small Business Server 2008 Premium Edition ist ein weiterer Server enthalten, der bereits lizenziert ist. 쐍 Sie können mit den Windows SBS-Clientlizenzen auf andere Server im Netzwerk zugreifen, auf denen Windows Server 2008, Exchange Server 2007 oder SQL Server 2008 installiert ist. Allerdings dürfen die Anzahl der Zugriffe nicht die Anzahl der Client-Lizenzen übersteigen. Die ServerLizenzen für die Produkte müssen Sie jedoch kaufen. 쐍 Alle Applikationen von Small Business Server 2008 müssen Sie auf dem ersten Server installieren. Nur die SQL Server 2008-Komponente erlaubt die Installation auf dem zweiten Server im Netzwerk. 쐍 Der zweite Server kann ohne Weiteres an einem anderen Standort betrieben werden. Es ist nicht notwendig, dass sich dieser physisch am selben Standort befindet. 48
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Lizenzieren von Small Business Server 2008
Lizenzieren von Small Business Server 2008 Bei der Lizenzierung des Small Business Server 2008 hat sich im Vergleich zu seinem Vorgänger am Grundprinzip wenig verändert: 쐍 Um einen Small Business Server zu lizenzieren, müssen Sie zunächst die Grundlizenz der Standard Edition oder der Premium Edition erwerben. Diese Lizenz berechtigt zum Installieren von Small Business Server 2008. 쐍 Bei den Zugriffslizenzen (CAL) unterscheidet Microsoft jetzt zwischen zwei Paketen: 쐍 SBS 2008 CAL Suite Diese Lizenzen benötigen Computer oder Geräte, um auf das SBSNetzwerk und die Funktionen des Servers zuzugreifen 쐍 SBS 2008 CAL Suite für Premium Benutzer oder Geräte Mit diesen Lizenzen ist lediglich der Zugriff auf die Premium-Funktionen des Servers gestattet, im Grunde genommen also hauptsächlich auf den SQL Server 2008 쐍 Alle Anwender oder Computer, die mit dem Small Business Server 2008 arbeiten, benötigen eine Small Business Server 2008-Client Access License (SBS-CAL) 쐍 In der Server-Lizenz für den Small Business Server 2008 sind bereits fünf Lizenzen integriert 쐍 Die CALs unterscheiden sich vom Preis und der Lizenzierung nicht zwischen der Standard Edition und der Premium Edition. Es gibt nur eine Art von Small Business Server 2008-CALs, unabhängig davon, ob Sie Small Business Server 2008 in der Standard Edition oder in der Premium Edition einsetzen. Diese Lizenzen berechtigen zur Nutzung aller Applikationen, die im Small Business Server 2008 enthalten sind, es müssen keine zusätzlichen Lizenzen erworben werden. 쐍 Da sich die Lizenzierung von Small Business Server 2008 von der Lizenzierung der jeweiligen Einzelprodukte unterscheidet, geraten Sie in Schwierigkeiten, sobald die Anzahl der vorhandenen Benutzer die mögliche Maximalzahl an Lizenzen übersteigt. Der SBS lässt die Anmeldung nur für so viele Mitarbeiter zu, für die Lizenzen vorhanden sind. Jeder weitere Benutzer kann sich nicht mehr anmelden. 쐍 Microsoft bietet Lizenzpakete mit 5, 10 oder 20 CALs an HINWEIS Eine Neuerung in der Lizenzierung seit Small Business Server 2003 sind die erweiterten CAL-Rechte. Wenn Unternehmen zusätzlich zu Small Business Server 2008 einen Windows Server 2003/2008 oder einen Exchange Server 2007 im Netzwerk integrieren, müssen für diese Server keine zusätzlichen CALs erworben werden. Die Lizenzierung der Small Business Server 2008-CALs berechtigt auch den Zugriff auf andere Server in einem Small Business Server 2008Netzwerk, solange die Gesamtanzahl der Lizenzen nicht überschritten werden. Sie müssen lediglich die Serverlizenzen kaufen, aber keine zusätzlichen CALs. Das gilt auch für die Exchange-CALs oder SQL Server-CALs. Wenn Sie Small Business Server 2008 einsetzen, können Sie zusätzliche Exchange Server und SQL Server im Netzwerk installieren. Für diese zusätzlichen Server werden als Lizenzen nur die Betriebssystemlizenz und die Serverlizenz für Exchange Server oder SQL Server benötigt, keinerlei CALs mehr. Wenn Sie zwei Small Business Server 2008-Server installieren wollen, benötigen Sie weiterhin zwei Small Business Server 2008-Lizenzen.
49
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 1
Neuerungen und Lizenzierung
Geräte-Lizenzen (Device CALs) oder Benutzer-Lizenzen (User CALs) Microsoft bietet die beiden Lizenzvarianten Geräte-Lizenzen und Benutzer-Lizenzen an. Die beiden Lizenzen unterscheiden sich nicht preislich voneinander. Sie müssen bereits bei der Bestellung Ihrer Lizenzen im Voraus planen, welchen Lizenztyp Sie einsetzen wollen. Sie können auf einem Small Business Server 2008 auch die verschiedenen Lizenzen miteinander mischen, je nach optimaler Lizenzierung. Es ist jedoch nicht erlaubt, die einzeln erhältlichen Lizenzpacks in Geräte- und Benutzer-Lizenzen aufzusplitten. Sie dürfen also ein 5er-Pack Geräte-Lizenzen und ein 5er-Pack Benutzer-Lizenzen kaufen und lizenzieren. Es ist aber nicht erlaubt, dass Sie diese Pakete aufsplitten und zum Beispiel als 2erGeräte-Lizenz und 8er-Benutzer-Lizenz verwenden. Wenn Sie mit Geräte-CALs lizenzieren, müssen Sie für jeden PC, der auf diesen Server zugreift, eine Lizenz kaufen, unabhängig davon, wie viele Benutzer an diesem PC arbeiten. Wenn Sie PCs betreiben, zum Beispiel im Schichtbetrieb, an denen zu unterschiedlichen Zeiten unterschiedliche Benutzer arbeiten, benötigen Sie für diese PCs nur jeweils eine Geräte-CAL. Im umgekehrten Fall, wenn also ein Benutzer mit mehreren PCs, Notebooks oder Smartphones auf den Server zugreift, benötigen Sie für diesen Benutzer mehrere Geräte-CALs, da dieser Benutzer mit mehreren PCs auf den Server zugreift. Auch PCs, auf denen Sie per Outlook Web Access oder Remote Web Workplace auf den Small Business Server 2008 zugreifen, müssen lizenziert werden. Alternativ können Sie auch eine Benutzer-CAL kaufen. Jeder Benutzer mit einer Benutzer-CAL kann an beliebig vielen PCs eine Verbindung mit einem Server aufbauen. Abbildg. 1.13
Lizenzierung mit Benutzer-CALs oder Geräte-CALs
Die CALs müssen eindeutig zugewiesen werden. Sie können daher nicht nur so viele CALs kaufen, wie gleichzeitig Benutzer mit dem Small Business Server 2008 arbeiten, sondern müssen die Gesamtzahl Ihrer Arbeitsstationen, Pocket-PCs und sonstiger Geräte lizenzieren, wenn Sie GeräteLizenzen kaufen. Bei Benutzer-Lizenzen müssen diese genau der Anzahl der Benutzer zugewiesen werden, die insgesamt mit dem Small Business Server 2008 arbeiten. 50
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Lizenzieren von Small Business Server 2008
Beispielhafte Einsatzszenarien für Lizenzen Der nachfolgende Abschnitt geht auf einzelne Szenarien ein, um die Unterschiede in der Lizenzierung zu verdeutlichen.
Szenario: Lizenzen bei weniger PCs als Mitarbeitern In Ihrem Unternehmen sind beispielsweise 100 Mitarbeiter beschäftigt, von denen jedoch lediglich 63 mit PCs am Small Business Server 2008 arbeiten. Da im Lieferumfang der Serverversion bereits fünf Lizenzen enthalten sind, benötigen Sie noch 58 Lizenzen für die PCs. Wenn Sie Geräte-CALs kaufen, wird jede gekauft Lizenz einem bestimmten PC zugeordnet. Mit diesen PCs können sich jetzt beliebig viele Mitarbeiter mit dem Small Business Server 2008 verbinden, wenn sich diese zum Beispiel PCs im Schichtbetrieb teilen. Wenn neue PCs hinzukommen, müssen Sie für diese PCs weitere Geräte-Lizenzen kaufen.
Szenario: Lizenzen bei mehr PCs als Mitarbeitern Im nächsten Beispiel gehen wir von einer IT-Firma aus, in der 90 Mitarbeiter beschäftigt sind. Von diesen 40 Mitarbeitern arbeiten 25 mit der Windows-Domäne und dem Small Business Server 2008. Jeder dieser Mitarbeiter hat einen PC und ein Notebook, mit denen er am Small Business Server 2008 arbeitet, um Dateien auszutauschen oder auf sein Postfach zurückzugreifen. Obwohl in diesem Unternehmen nur 40 Mitarbeiter beschäftigt sind, verbinden sich 50 PCs mit dem Small Business Server 2008. Es müssen in diesem Beispiel daher 50 Geräte-Lizenzen erworben werden. Wenn das Unternehmen seine Lizenzen jedoch als Benutzer-Lizenz erwirbt, werden lediglich 25 Lizenzen benötigt, da nur 25 Benutzer mit dem Small Business Server 2008 arbeiten.
Szenario: Anbindung von Firmen-PCs und Heimarbeitsplätzen In einem Unternehmen gibt es 45 PCs. Von diesen 45 PCs werden 30 PCs im Schichtbetrieb von jeweils zwei Mitarbeitern geteilt. Zusätzlich gibt es 15 Mitarbeiter, die berechtigt sind, sich zu Hause ins Netzwerk einzuwählen und auf den Small Business Server 2008 zugreifen, um E-Mails abzurufen oder Dateien zu öffnen. Diese Mitarbeiter können auch mit Smartphones über das Internet auf den Exchange Server im Small Business Server 2008 zugreifen. Diese 15 Mitarbeiter arbeiten jeweils an einem der 45 PCs des Unternehmens. Da im Lieferumfang bereits fünf Lizenzen enthalten sind, sollten diese bei der Lizenzierung berücksichtigt werden. Die beste Lizenzierung in diesem Beispiel sieht folgendermaßen aus: 1. Das Unternehmen deklariert die enthaltenen fünf Lizenzen des Small Business Server 2008 als Benutzer-Lizenzen für fünf der Heimarbeitsplatz-Benutzer. 2. Zusätzlich werden weitere zehn Benutzerlizenzen erworben und den Heimarbeitsplätzen zugewiesen. Mit diesen Lizenzen dürfen jetzt diese Heimarbeitsplatz-Benutzer sowohl von zu Hause mit ihrem PC als auch mit dem Smartphone und dem PC am Arbeitsplatz auf den Small Business Server 2008 zugreifen 3. Für die restlichen 30 PCs werden Geräte-Lizenzen erworben, die es einer beliebigen Anzahl Benutzern erlaubt, von den 30 fest definierten PCs auf Small Business Server 2008 zuzugreifen. In diesem Beispiel ist also ein Mischbetrieb der Lizenzierung sinnvoll.
51
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 1
Neuerungen und Lizenzierung
Lizenzierung beim Einsatz von Terminalserver und Small Business Server 2008 Wenn Sie einen zusätzlichen Terminalserver in einer Small Business Server 2008-Domäne integrieren, müssen Sie für diesen Server eine eigene Windows Server 2003/2008-Lizenz kaufen. Zusätzlich benötigen Sie für jeden Benutzer, der mit dem Terminalserver arbeitet, eine Terminalserver-Lizenz. Sie benötigen für diesen Terminalserver keine zusätzlichen Small Business Server 2008-CALs noch Windows Server 2003/2008-CALs, sondern lediglich eine Server-Lizenz und die entsprechende Anzahl an TS-Lizenzen. Diese Lizenz wird pro PC oder pro Benutzer vergeben und gilt also nicht concurrent, also pro gleichzeitigem Zugriff. Das heißt, Sie müssen nicht so viele Lizenzen kaufen, wie gleichzeitig Benutzer mit dem Terminalserver arbeiten, sondern so viele Lizenzen, wie Benutzer überhaupt mit dem Terminalserver innerhalb eines Zeitraums arbeiten. Wenn Sie nicht genügend Lizenzen einspielen, können Benutzer nur begrenzte Zeit mit einem Terminalserver arbeiten. Wenn Sie einen Windows Server 2003/2008 Terminalserver einsetzen, sind keine Lizenzen für Windows XP oder Windows 2000 integriert. Diese müssen wie bei den anderen Betriebssystemen auch erworben werden. Microsoft bietet für die Lizenzierung der TS-CALs die gleichen Lizenzierungsmöglichkeiten wie bei den normalen Server-CALs. Es gibt TS-Geräte-CALs und TS-Benutzer-CALs. Es gibt auch eine External Connector-Lizenz für TS-CALs. Bei dieser Lizenzierung können sich alle Geschäftspartner oder Lieferanten mit einem Terminalserver verbinden und benötigen keine zusätzlichen TS-CALs. Dies gilt aber nur für Außenstehende, nicht für Mitarbeiter des Unternehmens.
Citrix-Lizenzierung Wenn Sie zusätzlich auf einem Terminalserver Citrix einsetzen, benötigen Sie darüber hinaus eine Citrix Presentation Server-Produktlizenz sowie Verbindungslizenzen für Citrix. Die Verbindungslizenzen bei Citrix sind concurrent. Sie müssen also nur so viele Lizenzen kaufen, wie sich Benutzer gleichzeitig mit dem Server verbinden. Wenn die Benutzer sich vom Terminalserver abmelden, wird die Lizenz wieder freigegeben. Das ist bei den Microsoft-Lizenzen nicht so. Diese Lizenzen bleiben auf dem Benutzer-PC erhalten, auch wenn sich der Benutzer vom Server abgemeldet hat. Auch wenn Ihre Benutzer ausschließlich mit dem Citrix-Client per ICA auf den Terminalserver zugreifen, werden für alle Benutzer zusätzlich zu den Citrix-Lizenzen TS-CALs benötigt. Sie müssen daher den Einsatz von Citrix immer als Zusatzkosten sehen.
Lizenzen für installierte Applikationen Zusätzlich benötigen Sie für jede installierte Applikation entsprechend der Benutzeranzahl Lizenzen. Auch wenn zum Beispiel Microsoft Office nur einmal auf einem Terminalserver installiert wird, benötigen Sie so viele Lizenzen, wie Benutzer mit dem Server arbeiten. Das gilt auch für alle anderen Applikationen. Manche Hersteller bieten besondere Terminalserverlizenzen an, die etwas günstiger sind. Diese Applikationen sind aber nicht sehr verbreitet. Darunter fallen zum Beispiel spezielle Applikationen, die über einen Druckertreiber Dokumente ins PDF-Format portieren. Manche Unternehmen legen die Lizenzierung so aus, dass durch eine einzige Lizenzierung von Microsoft Office alle Anwender auf dem Terminalserver damit arbeiten dürfen, aber das ist definitiv falsch.
52
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Zusammenfassung
Downgraderechte zu älteren Editionen Unternehmen, die Lizenzen von Small Business Server 2008 erwerben, erhalten auch das Recht, ältere Editionen des Small Business Servers zu installieren. In der folgenden Tabelle zeigen wir Ihnen, welche Möglichkeiten zur Installation zur Verfügung stehen. Tabelle 1.2
Möglichkeiten und Lizenzierung beim Downgrade SBS 2008
SBS 2003 R2
SBS 2003
SBS2000
SBS 2008 Standard
SBS 2003 R2 Standard
SBS 2003 Standard
SBS 2000
SBS 2008 Premium
SBS 2003 R2 Premium
SBS 2003 Premium
Nicht verfügbar
SBS 2008 CAL Suite
SBS 2003 CAL
SBS 2003 CAL
SBS 2000 CAL
SBS 2008 CAL für Premium Benutzer oder Geräte
SBS 2003 CAL
SBS 2003 CAL
SBS 2000 CAL
TIPP In Small Business Server 2008 Premium Edition ist SQL Server 2008 enthalten. In bestimmten Umständen erlaubt Microsoft die Installation von SQL Server 2005 Standard Edition, wenn im Unternehmen eingesetzte Anwendungen nicht kompatibel zu SQL Server 2008 sind. Microsoft wird die zusätzliche Auslieferung von SQL Server 2005 Standard zusammen mit SQL Server 2008 einstellen, informieren Sie sich daher vorher über eine richtige Lizenzierung.
Zusammenfassung In diesem Kapitel haben wir Ihnen die wichtigsten Neuerungen von Small Business Server 2008 vorgestellt und die Fakten, die Sie vor der Einführung kennen müssen, beispielsweise der wichtige Punkt der Lizenzierung. Im nächsten Kapitel zeigen wir Ihnen, wie Sie ein optimales Netzwerk mit Small Business Server 2008 planen.
53
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 2
Planen und Einführen von Small Business Server 2008
In diesem Kapitel: Die optimale Server-Hardware für Small Business Server 2008
56
Netzwerk-Infrastruktur planen
62
Unterbrechungsfreie Stromversorgung (USV)
66
Internetzugang planen
67
Datensicherung mit Hard- und Software planen
69
Virenschutz planen
71
Planung des Serverraums
73
Planung der Benutzeranbindung
75
Active Directory planen
75
Planen der Exchange Server-Verwendung
78
Zusammenfassung
82
55
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 2
Planen und Einführen von Small Business Server 2008
Für die effiziente Nutzung von Small Business Server ist es notwendig, bereits frühzeitig die Einführung zu planen. Auch wenn es sich meist nur um die Einführung eines einzelnen Servers handelt, sollten Sie vor der Bestellung von Hard- oder Software einen genauen Überblick haben, was alles benötigt wird. In diesem Kapitel besprechen wir die wichtigsten Punkte, die zur Einführung von Small Business Server 2008 gehören. Wir gehen in diesem Kapitel nicht auf alle Planungsaspekte eines Netzwerkes mit SBS 2008 ein, sondern auf die Themen, die vor der Anschaffung eines Servers wichtig sind. HINWEIS Beziehen Sie in die Planung des SBS-Servers auch die Erstellung eines Ausfallkonzepts für die notwendigen Dokumentationen ein, die wir im Kapitel 19 für Sie zusammengestellt haben.
Die optimale Server-Hardware für Small Business Server 2008 Die erste Frage ist sicherlich die Entscheidung, ob kostspieligere, aber auch stabilere Markenserver gekauft oder selbst gebaute Server verwendet werden sollen. Vor allem der Service für die Hardware spielt eine große Rolle. Bereits frühzeitig sollte daher festgelegt werden, ob ein spezielles Servicepaket dazugekauft werden soll. Es gibt verschiedene Angebote der Anbieter. Diese gehen von 24 × 7 (24 Stunden für 7 Tage) bis zu 12 × 5 (12 Stunden für 5 Tage), es gibt 4 Stunden Reaktionszeit oder Reaktionszeit am nächsten Arbeitstag usw. Auch die Bauart der Server spielt eine Rolle. Sollen 19"-Rackserver gekauft werden oder Standgeräte? Auch die Lieferzeiten der Server müssen berücksichtigt werden.
Auswahl der Servermarke Der Großteil der deutschen Unternehmen setzt auf Server von Fujitsu-Siemens, HP/Compaq, IBM oder Dell. Bei der Planung der Serverhardware spielen außer Präferenzen für eine bestimmte Marke auch andere Aspekte eine Rolle, die ich an dieser Stelle etwas näher durchleuchten will: 쐍 Kompatibilität der Komponenten Auch wenn Sie sich die besten Hardwareteile zusammenkaufen und einen vermeintlich stabilen Server selbst bauen oder bauen lassen, wissen Sie nicht, wie sich die einzelnen Komponenten untereinander verstehen. Die großen Markenhersteller betreiben Testzentren, um sicherzustellen, dass die Komponenten eines Servers fehlerfrei zueinander passen. Einen solchen Test können sich weder kleinere IT-Unternehmen noch Unternehmen leisten, die selbst wenige Server zusammenbauen. Sie gehen beim Eigenbau in dieser Beziehung ein ziemlich großes Risiko ein. 쐍 Kompatibilität mit dem Betriebssystem Größere Unternehmen lassen ihre Serverhardware bei Microsoft und anderen Herstellern zertifizieren. Dadurch ist sichergestellt, dass nicht nur die Komponenten untereinander fehlerfrei harmonieren, sondern auch die Hardware fehlerfrei mit dem Betriebssystem zusammenarbeitet. Auch in dieser Hinsicht ist es ein Lotteriespiel, wenn Sie aus einzelnen Komponenten einen Server zusammenbauen. In Einzelfällen müssen Sie bei den zusammengebauten Servern nicht zertifizierte Treiber installieren, bei denen der Hersteller nicht garantiert, dass sie im Betrieb stabil funktionieren.
56
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Die optimale Server-Hardware für Small Business Server 2008
쐍 Ersatzteile Wenn Sie aus Einzelteilen einen Server zusammenbauen, müssen Sie bei Ausfall einer Komponente selbst für Ersatzteile sorgen. Da unter normalen Umständen die gleiche Hardware nicht mehr verfügbar ist, können Sie nicht gewährleisten, dass die neue Hardware mit den anderen Komponenten harmoniert. Unter Umständen gibt es für das einzelne Bauteil überhaupt keine Ersatzteile mehr. Markenhersteller führen auch noch für ältere Modelle einen Ersatzteilservice durch. 쐍 Service Bei Markenherstellern erhalten Sie verschiedene Supportverträge. Diese garantieren eine Fehlerbehebung der Hardware innerhalb eines gewissen Zeitraums durch einen spezialisierten Servicetechniker. Dadurch ist bis zu 24 Stunden pro Tag sichergestellt, dass bei Ausfall innerhalb weniger Stunden eine kompetente Servicekraft dafür sorgen kann, dass der Server wieder funktioniert. Sie sollten aus diesen Gründen nur in Ausnahmefällen auf selbst gebaute Systeme zurückgreifen. Die Preisunterschiede sind mittlerweile so gut wie nicht mehr vorhanden. In vielen Beispielen sind die großen Vier (Fujitsu-Siemens, HP/Compaq, IBM und Dell) sogar oft günstiger. Hier helfen auch sehr oft Vergleichsangebote, um den Preis noch etwas zu drücken.
RAID-Systeme für Datenträger Sie sollten keine Hardware kaufen, deren Datenträger nicht mit RAID (Redundant Array of Independent Disks) ausgestattet ist. Sie können mit Small Business Server 2008 auch ein Software-RAID aufbauen, wenn zwei identische Festplatten eingebaut sind. Hardware-RAIDs sind aber immer die bessere Wahl, da diese getrennt vom Betriebssystem durch einen speziellen Controller verwaltet werden. Sie sollten Server immer abhängig vom Einsatz mit einem passenden RAID-System ausstatten. Es gibt mittlerweile zahlreiche RAID-Level. Am meisten verbreitet sind RAID-1 und RAID-5, aber auch RAID-10. HINWEIS Unabhängig vom RAID-System und der Anzahl der Festplatten, die das RAID-System bilden, wird ein einzelnes RAID-System immer als ein einzelner logischer Datenträger betrachtet. Das Betriebssystem weiß nicht, wie viele Festplatten an einem RAID-System angeschlossen sind, da die Verwaltung durch den RAID-Controller durchgeführt wird. Aus diesem Grund wird das Betriebssystem nicht belastet und es kann auch nicht zu Fehlkonfigurationen im Betriebssystem kommen.
RAID-1 – Spiegelung Ein RAID-1 ist einfach aufgebaut. Im Server befinden sich zwei Festplatten. Der Inhalt der ersten Festplatte wird in Echtzeit auf die zweite Festplatte kopiert, sie wird gespiegelt. Dadurch kann der Ausfall einer Festplatte auf einem Server immer sehr schnell behoben werden. Auf allen Servern sollte das Betriebssystem immer auf einem RAID-1-System installiert werden. Dadurch ist sichergestellt, dass der Server auch bei Ausfall einer Festplatte noch funktioniert. Die defekte Platte muss in diesem Fall einfach nur ausgetauscht werden.
RAID-5 – Aufteilen der Daten in Paritäten RAID-5-Systeme werden meistens zum Speichern von Daten genutzt. Daher kommen diese Systeme oft auf Datenbank- oder Dateiservern zum Einsatz. Auch der Einsatz in Small Business Server 2008 ist durchaus sinnvoll. Ein RAID-5-System muss aus mindestens drei identischen Festplatten bestehen, wobei der Einsatz von vier Platten sicherer ist. Bei RAID-5 werden die Daten gleichmäßig auf alle Platten verteilt. Zusätzlich werden auf allen Platten noch Informationen verteilt, welche Daten auf welcher Platte gespeichert sind. RAID-5 ist vom Preis-Leistungs-Verhältnis das beste und daher 57
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 2
Planen und Einführen von Small Business Server 2008
beliebteste RAID-System für Daten. Allerdings ist die Performance eines RAID-5-Systems im Vergleich deutlicher langsamer, was allerdings bei der heutigen schnellen Hardware kaum mehr ins Gewicht fällt. Sobald bei einem RAID-5-System zwei Festplatten gleichzeitig ausfallen, bestehen erhebliche Gefahren eines Datenverlustes, beim Ausfall einer Platte kann deren Inhalt aus dem Inhalt der anderen Platten ohne Datenverlust restauriert werden. Bei einem RAID-5-System können Sie beim Festplattenplatz immer die Kapazität einer Festplatte abziehen. Dieser Plattenplatz wird insgesamt benötigt, da die Informationen, welche Daten auf welchen Platten abgelegt sind (die so genannte Parität), insgesamt die Kapazität beeinflussen. Wenn Sie ein RAID-5-System mit 3 Festplatten à 146 Gbyte aufbauen, stehen Ihnen 2 × 146 Gbyte = 292 Gbyte Plattenplatz zur Verfügung. Die restlichen 146 Gbyte werden für die Parität verwendet.
RAID-10 – Geschwindigkeit und Sicherheit Als RAID-10-Systeme werden RAID-Systeme bezeichnet, welche die beiden Systeme RAID-1 und RAID-0 miteinander verbinden. Aus diesem Grund werden RAID-10-Systeme auch oft als RAID-1+0 bezeichnet. Bei RAID-10 wird die Sicherheit eines RAID-1 mit der Performance von RAID-0 verbunden. Bei RAID-0 werden zwei Festplatten in den Server eingebaut, die zu einem sogenannten Stripeset (aus dem englischen Stripe für Streifen) zusammengefasst werden. Ein Stripeset ermöglicht es, dass Daten gleichzeitig auf zwei Festplatten geschrieben werden. Die Daten eines Stripesets werden daher fast doppelt so schnell geschrieben wie auf normale Festplatten. Durch diese Technik ist RAID-10 deutlich schneller als RAID-1 und sicherer als ein RAID-5-System. Bei RAID-10 können ohne Weiteres zwei Festplatten gleichzeitig ausfallen, solange es nicht die gleichen Platten eines Stripesets sind. Da ein RAID-10-System ein gespiegeltes Stripeset ist, werden mindestens vier Platten benötigt. Ein RAID-10System hat den größten Platzverlust der hier beschriebenen RAID-Systeme, da die Hälfte der Festplatten nicht zur Verfügung steht, weil sie für die Spiegelung verwendet wird.
HotSpare und HotPlug Bei allen RAID-Systemen sollte mit zusätzlichen HotSpare-Festplatten gearbeitet werden. HotSpareFestplatten werden als zusätzliche Festplatten in das System integriert und übernehmen bei Ausfall einer Platte des RAID-Systems automatisch deren Funktion. Zusätzlich zu der Funktion von HotSpare-Festplatten können Server noch mit der HotPlug-Funktion ausgestattet werden. Bei dieser Funktion können defekte Festplatten im laufenden Betrieb ausgewechselt werden, sodass der Ausfall und notwendige Austausch einer defekten Festplatte kein Ausschalten des Servers notwendig macht. In ausfallsicheren Umgebungen sollten daher zu jedem RAID-5-System eine HotPlug-Funktionalität und eine HotSpare-Festplatte dazukommen. Die Reserveplatte wird im produktiven Betrieb nie verwendet, sondern dient nur zur Sicherung des Ausfalls.
Dual-Channel-RAID-Controller Die meisten RAID-Controller bestehen aus einem Dual-Channel-System. Bei diesem System kann ein RAID-Controller zwei unterschiedliche RAID-Systeme verwalten. Diese Technik ist sinnvoll, wenn Sie einen Server betreiben, der Daten speichert. Der erste Kanal des RAID-Controllers bedient das Betriebssystem, welches idealerweise auf einem RAID-1-System liegen sollte. Der zweite Kanal steuert das RAID für die Daten, welches hauptsächlich aus einem RAID-5- oder RAID-10-System besteht.
58
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Die optimale Server-Hardware für Small Business Server 2008
Abbildg. 2.1
Optimaler Server für Small Business Server 2008
Datenträger-Auswahl Der erste Schritt für eine optimale Datenspeicherung besteht darin, genau zu analysieren, um wie viele Daten es sich bei Ihnen handelt. Hierbei müssen Sie nicht nur an den aktuellen Bedarf, sondern auch an den zukünftigen Bedarf in drei oder fünf Jahren denken. Auch die Aspekte Ausfallsicherheit und Kosten spielen bei der Auswahl des richtigen Systems eine wichtige Rolle. Da es sich bei den gespeicherten Dateien im Netzwerk um das komplette Wissen des Unternehmens handelt, ist es extrem wichtig, zu planen, auf welcher Hardware die Daten gespeichert werden sollen. In diesem Zusammenhang hört man oft zahlreiche Begriffe wie NAS, iSCSI, RAID in verschiedenen Ausführungen. Viele mittelständische Unternehmen speichern die Daten auf Festplatten, die im Server eingebaut sind, während andere auf Technologien wie NAS oder externe Datenspeicher setzen.
Integrierter Datenträger Wenn Sie sich entschließen, einen Server zu erwerben, in dem die Datenträger zur Speicherung eingebaut sind, empfiehlt sich der Einsatz eines Servers mit einem Dualchannel-RAID-Controller. Ein ideal ausgestatteter Small Business Server verfügt über sechs Festplatten (2 × RAID-1 für das System, 3 × RAID-5 für die Daten, 1 × HotSpare). Wenn Sie Small Business Server 2008 mit RAID-10 betreiben, benötigen Sie sieben Festplatten, da ein RAID-10-System über mindestens vier Festplatten verfügen muss. Bei der Planung eines Servers mit integriertem Festplattensystem sollten Sie daher darauf achten, dass Sie ein Gerät vorsehen, in dem Sie diese Anzahl von Platten einbauen können und das auch noch skalierbar ist, um zukünftig den Plattenplatz zu erweitern.
Externer Datenspeicher – NAS und DAS Immer mehr Unternehmen gehen dazu über, die Daten auf externe Datenspeicher zusammenzufassen. Hauptsächlich finden in diesem Bereich Untergliederungen in NAS (Network Attached Storage) und DAS (Direct Attached Storage) statt. Sinn dieser Technologien ist es, dass die wichtigen Daten eines Unternehmens an einem zentralen Punkt liegen, der vor Ausfall eines Servers geschützt ist. Der 59
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 2
Planen und Einführen von Small Business Server 2008
Vorteil dieser Systeme liegt meistens darin, dass sie besser skalierbar sind und mit den Bedürfnissen des Unternehmens mitwachsen können. Die Platten sind dabei nicht in den Server eingebaut, sondern extern angeschlossen, die Performance leidet darunter nicht. NAS (Network Attached Storage) Bei NAS handelt es sich um Massenspeichergeräte, die direkt an das Netzwerk angeschlossen sind und mit einem eigenen Betriebssystem ausgestattet werden. Viele Betriebssysteme von NAS-Systemen sind webbasierend und im Gegensatz zu normalen Betriebssystemen deutlich eingeschränkt und nur auf den Einsatz als Dateiserverbetriebssystem optimiert. Durch die Einfachheit des Betriebssystems können NAS-Systeme ohne großen Aufwand schnell ins Small Business Server 2008-Netzwerk integriert werden. Meistens sind in NAS-Systemen SCSI-Platten eingebaut, die über ein RAID-5-System angesprochen werden. Ein weiterer Vorteil von NAS-Systemen ist, dass für das Betriebssystem der NAS-Einheit keine Lizenzen und keine CALs gekauft werden müssen, unabhängig von der Anzahl zugreifender Benutzer. NAS kann daher eine gute Alternative zu herkömmlichen Datenträgern sein. NAS-Systeme verfügen über hohe Kapazitäten, einen eigenen Prozessor und Arbeitsspeicher. Viele NAS-Systeme, wie zum Beispiel die Dell PowerVault-Reihe, gibt es als 19"-1HE-Geräte. NAS-Systeme sind auf die Speicherung von Daten spezialisiert. Ein großer Nachteil von NAS-Systemen ist die Problematik, dass die Anbindung über das LAN erfolgt. Manche Anwendungen haben Probleme damit, wenn der Datenspeicher im Netzwerk bereitgestellt und mittels IP auf die Daten zugegriffen wird, anstatt den blockbasierten Weg über SCSI oder Fibre Channel zu gehen. Zu diesem Zweck gibt es die iSCSI-Technologie. iSCSI ermöglicht den Zugriff auf NAS-Systeme mit dem bei lokalen Datenträgern üblichen Weg als normales lokales Laufwerk. Die Nachteile der IP-Kommunikation werden kompensiert. iSCSI verpackt dazu die SCSI-Daten in TCP/IP-Pakete. Für den empfangenden Server verhält sich so ein NAS in einem schnellen Gigabit-Netzwerk wie ein lokales Festplattensystem. DAS (Direct Attached Storage) Eine weitere Technologie ist die Anbindung von Massenspeichern als externe Festplattensysteme. Diese externen Festplattensysteme werden per SCSI oder SATA direkt an einen Server angebunden. Auf dem Server wiederum wird ein normales Betriebssystem installiert, über das Daten im Netzwerk freigegeben werden können. DAS-Systeme können ohne Weiteres mit NAS-Systemen verknüpft werden. Wenn zum Beispiel die Kapazität eines NAS ausgeschöpft ist, können externe Festplattenspeicher angeschlossen und über das NAS im Netzwerk verteilt werden. DAS-Systeme haben kein eigenes Betriebssystem, sondern werden direkt über Small Business Server 2008 angesprochen. Der Vorteil ist, dass die Daten schnell durch direkten SCSI-Anschluss übertragen werden und der externe Datenspeicher leicht skalierbar ist.
Arbeitsspeicher für Small Business Server 2008 Da Sie alle Dienste von Small Business Server 2008 auf einen Server installieren müssen, sollten Sie diesen mit so viel Arbeitsspeicher wie möglich ausstatten. Die kleinste Größe, die Sie wählen sollten, sind 4 GB. Darunter ist der Einsatz nicht sinnvoll bzw. der Server bricht sogar die Installation ab. HINWEIS Das Basisbetriebssystem von Small Business Server 2008 ist Windows Server 2008 Standard Edition x64, Sie sind also an das Hardwarelimit dieser Version gebunden. Small Business Server 2008 unterstützt daher maximal 32 GB RAM (x64) und vier Prozessoren.
60
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Die optimale Server-Hardware für Small Business Server 2008
Ausfallsicherheit planen Wenn Sie einen neuen Server kaufen, sollten Sie bereits bei der Bestellung auf eine gewisse Ausfallsicherheit achten. Wichtig in diesem Zusammenhang ist, dass Sie Komponenten, die erfahrungsgemäß häufig ausfallen können bzw. kompliziert zum Wechseln sind, redundant auslegen.
Netzteile redundant auslegen Die meisten Serverhersteller bieten heutzutage zwei Netzteile an. Wenn Sie einen Server für Small Business Server 2008 kaufen, werden auf diesem Server die wichtigsten Daten des Unternehmens liegen. Achten Sie daher darauf, dass Sie in den Server zwei Netzteile einbauen lassen. Der Mehrpreis ist marginal. Allerdings erreichen Sie dadurch den Vorteil, dass der Ausfall eines einzelnen Netzteils, der sehr häufig vorkommt, nicht Ihr Unternehmen lahm legt, da ein zweites Netzteil zur Verfügung steht.
Netzwerkkarten redundant auslegen Netzwerkkarten kosten heutzutage sehr wenig Geld. Wenn die Netzwerkkarte in Ihrem Server ausfällt, können die Mitarbeiter nicht mehr mit dem Server arbeiten. Achten Sie daher darauf, dass Sie in den Server am besten zwei Netzwerkkarten einbauen, um den Ausfall einer Karte kompensieren zu können.
Serverschrank oder Aufstellungsort Wenn Sie 19"-Server (rack-mount) kaufen, muss natürlich auch ein entsprechender Schrank (Rack) erworben werden. Achten Sie darauf, ob die Server auch in die Schränke passen. Hier gibt es verschiedene Größen und Schienensysteme. Wichtig ist auch, dass Sie beim Kauf eines Serverschranks auf die verfügbaren Höheneinheiten (HE) achten. Die meisten modernen 19"-Server haben eine Höheneinheit von 1 HE. Es gibt aber auch Server, die deutlich höher sind. Berücksichtigen Sie auch die Stabilität des Serverschranks. Zusätzliche Hardwaregeräte wie KVM-Switch oder auch Bandlaufwerk sollten ebenfalls in den Serverschrank passen. Sofern Sie Geräte einsetzen, die keine Befestigungsmöglichkeit im Schrank haben, verwenden Sie Fachböden des Herstellers. Vermeiden Sie es, Geräte übereinander zu stellen. Achten Sie beim Kauf eines Serverschranks auf die korrekte Verkabelung durch den Elektriker. TIPP Die Kabel sollten nie direkt in das Patchfeld im Schrank führen, sondern immer zunächst nach unten und dann wieder nach oben. Dadurch wird verhindert, dass Spritzwasser von den Kabeln in das Patchfeld fließen kann. Überlegen Sie sich frühzeitig ein konsistentes Farbschema für die Kabel, es gibt nicht nur Mausgrau. Server können zum Beispiel mit blauen Kabeln gepatcht werden, Arbeitsstationen mit grünen oder grauen. Für Telefonanschlüsse könnten dann beispielsweise Kabel in einer roten oder anderen bisher nicht benutzten Farbe verwendet werden. Durch die unterschiedlichen Farben wird die Übersicht deutlich erhöht.
KVM (Keyboard, Video, Mouse)-Switch Wenn Sie mehrere Server anschaffen, benötigen Sie einen KVM (Keyboard, Video, Mouse)-Switch. Es ist nicht effizient, für jeden Server einen eigenen Monitor, eine eigene Tastatur und eine eigene Maus zu kaufen. Es gibt günstige KVM-Switches, die alle Server an einen Monitor, eine Maus und eine Tastatur anschließen und es gibt hochwertige Geräte, die sogar über das Netzwerk an die Server angebun61
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 2
Planen und Einführen von Small Business Server 2008
den werden können. Bei manchen KVM-Switches sind bereits im Lieferumfang genügend Kabel dabei. Meistens müssen diese Kabel jedoch extra gekauft werden. Kaufen Sie keine billigen Monitorumschalter, da Sie bei diesen Geräten das Problem haben, dass beim Durchstarten eines Servers der Server beim Booten hängen bleibt, da er kein Signal der Maus oder Tastatur erhält.
Netzwerk-Infrastruktur planen Der Bereich Netzwerkverkabelung und Switches ist zwar eher Sache eines Elektrikers, aber auch ITBerater oder Administratoren müssen genau Bescheid wissen, wie die Verkabelung durchgeführt wurde. Ist an jedem Arbeitsplatz eine Netzwerkdose oder mehrere vorhanden? Sind im Serverraum genügend Anschlüsse gelegt? Sollen die Server mit Gigabit oder nur mit 100 Mbit an das Netzwerk angebunden werden? Welche Switches werden verwendet? Allein das Thema Netzwerkswitches würde ein ganzes Buch füllen. Stellen Sie auf jeden Fall sicher, dass Sie an jedem Platz im Unternehmen, an dem ein Rechner steht, ein entsprechendes Kabel gelegt haben. Ein Switch schaltet direkte Verbindungen zwischen den angeschlossenen Geräten. Auf dem gesamten Kommunikationsweg steht die gesamte Bandbreite des Netzwerks zur Verfügung. Ein Switch ist im Prinzip nichts anderes als ein intelligenter Hub, der sich merkt, über welchen Port welche Station erreichbar ist. Der Switch nimmt das gesamte Datenpaket in Empfang und speichert es in einen Puffer. Dort wird dann das Paket mit verschiedenen Filtern geprüft und bearbeitet. Erst danach wird das Paket an den Ziel-Port weitergeleitet. Fehlerhafte Datenpakete können so im Voraus aussortiert werden. Switches gibt es in den unterschiedlichsten Bauformen und Ausbaustufen. Generell gilt, je größer und besser ein Switch ausgestattet ist, desto teurer ist er. Die einfachsten Switches haben vier oder fünf Ports. Mit ein paar Status-LEDs sind sie in Kästchen in der Größe einer Zigarettenschachtel eingebaut. Etwas bessere Switches haben ein Metallgehäuse, sind also stabiler und für den Dauereinsatz besser geeignet. Neben den kleinen 4- und 5-Port-Switches gibt es Ausbaustufen mit 8, 16, 24 und 32 Ports. Wer mehr Ports benötigt, braucht stackable Switches, die sich über separate Kabel miteinander verbinden und übereinander stapeln lassen. Wer Switches in 19"-Schränken installieren will, der sollte auf 16-, 24- und 32-Port-Switches achten. Diese verfügen über Halterungen für die 19"-Einbauschienen. Die kleinen Geräte haben manchmal Halterungen an der Unterseite und lassen sich damit an der Wand montieren. Wer kleine Switches mit geringer Portanzahl kauft und nicht in einen 19"-Schrank einbaut, sollte auf die Anordnung von RJ45-Buchsen und Status-LEDs achten. Es gibt Geräte, bei denen die LEDs auf der Vorderseite und die Anschlüsse auf der Rückseite angeordnet sind. In billigen Geräten sind die Status-LEDs in die RJ45-Buchsen integriert. Das ist nicht immer praktisch. In der Regel werden kleine Switches von einem Steckernetzteil mit Strom versorgt und haben keinen Aus- und Einschalter. Geräte mit größerer Portanzahl haben das Netzteil integriert und einen Lüfter zur Kühlung.
Funknetzwerke – Wireless LAN für Client-PCs Die eleganteste und modernste Art, Computer miteinander zu vernetzen, ist das Wireless LAN (WLAN). Es werden keinerlei Kabel zwischen den Geräten benötigt, da sämtliche Daten über Funk übertragen werden. Bidirektionale Funkübertragungen ermöglichen die drahtlose Kommunikation mit anderen Geräten in einem begrenzten Radius. Somit ermöglicht ein WLAN einem PC die Kommunikation mit einem Netzwerk mit Funk als Transportmedium. Das Herzstück eines drahtlosen Netzwerks ist der Access Point, über den der Datenaustausch stattfindet. Viele DSL-Router sind mit einem Access Point ausgestattet. WLAN ist das Kürzel für Wireless Local Area Network, was übersetzt
62
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Netzwerk-Infrastruktur planen
nichts anderes als kabelloses lokales Netzwerk bedeutet. Der Aufbau eines kabellosen Netzwerks wird mit Windows XP und Windows Vista besonders einfach. Das aktuelle Microsoft-Betriebssystem unterstützt bereits drahtlose Netzwerke.
Hardware für WLAN Wenn Sie ein neues drahtloses Netzwerk aufbauen wollen, benötigen Sie zunächst die passende Hardware. Einsatz einer WLAN-Netzwerkkarte Um mit einem PC oder Notebook eine Verbindung mit einem drahtlosen Netzwerk herzustellen, brauchen Sie zunächst eine WLAN-Netzwerkkarte. Die gängigen Modelle sind derzeit WLAN-Karten für den Standard-Bus, PCMCIA-Karten für Notebooks und WLAN-Karten, die direkt über USB mit dem PC verbunden werden können. Für den Einsatz im Standard-PC werden in der Regel PCI (Peripheral Component Interconnect)-WLAN-Einsteckkarten verwendet. Diese Karten lassen sich ohne größeren Aufwand in den PC einbauen und abhängig vom verwendeten Betriebssystem in Betrieb nehmen. Natürlich sollten Sie vor dem Kauf prüfen, ob Ihr PC noch einen freien PCI-Steckplatz besitzt. Gegenüber USB-Adaptern muss beim Einbau einer PCI-Netzwerkkarte der PC geöffnet werden. Die einfachste Methode, Ihren PC oder Ihr Notebook WLAN-tauglich zu machen, ist die Verwendung eines USB-WLAN-Adapters. Die Besonderheit von USB (Universal Serial Bus) ist, dass der Anschluss nicht nur die Daten übertragen, sondern auch bis zu gewissen Grenzen die Stromversorgung für das angeschlossene Gerät übernehmen kann. Zusätzlich zeichnet sich der USB-Anschluss durch seine guten Plug&Play-Eigenschaften aus. In der Regel stecken Sie das USB-Gerät bei laufendem Betrieb ein. Der PC oder das Notebook erkennt das Gerät und nach der Installation des entsprechenden Treibers können Sie Ihre WLAN-Karte bereits benutzen. Ein Access Point ist ein eigenständiges Wireless-LAN-Gerät, das nicht mit einem PC verbunden werden muss. Vergleichbar mit einem Netzwerk-Switch, fungiert der Access Point als Vermittlungsstelle des Netzwerks. Viele DSL-Router sind mit einem Access Point kombiniert. Mitglieder eines drahtlosen Netzwerks unterhalten sich nicht direkt miteinander, sondern senden alle Daten zum Access Point. Der Access Point nimmt diese Daten entgegen und leitet sie an den entsprechenden Empfänger im Netzwerk weiter. Ein Access Point kann mit einem kabelgebundenen Netzwerk kombiniert werden. Sie können PCs an den DSL-Router anschließen und zusätzlich PCs oder Notebooks mit Funknetzwerkkarten ausstatten.
Sicherheit in Funknetzwerken – Theorie Aufgrund der Problematik, dass bei einem drahtlosen Netz die Daten durch sich frei ausbreitende Funkwellen übertragen werden, sollten Sie der Absicherung Ihres WLAN besondere Aufmerksamkeit schenken. Durch den Einsatz von Funkwellen muss ein Angreifer nicht bis in Ihr Unternehmen vordringen. In der Regel reicht die Sendeleistung eines WLAN über den gewünschten Abdeckungsbereich hinaus. Die Art eines Netzwerkangriffs, bei der nicht in das entsprechende Gebäude eingedrungen werden muss, wird als Parking Lot Attack (Parkplatzangriff) bezeichnet. Durch das Plug&Play-Networking bei WLANs entstehen weitere Probleme. Die Anbindung, Authentifizierung und Identifizierung der WLAN-Teilnehmer sollen möglichst automatisiert erfolgen. Derzeit sind fast alle gängigen WLAN-Geräte mit Sicherheitsmechanismen ausgestattet, doch haben diese erhebliche Sicherheitslücken oder sind in der Grundeinstellung der Geräte deaktiviert. Untersuchungen zeigen immer wieder, dass noch ein sehr großer Teil von WLANs durch keine der derzeit bekannten Sicherheitsmechanismen geschützt ist. 63
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 2
Planen und Einführen von Small Business Server 2008
Folgen eines Angriffs auf ein Wireless LAN Zunächst sollten Sie sich darüber Gedanken machen, welche Möglichkeiten ein unerwünschter Teilnehmer an Ihrem WLAN hat. Hat es ein Angreifer geschafft, sich mit Ihrem Wireless LAN zu verbinden, wird dieser grundsätzlich als normales Netzwerkmitglied Ihres WLAN behandelt. Dies hat zur Folge, dass Informationen, die Sie anderen Benutzern im Netzwerk bereitstellen, eingesehen, manipuliert oder im schlimmsten Fall vernichtet werden können. Auch ohne eine direkte Teilnahme an Ihrem bestehenden Windows-Netzwerk wird es dem Angreifer aufgrund niedriger Sicherheitsstandards relativ einfach gemacht, auf nicht freigegebene Dateien zuzugreifen. Ein Angreifer könnte zum Beispiel mit einem Protokollierungstool den gesamten Datenverkehr aufzeichnen und die gesammelten Daten zu einem späteren Zeitpunkt auslesen. Es wird relativ schnell deutlich, dass die Absicherung und richtige Konfiguration in Bezug auf Sicherheit extrem wichtig sind. Funktionen wie SSID Broadcast der Wireless Access Points machen es unerwünschten Teilnehmern besonders einfach, drahtlose Netzwerke aufzuspüren und sich mit diesen zu verbinden. Wardriving – WLANs aufspüren Die gezielte Suche nach drahtlosen Netzwerken, um diese abzuhören oder in sie einzubrechen, wird als Wardriving bezeichnet. Inzwischen haben sich in Hackerkreisen Gruppen gebildet, die sich auf das Aufspüren unverschlüsselter Funknetze spezialisiert haben. Beim Wardriving versucht der Angreifer zunächst, ein WLAN ausfindig zu machen. Dazu fährt er mit dem Auto oder einem Fahrrad durch Wohn- oder Industriegebiete. Ausgestattet mit Notebook und speziellen Programmen zum Aufspüren von WLANs versucht er, Funknetzwerke in seiner Umgebung zu orten. Bei einer Fahrt durch ein Industrie- oder Wohngebiet dauert es in der Regel nicht besonders lange, bis die ersten Netzwerke auf dem Bildschirm erscheinen. Oft wird für das Aufspüren von WLANs das kostenlose Programm NetStumbler benutzt, das bei einem WLAN in Reichweite sofort ein akustisches Signal und detaillierte Informationen zum gefundenen Netzwerk ausgibt. Ist es dem Wardriver gelungen, ein Netzwerk aufzuspüren, beginnt er in der Regel damit, den Datenstrom abzulauschen. Im Anschluss daran wird er sich eine Schwachstelle suchen, um eine Verbindung mit dem Netzwerk herzustellen. Bei vollkommen unverschlüsselten Netzwerken braucht der Angreifer nicht nach einer Lücke im System zu suchen, sondern kann sofort und ohne Umwege am Netzwerk teilnehmen. Schutzmaßnahmen vor WLAN-Hackern Sie können sich gegen Wardriving und andere unerwünschte Zugriffe auf Ihr Wireless LAN schützen. Es liegt auf der Hand, dass es zwingend erforderlich ist, die verfügbaren Sicherheitsmechanismen richtig zu konfigurieren und zu aktivieren, um sich vor Übergriffen und Missbrauch zu schützen. Für die Absicherung eines Funknetzwerks wird oft das WEP-Protokoll (Wired Equivalent Privacy) verwendet. Das Protokoll hat jedoch einige Sicherheitslücken und kann durch Auslesen der Verschlüsselung in wenigen Sekunden geknackt werden. Bei der Verschlüsselung mit WEP legt der Anwender auf seinem Access Point einen WEP-Key fest. Ein WEP-Key ist eine Zeichenkette von Zahlen und Buchstaben. Gültige Zeichen beim WEP-Key sind die Zahlen 0 bis 9 und die Buchstaben a bis f sowie A bis F. Grundlage für die Berechnung der Zufallszahlen ist der vom Anwender festgelegte WEP-Key, ein rein statischer Schlüssel, der auf allen Access Points und Clients zum Einsatz kommt. Dieses Verfahren birgt Sicherheitsrisiken, ein Angreifer kann versuchen, den Schlüssel rechnerisch zu rekonstruieren. Nur sehr wenige WLAN-Lösungen sehen für jeden Client einen eigenen Schlüssel vor. Ein Access Point im drahtlosen Netzwerk ist mit einer eindeutigen Stationskennnummer, SSID (Service Set Identifier) genannt, versehen. Um Stationen im drahtlosen Netz eindeutig zu identifizieren, werden zum einen das Open-System- und zum anderen das Shared-Key-Verfahren angewendet. Wie der Name schon sagt, handelt es sich bei der Open-System-Authentifizierung um eine offene 64
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Netzwerk-Infrastruktur planen
Methode. Hierbei werden verschiedene Access Points an ihrem SSID erkannt. Jede Station mit gleichem SSID kann diesem WLAN beitreten. Auf den Clientstationen sind die WLAN-Karten in der Regel so konfiguriert, dass jede Station jedem Wireless LAN beitreten kann. Open System ist die denkbar einfachste Form der Authentifizierung. Versucht eine Station sich mit Open System bei einer anderen Station zu authentifizieren, die ebenfalls Open System als Authentifizierungsform gewählt hat, wird die Identität ohne Prüfung akzeptiert. Shared-Key-Authentifizierung ist optional und erfordert den Einsatz von WEP. Hierbei wird ein gemeinsamer WEP-Schlüssel zur Authentifizierung verwendet. Die Station sendet einen unverschlüsselten Text, der von der Station, die authentifiziert werden möchte, verschlüsselt zurückgesendet werden muss. Alle Stationen sowie der Access Point müssen über den gleichen Schlüssel verfügen. Ein weiterer beliebter Schutzmechanismus, um drahtlose Netzwerke vor unbefugten Zugriffen zu schützen, ist die MAC-Adressenfilterung. Jedes Netzwerkgerät besitzt eine eindeutige Kennnummer, die zur eindeutigen Identifizierung des jeweiligen Geräts dient. Beim Einschalten des Geräts wird die MAC (Media Access Control)-Adresse gesetzt und kann in den meisten Fällen nicht verändert werden. Bei der Filterung mit MAC-Adressen muss die MAC-Adresse von jedem Gerät, dem Zugriff auf den entsprechenden Access Point gewährt werden soll, in die Filterliste eingetragen werden. Im Grunde findet dann nichts anderes als ein Namensabgleich statt. Meldet sich eine Station mit dem passenden Namen – egal ob gefälscht oder nicht –, wird dieser Station der Zugriff gewährt. Der selbst definierbare Name eines Access Points wird als SSID (Service Set Identifier) bezeichnet. Die Hardwarehersteller liefern die Access Points standardmäßig mit aktiviertem SSID Broadcast aus. Der Access Point ruft den Namen Ihres WLAN in regelmäßigen Intervallen in das drahtlose Netzwerk. Um eine Verbindung mit einem drahtlosen Netzwerk aufnehmen zu können, muss einem PC dieser Name (SSID) bekannt sein. Bei eingeschaltetem SSID Broadcast kann jeder den Namen Ihres WLAN sehen – erwünschte und unerwünschte Teilnehmer. Um es einem Angreifer nicht zu einfach zu machen, sollten Sie unbedingt den vorgegebenen Netzwerknamen (oft default oder WLAN) ändern. Lassen Sie bei der Vergabe des Netzwerknamens keinerlei Rückschlüsse auf die verwendete Hardware oder sonstige Informationen Ihres Netzwerks zu. Als Nächstes sollten Sie die Funktion SSID Broadcast deaktivieren. Drahtlose Netzwerke mit ausgeschaltetem SSID Broadcast sind für Angreifer wesentlich unattraktiver als völlig offene Netze. Der Access Point ist das Herzstück des drahtlosen Netzwerks. In dieser Zentrale werden alle relevanten Einstellungen des WLAN vorgenommen. Für die Konfiguration des Access Points wird wie bei der DSL-Router-Funktionalität eine Weboberfläche benutzt. Diese Verwaltungszentrale wird in der Regel durch die Eingabe von Benutzername und Kennwort geschützt. Gelingt es einem Angreifer, dieses Verwaltungsprogramm zu öffnen, ist er in der Lage, den Access Point zu konfigurieren und sich so einen Zugang zum Netzwerk einzurichten. Aus diesem Grund sollten Sie unbedingt darauf achten, ein komplexes Kennwort aus Buchstaben und Ziffern zu vergeben. In den meisten Access Points oder Kombigeräten aus DSL-Routern und Access Points ist ein DHCPServer integriert. Das DHCP (Dynamic Host Configuration Protocol)-Protokoll dient zur automatischen IP-Adressenkonfiguration von Netzwerkkomponenten. Sollte es dem Angreifer gelingen, eine dynamische IP-Adresse vom DHCP-Server zu beziehen, sind für ihn sämtliche Türen und Tore offen. Der Hacker ist in Ihrem Netz und kann auf Netzwerkfreigaben zugreifen, Daten verändern oder löschen und Viren im Netz verbreiten. Zudem besteht die Gefahr, dass der Angreifer auf Ihre Kosten im Internet surft. Aus diesem Grund empfiehlt es sich, die DHCP-Funktion auf Ihrem Access Point zu deaktivieren und die Vergabe von IP-Adressen manuell durchzuführen. Leider ist das keine zuverlässige Methode, ein drahtloses Netzwerk vollständig zu schützen, aber es ist eine weitere Hürde für jeden Angreifer und erfüllt in Kombination mit den anderen Schutzmechanismen durchaus seinen Zweck. 65
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 2
Planen und Einführen von Small Business Server 2008
WPA-Protokoll Die Abkürzung WPA steht für Wireless Protected Access. Mit Hilfe der WPA-Verschlüsselung können Sie Ihr drahtloses Netzwerk relativ unkompliziert und schnell absichern. Der Pre-Shared Key ist ein Schlüssel, der dem Access Point und allen WLAN-Teilnehmen zur Verfügung stehen muss. Mithilfe dieses Master-Schlüssels ändert der Access Point in regelmäßigen Intervallen die Verschlüsselung. Dieser Vorgang wird dynamischer Schlüsselwechsel genannt. Wie beim Verwaltungskennwort für den Access Point empfiehlt es sich, für den PSK eine komplexe Reihe aus Buchstaben, Zahlen und Sonderzeichen zu wählen. Der PSK sollte zudem mindestens aus 20 Zeichen bestehen. Zum Aktivieren von WPA mit PSK am Access Point öffnen Sie die Verwaltungswebseite. Wenn Sie die WPA-Verschlüsselung erfolgreich aktiviert haben, erhöht sich die Sicherheit Ihres drahtlosen Netzwerks um ein Vielfaches. Zusammen mit den anderen Methoden haben Sie Ihr WLAN bestmöglich abgesichert. WPA2 stellt eine deutlich verbesserte Variante seiner Vorgängerversion WPA dar. Durch ein neu aufgenommenes Verschlüsselungsverfahren mit der Bezeichnung AES-CCM (Advanced Encryption Standard – Counter with CBC-MAC) konnte die Sicherheit gegenüber WPA nochmals erheblich verbessert werden. Das Verfahren stellt allerdings auch deutlich höhere Anforderungen an die Hardware, sodass Geräte, die mit WPA umgehen können, nicht unbedingt auch WPA2 beherrschen.
Unterbrechungsfreie Stromversorgung (USV) Eine USV schützt Server und Komponenten vor Stromausfall, Spannungsspitzen, Blitzschlägen und Stromschwankungen. Sie sollten keinen Server ohne USV betreiben.
USV-Varianten Es gibt verschiedene Arten von USVs, die sich auch im Preis deutlich unterscheiden. Sie sollten sich bereits beim Kauf des Servers gut überlegen, welche USV Sie erwerben wollen: 쐍 VFD (Voltage and Frequency Dependent from main supply) oder Offline-USV Diese USVSysteme leiten den Strom direkt vom Stromnetz zu den Geräten, die an ihnen angeschlossen sind. Erst bei einem Stromausfall schalten diese Geräte auf die interne Batterie um. Diese Umschaltung dauert allerdings ein paar Millisekunden, die bei vielen Endgeräten schon für einen Ausfall ausreichen. Diese Geräte bieten zusätzlich einen Schutz vor Spannungsschwankungen, da sie in einem solchen Fall ebenfalls auf die Batterie umschalten. 쐍 VI (Voltage Independent from main supply) oder Line-Interactive-USV Diese Variante ist eine Weiterentwicklung der VFD-USV. Sie misst ständig die Ein- und Ausgangsspannung. Auch das Laden der internen Akkus wurde bei diesem Typ verbessert. Die Umschaltzeit ist deutlich schneller als bei der VFD-USV, wodurch die Endgeräte nicht in Mitleidenschaft gezogen werden. Auch dieses USV-System bietet einen Schutz bei Spannungsschwankungen. 쐍 VFI (Voltage and Frequency Independent) oder Online-USV Diese Form der USV versorgt auch im Normalbetrieb die angeschlossenen Geräte über die Batterie. Sie sind teurer als die VFD oder VI-USV. Bei einem Stromausfall gibt es daher bei diesem USV-Typ keinerlei Umschaltzeit. Oft werden die VFI-USV-Systeme auch als Dauerwandler bezeichnet. Sie sind die hochwertigsten von allen USV-Arten und sollten vor allem für empfindliche Endgeräte und kritische Server verwendet werden.
66
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Internetzugang planen
Kaufberatung USV Sie sollten bereits vor dem Kauf den Leistungsbedarf der Server und der Netzwerkkomponenten berücksichtigen, die an die USV angeschlossen werden sollen. Es muss festgelegt werden, wie lange eine USV die Server aktiv halten soll, bevor die Batterie erschöpft ist. Oft wird vergessen, dass bei einem Stromausfall auch Netzwerkkomponenten und Monitore versorgt werden müssen, da ohne diese Geräte ein Administrator keine Tätigkeiten auf dem Server mehr ausführen kann, zum Beispiel eine Datensicherung oder das kontrollierte Herunterfahren von Anwendungen oder Datenbanken. Beim Kauf einer USV sollten folgende Aspekte berücksichtigt werden: 쐍 Lastbedarf Lassen Sie sich den Lastbedarf von allen Geräten ausrechnen, die Sie an die USV anschließen wollen. Eine USV sollte möglichst noch Spielraum nach oben haben und nicht gleich schon zu Beginn voll ausgelastet sein. Ein Endgerät mit 20 kVA lässt sich mit einer USV von 20 kVA absichern. Sie können diese Angaben auf den Typenschildern der Endgeräte addieren. Diese Angaben beziehen sich auf die Spitzenlast, für die Sie keine Reserve aufschlagen müssen. Angaben in W oder kW werden durch den jeweiligen Leistungsfaktor einer USV dividiert. Das Ergebnis entspricht der Scheinleistung, die in VA angegeben wird. Im Normalbetrieb wird die USV je nach Art des Verbrauchers mit 20 bis 50 % weniger Leistung als beim Einschalten belastet. 쐍 Skalierbarkeit Sie sollten USV-Geräte immer ausreichend dimensioniert erwerben. Beim Kauf von zusätzlichen Endgeräten sollten noch genügend Reserven zur Verfügung stehen. 쐍 Laufzeit Einer der wichtigsten Punkte beim Kauf ist die Laufzeit der USV bei Batteriebetrieb. Meistens reichen fünf bis zehn Minuten aus, um kurze Stromausfälle zu überbrücken. Längere Ausfälle sollten mit einem Stromaggregat überbrückt oder die Server sollten per Skript heruntergefahren werden. 쐍 Überwachung Eine gute USV muss überwacht werden können, damit Administratoren einen Überblick über Notfälle und Zustand der Akkus erhalten. Viele Anbieter liefern dazu spezielle Überwachungsprogramme mit der USV aus. 쐍 Signalisierung Die USV sollte ein Signal an einen oder mehrere Computer senden können, die dort dann automatische Abschaltprozeduren auslösen können. So ist auch eine Reaktion auf einen Stromausfall möglich, falls kein Administrator verfügbar ist.
Internetzugang planen Da Sie mit Small Business Server 2008 auch einen Zugang ins Internet schaffen wollen und E-Mails senden bzw. empfangen wollen, sollten Sie sich bereits frühzeitig Gedanken über einen guten Provider machen. Den meisten Unternehmen reicht eine normale DSL-Flatrate aus, die auch Privatkunden oft einsetzen. Fragen Sie bei den einzelnen Anbietern nach, welche Technologie für Sie optimal ist.
Upstream und Downstream beachten Downstream ist die Datenübertragungsrate vom Internet zu Ihnen. Sie ist die Wichtigste, da die meisten Datenmengen vom Internet übertragen werden. Als Upstream wird die Datenübertragungsrate von Ihrem Netzwerk zum Internet bezeichnet. Der Upstream muss nicht unbedingt gleich dem Downstream sein. Es werden zwar nicht viele Daten von Ihrem Netzwerk ins Internet übertragen, aber beim Schreiben von E-Mails oder dem Verbindungsaufbau von extern ins Netzwerk durch die mobilen 67
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 2
Planen und Einführen von Small Business Server 2008
Mitarbeiter spielt auch der Upstream eine Rolle. Bei ISDN ist der Downstream gleich zum Upstream, nämlich 64 Kbps. Bei DSL 1000 (der Marketingname der 1-Mbps-Variante) beträgt der Downstream 1 Mbps, aber der Upstream nur 192 Kbps. Natürlich reicht diese Geschwindigkeit für die meisten Unternehmen aus, aber dennoch sollten Sie sich mit diesen Zahlen auseinander setzen, sie gehören zum Grundwissen.
Welche Tarife bieten die Provider an? Lassen Sie sich zunächst ein Angebot von den jeweiligen Providern unterbreiten und kalkulieren Sie für jede Möglichkeit die genauen monatlichen Kosten durch. Ein späterer Wechsel ist oft mit sehr viel Ärger verbunden und auf Grund langer Laufzeiten oft schwieriger als erwartet. Bei der Abrechnung Ihrer Internetverbindung gibt es Minutenpreise, Volumenpreise, Flatrates, Internet-by-Call und Mischungen zwischen den Tarifen. Um unliebsame Überraschungen zu vermeiden, bietet es sich daher an, eine genaue Vergleichsrechnung anzustellen. 쐍 Zeitbasierte Verträge Bei den zeitbasierten Verträgen der verschiedenen Anbieter wird die Zeit, die Sie im Internet verbringen, berechnet. Je länger Sie im Internet sind, desto mehr müssen Sie bezahlen, unabhängig von der Datenmenge, die Sie übertragen. Diese Verträge sind noch ein Relikt aus vergangenen Tagen und werden nach und nach gegen Volumenverträge oder Flatrates ersetzt. Oft wird bei zeitbasierten Verträgen damit geworben, dass man unbegrenzt Daten herunterladen kann, weil man nur die Zeit bezahlt und nicht die Datenmenge. Das ist allerdings eine Milchmädchenrechnung, da die Übertragung großer Datenmengen länger dauert. Zeitbasierte Verträge sind eine unkalkulierbare Kostenfalle. 쐍 Volumenbasierte Verträge Gegenüber den zeitbasierten Verträgen haben volumenbasierte Verträge den Vorteil, dass Sie nicht die Zeit bezahlen, die Sie im Internet verbracht haben, sondern nur das Volumen der heruntergeladenen Daten. Beim Abschluss eines Vertrags ist es sehr schwierig, bereits festzulegen, wie hoch das benötigte Volumen sein wird. Meistens werden Freivolumen in Höhe von 1 Gbyte, 3 Gbyte, 5 Gbyte und mehr angeboten. Da die Aktualisierungsdienste von Small Business Server 2008 mehrere Gigabyte aus dem Internet herunterladen können, sollten Sie auch bei diesen Verträgen sehr vorsichtig sein. 쐍 Flatrates (Pauschaltarife) Dieser Verbindungstyp ist in den letzten Jahren immer beliebter geworden. Sie zahlen eine Summe im Monat (teilweise schon unter 3 Euro pro Monat) und können so lange im Internet surfen und so viele Daten herunterladen, wie Sie wollen. Sie zahlen einen pauschalen Betrag und fertig. Ihre Kosten sind monatlich genau planbar und Sie werden vor Überraschungen geschützt sein, wenn in einem Monat mal mehr Daten übertragen werden. Achten Sie bei der Auswahl einer Flatrate aber unbedingt auf versteckte Kosten oder Zusatzgebühren, die Sie bezahlen müssen. Ein seriöser Anbieter bietet eine Flatrate zu einer pauschalen Summe an, ohne weitere Zahlungen zu verlangen. Ansonsten handelt es sich nicht um eine Flatrate. Achten Sie beim Abschluss eines Flatrate-Vertrags unbedingt auf die Abschlussgebühren und die Laufzeiten. Wenn Sie einen Zwei-Jahres-Vertrag abschließen, sind Sie zwei Jahre gebunden und können zu keinem anderen Anbieter wechseln. Entscheiden Sie sich nur für lange Vertragslaufzeiten, wenn das Angebot unschlagbar günstig ist und Sie noch zusätzlich die notwendige Hardware wie DSL-Router umsonst bekommen.
68
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Datensicherung mit Hard- und Software planen
Anbindung von Small Business Server 2008 an das Internet planen Die erste Schnittstelle ins Internet sollte immer eine Hardware-Firewall oder zumindest ein DSLRouter mit aktivierter Stateful Inspection-Firewall sein. Auch wenn es sich beim ISA Server als Bestandteil von Small Business Server 2008 Premium Edition um eine sichere Firewall handelt, ist ein zweistufiges Firewall-Konzept immer der bessere Weg. Der ISA Server sollte zumindest vor den gröbsten Angriffen aus dem Internet durch eine günstige Hardware-Firewall oder einen DSL-Router geschützt werden. Auch wenn Sie keine DSL-Flatrate haben, sollten Sie zusätzlich zum ISA Server mindestens eine solche Firewall zwischen Internet und ISA einsetzen. Die Preise von Routern und Firewalls liegen für den Unternehmenseinsatz unter 500 Euro. Günstige DSL-Router kosten darüber hinaus nur etwa 100 Euro. Durch den Einsatz einer Hardware-Firewall kommen am ISA Server so gut wie keine gefährlichen Pakete oder Angriffe aus dem Internet an. Es gibt mittlerweile sehr günstige Firewalls von namhaften Herstellern wie Checkpoint oder Zywall. Auch der Verbindungsaufbau zum Provider mit einem DSL-Router ist wesentlich effizienter und stabiler als durch eine DFÜ-Verbindung auf dem Server. Die Konzeption der Internetverbindung sollte daher im ersten Schritt darin bestehen, eine zuverlässige und günstige Verbindung ins Internet zu buchen und eine Hardware-Firewall als erste Bastion ins Internet zu installieren. Die Hardware-Firewall enthält mindestens zwei Netzwerkschnittstellen. Die erste Schnittstelle ist für die Verbindung ins Internet
E-Mail-Provider Sehr wichtig ist auch die Auswahl des E-Mail-Providers und Ihrer E-Mail-Domäne. Sie müssen sich für eine E-Mail-Domäne entscheiden, wenn Sie noch keine haben. Anschließend sollten Sie festlegen, ob Sie ein POP3-Sammelpostfach beim Provider anlegen oder für jeden Anwender ein eigenes Postfach. Sammelpostfächer haben den Vorteil, dass alle E-Mails, die an Ihre E-Mail-Domäne geschickt werden, sofort an einer Stelle durch den Exchange Server abgeholt werden können. Dadurch können Sie auf dem Exchange Server neue E-Mail-Adressen anlegen und einzelnen Anwendern oder öffentlichen Ordnern zu Verfügung stellen, ohne beim Provider ein neues Postfach anlegen zu müssen. Die Verwaltung eines Sammelpostfaches ist sehr einfach, da dieses Postfach alle E-Mails bekommt, die Ihrem Unternehmen zugestellt werde. Der POP3-Connector lädt die E-Mails auf Small Business Server 2008 herunter, der diese dann in die entsprechenden Postfächer verteilt. Achten Sie auf den Preis und die Anzahl der maximalen E-Mail-Adressen, die Sie auswählen können. Einer der besten Provider für Unternehmen ist sicherlich Schlund und Partner. Sie können sich über das Preis/Leistungsverhältnis dieses Providers unter www.schlund.de überzeugen. Sie können sich E-Mails auch ohne POP3 direkt zum Server schicken lassen (siehe Kapitel 8).
Datensicherung mit Hard- und Software planen Einer der wichtigsten Bereiche der Planung ist sicherlich die effiziente Strukturierung der Datensicherung. In diesem Bereich geht es nicht nur um die Auswahl der richtigen Hard- und Software, sondern auch um ein stabiles und effizientes Konzept zur Datensicherung. Mehrere Strategien können miteinander kombiniert werden. Auch spezielle Datensicherungsthemen wie die Sicherung von Exchange oder der Schattenkopie-Dienst sollte in diese Überlegungen mit eingeschlossen werden. 69
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 2
Planen und Einführen von Small Business Server 2008
Hardware für die Datensicherung Zunächst einmal muss entschieden werden, ob das Laufwerk in den Server eingebaut werden soll oder extern betrieben wird. Der Nachteil von internen Laufwerken ist, dass bei einem Defekt der Server aufgeschraubt werden muss. Wenn Sie außerdem ein Bandlaufwerk mit höherer Kapazität erwerben wollen, stehen Sie ebenfalls vor dem Problem, dass der Server aufgeschraubt werden muss, weil die Erweiterung nicht im laufenden Betrieb stattfinden kann. Interne Laufwerke sind dafür etwas günstiger als externe. Wenn Sie ein externes Laufwerk kaufen, handelt es sich um das gleiche Bandgerät. Allerdings wird das Bandlaufwerk nicht in den Server eingebaut, sondern in ein eigenes Chassis, das auf oder neben dem Server platziert wird. Der Vorteil von externen Laufwerken ist, dass Reparaturen schneller durchgeführt werden können. Auch eine Erweiterung ist besser möglich, da ein neues Bandlaufwerk meistens in das gleiche Chassis passt. Ein weiterer Vorteil ist, dass beim Bandwechsel, falls er nicht durch Fachpersonal vorgenommen wird, der Server nicht versehentlich verschoben oder ausgeschaltet werden kann. Die meisten Bandlaufwerke werden als SCSI-Gerät angeboten. Es gibt aber auch sehr preisgünstige IDE-, SATA- oder USB-Geräte. Verwenden Sie möglichst immer SCSI-Geräte. Außerdem sollten Sie darauf achten, dass Sie beim Erwerb eines Datensicherungsgeräts für das Bandlaufwerk einen eigenen Controller einbauen lassen. Dadurch ist sichergestellt, dass die Datensicherung nicht die Übertragung der Festplatten beeinträchtigt. Bei den meisten Bandlaufwerken ist im Paket ohnehin ein eigener SCSI-Controller dabei. SATA- und IDE-Laufwerke sollten Sie möglichst nicht einsetzen, weil die Datenübertragung zu langsam und unzuverlässig ist.
Autoloader und Libraries Vor allem Unternehmen, die große Datenmengen in kleinen Datensicherungsfenstern sichern müssen, kommen um den Erwerb eines Autoloaders oder einer Library nicht herum. Die Spezialität von Autoloadern und Tape Libraries ist die schnelle Sicherung von großen Datenmengen ohne lästigen Bandwechsel. Die Bänder bleiben im Laufwerk in einem Magazin. Durch den Einsatz von Libraries haben Unternehmen den Vorteil, dass auch über das Wochenende große Datenmengen gesichert werden können und der Bandwechsel nicht vergessen wird. Wenn Daten zurückgesichert werden müssen, ist der Vorteil von Libraries, dass der Administrator nicht Discjockey spielen muss, sondern die Daten schnell und einfach wiederhergestellt werden können. Die häufigsten Wiederherstellungsvorgänge sind keine Desaster-Recoverys, sondern die Wiederherstellung einzelner Dateien, die versehentlich von Benutzern gelöscht oder falsch bearbeitet wurden. Der große Nachteil eines Einzellaufwerks ist, dass pro Sicherungsvorgang nur die maximale Kapazität des Bandes ausgeschöpft werden kann. Wenn Sie aber zum Beispiel 200 Gbyte sichern müssen und Ihnen nur ein DLT VS 160 mit einer maximalen Kapazität von 80 Gbyte unkomprimiert zur Verfügung steht, haben Sie ein Problem bei der Vollsicherung. In diesem Fall sollten Sie einen Autoloader oder eine Library einsetzen. Bei der Auswahl eines Autoloaders bzw. einer Library sind zwei wichtige Punkte zu beachten: 쐍 Anzahl der Bänder, die gleichzeitig im Gerät verbleiben können 쐍 Anzahl der Bandlaufwerke im Gerät, die gleichzeitig Daten sichern können Weiterhin ist bei Autoloadern zu bedenken, dass die Datenmenge, die auf den Bändern gespeichert werden kann, für einen angemessenen Zeitraum ausreicht. Wichtig ist auch der Zeitraum, in dem die Datensicherung läuft.
70
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Virenschutz planen
Software zur Datensicherung Was das Thema Software zur Datensicherung im Mittelstand betrifft, kommen im Grunde genommen vor allem zwei Lösungen zum Einsatz: 쐍 Symantec Backup Exec 쐍 CA BrightStor ARCserve Am meisten verbreitet ist sicherlich Backup Exec von Symantec. Für diese Software gibt es auch eine spezielle Erweiterung für Small Business Server 2008. Die Einrichtung von Backup Exec ist recht einfach und das Produkt läuft stabil mit allen bekannten Bandlaufwerken. Für Backup Exec stehen besondere Agents zur Verfügung, mit denen auch spezielle Daten wie Oracle Datenbanken, SQLServer oder Exchange online gesichert werden können. Das heißt, Sie müssen keine Datenbankdienste beenden, damit die Sicherung durchgeführt werden kann. Bei der SBS-Edition von Backup Exec sind die Agents für Small Business Server 2008 bereits integriert.
Virenschutz planen Der Virenschutz ist eines der wichtigsten Sicherheitsthemen in einem Unternehmen. Es reicht allerdings nicht, einfach einen Virenschutz auf den Arbeitsstationen und den Servern zu installieren, sondern auch hier muss ein effizientes Konzept entwickelt werden. Wenn Sie einen Virenschutz im Unternehmen implementieren, sollten Sie sicher sein, dass alle Gefahrenquellen abgedeckt werden.
Virenschutz im Internet Wenn Sie Ihr Unternehmen an das Internet anbinden, sollten Sie am Proxyserver auf jeden Fall einen Virenscanner einplanen, der den HTTP-Verkehr und den FTP-Verkehr scannt. Auf immer mehr Internetseiten werden Viren auf Rechner übertragen, und zwar unabhängig davon, ob eine Firewall im Einsatz ist oder nicht. Wenn Sie auf den Arbeitsstationen einen Virenscanner installieren, werden die Viren zwar höchstwahrscheinlich an dieser Stelle gestoppt, aber dennoch ist das Virus bereits im Netzwerk, auch wenn es noch keinen Schaden angerichtet hat. Viren sollten im Unternehmen immer möglichst früh blockiert werden. Wenn Sie Virenscanner mit Haustüren vergleichen, würden Sie in einem Wohnhaus auch nicht die Haustür auflassen und nur die Wohnungstür abschließen. Ein gutes Internetkonzept umfasst immer drei Punkte, die beachtet werden sollten: 쐍 2-stufiges Firewall-Konzept Angriffe werden bereits frühzeitig blockiert und die zweite Firewall dient als Pufferzone 쐍 Proxyserver Dadurch ist sichergestellt, dass die Clients keine direkte Verbindung mit dem Internet aufbauen, sondern die Seiten vom Proxyserver oder Webcache heruntergeladen werden 쐍 Virenschutz auf dem Proxyserver Dadurch ist sichergestellt, dass Viren bereits beim Herunterladen aus dem Internet blockiert werden, nicht erst am Client oder auf dem Server Testen Sie als Virenscanner für Proxys die InterScan VirusWall von Trend Micro. Diese Softwarelösung ist recht einfach zu implementieren, gut zu überwachen und filtert zuverlässig Viren heraus. Auch die Preise sind absolut moderat. Achten Sie darauf, dass der Virenscanner auf dem Proxy entweder seine Updates selbständig aus dem Internet herunterlädt oder durch einen zentralen Server verwaltet wird.
71
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 2
Planen und Einführen von Small Business Server 2008
Außer von Trend Micro gibt es für Proxyserver von so gut wie jedem Hersteller ein passendes Produkt. Ich persönlich und viele meiner Kollegen haben mit Trend Micro am ISA Server sehr gute Erfahrungen gemacht. TIPP Dieser Tipp gilt nicht nur für den Virenscanner am Proxyserver, sondern für alle Virenscanner, die zentral verwaltet werden: Stellen Sie für das Update-Intervall, in dem im Internet beim Anbieter nach neuen Signaturen gesucht wird, einen möglichst kurzen Zeitraum zwischen 15 bis 45 Minuten ein. Wenn keine neue Signatur vorhanden ist, belastet das Suchen nach Updates nicht die Internetleitung. Wenn aber ein neues Update verfügbar ist, wollen Sie es sicherlich so schnell wie möglich im Einsatz haben. Durch die immer schnelleren Programmierzyklen der Virenprogrammierer reicht es heutzutage nicht mehr aus, einmal am Tag oder in der Woche nach neuen Signaturen zu suchen. Viele Hersteller von Antivirenprogrammen bieten entweder mehrmals am Tag neue Signaturen an oder stellen eine neue Signatur nach Bekanntwerden eines neuen Virus im Internet bereit. Bei einem möglichst kurzen Update-Zyklus können Sie sicher sein, dass Ihr Server immer mit aktuellen Signaturen versorgt wird.
Virenschutz auf Arbeitsstationen und Servern Grundsätzlich sollte auf allen Arbeitsstationen und allen Servern ein Virenscanner installiert werden. Auch auf Servern, bei denen keine großen Änderungen im Dateisystem durchgeführt werden, sollten Sie für Virenschutz sorgen, damit sich an keiner Stelle des Unternehmens ein Virus festsetzen kann. Der Virenschutz in einem Unternehmen ist immer nur so gut wie seine schwächste Stelle. In großen Unternehmen schon lange Standard und mittlerweile auch in kleineren Unternehmen immer mehr verbreitet ist die zentrale Verwaltung des Virenschutzes. Viele Hersteller bieten Lösungen an, bei denen die Clients und Server von einem zentralen Server verwaltet werden. Dieser Server ist dafür zuständig, die Virensignaturen im Internet herunterzuladen und automatisch an die Clients und Server zu verteilen. Außerdem können Sie von diesem Server auf neue Client-PCs automatisch einen Virenscanner installieren lassen. Auf der Verwaltungsoberfläche des Servers sehen Sie darüber hinaus, ob auf allen PCs aktuelle Virensignaturen installiert sind oder ein Virus gefunden wurde. Die zentralen Verwaltungsstellen der Antivirenprogramme können auf den PCs gefundene Dateien, die durch Viren verseucht wurden, in einen Quarantänebereich verschieben, damit Administratoren bei ganz wichtigen Dateien eine Säuberung durchführen können. Im Quarantänebereich auf dem Server können die Viren keinen Schaden mehr anrichten. Durch die zentrale Verwaltung des Virenschutzes auf einem Server haben Sie zahlreiche Vorteile, die für den Virenschutz, auch in kleinen Unternehmen, unverzichtbar sind: 쐍 Der Virenschutz aller PCs und Server des Unternehmens kann zentral verwaltet werden. Es ist ausgeschlossen, dass durch die fehlerhafte Konfiguration einzelner Arbeitsplätze eine Sicherheitslücke im Unternehmen entsteht. 쐍 Optionen können global vorgegeben werden 쐍 Alle angebundenen PCs werden automatisch mit den neuesten Virensignaturen versorgt 쐍 Die Virensignaturen müssen nur einmal heruntergeladen werden, nicht durch jeden einzelnen PC 쐍 Die Berechtigungen für das Abschalten des Virenschutzes können den einzelnen Anwendern entzogen werden 쐍 Wird ein Virus gefunden, können die Administratoren automatisch per E-Mail benachrichtigt werden 72
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Planung des Serverraums
쐍 Neu installierte PCs können durch eine automatische Installation des Clientprogramms sofort mit dem Virenschutz versorgt werden, ohne dass lokal auf der Maschine Installationen vorgenommen werden müssen 쐍 Der Virenstatus und Zustand aller PCs kann an der zentralen Verwaltung überwacht werden In diesem Bereich haben die folgenden Produkte die größte Verbreitung: 쐍 Trend Micro Client/Server Security 쐍 Symantec AntiVirus Corporate Edition Es gibt natürlich noch viele andere Anbieter und Produkte. Mit diesen beiden habe ich bisher sehr gute Erfahrungen gemacht und Unternehmen aller Größenordnungen setzen diese Lösungen ein. Symantec lässt sich etwas leichter konfigurieren, Trend Micro ist dafür etwas günstiger. Beide sind sicher und belasten die Systeme auch nicht zu sehr und können ohne Weiteres auf Small Business Server 2008 installiert werden.
Viren- und Spamschutz für Exchange Server Die meisten Viren kommen durch E-Mails in Unternehmen. Daher sollte auch beim Mailverkehr für einen guten Virenschutz gesorgt werden. Der SMTP-Virenschutz scannt die E-Mails, während sie durch das Gateway zugestellt werden. Hier offenbart sich ein weiterer Vorteil des ISA Servers in Verbindung mit Trend Micro InterScan VirusWall. Bereits beim Zustellen der E-Mails durch den ISA Server und den installierten Scanner können Sie eine erste Stufe des Virenschutzes erreichen, indem die E-Mails zunächst durch den Nachrichtenfilter des ISA Servers laufen. Dieser Nachrichtenfilter löscht E-Mails beziehungsweise deren Anhänge aufgrund von Dateiendungen oder Schlagwörtern. Dieser erste Virenschutz ist zwar nicht der effizienteste von allen, aber in Verbindung mit der restlichen Struktur ein wertvolles Hilfsmittel. E-Mails, die Anhänge in der Form *.exe, *.pif, *.vbs oder *.js usw. enthalten, müssen nicht erst vom Virenscanner gescannt werden. Es ist klar, dass diese E-Mails nur Viren enthalten. Warum sollten sie also noch nach Viren durchsucht werden? Postfachscanner auf Small Business Server 2008 für Exchange Server 2007 Ein weiterer sehr wichtiger Schutz ist ein Postfachscanner für den E-Mail-Server. Spezielle Postfachscanner sind dafür zuständig, E-Mails nach Viren zu scannen, bevor Sie dem Empfänger ins Postfach zugestellt werden. Postfachscanner können nicht das Dateisystem schützen. Die Aufgabe dieser Scanner ist es, sicherzustellen, dass keine Viren vom Exchange Server oder in die Postfächer des Exchange Servers zugestellt werden. Dem Postfachscanner kommt beim Virenschutz im Unternehmen eine besondere Bedeutung zu. Er stellt sicher, dass an der größten Gefahrenquelle, den E-Mails, keine Sicherheitslücke entsteht. Sie sollten niemals einen Exchange Server ohne Postfachscanner betreiben.
Planung des Serverraums Eine zentrale Rolle spielt der Serverraum in einem Unternehmen. Vor allem mittelständische Unternehmen haben oft keinen eigenen Serverraum, sondern verwenden meistens Lagerkammern oder Abstellräume. Der Standplatz eines Servers spielt eine zentrale Rolle. Wenn in dieser Kammer noch die Drucker untergebracht sind, besteht die Gefahr, dass versehentlich jemand am Server hängen bleibt, ihn aus Versehen ausschaltet oder die Putzfrau mit dem Besen dagegen stößt oder eine Steckdose für ihren Staubsauger benötigt. Server sollten in sicheren Räumen stehen, die nicht für jeder-
73
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 2
Planen und Einführen von Small Business Server 2008
mann zugänglich sind. Der Raum sollte, wenn er ein Fenster hat, von außen geschützt sein. Fensterbauer bieten dazu spezielle Erweiterungen an, damit ein von außen geworfener Stein nicht die Scheibe zerstört. Auch das Thema Klimatisierung in Serverräumen spielt eine wichtige Rolle. Wenn es im Sommer 40 Grad im Serverraum hat, ist es nur eine Frage der Zeit, wann die Server ausfallen. Der Raum sollte frei von Erschütterungen sein. Ein Serverraum direkt neben einem Lager, in dem Paletten manövriert werden, ist sicherlich nicht ideal, weil die Erschütterungen auf Dauer die Festplatten zerstören. Auch die ausreichende Verkabelung eines Serverraums spielt eine wichtige Rolle. Die Netzwerkanschlüsse müssen auch für zukünftige Server ausreichen. Die Stromsicherung muss für die Stromversorgung der Server ausreichend dimensioniert sein. Ein optimaler Serverraum verfügt über folgende Ausstattungsmerkmale: 쐍 Feuerfeste abgeschlossene Tür, damit ein Feuer von außen nicht die Server vernichten kann. Die meisten Brände in Serverräumen rühren von Nebenräumen her. 쐍 Im Serverraum sollte sich kein permanenter Arbeitsplatz eines Mitarbeiters befinden 쐍 Klimaanlage für dauerhaft stabile 20 bis 22 Grad Celsius und 40 % Luftfeuchtigkeit 쐍 Kein Durchgangsverkehr durch Lagerung von Papier oder das Aufstellen von Druckern. In den Serverraum darf nur ausgewähltes Personal. 쐍 Ausreichende Stromverkabelung und genügend Steckdosen, am besten eine integrierte Stromversorgung oder ein Notstromaggregat für den Notfall. Der Stromkreis sollte unabhängig vom Hausnetz verlaufen, damit eine Kaffeemaschine mit defektem Kabel in der Küche nicht die Sicherung des Serverraums auslösen kann. 쐍 Am besten hat der Serverraum einen doppelten Boden, damit die Kabel leicht verlegt werden können 쐍 Wenn der Raum ein Fenster nach draußen hat, unbedingt für Einbruchschutz sorgen und das Fenster ständig geschlossen lassen 쐍 Keine Wasserleitungen über dem Serverraum verlegen, damit ein Wasserrohrbruch oder Kondenswasser nicht die Server zerstört. Am besten Feuchteschutz von oben installieren, damit auch im Brandfall kein Wasser durch die Decke in den Serverraum sickern kann, wenn die Feuerwehr löschen muss. 쐍 Ein Telefon, mit dem notfalls auch ausländische Supportlines erreicht werden können. Bedingt durch die Computersysteme und Metallstrukturen der Schränke ist ein Mobilempfang oftmals nicht möglich. 쐍 Ausreichend Platz vor und hinter den Servern sollte vorhanden sein. Um ein Gerät aus einem Schrank zu entfernen oder einzusetzen, muss vor dem Schrank so viel Platz sein, wie der Schrank tief ist. 쐍 Idealerweise verfügt ein Serverraum über ein spezielles Löschsystem, auf jeden Fall einen Handfeuerlöscher 쐍 Unter Umständen ist eine Videoüberwachung sinnvoll 쐍 Statt Schlüsseln besser ein Zugangssystem mit Schlüsselkarten installieren, damit nachvollzogen werden kann, wer wann den Raum betreten hat 쐍 Eine Alarmanlage mit direkter Anbindung an Polizei oder Wachschutz schützt vor Diebstahl 쐍 Rauchverbot im Serverraum ist selbstverständlich. Dies sollte auch mit entsprechenden Schildern kenntlich gemacht werden. Gleiches gilt für Essen und Getränke.
74
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Active Directory planen
Planung der Benutzeranbindung Nachdem Sie die Planung des Servers und der dazugehörigen Komponenten festgelegt haben, sollten Sie noch folgende Punkte der Planung beachten und zu jedem Punkt genaue Überlegungen anstellen: 쐍 Wie viele Benutzer sollen mit dem Server arbeiten? 쐍 Wie viele PCs sollen an Small Business Server 2008 angebunden werden? 쐍 Wie viele Mitarbeiter sollten das Recht haben, sich von extern in das Netzwerk einwählen zu dürfen? 쐍 Wie groß ist die Datenmenge, die auf den einzelnen PCs oder bereits vorhandenen Servern liegt und auf Small Business Server 2008 übertragen werden sollen? 쐍 Welche Freigaben soll es geben? 쐍 Wie sollen die Benutzernamen angelegt werden? 쐍 Welchen Namen soll die Domäne erhalten, die durch den Small Business Server 2008 installiert wird? 쐍 Soll es gemeinsame Freigaben geben, auf die mehrere Benutzer zugreifen dürfen, und wenn ja, welche Gruppen sollen das sein und welche Mitarbeiter? 쐍 Sind die Arbeitsstationen im Unternehmen darauf ausgelegt, an einem Small Business Server 2008-Netzwerk teilzunehmen? Am besten ist es, wenn auf allen Arbeitsstationen Windows XP Professional mit SP2 installiert ist. Windows XP Home Edition kann nicht Bestandteil einer Small Business Server 2008-Domäne sein. Auch Windows 2000 Professional und Windows NT 4.0 werden noch unterstützt, sind aber mittlerweile veraltet. 쐍 Soll der Faxdienst genutzt werden, über den alle Benutzer über Small Business Server 2008 Faxnachrichten verschicken und empfangen dürfen? Falls ja, sollte am Standort des Servers eine Telefonbuchse verfügbar sein, an der das Faxmodem angeschlossen werden kann.
Active Directory planen Wie der Name Active Directory, also aktives Verzeichnis, schon besagt, handelt es sich bei dem Microsoft Active Directory um ein Verzeichnis. Ein Verzeichnis enthält Informationen über verschiedene Objekte. Im Falle eines Verzeichnisdienstes wie dem Active Directory sind das zum Beispiel Informationen über Benutzer, Benutzergruppen und Computer. Verzeichnisdienste können sehr unterschiedliche Strukturen haben und unterschiedlich leistungsfähig sein. Im Active Directory können beliebige Informationen gespeichert werden. Dazu gehören nicht nur Benutzer, Benutzergruppen und Computer. Kontakte, Informationen zur Konfiguration von Anwendungen wie dem Exchange Server oder dem Internet Security and Acceleration (ISA) Server und viele weitere Informationen können gespeichert werden. Alle notwendigen Informationen werden dazu in Attributen gespeichert, die einem Objekt zugeordnet werden können. Mithilfe eines Verzeichnisdienstes können Unternehmen Berechtigungen auf Freigaben vergeben, Anmeldungen an PCs ermöglichen und ihre Infrastruktur verwalten. Verzeichnisse in Netzwerken speichern Informationen in einer Datenbank. Diese Informationen beziehen sich auf Objekte, die im Netzwerk verwaltet werden, also hauptsächlich Benutzerinformationen, Computerinformationen sowie Drucker und Freigaben. Das Ziel von Verzeichnissen ist es,
75
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 2
Planen und Einführen von Small Business Server 2008
die Informationen in einer einheitlichen Struktur zu speichern und den Anwendern zugänglich zu machen. Verzeichnisse sind meistens hierarchisch aufgebaute Konstruktionen, die notwendige Informationen effizient speichern sollen. Verzeichnisse im Allgemeinen und das Active Directory im Speziellen sind genormte Technologien, die durch verschiedene Standards definiert sind. Genauere Informationen über die einzelnen Standards finden Sie auf der Webseite http://verzeichnisdienst.de. Der Sinn dieser Verzeichnisse besteht darin, dass Informationen gesucht, verwendet, angelegt, modifiziert und gelöscht werden können. Diese Vorgänge sind durch Berechtigungen genau geregelt. Das Active Directory ist von Anfang an als ein zentraler Verzeichnisdienst entwickelt worden, während es dabei zugleich noch eine gewisse Kompatibilität mit dem alten NT-Domänensystem bewahrt. Es arbeitet verteilt über Server und Standorte und kann Informationen zwischen den verschiedenen Servern replizieren. Mit der LDAP-Unterstützung und der Integration von DNS (Domain Name System) werden die beiden zentralen Standards für die Informationssuche in offenen Systemen unterstützt. Die Zielrichtung ist es, in einem Unternehmensnetzwerk möglichst wenig unterschiedliche Verzeichnisdienste einzusetzen. Aufbau eines Active Directory Zwei Begriffe aus dem klassischen Domänenmodell finden sich im Active Directory wieder: Es gibt Active Directory-Domänen und Domänencontroller. Die Domäne ist weiterhin die grundlegende Strukturierungseinheit. Allerdings kann sie in eine komplexere Struktur eingebunden werden. Domänencontroller finden sich ebenfalls im Active Directory. Die Domänencontroller übernehmen die Verwaltung der Verzeichnisinformationen innerhalb einer Domäne. Die Benutzer-, Computer-, Freigaben- und Druckerinformationen werden in einer Datenbank gespeichert. Diese Datenbank ist eine JET-Datenbank (Joint-Engine-Technologie), die Microsoft auch bei Exchange einsetzt. Das Active Directory hat im Gegensatz zum alten Windows NT-Domänenmodell einige Änderungen erfahren. Bei Windows NT wurden alle Benutzer- und Computerinformationen nicht in einer Datenbank, sondern in der Registry der Domänencontroller gespeichert. Die Daten einer Domäne wurden auf dem primären Domänencontroller, dem PDC, im so genannten Security Account Manager (Sicherheitskontenverwaltung, SAM) gespeichert. Dieser SAM enthielt alle Informationen über den Benutzer und die Computer einer Windows-Domäne. Wenn ein Administrator Änderungen durchführt, zum Beispiel das Anlegen eines neuen Benutzers, wird er immer zum PDC verbunden. Damit eine NT-Domäne ausfallsicher gestaltet werden kann, gab es noch Reservedomänencontroller (Backup Domain Controller, BDC). Die Änderungen werden in regelmäßigen Abständen auf die BDCs repliziert. Eine Änderung auf den BDC ist nicht möglich, da diese nur Replikate der Änderungen erhalten, aber selbst keine weitergeben können. Weitere Untergliederungen oder Container gab es nicht. Es war möglich, Vertrauensstellungen zwischen Domänen herzustellen. Beide Domänen hatten danach aber immer noch getrennte Benutzerdatenbanken. Der einzige Vorteil war, dass durch Vertrauensstellungen Berechtigungen zwischen verschiedenen Domänen verteilt werden. Wenn der PDC ausfällt, können keinerlei Änderungen in der Windows-Domäne mehr vorgenommen werden und die Domäne steht auch den Benutzern nicht mehr zur Verfügung.
Active Directory-Gesamtstruktur (Forest) In Active Directory werden die Benutzerdaten und Computerinformationen nicht mehr in der Registry des PDC durch den SAM gespeichert, sondern in der Datenbank von Active Directory. Eine Active Directory-Umgebung kann im Gegensatz zu Windows NT mehrere Domänen zu einer Einheit zusammenfassen. Bei einem SBS-Netzwerk ist das nicht möglich. Hier kann es nur eine Domäne
76
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Active Directory planen
geben, die allerdings mehrere Domänencontroller enthalten kann (siehe Kapitel 19). Ein Active Directory kann aus mehreren selbstständigen Domänen bestehen, die dennoch zu einer großen gemeinsamen Organisation gehören. Alle verbundenen Domänen eines Active Directorys teilen sich eine Datenbank und ein Schema. Diese Domänen bilden eine Gesamtstruktur, im Englischen auch Forest genannt. Ein Forest ist die Grenze des Verzeichnisdienstes eines Unternehmens, in dem einheitliche Berechtigungen vergeben und delegiert werden können. Da es in Small Business Server 2008 nur eine Domäne geben kann, ist diese gleichzeitig auch die einzige Struktur und Gesamtstruktur.
Active Directory-Struktur (Tree) Das Namensmodell von Active Directory orientiert sich stark am DNS. Domänen werden im Active Directory zu Strukturen (Trees) zusammengefasst. Eine Struktur muss über einen einheitlichen Namensraum verfügen. Hier wird mit DNS-Namen gearbeitet. Wenn eine Struktur beispielsweise contoso.com heißt, kann es innerhalb dieser Struktur weitere Einheiten geben, die beispielsweise sales.contoso.com, marketing.contoso.com und dallas.marketing.contoso.com heißen. Eine Active Directory-Gesamtstruktur (Forest) kann aus mehreren Strukturen (Trees) zusammengesetzt sein, oftmals besteht sie allerdings aus nur einer Struktur. Bei einem SBS-Netzwerk bildet die Active DirectoryDomäne die einzige Struktur (Tree) in der Gesamtstruktur (Forest). Jedes Active Directory muss aus mindestens einer Struktur bestehen. Der ersten Domäne eines Active Directorys kommt eine besondere Bedeutung zu. Da sie die erste Domäne ist, bildet sie zugleich die erste Struktur von Active Directory und ist gleichzeitig die Root-Domäne der Gesamtstruktur. Wenn Sie ein Active Directory mit nur einer Domäne planen, bildet diese Domäne die Gesamtstruktur, die erste und einzige Struktur und die Root-Domäne von Active Directory, genau wie bei Small Business Server 2008. Unter Windows NT hatten Domänen lediglich einen NetBIOS-Namen mit bis zu 15 Zeichen. Beim Active Directory gibt es diese NetBIOS-Namen auch noch. Wichtiger sind jedoch die DNS-Namen, die jede Domäne eindeutig einem DNS-Namensraum zuweist. Als Struktur wird ein Namensraum bezeichnet, der vollkommen eigenständig ist.
Organisationseinheiten (Organizational Units, OUs) Jede Domäne kann unterschiedliche Organisationseinheiten beinhalten. Organisationseinheiten können Sie sich wie Ordner im Windows-Explorer, in denen Dateien liegen, vorstellen. Durch Organisationseinheiten können Sie Objekte innerhalb von Domänen ordnen. Organisationseinheiten sind Container, in denen Active Directory-Objekte liegen können. Innerhalb von Organisationseinheiten können Berechtigungen delegiert und Richtlinien definiert werden, die für alle Objekte eines solchen Containers Gültigkeit haben. Organisationseinheiten sind die kleinsten Container im Active Directory. Eine Organisationseinheit kann mehrere Unterorganisationseinheiten beinhalten. Vor allem die Organisationseinheiten, welche dafür zuständig sind, die einzelnen Objekte der Domäne zu ordnen, sollten frühzeitig geplant werden. Bei der Installation von Small Business Server 2008 werden bereits automatisch einige Organisationseinheiten angelegt, die allerdings beliebig erweitert werden können. Auch wenn jederzeit weitere OUs erstellt werden können, sollten Sie bereits bei der Planung von Active Directory berücksichtigt werden. Eine gute Aufteilung der Organisationseinheiten heißt nicht unbedingt, dass jede Abteilung eine eigene Organisationseinheit bekommt, nur weil es die Abteilung gibt und weil es schön aussieht. Organisationseinheiten werden auf der Basis logischer Entscheidungen geplant, bei denen Sie alle notwendigen Aspekte beachten müssen, die sich auf die Organisationseinheiten auswirken. Die schlussendliche Struktur der Orga-
77
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 2
Planen und Einführen von Small Business Server 2008
nisationseinheiten muss allen Anforderungen Genüge leisten. Innerhalb von Organisationseinheiten können administrative Berechtigungen aller Art sehr einfach verteilt werden. Bei der Planung von Organisationseinheiten sind folgende Aspekte zu berücksichtigen: 쐍 Sollen spezielle Anmeldeskripts für die Anwender zum Verbinden von Laufwerken oder Systemeinstellungen erstellt werden? Die Mitarbeiter und Computer sollten dazu in Organisationseinheiten zusammengefasst werden. 쐍 Sollen für Gruppen von Anwendern unterschiedliche Gruppenrichtlinieneinstellungen gelten? Auch diese Anwender sollten in eigene Organisationseinheiten zusammengefasst werden. 쐍 Können einzelne Administrationsaufgaben, zum Beispiel das Zurücksetzen von Kennwörtern in einer Abteilung, an Poweruser vergeben werden, um die Administratoren zu entlasten? Solche Delegationen können auf Organisationseinheiten gelegt und die Benutzer in diese Organisationseinheiten aufgenommen werden. Abbildg. 2.2
Organisationseinheiten und Domänen in einer Active Directory-Gesamtstruktur
Planen der Exchange Server-Verwendung Da die meisten Unternehmen, die Small Business Server 2008 einsetzen, ohnehin nur einen Server mit Exchange verwenden, ist die Planung der Exchange-Organisation nicht sehr kompliziert. Dennoch ist es notwendig, einige planungstechnische Punkte zu berücksichtigen, bevor Sie Anwender an den Exchange-Server im Small Business Server 2008 anbinden.
78
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Planen der Exchange Server-Verwendung
Anforderungen der Benutzer planen Neben den Anforderungen des Unternehmens, die durch die Unternehmensleitung definiert werden, und den Anforderungen der IT-Abteilung müssen natürlich auch die Anforderungen der Nutzer in die Planung mit einfließen. Die Benutzer arbeiten schließlich mit dem System. Aus diesem Grund muss es optimal an ihre Ansprüche angepasst werden. Um diese Anforderungen zu ermitteln, können zum Beispiel die Abteilungsleiter mit einbezogen werden, die genau einschätzen können, welche Funktionen an welcher Stelle zur Verfügung gestellt werden müssen. Unter anderem sind folgende Funktionen zu berücksichtigen: 쐍 Zugriff auf das Postfach über das Internet 쐍 Anbindung von Niederlassungen mit schmalbandigen Leitungen und die daraus resultierende Geschwindigkeit von Outlook 쐍 Anbindung mobiler Benutzer und Synchronisierung von Smartphones mittels GPRS oder UMTS. Hier spielen vor allem sicherheitsrelevante Aspekte eine Rolle, die in Kombination von Windows Mobile 5/6-Geräten und Exchange Server 2007 optimal gelöst wurden. 쐍 Anbindung anderer mobiler Technologien (Blackberry) Erstellen Sie am besten vor einer Besprechung mit der Planungsgruppe eine Liste mit Themen, die von Benutzern, deren Vertretern oder der Geschäftsleitung festgelegt und ausdiskutiert werden sollen. Diese Liste sollte alle Aspekte enthalten, die Benutzer betreffen und deren Arbeit mit Exchange beeinflussen. Im Folgenden liste ich die Punkte auf, die ich bisher unter anderem bei Planungen berücksichtigt habe. Diese Aufstellung ist natürlich nicht vollständig, stellt aber sicherlich eine erste wichtige Planungsgrundlage dar. Sie können sie beliebig erweitern und an Ihre Bedürfnisse anpassen: 쐍 Zunächst sollte festgelegt werden, welche Benutzer überhaupt einen E-Mail-Zugang erhalten sollen, eventuell können sich mehrere Mitarbeiter ein Postfach teilen. Dadurch können Sie einige Lizenzkosten und Plattenplatz einsparen. 쐍 Welche Rolle nehmen Außenstandorte ein? Sollen diese in die Firmen-E-Mail-Struktur eingegliedert werden oder extern verbleiben? 쐍 Die eingesetzte Outlook-Version sollte festgelegt werden. Natürlich bietet es sich an, für Exchange 2007 auch Outlook 2007 einzusetzen. Aber auch die Zusammenarbeit mit Outlook 97, 98, 2000 und XP wird unterstützt, wenn Mitarbeiter schon länger mit diesen Versionen arbeiten und nicht wechseln wollen. 쐍 Sollen alle Mitarbeiter oder zumindest einige mit Outlook Web Access arbeiten? Gerade Mitarbeiter, die keinen eigenen PC-Arbeitsplatz haben, sind auf diesen Zugang angewiesen oder auch Anwender, die viel unterwegs sind, zum Beispiel Vertriebsmitarbeiter oder Außendienstler. 쐍 Auch die Anzahl, die Bezeichnung und die Mitglieder der Verteilerlisten müssen festgelegt werden. Beim Neuanlegen eines Benutzers muss ein Workflow definiert werden, mit dem festgestellt werden kann, welcher Verteilerliste ein Benutzer zugeteilt wird. 쐍 Ein sehr wichtiges Thema ist sicherlich die Formatierung der E-Mail-Adresse. Die E-Mail-Adresse sollte zu Ihrer Firma passen, aber auch leicht zu merken und zu schreiben sein, um unnötige Fehlerquellen zu vermeiden. Dieser Punkt wird oft von der Geschäftsführung festgelegt, sollte aber mit den Mitarbeitern und den Administratoren zusammen besprochen werden. Zusätzlich sollte das Format des lokalen Parts der E-Mail-Adresse bestimmt werden, ob beispielsweise der komplette Vor- und Nachname oder Abkürzungen derselben verwendet werden.
79
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 2
Planen und Einführen von Small Business Server 2008
쐍 Zu Beginn sollten Sie festlegen, welche Mitarbeiter E-Mails ins Internet verschicken oder vom Internet empfangen dürfen. 쐍 Zudem sollte festgelegt werden, wie die private Nutzung der E-Mail-Accounts gesteuert wird. Private E-Mails sind oft Schlupflöcher für Viren und Trojaner, kosten Plattenplatz auf dem Datenträger und bei der Sicherung und erhöhen die Anzahl der Spam-E-Mails, da die Mitarbeiter E-MailAdressen im Internet publizieren. Weiterhin ergeben sich Implikationen beim Datenschutz, wenn private Korrespondenz auf einem Firmenaccount liegen darf. 쐍 Findet eine zentralisierte Virenprüfung statt? Wird ein zentraler Antispamfilter eingesetzt? 쐍 Der Einsatz von öffentlichen Ordnern muss ebenfalls geplant sein. Welche öffentlichen Ordner soll es geben, wer darf neue Ordner erstellen, wer Inhalte in diesen Ordnern veröffentlichen? Was soll in den öffentlichen Ordnern zur Verfügung gestellt werden und wie soll die Struktur für öffentliche Ordner aussehen? Alle diese Fragen sollten vor der Einführung von öffentlichen Ordnern beantwortet sein. Es gilt, frühzeitig Wildwuchs bei der Struktur der öffentlichen Ordner zu verhindern. 쐍 Gibt es Ressourcen, die verwaltet werden sollen, wie zum Beispiel Firmenfahrzeuge, Beamer, Konferenzräume und so weiter? Wer soll diese Ressourcen verwalten und wie sollen sie angelegt werden? 쐍 Die Größe der Postfächer sowie die Grenzwerte zum Empfangen oder Versenden müssen abgesprochen werden. Dies betrifft insbesondere Dateianhänge. Sie sollten so früh wie möglich festlegen, welche Dateianhänge überhaupt zugelassen werden und wie groß sie sein dürfen. 쐍 Welche Benutzer sollen sich von außerhalb einwählen dürfen und wie soll der Zugang aussehen (Terminalserver, VPN, RAS, Outlook Web Access, RPC über HTTP)? Welche Benutzer dürfen sich beispielsweise über Smartphones mit dem Postfach verbinden? 쐍 Outlook-Schulungen für die Benutzer sollten bereits frühzeitig durchgeführt werden. Auch sollte festgelegt werden, wer diese Schulungen durchführt – Schulungsunternehmen, Administratoren oder Poweruser von intern? 쐍 Auch die Definition des Abwesenheits-Assistenten und der Text müssen festgelegt werden. Sollen zum Beispiel auch Mitarbeiter außerhalb der Organisation Informationen über die Abwesenheit eines Benutzers erhalten? 쐍 Wollen Sie mit Signaturen und E-Mail-Verschlüsselung arbeiten?
Planen der Verteilerlisten Exchange nutzt die Gruppen von Active Directory. Windows unterscheidet dabei zwischen E-Mailaktivierten Sicherheitsgruppen und Verteilergruppen. Im E-Mail-Empfang unterscheiden sich beide Gruppen nicht. E-Mail-aktivierte Sicherheitsgruppen können jedoch außer als Verteilerliste auch zum Definieren von Zugriffsrechten verwendet werden. Sie können durch das Anlegen von E-Mailaktivierten Sicherheitsgruppen die Anzahl Ihrer Gruppen stark einschränken. Verteilergruppen können, wie der Name schon sagt, nur als Verteilergruppe verwendet werden. Sie sollten frühzeitig festlegen, welche Mitglieder in den einzelnen Gruppen enthalten sein sollen und wer diese Gruppen verwaltet.
80
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Planen der Exchange Server-Verwendung
Planen der öffentlichen Ordner Öffentliche Ordner sind für Groupware-Systeme einer der wichtigsten Bereiche. In öffentlichen Ordnern ist die Arbeit wie in keinem anderen Bereich nicht auf einzelne Personen und Benutzer begrenzt, sondern richtet sich an Gruppen und Abteilungen, die zusammenarbeiten und Informationen austauschen wollen. Für öffentliche Ordner gibt es eine Vielzahl von Verwendungsmöglichkeiten, die von fast allen Unternehmen ausgenutzt werden, die mit Exchange arbeiten. Sie sind das E-Mail-Äquivalent zu Freigaben auf einem Dateiserver. Öffentliche Ordner können mit einer E-Mail-Adresse versehen werden und dadurch direkt E-Mails erhalten oder auch versenden. Diese Option ist bereits länger integriert und wird immer mehr genutzt. Öffentliche Ordner werden in Outlook hierarchisch angezeigt. Die oberste Hierarchie der öffentlichen Ordner ist die Öffentliche Ordner-Struktur. Wenn Sie öffentliche Ordner bereits einsetzen, werden Sie die Vorteile teilweise schon kennen.
Gemeinsame Informationsnutzung Der wohl größte Vorzug der öffentlichen Ordner ist die gemeinschaftliche Ablage von Informationen und Dokumenten, die mehrere oder alle Benutzer angehen. Sie können zum Beispiel Preislisten, Handbücher oder andere Informationen allen Benutzern zugänglich machen. Benutzer können selbst entscheiden, welche Informationen in die öffentlichen Ordner gestellt werden sollen. Dadurch werden Informationen, wenn sie erst in einen öffentlichen Ordner kopiert wurden, sofort allen definierten Benutzern zugänglich. Sie sparen sogar noch Speicherplatz, da Informationen nicht mehr doppelt gespeichert werden müssen, sondern nur noch einmal im öffentlichen Ordner.
Gruppenkontakte Kontakte können ebenfalls als öffentlicher Ordner angelegt werden. Die Bedienung ist dabei vollkommen identisch mit der lokalen Pflege der Kontakte. Wenn die Kontakte jedoch in einem öffentlichen Ordner liegen, ist ein eingepflegter Kontakt sofort allen Mitarbeitern, die Zugriff auf diesen Ordner haben, zugänglich. Dadurch können Sie zum Beispiel die Adressen Ihrer Lieferanten oder Kunden für jeden zugänglich speichern und pflegen.
Ablage für automatische E-Mails Administratoren kennen das Problem der E-Mail-Flut vieler Programme. Die Datensicherung, der Virenscanner, die Serverüberwachung – viele Programme unterstützen das automatische Senden von E-Mails über Informationsmeldungen oder Fehlermeldungen. Zusätzlich können Sie für diesen öffentlichen Ordner noch eine Verfallszeit definieren, nach der E-Mails automatisch gelöscht werden. Somit verschwenden Sie keinen unnötigen Serverplatz und der Ordner pflegt sich quasi automatisch selbst. Ein E-Mail-aktivierter öffentlicher Ordner erhält durch den Empfängeraktualisierungsdienst (Recipient Update Service) eine E-Mail-Adresse und ist zukünftig per E-Mail erreichbar. Wie für jeden Benutzer können Sie auch für öffentliche Ordner definieren, dass diese im Adressbuch angezeigt werden oder nicht. Öffentliche Ordner werden bei der Ansicht im Adressbuch besonders gekennzeichnet, sodass sie von Benutzern sofort erkannt werden können.
Ressourcenplanung Eine weitere Möglichkeit besteht im Anlegen von Kalendern in einem öffentlichen Ordner. Damit können Sie eine Ressourcenplanung oder Terminplanung für gemeinschaftliche Bereiche wie Besprechungsräume, technisches Equipment oder sonstige Aufgaben durchführen, sodass jeder Benutzer sofort sehen kann, ob eine Ressource belegt oder frei ist. 81
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 2
Planen und Einführen von Small Business Server 2008
Faxablage Ähnlich wie die Ablage von automatischen System-E-Mails können Sie öffentliche Ordner auch als Ablage für Ihren Faxeingang verwenden. Faxe sind allen Benutzern zugänglich und können auch mit einer Verfallszeit definiert werden, damit sie nach einigen Tagen automatisch gelöscht werden. Der Faxdienst in Small Business Server 2008 kann erhaltene Faxnachrichten an einen öffentlichen Ordner weiterschicken.
Einheitlicher Support-Ordner Viele Firmen nutzen öffentliche Ordner zudem als einheitlichen Posteingang für Support-Ordner. Sie können zum Beispiel die Adresse
[email protected] einem öffentlichen Ordner zuweisen, damit dieser per E-Mail erreichbar ist. Auch interne Support-Ordner können leicht angelegt werden. Sie können zum Beispiel einen öffentlichen Ordner User-Support anlegen, der eine eigene E-MailAdresse erhält, an die Benutzer ihre Anfragen schicken. Support-Mitarbeiter können dann im Auftrag dieses öffentlichen Ordners senden und die Mitarbeiter erhalten die Antwort wieder von diesem öffentlichen Ordner. Wenn auf solche E-Mails geantwortet wird, ist sichergestellt, dass sie wieder in dem öffentlichen Ordner landen und nicht bei einem einzelnen Mitarbeiter, bei dem sie vielleicht untergehen oder nicht bearbeitet werden, weil dieser schon zu Hause ist.
Knowledge-Datenbank Sie können öffentliche Ordner auch als Datenbank für das Wissen innerhalb eines Unternehmens verwenden. Findet zum Beispiel ein Mitarbeiter der EDV-Abteilung ein kniffeliges Problem heraus, kann er die Lösung in einen öffentlichen Ordner schicken. Zukünftig profitieren Mitarbeiter von dieser erarbeiteten Lösung und die Firma spart viel Zeit und Geld. Wissen steht zentral und gebündelt zur Verfügung und geht nicht mehr verloren. Sie können solche Ordner sogar moderieren lassen, das heißt, ein definierter Mitarbeiter erhält die Benachrichtigung, dass eine Nachricht in den öffentlichen Ordner gestellt werden soll, und muss diese Nachricht erst freigeben, bevor sie im Ordner erscheint.
Berechtigung zum Erstellen von öffentlichen Ordnern auf Toplevel-Ebene planen Eine der ersten Aufgaben besteht darin, festzulegen, welche Benutzer überhaupt öffentliche Ordner der höchsten Ebene anlegen dürfen. Zunächst müssen Sie einen Personenkreis definieren, der das Recht dazu erhält. Sehen Sie dazu am besten eine eigene Sicherheitsgruppe in Windows vor, der Sie dann diese Berechtigung erteilen. Sie brauchen lediglich Benutzer in diese Gruppe aufzunehmen oder wieder zu entfernen.
Zusammenfassung In diesem Kapitel haben wir Ihnen gezeigt, wie Sie optimal ein Netzwerk mit Small Business Server 2008 planen, welche Hardware Sie nutzen und was Sie vor der Einführung des Servers beachten sollten. Im nächsten Kapitel erfahren Sie, wie Sie Small Business Server 2008 installieren, neue Hardware integrieren und Windows aktivieren.
82
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 3
Installieren von Small Business Server 2008
In diesem Kapitel: Vorbereitungen für die Installation
84
Installieren des Betriebssystems auf dem Server
85
Notwendige Nacharbeiten zur Installation
91
Aktivierung von Small Business Server 2008
104
Windows Server 2008-Startoptionen
106
Anpassen des Bootmenüs – es gibt keine boot.ini mehr
109
Hintergrundinformationen zum Installationsmechanismus
113
Zusammenfassung
113
83
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 3
Installieren von Small Business Server 2008
In diesem Kapitel gehen wir auf die Installation von Small Business Server auf einem Server ein. Die Installation des Betriebssystems ist sehr ähnlich zur Installation von Windows Vista und Windows Server 2008. Small Business Server 2008 verwendet wie Windows Server 2008 und Windows Vista ein Image-basiertes Setup. Außerdem ist der Anschluss eines Diskettenlaufwerks an den Server, um beispielsweise gerätespezifische Zusatztreiber für Festplatten- oder Netzwerkadapter zu installieren, nicht mehr erforderlich. Windows Server 2008 kann Treiberdateien direkt von CD-ROM oder von einem USB-Stick einbinden. Installieren Sie Small Business Server 2008 neu oder möchten Sie eine bereits vorhandene Installation löschen und neu installieren, legen Sie die DVD in Ihr DVD-Laufwerk ein, stellen sicher, dass im BIOS das Booten von DVD/CD erlaubt ist und booten von der DVD. Im Anschluss startet der Installationsassistent, mit dessen Hilfe Sie die Installation durchführen können. Diese Oberfläche basiert auf Windows PE 2.0, einen textorientierten Teil gibt es nicht mehr. Hier noch einige wichtige Hinweise, die Sie vor der Installation beachten sollten: 쐍 Sie können Small Business Server 2008 nur auf Servern mit mindestens 4 GB Arbeitsspeicher, und mehr installieren. Bei dem Server sollte es sich um ein aktuelles Modell mit mindestens einem 2 GHz-Prozessor handeln. 쐍 Small Business Server 2008 lässt sich nur auf einem 64-Bit (x64)-Server installieren. Der zweite Server im Netzwerk kann auch ein 32-Bit (x86)-Server sein. HINWEIS Microsoft empfiehlt, vor der Installation eine eventuell vorhandene unterbrechungsfreie Stromversorgung (USV) vom Server zu trennen. Damit ist nicht der Stromanschluss an die USV gemeint, sondern ein eventuell vorhandener serieller oder USB-Anschluss, über den die USV gesteuert werden kann. Small Business Server 2008 versucht während der Installation über eine solche serielle Schnittstelle auf das Gerät zuzugreifen, womit einige USVs mangels Kompatibilität Probleme haben. 쐍 Sie sollten auf der Festplatte, auf der Sie Small Business Server installieren, mindestens 60 GB freien Festplattenplatz haben, besser deutlich mehr. Das gilt auch für Testumgebungen. 쐍 Außerdem muss die Partition als aktiv und primär konfiguriert sein 쐍 Vermeiden Sie Partitionierungstools von Drittherstellern, die nur für Windows XP oder Windows Server 2003 konzipiert sind 쐍 Achten Sie bei der Installation von Small Business Server 2008 darauf, dass Sie in diesem Fall auch 64-Bit-kompatible Programme und 64-Bit-kompatible Treiber benötigen
Vorbereitungen für die Installation Bevor Sie Small Business Server 2008 auf einem Server installieren, sollten Sie zunächst sicherstellen, dass die Vorbereitungen getroffen worden sind, die wir in den vorangegangenen Kapiteln bereits besprochen haben. Außerdem sollten Sie vor der Installation noch einige weitere Punkte beachten: 쐍 Vor der Installation sollte die Hardware, auf der die Installation erfolgt, dokumentiert sein. Small Business Server 2008 erkennt die meisten Hardware-Komponenten automatisch. Für die Situationen, in denen dies nicht der Fall ist, sollte eine entsprechende Dokumentation vorliegen. Diese muss gegebenenfalls enthalten, welcher Netzwerkadapter in welchem Steckplatz eingebaut ist, um beispielsweise bei Systemen mit mehreren Adaptern eine korrekte Konfiguration durchführen zu können.
84
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Installieren des Betriebssystems auf dem Server
쐍 Es muss festgelegt werden, welche Informationen im Laufe der Installation eingegeben werden sollen. Dazu zählen Festlegungen wie die IP-Adresse und Computernamen, die zu installierenden Dienste oder die Aufteilung der Partitionen. So kann verhindert werden, dass während der Installation falsche Entscheidungen getroffen werden, die später nur mit hohem Aufwand korrigiert werden können. 쐍 Die einzugebenden Kennwörter müssen definiert werden. Außerdem müssen die erforderlichen Vorbereitungen getroffen werden, um sensible Administratoren-Kennwörter schnellstmöglich an einem sicheren Ort verwahren zu können. 쐍 Es müssen alle zusätzlichen Server-Anwendungen bereitgestellt werden, sei es auf CD, anderen Datenträgern oder per Freigabe im Netzwerk 쐍 Vorhandene Treiber für speziellere Hardware-Komponenten beispielsweise im Storage-Bereich müssen ebenfalls für Installationsprozess bereitgestellt werden 쐍 Wenn Sie, wie empfohlen, einen Hardware-RAID-Controller verwenden, müssen Sie zunächst die RAID-Datenträger im BIOS oder in der Applikation des Serverherstellers einrichten und das RAID initialisieren. Dieser Vorgang kann unter Umständen bis zu zwei Stunden dauern, abhängig von der Größe der Datenträger.
Installieren des Betriebssystems auf dem Server Der erste Schritt bei der Einrichtung von Small Business Server 2008 ist die Installation des Betriebssystems. Die Installation des Betriebssystems ist abhängig von dem Hardwareserver, den Sie erworben haben. Die meisten Serverhersteller liefern mit ihrem Server eine CD oder DVD, mit der Sie den Server booten können.
Grundinstallation von Windows Server 2008 Mit Hilfe des Datenträgers können Sie oft die Installation des Servers in einer speziellen grafischen Oberfläche konfigurieren. Sie benötigen dazu die Small Business Server-DVDs, da diese meist ebenfalls eingelesen werden müssen. In der grafischen Oberfläche der Installations-CD/DVD des Herstellers geben Sie Daten zu Ihrem Unternehmen und Details zur Installation ein. Im Anschluss führt der Datenträger eine unbeaufsichtigte Installation durch und integriert alle notwendigen Treiber in das System. Der folgende Abschnitt erläutert Ihnen die Installation von Small Business Server 2008 ohne eine Serverstart-CD, wenn bei Ihrem Server zum Beispiel nur die Treiber auf CD geliefert werden und keine automatische Installation möglich ist. Wenn Sie die Installation mit einer Server-CD durchführen, überspringen Sie einfach die einzelnen Abschnitte, wenn die behandelten Optionen bei Ihnen nicht zutreffen. ACHTUNG Wenn Sie die Diskette bereits zu Beginn in das Laufwerk legen und die Bootreihenfolge nicht korrekt eingestellt ist, erhalten Sie eine entsprechende Fehlermeldung. Stellen Sie in diesem Fall die Bootreihenfolge im BIOS so um, dass zunächst von CD/DVD gebootet wird. Oft befinden sich diese Einstellungen im BIOS im Bereich Boot oder unter einer ähnlichen Bezeichnung. Nachdem Sie die Bootreihenfolge im BIOS geändert haben, sollte die Installation ohne Probleme starten. 85
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 3
Installieren von Small Business Server 2008
Wenn in der Bootreihenfolge das CD/DVD-Laufwerk nach dem Diskettenlaufwerk eingestellt ist, reicht es auch, wenn Sie von CD/DVD booten und die Treiberdiskette erst nach dem erfolgreichen Bootvorgang einlegen. Für eine Neuinstallation von Windows Server 2008 legen Sie zunächst die BootDVD ein, booten den Server mit dieser DVD und wählen den Start der Installation aus. Anschließend öffnet sich die Installationsoberfläche, die sich ähnlich zu Windows Vista verhält. Wählen Sie die notwendigen Daten aus und klicken Sie auf Weiter, um die Installation fortzusetzen. Die Installation von Small Business Server 2008 findet bereits beim Starten in einer grafischen Oberfläche statt, es gibt keinen textorientierten Teil mehr. Die Installation ist weit weniger aufwendig als noch unter Windows Server 2003 oder Small Business Server 2003. Es gibt weniger Fenster und es sind weniger Eingaben für die Installation erforderlich. Außerdem werden die meisten Eingaben bereits vor Beginn der Installation durchgeführt, sodass der Server während der Installation nicht die ganze Zeit beaufsichtigt werden muss. Sie benötigen für die Installation ein bootfähiges DVD-Laufwerk. Auf der nächsten Seite des Assistenten können Sie neben dem Fortführen der Installation die Computerreparaturoptionen aufrufen, um eine vorhandene Installation zu reparieren. Dazu werden verschiedene Reparaturprogramme zur Verfügung gestellt. Klicken Sie auf die Schaltfläche Jetzt installieren, um die Installation fortzusetzen. Klicken Sie auf Computerreparaturoptionen, können Sie entweder eine Eingabeaufforderung starten, um ein bestehendes Betriebssystem zu reparieren, oder Sie können den Arbeitsspeicher des Servers testen. Abbildg. 3.1
Starten der Systemwiederherstellungsoptionen
Außerdem können Sie ein Image des Servers aus einer Sicherung mit der Funktion Windows Complete PC-Wiederherstellung wieder über den Server installieren. Diese Optionen behandeln wir im Kapitel 15 über die Wiederherstellung von Small Business Server 2008. Um einen Server neu zu installieren, wechseln Sie zur nächsten Seite des Assistenten und geben die Seriennummer ein. Es ist nicht notwendig, die Bindestriche zwischen den einzelnen Abschnitten einzutippen, diese werden automatisch hinzugefügt. Unter Umständen kann es vorkommen, dass der deutsche Tastaturtreiber noch nicht richtig installiert wurde. In diesem Fall sind die Tasten Y und Z miteinander vertauscht. Wenn in Ihrer Seriennummer diese beiden Zeichen enthalten sind und der Tastaturtreiber die Zeichen nicht richtig angibt, wird die Seriennummer nicht übernommen. Verwenden Sie dann einfach die Taste (Z) für das Y und umgekehrt. Neben dem Eingabefeld der Seriennummer wird ein kleines blaues Symbol einer Tastatur angezeigt. Klicken Sie auf das Symbol, öffnen sich eine Bildschirmtastatur und Sie können die Seriennummer auch durch Klicken mit der Maus eingeben. Sie können noch das
86
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Installieren des Betriebssystems auf dem Server
Kontrollkästchen Windows automatisch aktivieren, wenn eine Internetverbindung besteht aktivieren oder nicht aktivieren, das spielt keine Rolle. Bei den meisten Servern wird nach der Installation ohnehin keine Internetverbindung bestehen, da erst die Netzwerkverbindung eingerichtet werden muss. Abbildg. 3.2
Weiterführen der Installation und Eingabe des Produktschlüssels
Sie müssen aber nicht zwingend eine Seriennummer eingeben und können so Small Business Server 2008 einige Zeit testen. In diesem Fall müssen Sie aber spätestens nach 60 Tagen eine gültige Seriennummer für eine Lizenz eintragen. Es besteht aber die Möglichkeit, diesen Testzeitraum mit dem Befehl slmgr.vbs –rearm auf bis zu 240 Tage zu verlängern, nachdem die erste Testphase abgelaufen ist, doch dazu später mehr. Haben Sie die Seriennummer eingetragen, gelangen Sie mit Weiter zur nächsten Seite des Setup-Assistenten. Hier bestätigen Sie die Lizenzbedingungen. Nachdem Sie die Lizenzbedingungen bestätigt haben, gelangen Sie mit Weiter zur nächsten Seite des Assistenten. Hier wählen Sie aus, ob Sie einen Server auf Small Business Server 2008 aktualisieren wollen oder ob Sie eine Neuinstallation durchführen. Wollen Sie eine Neuinstallation durchführen, klicken Sie auf Benutzerdefiniert (erweitert). Durch diese Auswahl haben Sie auch die Möglichkeit, erweiterte Einstellungen für die Partitionierung durchzuführen. Die Upgrade-Option steht nur dann zur Verfügung, wenn Sie das Setup-Programm aus jener Windows-Installation heraus starten, die Sie aktualisieren wollen. Booten Sie das Installationsprogramm von DVD, können Sie nur die Option Benutzerdefiniert auswählen. Nachdem Sie die Installationsart ausgewählt haben, gelangen Sie zum nächsten Fenster der Installationsoberfläche. Hier wählen Sie die Partition aus, auf der Windows Server 2008 installiert werden soll. In diesem Fenster können Sie auch zusätzliche Treiber laden, wenn die Controller für die Festplatten nicht erkannt werden. Im Gegensatz zu Windows Server 2003 benötigen Sie diese Treiber nicht mehr in Diskettenform, sondern können diese direkt per CD/DVD oder USB-Stick in die Installation einbinden. Klicken Sie dazu auf den Link Treiber laden.
87
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 3
Abbildg. 3.3
Installieren von Small Business Server 2008
Auswählen der Installationsvariante
Wollen Sie die Partitionierung ändern oder eine Partition zunächst löschen, klicken Sie auf Laufwerkoptionen (erweitert). In diesem Fall erscheinen weitere Menüs. Mit diesen neuen Optionen können Sie bequem Partitionen auf Ihren Laufwerken erstellen, Partitionen löschen und bestehende Partitionen auf zusätzlichen Festplattenplatz erweitern. Abbildg. 3.4
Konfigurieren von Partitionen beim Einsatz mehrerer Festplatten
88
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Installieren des Betriebssystems auf dem Server
HINWEIS
Sie sollten bei der erneuten Installation von Small Business Server 2008 auf einem Server möglichst vorhandene Partitionen löschen, um Altlasten zu vermeiden. Wenn Sie eine Vorgängerversion von Small Business Server 2008 aktualisieren, sollten Sie die Installation in der grafischen Oberfläche starten und den Installationsanleitungen folgen, um zu aktualisieren. Haben Sie eine bereits vorhandene Partition gelöscht, müssen Sie keine neue Partition erstellen, sondern lediglich die Installation weiterführen.
Anschließend beginnt die Installation. Diese ist wie bei Windows Vista Image-basiert und kann so deutlich schneller durchgeführt werden als noch die Installation von Small Business Server 2003. Abhängig von der Leistung des Rechners startet die Installationsroutine den Server nach 10 bis 20 Minuten automatisch neu. Sie müssen keine Eingaben machen und keine Taste drücken. Sollten Sie versehentlich eine Taste gedrückt haben und die Installation startet wieder von der DVD, schalten Sie den Rechner aus und starten Sie ihn erneut. Der Computer bootet und es wird ein Fenster geöffnet, über das Sie informiert werden, dass der Rechner für den ersten Start von Windows vorbereitet wird. Lassen Sie den Rechner am besten ungestört weiter arbeiten. Es kann sein, dass der Bildschirm während der Installation der Monitor- und Grafikkartentreiber ein paar Mal flackert oder schwarz wird. Dies ist normal und muss Sie nicht beunruhigen.
Fortsetzen der Installation und der SBS-Komponenten Nachdem der Assistent alle notwendigen Installationsschritte durchgeführt hat, erscheint ein Fenster, das Sie mit Weiter bestätigen. Dieses Fenster markiert den Abschluss der reinen Betriebssysteminstallation und die Fortsetzung der SBS-spezifischen Installation. Im nächsten Fenster legen Sie die Zeitzone, das Datum sowie die Uhrzeit fest. Als Nächstes können Sie festlegen, ob Small Business Server für die Installation direkt Updates aus dem Internet herunterladen soll. Hier sollten Sie die Installation ohne ein solches Update durchführen. Dadurch ist die Installation abgeschlossen und Sie können notwendige Patches und Aktualisierungen auch noch nachträglich installieren. Als Nächstes wird das Dialogfeld Firmeninformationen angezeigt, in dem Sie den Namen und die Organisation eingegeben, für die Sie Small Business Server 2008 installieren. Die eingegebenen Werte werden von vielen Installationsprogrammen von Anwendungen als Standardwerte übernommen. Im nächsten Fenster geben Sie den Namen des Servers und die Bezeichnung der Windows-Domäne ein. Achten Sie darauf, dass Sie den Namen nach der Installation nicht mehr ändern können. Die Definition einer Namenskonvention für Systeme ist unbedingt sinnvoll, um Server und Arbeitsstationen möglichst gut anhand ihres Namens identifizieren und den möglichen Standort der Systeme eingrenzen zu können. Bei Computernamen können Sie die ersten drei Zeichen für die Kennzeichnung des Standorts verwenden. Die beiden folgenden Zeichen geben das Betriebssystem an, das eingesetzt wird. Anschließend erfolgt eine Kennzeichnung dafür, ob es sich um ein Produktiv- oder ein Testsystem handelt. Für eine Kennzeichnung ist ein Buchstabe vollkommen ausreichend. Zusätzlich wird eine dreistellige oder zweistellige Zahl verwendet, um die Systeme fortlaufend zu nummerieren. Auf diese Art lassen sich mit wenig Aufwand sehr aussagekräftige Schemata erstellen, die schon auf ersten Blick viele wichtige Informationen liefern. Abkürzungen für Organisationseinheiten können beispielsweise sehr nützlich sein.
89
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 3
Installieren von Small Business Server 2008
Als Nächstes geben Sie die Daten des Administratorbenutzer des Servers ein. Vor allem das Kennwort des Administrators sollten Sie so sicher wie möglich wählen. Beachten Sie, dass dieser Benutzer im Small Business Server-Netzwerk später uneingeschränkte Rechte hat. Achten Sie bei der Festlegung des Kennworts darüber hinaus noch auf folgende Punkte: 쐍 Verwenden Sie keine Vornamen aus dem Bekanntenkreis; diese sind viel zu leicht zu erraten 쐍 Verwenden Sie keine Telefonnummer, Autokennzeichen oder sonstige PINs, zum Beispiel einer EC-Karte 쐍 Nehmen Sie als Passwort nicht den Benutzernamen, für den Sie ein Passwort festlegen wollen 쐍 Geben Sie das Kennwort unter keinen Umständen irgendwie weiter. Wenn Sie es notieren, bewahren Sie es an einem Platz auf, an dem es keiner findet (also nicht unter der Tastatur, am Monitor oder unter der Ablage auf dem Schreibtisch). 쐍 Lassen Sie den Bildschirm nie unbeaufsichtigt 쐍 Machen Sie Passwörter so sicher wie möglich und verwenden Sie möglichst viele Zeichen, vermischt mit Zahlen und Sonderzeichen 쐍 Verwenden Sie keine Kennwörter aus Wörterbüchern, diese können mit aktuellen PCs in Sekunden geknackt werden 쐍 Verwenden Sie keine einfachen Kennwörter von der Tastatur wie 12345 oder qwertzui. Wenn, dann sollten Sie diese Muster mischen, zum Beispiel qwertzui1234567,,,. 쐍 Verwenden Sie in einem Passwort möglichst alle verschiedenen Optionen. Die verschiedenen Optionen sind Zeichen, Groß- und Kleinschreibung, Zahlen und Sonderzeichen. Vermischen Sie diese verschiedenen Möglichkeiten und seien Sie kreativ. Sie können durchaus den Namen Ihrer Kinder verwenden, wenn Sie die Zeichen umdrehen, das Geburtsjahr anhängen und noch drei bis vier Sonderzeichen verwenden. Auf dem nächsten Fenster legen Sie fest, ob Sie die Testversionen von Windows Live OneCare für Server und Microsoft Forefront Security für Exchange-Server installieren wollen. Sie können beide Produkte bis zu 120 Tage testen. Vor allem der Einsatz von Microsoft Forefront Security für Exchange-Server ist zu empfehlen. Hierbei handelt es sich um den Nachfolger von Sybari Antigen für Exchange, einen sehr guten Virenscanner für Postfächer. Zum Abschluss erhalten Sie nochmals eine Zusammenfassung Ihrer Eingabe angezeigt und der Assistent setzt die Installation fort. Nach einigen Neustarts, bei denen Sie keine Eingaben vornehmen müssen, schließt der Assistent die Installation ab und meldet automatisch den Benutzer an, den Sie bei der Einrichtung angegeben haben. Anschließend können Sie die Einrichtung des Servers fortsetzen. HINWEIS Small Business Server 2008 legt das Kennwort des standardmäßig vorhandenen Benutzers Administrator auf das gleiche Kennwort fest, das Sie für den neuen Admin-Benutzer bestimmt haben. Außerdem wird das Benutzerkonto Administrator aus Sicherheitsgründen deaktiviert.
90
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Notwendige Nacharbeiten zur Installation
Abbildg. 3.5
Abschluss der Installation von Small Business Server 2008
Notwendige Nacharbeiten zur Installation Nachdem die Installation abgeschlossen ist, sollten Sie sich an notwendige Nacharbeiten machen, bevor Sie über die Windows SBS Console den Server einrichten. Im folgenden Abschnitt gehen wir auf die Bereiche ein, die nach der Installation notwendig sind.
Service Pack 2 für Windows Server 2008 installieren Das Basisbetriebssystem von Small Business Server 2008 ist Windows Server 2008 Standard Edition. Aus diesem Grund sollten Sie auch die notwendigen Service Packs und Patches installieren, die es für Windows Server 2008 gibt. Laden Sie zunächst die Installationsdatei für das Service Pack herunter. Achten Sie aber darauf, die x64-Variante zu laden. Anschließend klicken Sie doppelt auf die Exe-Datei. Small Business Server 2008 blendet daraufhin eine Meldung der Benutzerkontensteuerung ein, die Sie zunächst mit Fortsetzen bestätigen.
91
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 3
Abbildg. 3.6
Installieren von Small Business Server 2008
Bestätigen der Benutzerkontensteuerung in Small Business Server 2008
Anschließend erscheint das Startfenster der Service Pack-Installation. Klicken Sie an dieser Stelle auf Weiter. Als Nächstes bestätigen Sie die Lizenzbedingungen und klicken wieder auf Weiter. Auf der nächsten Seite stellen Sie sicher, dass das Kontrollkästchen Computer automatisch neu starten aktiviert ist. So lässt sich die Installation des Service Packs wesentlich schneller durchführen. Klicken Sie anschließend auf Installieren. Die Installation kann durchaus über eine Stunde dauern, da das Service Pack viele Systemdateien ersetzt. Abbildg. 3.7
Bestätigen des automatischen Neustarts und Starten der Installation von Service Pack 2 für Windows Server 2008
Nach erfolgreicher Installation startet der Server neu und zeigt ein Fenster an, welches die Installation bestätigt. Rufen Sie die Eigenschaften des Menübefehls Computer im Startmenü auf, zeigt das Fenster ebenfalls das installierte Service Pack an.
92
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Notwendige Nacharbeiten zur Installation
Abbildg. 3.8
Anzeigen des Betriebssystemstandes im Systemmenü
Benutzerkontensteuerung konfigurieren Die neue Funktion der Benutzerkontensteuerung (User Account Control, UAC) dient hauptsächlich dazu, die Arbeitsstationen vor ungewollten Änderungen zu schützen und kann auch für Server per Richtlinie aktiviert werden. Wird im Unternehmen Windows Vista eingesetzt, kann die Benutzerkontensteuerung auf zentraler Ebene durch Gruppenrichtlinien konfiguriert werden. Wenn ein Benutzer angemeldet ist und eine Tätigkeit durchführen will, die administrative Rechte benötigt, erscheint das Warnfenster der Benutzerkontensteuerung und der Anwender muss die Authentifizierungsdaten eines Administratorkontos eingeben. Wenn der Anwender jedoch bereits über Administratorberechtigungen verfügt, erscheint ein Warnfenster, das zuerst bestätigt werden muss, bevor die Aktion durchgeführt wird. Dadurch sind jetzt erstmalig in Windows auch Administratorkonten davor geschützt, ungewollte Änderungen am System durchzuführen. Hauptziel der Benutzerkontensteuerung ist die Reduzierung der Angriffsfläche des Betriebssystems. Hierzu arbeiten alle Benutzer als Standardbenutzer. Der administrative Zugriff ist auf autorisierte Prozesse eingeschränkt. Diese Einschränkung minimiert die Möglichkeiten der Benutzer, Änderungen vorzunehmen, die sich auf die Stabilität des Computers auswirken können oder den Computer versehentlich für Malware oder Viren anfällig machen. Mit der Benutzerkontensteuerung können Administratoren die meisten Anwendungen, Komponenten und Prozesse mit eingeschränkten Privilegien ausführen – sie haben aber gleichzeitig die Möglichkeit, bestimmte Aufgaben oder Anwendungen mit administrativen Rechten auszuführen. Wenn ein Benutzer einen Task ausführt, für den administrative Rechte notwendig sind (zum Beispiel die Installation einer 93
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 3
Installieren von Small Business Server 2008
Anwendung), benachrichtigt Small Business Server 2008 beziehungsweise Windows Vista den Benutzer und fragt entsprechende Anmeldeinformationen ab. Die dazu notwendigen Einstellungen finden Sie über Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen. Auf Servern, die nicht Bestandteil einer Domäne sind, kann der Gruppenrichtlinienobjekt-Editor für lokale Einstellungen auch über Start/Ausführen/gpedit.msc aufgerufen werden. Abbildg. 3.9
Verwalten der Benutzerkontensteuerung in Windows Server 2008
Sie können die Benutzerkontensteuerung über Start/Ausführen/msconfig auf der Registerkarte Tools deaktivieren. Markieren Sie die Option zur Deaktivierung der Benutzerkontensteuerung und klicken Sie auf Starten. Im Anschluss erscheint eine Befehlszeile, welche die erfolgreiche Ausführung bestätigt. Im Gegensatz zu Windows Vista werden bei Windows Server 2008 keine Meldefenster angezeigt, die bestätigt werden müssen. Über die Richtlinien können diese Meldungen aber nachträglich genau so aktiviert werden, wie sie bei Windows Vista deaktiviert werden. Abbildg. 3.10
Deaktivieren der Benutzerkontensteuerung über msconfig.exe
94
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Notwendige Nacharbeiten zur Installation
Wenn Sie wollen, dass eine Applikation immer im Administrator-Modus gestartet wird, weil diese zum Beispiel zu dem neuen Windows Server 2008-Modell nicht kompatibel ist, können Sie die auszuführende Datei mit der rechten Maustaste anklicken und die Eigenschaften dieser Datei aufrufen. Wechseln Sie auf die Registerkarte Kompatibilität und aktivieren Sie das Kontrollkästchen Programm als ein Administrator ausführen. Steht diese Option nicht zur Verfügung, benötigt dieses Programm zur Funktion keine administrativen Berechtigungen oder Sie sind nicht als ein Administrator angemeldet und dürfen die Option nicht setzen. Einmalig können Sie diese Aufgabe auch über das Kontextmenü der Verknüpfung oder der Startdatei des Programms durchführen.
Treiber und Hardware installieren und verwalten Auch wenn Small Business Server 2008, wie alle neuen Betriebssysteme von Microsoft, bereits Treiber für eine Vielzahl von Geräten mitbringt, müssen einige Anwender manuell ins System eingreifen, um die Treiber anzupassen oder neue Treiber zu installieren. Ein Gerät, das an den PC angeschlossen ist, funktioniert erst dann, wenn es Windows bekannt gemacht wurde und im Geräte-Manager angezeigt wird. Sie sollten aus Performance- und Stabilitätsgründen immer die wichtigsten Treiber, also Chipsatz, Grafikkarte und Netzwerkkarte direkt vom jeweiligen Hersteller herunterladen und verwenden. Diese Treiber sind meist besser an das System angepasst als jene, die das Betriebssystem mitbringt. Sie finden die entsprechenden Treiber entweder auf den Herstellerseiten oder übersichtlicher unter den folgenden Internetadressen: 쐍 www.heise.de/ct/treiber 쐍 www.treiber.de Sobald Sie eine neue Komponente mit dem Server verbinden, startet der Assistent für die Installation von Hardware. Kann Windows keinen Treiber finden, erhalten Sie ein Informationsfenster angezeigt, über das Sie auswählen können, wie Windows mit der Komponente verfahren soll. Abbildg. 3.11
Installieren neuer Hardware
In diesem Fenster stehen Ihnen drei Optionen zur Verfügung: 쐍 Treibersoftware suchen und installieren (empfohlen) 쐍 Später nachfragen 쐍 Diese Meldung nicht noch einmal für dieses Gerät anzeigen 95
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 3
Installieren von Small Business Server 2008
Neben den beiden Optionen Treibersoftware suchen und installieren und Diese Meldung nicht noch einmal für dieses Gerät anzeigen wird ein Schutzschild in den Windows-Farben angezeigt. Dieses Schild wird in Windows Server 2008 an jeder Stelle angezeigt, an der administrative Berechtigungen im System notwendig sind. Wählen Sie die Option Treibersoftware suchen und installieren aus, versucht Windows noch einmal einen passenden Treiber zu installieren. Wird kein interner Treiber gefunden, werden Sie aufgefordert, Windows einen Treiber bereitzustellen. Laden Sie in diesem Fall einen passenden Treiber aus dem Internet beim Hersteller des Geräts herunter. Achten Sie aber darauf, möglichst einen Windows Server 2008-Treiber zu verwenden. Windows Server 2008 kommt zwar auch teilweise mit Windows Server 2003-Treibern zurecht, diese sollten aber aus Performanceund Stabilitätsgründen nur dann verwendet werden, wenn kein Windows Server 2008-Treiber zur Verfügung steht. Wählen Sie die Option Später nachfragen aus, wird kein Treiber installiert und es werden auch keine weiteren Warnungen gezeigt. Erst beim nächsten Systemstart oder dem Suchen von neuer Hardware werden Sie erneut dazu aufgefordert, einen Treiber bereitzustellen. Verwenden Sie die Option Diese Meldung nicht noch einmal für dieses Gerät anzeigen, wird das Gerät in Windows als nicht aktiv gekennzeichnet und kann daher nicht verwendet werden. Sie werden später auch nicht gefragt, ob Sie einen Treiber installieren wollen. Es erscheint eine Meldung, die Sie darauf hinweist, dass das Gerät nicht verwendet werden kann. Für die weiteren Aktionen mit dieser neuen Hardware wird der Geräte-Manager verwendet, den wir im nächsten Abschnitt ausführlicher besprechen. TIPP Wenn in Windows Server 2008 kein Treiber für eine Hardwarekomponente enthalten ist und Sie auch keinen Treiber auf der Herstellerseite finden, haben Sie unter Umständen Chancen, bei einem Windows-Update über das Internet einen Treiber zu finden. Die manuelle Aktualisierung von Windows können Sie zum Beispiel im Internet Explorer über Extras/Windows Update anstoßen. Die Konfiguration des Downloads von Treibern über Windows Update kann über Start/Systemsteuerung/System/Erweiterte Systemeinstellungen, Registerkarte Hardware, Schaltfläche Treibereinstellungen für Windows Update gesteuert werden. Über die gleiche Registerkarte können Sie auch den Geräte-Manager starten. Zu dieser Registerkarte gelangen Sie auch, wenn Sie mit der rechten Maustaste im Startmenü oder dem Desktop auf Computer klicken und Eigenschaften auswählen. Das Computer-Symbol kann nach einen Klick mit der rechten Maustaste darauf und der Auswahl des Eintrags Auf dem Desktop anzeigen im Kontextmenü auf dem Desktop angezeigt werden. TIPP Die 64-Bit-Versionen von Windows Server 2008 benötigen signierte Treiber. Installieren Sie nicht signierte Treiber direkt oder über eine Anwendung, startet unter Umständen der Server nicht mehr. Drücken Sie in diesem Fall beim Starten die (F8)-Taste und wechseln Sie zu den erweiterten Bootoptionen. Hier kann die Erzwingung der Signierung von Treibern deaktiviert werden. Nach der Deaktivierung sollte sich der Server starten lassen. Allerdings ist dieser Vorgang bei produktiven Servern nicht zu empfehlen.
96
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Notwendige Nacharbeiten zur Installation
Abbildg. 3.12
Konfigurieren des automatischen Treiber-Downloads über Windows Update
Der Geräte-Manager Neue Treiber, installierte Hardware und auch die Fehlerbehebung von Treibern und Hardware werden über den Geräte-Manager integriert und verwaltet. Der Geräte-Manager kann über verschiedene Wege gestartet werden: 쐍 Sie können über Start/Ausführen/devmgmt.msc den Geräte-Manager starten 쐍 Eine weitere Variante ist der Aufruf des Kontextmenübefehls Eigenschaften zum Computer-Symbol im Startmenü Der Geräte-Manager sollte nach der Installation alle Hardwarekomponenten des Computers in der entsprechenden Kategorie anzeigen. Wenn ganz oben im Geräte-Manager noch einzelne Geräte als Andere Geräte angezeigt werden, können diese in Windows Server 2008 nicht verwendet werden. Erst wenn ein Treiber für die Komponente installiert ist und Windows diesen akzeptiert, lässt sich das entsprechende Gerät verwenden.
97
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 3
Abbildg. 3.13
Installieren von Small Business Server 2008
Geräte ohne installierten Treiber werden unter Andere Geräte aufgeführt
Im Geräte-Manager nach neuer Hardware suchen Normalerweise beginnt Windows Server 2008 automatisch einen Treiber zu installieren oder anzufordern, wenn ein Gerät mit dem Computer verbunden wird. In manchen Fällen startet diese Suche allerdings nicht automatisch. Trifft das bei Ihnen zu, können Sie im Geräte-Manager den Namen Ihres Computers ganz oben im Navigationsbereich auswählen und anschließend in der Symbolleiste des Geräte-Managers die Schaltfläche Nach geänderter Hardware suchen anklicken. Alternativ starten Sie diese Aktion auch über den Menübefehl Aktion/Nach geänderter Hardware suchen. Sobald Sie diese Aktion gestartet haben, beginnt der Installationsassistent nach neuer Hardware zu suchen und installiert entweder automatisch einen Windows-Treiber oder fordert Sie auf, einen Treiber bereitzustellen. Abbildg. 3.14
Neue Hardware in den Geräte-Manager integrieren
98
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Notwendige Nacharbeiten zur Installation
TIPP
Über den Befehl driverquery in der Befehlszeile wird eine Liste aller aktuell geladenen Treiber angezeigt. Mit dem Befehl driverquery >c:\treiber.txt werden alle Treiber in die Textdatei treiber.txt geschrieben, die Sie mit Windows-Notepad bearbeiten und überprüfen können.
Verwalten der einzelnen Hardware-Komponenten im Geräte-Manager Um eine Komponente zu entfernen, markieren Sie diese und drücken die (Entf)-Taste. Alternativ können Sie das Gerät auch mit der rechten Maustaste anklicken und im Kontextmenü den Eintrag Deinstallieren wählen oder die entsprechende Schaltfläche im Geräte-Manager anklicken, die angezeigt wird, sobald ein Gerät markiert ist. Nachdem Sie die Deinstallation des Geräts veranlasst haben, erscheint ein Warnfenster mit dem Hinweis, dass das Gerät entfernt wird. Bestätigen Sie diese Meldung. Im Anschluss wird das Gerät entfernt und nicht mehr im Geräte-Manager angezeigt. Deaktivieren von Komponenten Sie können Komponenten auch deaktivieren. In diesem Fall wird die Komponente weiterhin im Geräte-Manager angezeigt, aber als nicht aktiv markiert. Sie werden nicht dazu aufgefordert, einen Treiber für das Gerät zu installieren. Wenn Sie die Deaktivierung verwenden, erhalten Sie zunächst eine Warnmeldung, dass das Gerät im Anschluss nicht mehr funktioniert. Nach der Deaktivierung wird das Gerät mit einem entsprechenden Hinweissymbol im Geräte-Manager versehen. Deaktivierte Geräte können jederzeit wieder aktiviert werden, indem Sie die Komponente im Geräte-Manager mit der rechten Maustaste anklicken und im zugehörigen Kontextmenü den Eintrag Aktivieren auswählen. Abbildg. 3.15
Deaktivieren von Geräten im Geräte-Manager
99
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 3
Installieren von Small Business Server 2008
Treiber aktualisieren Sie können im Kontextmenü zu einem Geräteeintrag die Option Treibersoftware aktualisieren auswählen. Im Anschluss werden Sie aufgefordert, die Option für die Aktualisierung des Treibers zu wählen. Auch wenn die Hardwarekomponente in Windows Server 2008 erkannt und der Treiber ordnungsgemäß installiert wurde, sollten Sie für wichtige Komponenten wie Netzwerkkarte, Controller oder auch Drucker möglichst einen aktuellen Treiber verwenden. Zwei Möglichkeiten stehen Ihnen zur Auswahl: 쐍 Automatisch nach aktueller Treibersoftware suchen 쐍 Auf dem Computer nach Treibersoftware suchen Wenn Sie den Treiber beim Hersteller heruntergeladen haben, sollten Sie die Option Auf dem Computer nach Treibersoftware suchen verwenden, da die automatische Suche auch nur nach internen Treibern fahndet. Wenn Sie den Speicherplatz des Treibers kennen, ist die manuelle Installation immer der bessere Weg. Viele Hersteller bieten eigene Installationsroutinen für ihre Treiber. Diese müssen nur noch selten über den Geräte-Manager installiert werden, sondern lassen sich bequem über ein eigenständiges Setup-Programm einrichten. Haben Sie die Option Auf dem Computer nach Treibersoftware suchen ausgewählt, erscheint ein neues Fenster, in dem Sie den Pfad zum Treiber auswählen. Abbildg. 3.16
Aktualisieren eines Treibers
Auch hier stehen Ihnen verschiedene Möglichkeiten zur Verfügung. Sie können entweder den Ordner und dazugehörigen Unterordner auswählen, in dem sich der Treiber befinden soll, oder aus einer Liste auswählen. Normalerweise verwenden Sie diese Option zur Installation und wählen den Ordner aus, in dem Sie den Treiber gespeichert haben. Wenn Sie auf die Option Aus einer Liste von Gerätetreibern auf dem Computer auswählen klicken, öffnet Windows Server 2008 ein neues Fenster, in dem Sie den Hersteller und das genaue Produkt auswählen können. Ist das Kontrollkästchen Kompatible Hardware anzeigen aktiviert, werden nur die Treiber angezeigt, die mit dem Gerät kompatibel sind. Über die Schaltfläche Datenträger können Sie direkt einen Treiber auswählen. Diese Option ist dann sinnvoll, wenn Sie über die Suche in einem Verzeichnis keinen Erfolg haben. Sie können über diese Schaltfläche 100
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Notwendige Nacharbeiten zur Installation
bis zur *.inf-Datei des Treibers navigieren und diesen zur Installation auswählen. Nachdem Sie den Treiber ausgewählt haben, werden die notwendigen Treiberdateien automatisch mit den jeweils zutreffenden Einstellungen installiert. Abbildg. 3.17
Auswählen des Gerätetyps für die Aktualisierung des Treibers
Nach der Auswahl wird das Gerät in der Treiberauswahl angezeigt. Markieren Sie das passende Gerät und klicken Sie auf Weiter. Anschließend beginnt Windows mit der Installation.
Eigenschaften von Hardwarekomponenten verwalten und Treiber reparieren Neben der Installation neuer Hardware und der Aktualisierung von Treibern können Sie auch die Eigenschaften der einzelnen Hardwarekomponenten im Geräte-Manager verwalten. Um die Eigenschaften des Treibers bzw. des Geräts aufzurufen, klicken Sie im Geräte-Manager das betreffende Gerät mit der rechten Maustaste an und rufen im Kontextmenü den Eintrag Eigenschaften auf. Anschließend können Sie auf mehreren Registerkarten (abhängig vom Gerät) das Gerät verwalten. Auf der Registerkarte Allgemein werden einige Informationen über das Gerät und dessen Status angezeigt. Diese Informationen sind weniger wertvoll. Auf den Registerkarten Details und Ressourcen (sofern vorhanden) können Sie weitere Informationen über die Komponente und die einzelnen Bereiche des Geräts abfragen. Diese Informationen werden allerdings eher selten gebraucht und wenn überhaupt nur dann, wenn ein Problem mit dem Gerät auftritt. Durch die Plug & Play-Funktionalitäten in Windows Server 2008 werden alle Ressourcen automatisch zugewiesen, sodass ein manuelles Eingreifen nur selten notwendig ist. Konflikte treten dann auf, wenn das automatische Erkennen und die Installation von Treibern fehlschlagen und Windows ein- und dieselbe Ressource mehreren Geräten zuweist. Da die meisten aktuellen Geräte ebenfalls Plug & Play unterstützen und notwendige Informationen bei der Verbindung an Windows schicken, sollten keine Probleme auftreten. Windows untersucht bei der Anbindung eines neuen Geräts zwei Informationen, die vom angeschlossenen Gerät übermittelt werden. Auf Basis dieser Informationen kann Windows entschei101
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 3
Installieren von Small Business Server 2008
den, ob ein eigener Treiber installiert werden kann oder ob der Treiber des Drittherstellers verwendet werden soll. Auch zusätzliche Funktionen der Endgeräte können dadurch aktiviert werden. Diese beiden Informationen zur Installation von Gerätetreibern sind die Geräte-IdentifikationsStrings und die Geräte-Setup-Klasse. Diese Informationen werden benötigt, wenn zum Beispiel die Installation von spezieller Hardware verhindert werden soll. Das kann in Windows Server 2008 und Windows Vista über Gruppenrichtlinien durchgeführt werden. Abbildg. 3.18
Konfigurieren der Eigenschaften eines Geräts im Geräte-Manager
Geräte-Identifikations-String Ein Gerät verfügt normalerweise über mehrere Geräte-Identifikations-Strings, die der Hersteller festlegt. Dieser String wird auch in der *.inf-Datei des Treibers mitgegeben. Auf dieser Basis entscheidet Windows, welchen Treiber es installieren soll. Es gibt zwei Arten von Geräte-Identifikations-Strings: 쐍 Hardware-IDs Diese Strings liefern eine detaillierte und spezifische Information über ein bestimmtes Gerät. Hier wird der genaue Name, das Modell und die Version des Geräts als so genannte Geräte-ID festgelegt. Teilweise werden nicht alle Informationen, zum Beispiel die Version, mitgeliefert. In diesem Fall kann Windows selbst entscheiden, welche Version des Treibers installiert wird. 쐍 Kompatible IDs Diese IDs werden verwendet, wenn Windows keinen passenden Treiber zum Gerät finden kann. Diese Informationen sind allerdings optional und sehr allgemein. Wenn diese ID zur Treiberinstallation verwendet wird, können zumindest die Grundfunktionen des Geräts verwendet werden. Windows weist Treiberpaketen einen gewissen Rang zu. Je niedriger der Rang, umso besser passt der Treiber zum Gerät. Der beste Rang für einen Treiber ist 0. Je höher der Rang, umso schlechter passt der Treiber. Mehr Infos zu dieser Technologie finden Sie in diversen Microsoft TechNet-Artikeln auf den Seiten:
102
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Notwendige Nacharbeiten zur Installation
쐍 http://go.microsoft.com/fwlink/?LinkId=54881 쐍 http://go.microsoft.com/fwlink/?LinkID=69208 쐍 http://go.microsoft.com/fwlink/?linkid=52665 쐍 http://go.microsoft.com/fwlink/?linkid=52662 Das Neue an Windows Vista und Windows Server 2008 ist, dass diese beiden Informationen nicht nur zur Identifikation des Gerätetreibers verwendet werden können, sondern auch zur Zuweisung von Richtlinien, über welche die Funktionen und Berechtigungen des Geräts verwaltet werden können. Geräte-Setup-Klasse Die Geräte-Setup-Klassen sind eigene Arten von Identifikations-Strings. Auch auf diesen String wird im Treiberpaket verwiesen. Alle Geräte, die sich in einer gemeinsamen Klasse befinden, werden auf die gleiche Weise installiert, unabhängig von ihrer eindeutigen Hardware-ID. Das heißt, alle DVDLaufwerke werden auf exakt die gleiche Weise installiert und alle Netzwerkkarten auch. Die GeräteSetup-Klasse wird durch einen Globally Unique Identifier (GUID) angegeben. Vor allem auf der Registerkarte Details können Sie über ein Dropdown-Menü ausführliche Informationen abrufen und in Richtlinien verwenden, um neben der Installation von speziellen Geräten auch allgemein die Installation verschiedener Hardware zu unterbinden, zum Beispiel USB-Sticks. Sollten RessourcenKonflikte auftreten, können Sie auf der Registerkarte Ressourcen einzelne Systemressourcen unter Umständen manuell zuordnen. Treiberverwaltung im Geräte-Manager Interessant ist die Registerkarte Treiber. Hier stehen verschiedene Optionen zur Verfügung, um den Treiber eines Geräts zu verwalten oder zu reparieren. Auf dieser Registerkarte können Sie das Datum und die genaue Versionsnummer des Treibers ermitteln. So lässt sich exakt feststellen, ob es mittlerweile einen neueren Treiber für das Gerät gibt, wie der Hersteller des Treibers heißt (ob also der Treiber auch tatsächlich vom Hersteller oder von Microsoft stammt), und ob der Treiber signiert ist. Neben diesen Informationen können Sie auf dieser Registerkarte über die Schaltfläche Treiberdetails noch genauere Informationen über jede einzelne Datei des Treibers beziehen. Über die Schaltfläche Treiber aktualisieren erhalten Sie die gleichen Möglichkeiten wie im Kontextmenü des Geräts. Auch die beiden Schaltflächen Deinstallieren und Deaktivieren haben die gleiche Bedeutung wie im Kontextmenü. TIPP Wertvoll ist die Schaltfläche Vorheriger Treiber. Diese dient dem Zweck der Systemherstellung. Wenn Sie zum Beispiel für eine Netzwerkkarte einen neuen Treiber installieren und feststellen, dass der Computer danach entweder nicht mehr richtig funktioniert oder die Netzwerkverbindung doch nicht so optimal ist, können Sie durch diese Funktion den vorherigen Treiber wiederherstellen. Der neue Treiber wird anschließend wieder vom System entfernt. Startet nach der Installation des Treibers der Computer überhaupt nicht mehr, können Sie auch die Option Letzte als funktionierend bekannte Konfiguration anstatt des abgesicherten Modus starten, wenn beim Start des Computers die (F8)-Taste gedrückt wird. In diesem Fall wird der Computer ebenfalls mit dem alten Treiber gestartet und der neue deaktiviert. Diese Option funktioniert aber nur dann, wenn der Computer direkt nach einer Treiberinstallation überhaupt nicht mehr hochfährt.
103
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 3
Installieren von Small Business Server 2008
Weitere Möglichkeiten im Geräte-Manager Über das Menü Ansicht können Sie die Sortierreihenfolge des Geräte-Managers anpassen. Sie können die Standardansicht Geräte nach Typ wählen oder nach Ressourcen nach Verbindungen suchen lassen. Über den Menüpunkt Ausgeblendete Geräte anzeigen lassen sich Komponenten anzeigen, die zwar installiert wurden, aber nicht mehr im System enthalten sind. Dadurch besteht die Möglichkeit, nicht mehr benötigte Gerätetreiber vom Computer zu entfernen, da diese das System unnötig belasten. Wählen Sie den Menübefehl Ausgeblendete Geräte anzeigen aus, werden allerdings nur die Systemkomponenten angezeigt, die Windows Server 2008 zum Schutz des Systems vor dem Anwender versteckt. Damit auch jene Geräte angezeigt werden, die im System installiert wurden, aber nicht mehr vorhanden sind, müssen Sie den Geräte-Manager über einen speziellen Weg aufrufen. Gehen Sie dazu folgendermaßen vor: 1. Öffnen Sie über Start/Eingabeaufforderung ein Befehlszeilenfenster. 2. Tippen Sie den Befehl set devmgr_show_nonpresent_devices=1 ein. 3. Starten Sie im Fenster der Eingabeaufforderung über den Befehl start devmgmt.msc den GeräteManager. 4. Rufen Sie den Menübefehl Ansicht/Ausgeblendete Geräte anzeigen auf. Sofern ältere Treiber auf dem PC vorhanden sind, werden diese jetzt angezeigt. Diese Gerätesymbole erscheinen transparent. Im Anschluss können Sie nach den nicht mehr benötigen Geräten suchen und diese aus dem Geräte-Manager entfernen.
Aktivierung von Small Business Server 2008 Wird Small Business Server 2008 nicht aktiviert bzw. der Testzeitraum nicht verlängert, wird der Betrieb nach 60 Tagen faktisch eingestellt. Sie können Small Business Server 2008 entweder über das Internet aktivieren oder per Telefon. Wollen Sie Small Business Server 2008 über das Internet aktivieren, sollten Sie zunächst den Server an das Internet anbinden. Dazu muss normalerweise die Netzwerkkonfiguration von Small Business Server 2008 durchgeführt werden. Ist der Server mit dem Internet verbunden, finden Sie den Aktivierungslink von Small Business Server 2008 über Start/ Systemsteuerung/System. Klicken Sie dazu auf den Link Aktivieren Sie Windows jetzt. Im Anschluss öffnet sich das Windows-Aktivierungsfenster. Klicken Sie auf den Link Windows jetzt online aktivieren. Bei der Aktivierung per Telefon werden Sie mit einem automatischen Telefonsystem verbunden. Folgen Sie den Anweisungen des Sprachcomputers. Wählen Sie bei der Aktivierung über das Telefon die Option Andere Aktivierungsmethoden anzeigen. TIPP Wenn die Auswahl zur Aktivierung nicht angezeigt wird, schließen Sie alle Fenster und starten Sie die Aktivierung über Start/Ausführen/slui 0x5. Im nächsten Fenster wählen Sie die Option Automatisches Telefonsystem verwenden und danach im Listenfeld den Eintrag Deutschland aus. Als Nächstes erhalten Sie die zur Aktivierung notwendigen Informationen. Wählen Sie entweder die gebührenfreie Rufnummer 0800-2848283 oder die gebührenpflichtige Rufnummer 069-5007 0025. Der Telefoncomputer fordert Sie auf, die angezeigte Installations-ID über die Telefontasten anzugeben.
104
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Aktivierung von Small Business Server 2008
Abbildg. 3.19
Aktivieren von Windows Server 2008
Im Anschluss teilt Ihnen der Telefoncomputer die Zahlenreihenfolge mit, die Sie ganz unten im Fenster eingeben müssen. Wenn Sie eine Zahl nicht verstehen, ist das nicht weiter tragisch, da Sie sich die ganze Zahlenkolonne nochmals vorlesen lassen können. Klicken Sie danach auf Weiter, um die Aktivierung abzuschließen. Windows aktiviert nun das Betriebssystem auf Basis dieser Nummer. Nach einigen Sekunden wird das Betriebssystem als aktiviert angezeigt und Sie können das Fenster schließen. Sollten Sie Probleme bei der Aktivierung bekommen, überprüfen Sie die Uhrzeit und die Zeitzone Ihres Servers. Sind die entsprechenden Einstellungen nicht korrekt, können Sie Windows nicht aktivieren. TIPP Sie können das Programm zur Aktivierung auch über Start/Ausführen/slui starten. Dieser Weg hilft oft, wenn die herkömmliche Vorgehensweise zur Aktivierung nicht funktioniert. Oft liegt hier ein Problem mit dem Produktschlüssel vor. Über diesen Weg können Sie einen neuen Schlüssel eingeben. Über den Befehl slui 0x03 wird ein Dialogfeld geöffnet, um einen neuen Produktschlüssel einzugeben, während der Befehl slui 0x05 die Produktaktivierung startet. Über slui 0x5 erhalten Sie darüber hinaus noch die Möglichkeit, auch alternative Aktivierungsmethoden auszuwählen. Weitere Möglichkeit der Anwendung sind: 쐍 slui.exe 4
Öffnet die Auswahl der Aktivierungshotlines
쐍 slui.exe 8
Nach diesem Befehl muss Small Business Server 2008 sofort neu aktiviert werden
쐍 slui.exe 7
Damit aktivieren Sie wieder den Original-Timerwert vor der Option 8
105
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 3
Installieren von Small Business Server 2008
Slmgr.vbs Für die Verwaltung und die Abfrage von Lizenzinformationen auf Windows Vista-PCs und Windows Server 2008, stellt Microsoft das Skript slmgr.vbs zur Verfügung, welches Sie über Start/Ausführen aufrufen können. Diese Optionen für das Lizenzmanagement-Skript cscript c:\windows\system32\ slmgr.vbs sollten Sie kennen: 쐍 –ato Windows online aktivieren 쐍 –rearm Mit dieser Option können Sie den Testzeitraum dreimal verlängern, in denen Sie mit Windows Server 2008 ohne Aktivierung arbeiten können, also von 60 auf bis zu 240 Tage 쐍 –dli
Zeigt die aktuellen Lizenzinformationen an
쐍 –dlv
Zeigt noch mehr Lizenzdetails an
쐍 –dlv all
Zeigt detaillierte Infos für alle installierten Lizenzen
Status der Aktivierung anzeigen Möchten Sie den Status der Aktivierung von Windows Server 2008 anzeigen, geben Sie unter Start/ Ausführen den Befehl slmgr.vbs –dli ein, und führen Sie diesen mit einem Klick auf OK aus. Anschließend werden der Name und die Beschreibung des Betriebssystems, aber auch ein Teil des Product-Keys und der Lizenzstatus angezeigt. Abbildg. 3.20
Abrufen der Aktivierungsinformationen für Small Business Server 2008
Windows Server 2008-Startoptionen Wenn Windows nicht mehr ordnungsgemäß startet, können Sie beim Starten des Servers mit der (F8)-Taste die Windows Server 2008-Startoptionen aufrufen, die teilweise bei Startproblemen helfen können. Nach dem Aufruf der erweiterten Startoptionen stehen Ihnen verschiedene Funktionen zur Verfügung. Bei manchen Optionen, wie zum Beispiel im abgesicherten Modus, wird Windows in einem eingeschränkten Zustand gestartet, bei dem lediglich die absolut notwendigen Funktionen verfügbar sind. Werden nicht alle Optionen angezeigt, drücken Sie zunächst auf (Entf), bis Windows Server 2008 zum Booten vorgeschlagen wird und dann auf (F8). Falls ein Problem nach dem Starten im abgesicherten Modus nicht mehr auftritt, können die Standardeinstellungen und die Basisgerätetreiber als mögliche Ursache ausgeschlossen werden: 쐍 Abgesicherter Modus Startet Windows mit den mindestens erforderlichen Treibern und Diensten. Eine Anbindung an das Netzwerk findet bei diesem Modus nicht statt. 쐍 Abgesicherter Modus mit Netzwerktreibern Startet Windows im abgesicherten Modus zusammen mit den für den Zugriff auf das Internet oder auf andere Computer im Netzwerk erforderlichen Netzwerktreibern und -diensten 106
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Windows Server 2008-Startoptionen
쐍 Abgesicherter Modus mit Eingabeaufforderung Startet Windows im abgesicherten Modus mit einem Eingabeaufforderungsfenster anstelle der normalen Windows-Benutzeroberfläche 쐍 Startprotokollierung aktivieren Erstellt die Datei Ntbtlog.txt, in der alle Treiber aufgelistet werden, die beim Starten installiert werden und für die erweiterte Problembehandlung nützlich sein können 쐍 Anzeige mit niedriger Auflösung aktivieren Startet Windows mithilfe des aktuellen Videotreibers und niedrigen Einstellungen für Auflösung und Aktualisierungsrate. Mithilfe dieses Modus können Sie die Anzeigeeinstellungen zurücksetzen. 쐍 Letzte als funktionierend bekannte Konfiguration Startet Windows mit der letzten funktionsfähigen Registrierungs- und Treiberkonfiguration 쐍 Verzeichnisdienstwiederherstellung Mit dieser Option können Sie auf einem Domänencontroller Wiederherstellungsvorgänge durchführen 쐍 Debugmodus Startet Windows in einem erweiterten Problembehandlungsmodus 쐍 Automatischen Neustart bei Systemfehler deaktivieren Verhindert, dass Windows nach einem durch einen Fehler von Windows verursachten Absturz automatisch neu gestartet wird. Wählen Sie diese Option nur aus, wenn Windows in einer Schleife festgefahren ist, die aus Absturz, Neustart und erneutem Absturz besteht. 쐍 Erzwingen der Treibersignatur deaktivieren turen installiert werden
Ermöglicht, dass Treiber mit ungültigen Signa-
쐍 Windows normal starten Startet Windows im normalen Modus Normalerweise werden diese Startoptionen nur selten benötigt. Wenn Sie möglichst immer nur aktuelle und kompatible Software installieren, nur signierte Treiber verwenden und nur dann Änderungen am System durchführen, wenn Sie genau wissen, was Sie tun, läuft Windows Server 2008 deutlich stabiler als seine Vorgänger. Anmeldeprobleme im abgesicherten Modus umgehen Starten Sie den Server im abgesicherten Modus, kann es unter manchen Umständen passieren, dass die Anmeldung verweigert wird und Sie eine Meldung erhalten, dass der Server nicht aktiviert ist. Dieses Problem können Sie mit dem Hilfsprogramm msconfig.exe beheben. Das Problem wird durch den Plug & Play-Dienst verursacht. Gehen Sie zur Behebung des Problems folgendermaßen vor: 1. Starten Sie den Computer im normalen Modus. 2. Geben Sie im Suchfeld des Startmenüs den Befehl msconfig.exe ein. 3. Wechseln Sie auf die Registerkarte Allgemein. 4. Aktivieren Sie die Option Diagnosesystemstart. 5. Klicken Sie auf die Registerkarte Dienste. 6. Wählen Sie den Dienst Plug & Play aus. 7. Klicken Sie auf OK und lassen Sie dann den Server neu starten. Können Sie den Server nicht neu starten und befinden Sie sich bereits im Diagnosemodus, können Sie einfach Windows im eingeschränkten Modus starten. In diesem Modus wird nur der Internet Explorer ausgeführt. Geben Sie in der Adressleiste den Befehl %windir%\system32\msconfig.exe ein und aktivieren Sie auf der Registerkarte Allgemein den normalen Systemstart.
107
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 3
Installieren von Small Business Server 2008
Letzte als funktionierend bekannte Konfiguration im Detail Der abgesicherte Modus und die ergänzenden Startoptionen sind der einfachste Ansatz, um Windows Server 2008 im Fehlerfall neu zu starten. Diese Option ist die erste Wahl, wenn Windows Server 2008 nach einer Konfigurationsänderung nicht mehr startet, da damit auf die Konfiguration zurückgegriffen werden kann, die zuletzt einen korrekten Systemstart erlaubt hat. Erst nach dieser Option sollten die anderen Optionen getestet werden. Die beiden Registry-Unterschlüssel ControlSet001 und ControlSet002 sind jeweils Sicherungen der Dienste und Einstellungen, damit in einem Fehlerfall mittels Letzte als funktionierend bekannte Konfiguration im abgesicherten Modus wieder gestartet werden kann. Abbildg. 3.21
Anzeigen der Informationen für die letzte als funktionierend bekannte Konfiguration unter Small Business Server 2008
Unter HKEY_LOCAL_MACHINE\SYSTEM\Select sehen Sie, welcher Eintrag gerade aktuell verwendet und in CurrentControlSet gespiegelt wird. Zum Beispiel ist der Unterschlüssel ControlSet001 als CurrentControlSet gespiegelt worden. Beim Herunterfahren wird er dann in ControlSet002 gespiegelt und als LastKnownGoodRecovery eingetragen – dieser wird dann genutzt, wenn Sie wie oben beschrieben Letzte als funktionierend bekannte Konfiguration laden starten. ControlSet001 wird dann nicht gelöscht, sondern fortan ControlSet003 als Sicherung verwendet, der zuvor ControlSet002 war. Select-Werte 쐍 Current Der Konfigurationsdatensatz, der für einen Systemstart verwendet und dann nach CurrentControlSet kopiert wird. Änderungen in der Systemsteuerung oder in der Registrierung werden im Zweig CurrentControlSet abgespeichert. 쐍 Default Der Konfigurationsdatensatz, der für den nächsten Systemstart verwendet werden soll, wenn kein Fehler auftritt und der Benutzer nicht manuell auf die letzte als funktionierend bekannte Konfiguration zurückschaltet hat. Diese Informationen werden beim Herunterfahren gespeichert. In der Regel enthalten die Einträge Default und Current die gleichen Werte. Der Default-Wert kann durch den Wert LastKnownGood außer Kraft gesetzt werden. 쐍 Failed Dies ist der Konfigurationsdatensatz, mit dem Windows nicht gestartet werden konnte. Hier ist der Wert enthalten, der nach dem Start mit LastKnownGood als fehlgeschlagener Wert gekennzeichnet worden ist. Solange Windows problemlos läuft, steht hier der Wert 0. 쐍 LastKnownGood Hier steht die Kopie des Bereiches, der beim letzten erfolgreichen Start von Windows verwendet wurde. Ist die Anmeldung erfolgreich verlaufen, wird Clone in den Wert LastKnownGood kopiert, also die Letzte als funktionierend bekannte Konfiguration. 108
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Anpassen des Bootmenüs – es gibt keine Datei boot.ini mehr
Abbildg. 3.22
Anzeigen der Registrywerte für die Startoption Letzte als funktionierend bekannte Konfiguration
Hat Current den Wert 0x1, zeigt CurrentControlSet auf ControlSet001. Ist der Wert von LastKnownGood 0x2 gesetzt, zeigt dieser auf den Steuersatz ControlSet002. Für den Start von Windows existieren also stets zwei Sätze – Default und LastKnownGood. Clone ist eine Kopie des Default- oder LastKnownGood-Werts, der für die Initialisierung des Rechners verwendet wird.
Anpassen des Bootmenüs – es gibt keine Datei boot.ini mehr Installieren Sie Small Business Server 2008, wird automatisch ein Bootmenü angelegt. Beim Booten wird nicht mehr der unter Windows Server 2003 verwendete NTLDR (NT-Loader) verwendet, sondern die Systemdatei bootmgr. Beide liegen in der Partition, von der aus gebootet wird. Installieren Sie Windows Server 2008 parallel zu Windows Server 2003 und verwenden dazu eine zusätzliche Festplatte, liegen die beiden Dateien im Stammverzeichnis der Festplatte D:. Damit diese Dateien angezeigt werden, müssen Sie im Windows-Explorer zunächst über Organisieren/Ordner- und Suchoptionen auf der Registerkarte Ansicht das Kontrollkästchen Geschützte Systemdateien ausblenden deaktivieren und die Option Alle Dateien und Ordner anzeigen im Bereich Versteckte Dateien und Ordner aktivieren. Wird im Bootmenü von Windows Server 2008 der Start des älteren WindowsBetriebssystems ausgewählt (also Windows Server 2003), übergibt der Bootmanager (bootmgr) den Startvorgang zum NT-Loader (ntldr), der dann wiederum die alte Windows-Version startet. Das neue Bootsystem von Windows Server 2008 ist in drei Komponenten aufgeteilt. Es gibt den Windows-Bootmanager, die Routine für das Betriebssystem und die Routine zum Fortsetzen von Windows aus dem Ruhezustand, was für einen Server eher selten eine Rolle spielen wird. In Windows Server 2003 wurden diese Aufgaben komplett von ntldr erledigt.
109
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 3
Abbildg. 3.23
Installieren von Small Business Server 2008
Der neue Bootmanager (bootmgr) in Windows Server 2008, der auch in Small Business Server 2008 seinen Dienst verrichtet
Verwenden von bcdedit.exe Beim Starten des Servers wird automatisch Windows Server 2008 geladen. Es ist jetzt nicht mehr möglich, einfach die Datei boot.ini zu ändern, um den Bootmanager anzupassen. Die neuen Bootoptionen werden in einer speziellen Datenbank, dem Boot Configuration Date Store, gespeichert. Hierbei handelt es sich im Grunde genommen um eine normale Datei im Binärformat, die nicht mehr von einem normalen Texteditor bearbeitet werden kann. Windows Server 2008 bietet, wie Windows Vista, zur Konfiguration des Bootmenüs das Befehlszeilenprogramm bcdedit.exe an. Die wichtigsten Optionen des Programms sind folgende: 쐍 bcdedit /?
Informationen über die Parameter
쐍 bcdedit /enum all Zeigt die aktuelle Konfiguration an. Mit dem Befehl bcdedit.exe /enum –v erhalten Sie eine Übersicht aller Objekte im BCD-Store. Die verschiedenen Einträge werden anhand einer 32-stelligen GUID unterschieden. 쐍 bcdedit /export Erstellt eine Sicherung der aktuellen Konfiguration. Bevor Sie Änderungen an der BCD vornehmen, sollten Sie mit bcdedit /export eine Sicherung anlegen. Diese Sicherung können Sie mit bcdedit /import wieder einspielen.
110
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Anpassen des Bootmenüs – es gibt keine Datei boot.ini mehr
Abbildg. 3.24
Abfragen der Bootinformationen in Windows Server 2008
TIPP Erhalten Sie eine Fehlermeldung, dass Ihre Rechte nicht ausreichen, um den Bootspeicher zu öffnen, starten Sie die Befehlszeile per Klick mit der rechten Maustaste und Auswahl von Als Administrator starten im Kontextmenü. 쐍 bcdedit /import her 쐍 bcdedit /timeout 10
Stellt den Bootmanager aus einer erstellten Sicherung wieder
Wartezeit bis zum automatischen Starten des Standardbetriebssystems
쐍 bcdedit /default Diese Option legt das Standardbetriebssystem fest ( {current} = Windows Server 2008 oder Windows Vista und {legacy} = Windows Server 2003 oder Windows 2000/XP). Wenn Sie also Windows Server 2003 als Standardsystem festlegen wollen, verwenden Sie die Option bcdedit /default {legacy}. Grundsätzlich sollten Optionen mit der bcdedit /set {GUID} Element Wert gesetzt werden. Die 32stellige GUID, die zu ändernde Option und Wert ersetzen Sie durch den neuen Eintrag. Um zum Beispiel die Anzeigedauer des Bootmenüs auf zehn Sekunden zu ändern, geben Sie den Befehl bcdedit /set {9dea862c-5cdd-4e70-acc1-f32b344d4795} timeout 10 ein. Die GUID stimmt bei den meisten Windows Server 2008-Installationen mit diesem Beispiel überein. Mit dem Platzhalter {bootmgr} erreichen Sie den Windows Server 2008-Bootmanager, mit {ntldr} einen eventuell vorhandenen Eintrag für Windows Server 2003 und über {current} das aktuell gestartete Betriebssystem. Den Standardeintrag des Bootstores erreichen Sie über {default}. Ein Beispiel hierfür wäre bcdedit /set {bootmgr} timeout 10. Viele Optionen sind direkt als Parameter verfügbar, auch timeout. Sie erreichen daher mit bcdedit /timeout 10 die gleichen Ergebnisse.
111
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 3
Installieren von Small Business Server 2008
Haben Sie Windows Server 2008 parallel zu Windows Server 2003 installiert, wird der dafür notwendige Eintrag automatisch erzeugt. Manuell können Sie diesen mit dem Befehl im folgenden Listing erzeugen, vorausgesetzt Windows Server 2003 wurde auf der Partition D: installiert. In der letzten Zeile wird der Eintrag von Windows Server 2003 am Ende des Auswahlmenüs angezeigt. Listing 3.1
Manuelles Hinzufügen und Sortieren von Windows Server 2003 zum Windows Server 2008-Bootmanager bcdedit bcdedit bcdedit bcdedit bcdedit
/create {legacy} /d "Windows Server 2003" /set {legacy} device partition=D: /set {legacy} osdevice partition=D: /set {legacy} path \ntldr /displayorder {legacy} /addlast
Windows Server 2008-Bootmanager reparieren Unter manchen Umständen kann es passieren, dass der Windows Server 2008-Bootmanager nicht mehr funktioniert oder bei einer parallelen Installation zu Windows Server 2003 nicht mehr alle Betriebssysteme angezeigt werden. Meist tritt ein derartiges Problem auf, wenn auf einem Server nach der Installation von Windows Server 2008 nochmals Windows Server 2003 installiert wird. Windows Server 2003 lässt sich daraufhin zwar problemlos starten, allerdings wird der Windows Server 2008-Bootmanager nicht mehr angezeigt. Legen Sie in diesem Fall die Small Business Server 2008-DVD ein, booten Sie von dieser DVD und wählen Sie die Computerreparaturoptionen. Nachdem Sie die Reparaturoptionen ausgewählt haben, wird ein Dialogfeld geöffnet, das Ihnen die Auswahl unter mehreren Optionen ermöglicht. Um den Bootmanager von Windows Server 2008 zu reparieren, wählen Sie die Option Systemstartreparatur. Durch diese Auswahl wird der Bootmanager von Windows Server 2008 repariert und der Server startet wieder ordnungsgemäß. Nach der Reparatur des Bootmanagers wird allerdings höchstwahrscheinlich Windows Server 2003 nicht mehr angezeigt. Um Windows Server 2003 nachträglich in den Bootmanager zu integrieren, starten Sie zunächst Windows Server 2008 und gehen dann folgendermaßen vor: 1. Öffnen Sie das Start-Menü und klicken Sie mit der rechten Maustaste auf den darin enthaltenen Eintrag Eingabeaufforderung. 2. Wählen Sie im Kontextmenü den Befehl Als Administrator ausführen. 3. Tippen Sie die folgenden Befehle ein, um Windows Server 2003 in den Bootmanager zu integrieren: Bcdedit Bcdedit Bcdedit Bcdedit
/create {legacy} /d "Windows Server 2003" /set {legacy} device boot /set {legacy} path \ntldr /displayorder {legacy} /addlast
4. Anschließend sollte sich Windows Server 2008 und auch das frühere Windows-System wieder
fehlerfrei starten lassen.
112
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Zusammenfassung
Hintergrundinformationen zum Installationsmechanismus Mit dem Windows System Image Manager (Windows SIM) können auf einfache Weise Antwortdateien auf XML-Basis erstellt werden. Auch Netzwerkfreigaben können so konfiguriert werden, dass diese Konfigurationen zur Verteilung von Windows Vista oder Windows Server 2008 enthalten. Mit Windows SIM kann auf einem Computer eine Antwortdatei auf XML-Basis erstellt werden, auf deren Basis sich wiederum ein Installationsimage erstellen lässt. Dieses Image kann entweder über Netzwerkfreigaben auf Zielcomputern installiert oder durch die Windows Deployment Services (WDS) im Unternehmen verteilt werden. Die Antwortdatei enthält alle vordefinierten Optionen, die bei der Installation von Windows Server 2008 gefordert sind. Dadurch lassen sich Eingaben wie Servernamen, Seriennummer und weitere Eingaben in einer Datei vorgeben, sodass während der Installation keinerlei Eingaben mehr erfolgen müssen. Die Katalogdatei eines Image (*.clg) enthält die Einstellungen und Pakete, die in einem Image auf WIM-Basis (Windows Imaging) enthalten sind. Da auch die normale Installation von Windows Server 2008 auf ein WIM-Image basiert, finden Sie auf der Windows Server 2008-Installations-DVD im Verzeichnis sources die *.clg-Dateien der verschiedenen Windows-Editionen. WIM-Images haben als Dateityp die Bezeichnung *.wim. Die Standardinstallationsdatei hat die Bezeichnung install.wim. Für jede Windows Server 2008-Edition gibt es eine entsprechende Katalogdatei (*.clg).
Zusammenfassung In diesem Kapitel haben Sie erfahren, wie Sie Small Business Server 2008 ordnungsgemäß installieren und Windows aktivieren. Auch die erste Grundeinrichtung des Betriebssystems haben wir Ihnen in diesem Kapitel gezeigt. Im nächsten Kapitel gehen wir auf die ersten Schritte zur Einrichtung von Small Business Server 2008 im Netzwerk ein.
113
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 4
Konfigurieren der Grundeinstellungen
In diesem Kapitel: Das Netzwerk- und Freigabecenter
116
SBS mit dem Internet verbinden
119
Konfigurieren der Internetadresse für Exchange und Remote-Webarbeitsplatz
122
Arbeiten mit dem Server-Manager
124
Server über das Netzwerk verwalten – Remotedesktop
128
Heraufstufen der Funktionsebene von Active Directory
138
Konfiguration der Auslagerungsdatei
140
Diagnose des Servers und von Active Directory
142
Small Business Server 2008 als DHCP-Server einsetzen
160
Internetprotokoll Version 6 – IPv6
171
Network Diagnostics Framework (NDF)
177
Zusammenfassung
178
115
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 4
Konfigurieren der Grundeinstellungen
Nachdem die Installation mit der ersten DVD abgeschlossen ist, startet der Server die Windows SBS Console. Der nächste Schritt besteht darin, die angezeigte Liste abzuarbeiten und den Server optimal an das Netzwerk anzupassen. Diese Einstellungen gehören noch zur Installation, sind aber so umfangreich, dass wir diesen hier ein eigenes Kapitel gewidmet haben. Abbildg. 4.1
Nach der Installation startet die Windows SBS Console zur ersten Einrichtung
Das Netzwerk- und Freigabecenter Die Konfiguration der Netzwerkeinstellungen von Small Business Server 2008 nehmen Sie im neuen Netzwerk- und Freigabecenter vor. Wenn Sie mit der rechten Maustaste auf das Netzwerksymbol im Infobereich der Taskleiste klicken, öffnet sich ein Kontextmenü und Sie können das Netzwerk- und Freigabecenter öffnen. Unter Small Business Server 2008 erkennen Sie bereits an diesem Symbol die Netzwerkverbindung: 쐍 Werden zwei Computer angezeigt, ist das ein Zeichen, dass der Server mit dem Netzwerk verbunden ist und eine IP-Adresse erhalten hat 쐍 Wird ein Computer mit einem roten Kreuz angezeigt, wurde der Server physisch nicht mit dem Netzwerk verbunden
116
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Das Netzwerk- und Freigabecenter
Abbildg. 4.2
Öffnen des Netzwerk- und Freigabecenters
쐍 Wird ein Computer mit einem Ausrufezeichen angezeigt, ist der Computer zwar mit dem Netzwerk verbunden, hat aber noch keine IP-Adresse vom DHCP-Server erhalten 쐍 Werden zwei Computer mit einer Weltkugel angezeigt, ist der Computer mit dem Netzwerk und dem Internet verbunden
Verwalten der Netzwerkverbindungen Haben Sie das Netzwerk- und Freigabecenter geöffnet, sehen Sie bereits die Netzwerkverbindung des Servers oder müssen feststellen, dass diese nicht hergestellt werden konnte. Sie müssen zunächst die Netzwerkverbindung richtig konfigurieren. Klicken Sie dazu links im Fenster im Bereich Aufgaben auf den Link Netzwerkverbindungen verwalten und rufen dann im neuen Fenster mit der rech-
117
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 4
Konfigurieren der Grundeinstellungen
ten Maustaste die Eigenschaften Ihrer LAN-Verbindung auf. Es öffnet sich ein neues Fenster, in dem Sie die Eigenschaften der Netzwerkverbindung konfigurieren können. Die Konfiguration an dieser Stelle ist wiederum nahezu identisch mit Windows Server 2003. HINWEIS Sie können die Verwaltung der Netzwerkverbindungen auch über Start/Ausführen/ ncpa.cpl starten. Abbildg. 4.3
Konfigurieren der Netzwerkverbindungen in Small Business Server 2008
Markieren Sie als Nächstes den Eintrag Internetprotokoll Version 4 (TCP/IPv4) und klicken Sie auf die Schaltfläche Eigenschaften. Hier können Sie jetzt eine ordnungsgemäße IP-Adresse vergeben. Wenn Sie die IP-Adresse manuell vergeben, setzen Sie die Markierung auf die Option Folgende IP-Adresse verwenden sowie die Option Folgende DNS-Serveradressen verwenden und tragen die notwendigen Daten ein.
Verwalten der Netzwerkstandorte Bei der Einrichtung der Netzwerkverbindung haben Sie festgelegt, mit welcher Art von Netzwerk sich Ihr Server verbunden hat. Sie konnten festlegen, ob es sich um ein privates Netzwerk oder ein öffentliches Netzwerk handelt. Diese Einstellungen können nachträglich angepasst werden. Über den Link Anpassen im Bereich der Netzwerkstandorte lässt sich festlegen, um welches Netzwerk es sich handelt. Ist der Server Mitglied einer Domäne, müssen Sie in diesem Bereich keine Anpassungen vornehmen, da der Netzwerkstandort automatisch für eine Windows-Domäne konfiguriert wird.
118
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
SBS mit dem Internet verbinden
Abbildg. 4.4
Anpassen und Überprüfen des Netzwerkstandortes
Über den Link Gesamtübersicht anzeigen öffnet sich ein neues Fenster, in dem alle Server und Netzwerkgeräte angezeigt werden, sofern Ihr Server diese im Netzwerk findet. Dieser Bereich ist extrem hilfreich, wenn Sie auf einem Server Netzwerk- oder Verbindungsprobleme untersuchen wollen. Allerdings können Sie sich nur dann eine Gesamtansicht anzeigen lassen, wenn die Netzwerkerkennung im Netzwerk- und Freigabecenter aktiviert worden ist. Solche Einstellungen werden in Domänen üblicherweise in den Gruppenrichtlinien vorgenommen. Die dazu notwendigen Einstellungen finden sich unter Computerkonfiguration/Administrative Vorlagen/Netzwerk/Verbindungsschicht-Topologieerkennung. Die Einstellungen sind selbsterklärend. Auf der Seite http://www.windowsnetworking.com/ articles_tutorials/Enabling-Network-Mapping-Windows-Vista.html finden Sie weitere Hinweise über die Aktivierung dieser Funktion. Über den Link Diagnose und Reparatur können Sie eventuell vorhandene Fehler von Windows überprüfen lassen und erhalten Hilfestellung oder Vorschläge zur Behebung von Fehlern. Über den Link Computer und Geräte anzeigen im linken Bereich des Netzwerk- und Freigabecenters werden Ihnen alle Server und PCs angezeigt, die im Netzwerk gefunden werden können. Wenn Sie auf einen Server doppelt klicken, werden die Freigaben auf dem Server angezeigt und können geöffnet werden. Klicken Sie im Netzwerk- und Freigabecenter auf die einzelnen Symbole, welche die Verbindungen in Ihrem Netzwerk darstellen, können Sie direkt die notwendigen Programme starten, um den Teil des Netzwerkes zu durchsuchen. Klicken Sie zum Beispiel auf das Symbol Internet, öffnet sich der Internet Explorer mit der Startseite. So können Sie schnell überprüfen, ob die Verbindung zum Internet tatsächlich hergestellt werden kann. Ein Klick auf das Computer-Symbol öffnet den WindowsExplorer, ein Klick auf das Netzwerk-Symbol öffnet die Netzwerkumgebung.
SBS mit dem Internet verbinden Small Business Server 2008 enthält auch in der Premium Edition keinen ISA-Server mehr. Aus diesem Grund ist die Einrichtung der Internetverbindung nicht mehr so kompliziert wie vorher. Da der Server aber E-Mails ins Internet versenden soll sowie Patches aus dem Internet herunterladen muss, ist die erste Aufgabe eine optimale Verbindung des Servers mit dem Internet. Dazu muss das Netz119
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 4
Konfigurieren der Grundeinstellungen
werk idealerweise mit einer Firewall bereits mit dem Internet verbunden sein und der Server muss in der Freiwall freigeschaltet sein. Im nächsten Schritt wählen Sie in der Windows SBS Console den Link Mit dem Internet verbinden. Es startet der Assistent, der Sie durch die notwendigen Schritte führt. Bestätigen Sie zunächst die Startseite. Der Assistent scann das Netzwerk nach Router und Firewall. Der Assistent scannt zum Beispiel das Netzwerk auf andere DHCP-Server, die IP-Adressen im Netzwerk verteilen. DHCP steht für Dynamic Host Configuration Protocol. Mit diesem Serverdienst können Arbeitsstationen von einer zentralen Stelle aus automatisch mit IP-Adressen versorgt werden. Einer der zentralen Bereiche von DHCP bei Small Business Server 2008 ist die Integration in DNS (Domain Name Service). Die Zielsetzung der DHCP-DNS-Integration ist eine automatische Registrierung von Computernamen und IP-Adressen bei DNS-Servern durch den DHCP-Server. Small Business Server 2008 unterstützt neben DHCPv4 auch DHCPv6, also die automatische IPAdressenvergabe von IPv6-Adressen. Abbildg. 4.5
So funktioniert DHCP in einem Netzwerk mit Small Business Server 2008
Findet der Server einen weiteren DHCP-Server im Netzwerk, werden Sie darüber informiert und sollten diesen DHCP-Server deaktivieren, da immer nur ein Server im Netzwerk IP-Adressen verteilen sollte. Nur wenn Sie eine ausfallsichere Lösung schaffen, besteht die Möglichkeit, hier nachzuarbeiten. Mehr zum Thema DHCP erfahren Sie im Abschnitt »Small Business Server 2008 als DHCP-Server einsetzen« ab Seite 160. Hat der Assistent das Netzwerk erfolgreich überprüft, erhalten Sie eine entsprechende Meldung. Überprüfen Sie, ob die gefundene IP-Adresse des Routers und des Servers korrekt sind. 120
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
SBS mit dem Internet verbinden
Abbildg. 4.6
Festlegen der IP-Adresse des Routers, der zur Internetverbindung dient
Anschließend konfiguriert der SBS automatisch den DHCP-Dienst und überprüft die Verbindung zum Internet. Ist diese vorhanden, ist der Server an dieser Stelle fertig konfiguriert. Sobald der Server über eine Internetverbindung verfügt, lädt er automatisch Updates herunter und installiert diese. Sie erkennen das durch die entsprechende Kennzeichnung auf der rechten Seite der Verwaltungskonsole. Abbildg. 4.7
Bei erfolgreicher Internetverbindung beginnt der Server mit der Installation von Updates
Die Konfiguration von Updates besprechen wir ausführlicher im Kapitel 14. 121
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 4
Konfigurieren der Grundeinstellungen
Konfigurieren der Internetadresse für Exchange und Remote-Webarbeitsplatz Der nächste Schritt besteht darin, festzulegen, welche Adresse im Internet Sie verwenden. Diese Domäne verwendet auch Exchange für den Empfang von E-Mails. Hier legen Sie zum Beispiel fest, welche E-Mail-Domäne Exchange für den Empfang akzeptieren soll: 1. Klicken Sie für diese Konfiguration auf den Link Internetadresse einrichten. Auch hier startet wieder ein Assistent, der Sie bei der Einrichtung unterstützt. 2. Auf der ersten Seite wählen Sie zunächst, ob Sie bereits über eine Domäne verfügen oder online eine Domäne erwerben wollen. 3. Anschließend legen Sie fest, ob der Server selbst Einträge bezüglich der Internetdomäne verwalten soll oder ob Sie sich selbst um diese Einrichtung kümmern. Für die erste Einrichtung des Servers ist die Option Ich möchte den Domänennamen selbst verwalten der beste Weg. Abbildg. 4.8
Festlegen, ob Einstellungen für die Internetseite vom Server oder selbst verwaltet werden sollen
Auf der nächsten Seite geben Sie schließlich die Domäne an, die vom Internet aus an den Server zugestellt werden soll, beispielsweise für E-Mails. Auf diese Domäne konfiguriert der Server übrigens auch den Webarbeitsplatz von Small Business Server 2008, den wir später noch ausführlicher besprechen. ACHTUNG Damit Small Business Server E-Mails entgegennehmen kann oder eine Verbindung zu Outlook Web Access, dem Webarbeitsplatz oder anderen Internetseiten genehmigt wird, müssen Sie noch Einstellungen auf der Firewall vornehmen. Dazu müssen die Ports 25 (SMTP, E-Mail), 80 (HTTP, Web), 443 (SSL, Outlook Web Access oder Remote-Webarbeitsplatz) und 987 (spezieller SSL-Port für den Remote-Webarbeitsplatz) auf die interne IP-Adresse des SBS-Servers weitergeleitet werden. 122
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Konfigurieren der Internetadresse für Exchange und Remote-Webarbeitsplatz
Abbildg. 4.9
Festlegen der E-Mail- und Internetdomäne, die der SBS verwalten soll
Nach kurzer Zeit ist diese Konfiguration abgeschlossen. Wir widmen uns diesem Thema im Kapitel 10 noch ausführlicher. Abbildg. 4.10
Der Remote-Webarbeitsplatz von Small Business Server 2008
123
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 4
Konfigurieren der Grundeinstellungen
Konfigurieren des Smarthosts für den E-Mail-Versand Standardmäßig ist Exchange in SBS 2008 so eingestellt, dass der Server E-Mails direkt an den Empfänger sendet. Allerdings nehmen viele E-Mail-Server keine E-Mails von kleineren Servern entgegen. In diesem Fall hilft es, alle E-Mails zunächst an einen bestimmten Mail-Server zu versenden, beispielsweise den Mail-Server Ihres Internetproviders. Dieser sendet die E-Mails dann an den entsprechenden Empfänger weiter. Diese Konfiguration nehmen Sie über den Link Smarthost für Internet E-Mail konfigurieren vor. Auch hier startet wieder ein Assistent, der Sie bei der Einrichtung unterstützt. Auf der zweiten Seite geben Sie den vollständigen Namen oder die IP-Adresse des Servers ein, zu dem Ihr Exchange-Server alle E-Mails weitersenden soll. Auch die Daten zur Authentifizierung hinterlegen Sie an dieser Stelle. Abbildg. 4.11
Festlegen eines Smarthostservers für den E-Mail-Versand
An dieser Stelle sind Sie mit der Ersteinrichtung zunächst fertig. Die weiteren Einstellungen wie Datensicherung oder Optimierung und Überwachung gehören nicht zu den Aufgaben bei der ersten Einrichtung des Servers. Wir gehen in diesem Buch auch auf diese Themen noch ausführlich ein.
Arbeiten mit dem Server-Manager Neben der Windows SBS Console nehmen Sie auch viele Einstellungen über den Server-Manager von Small Business Server 2008 auf dem Server vor. Aus diesem Grund sollten Sie sich auch dieses Tool genauer ansehen. Der Server-Manager ist das neue einheitliche Verwaltungsportal von Small Business Server 2008, das mit der zusätzlichen Installation von Rollen und Features mitwächst. Nach dem Start erhalten Administratoren sofort einen Überblick über alle Rollen und Features eines Servers. Über dieses Portal kann der Server vollständig überwacht und verwaltet werden. Auch die 124
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Arbeiten mit dem Server-Manager
Fehlerdiagnose mit den einzelnen Diagnoseprogrammen kann über dieses zentrale Verwaltungsinstrument gestartet werden. Im Vergleich zu Windows Server 2003 haben die Entwickler hier einige Veränderungen im Server-Manager vorgenommen: Im Detailbereich der Verwaltungskonsole zeigt der Server-Manager unter anderem grundlegende Informationen über den Server, seine Sicherheitskonfiguration sowie die installierten Funktionen an. Der Server-Manager listet zudem auf, welche Rollen das System derzeit ausübt und integriert notwendige Snap-Ins für die Verwaltung automatisch. Solche Rollen haben bei Small Business Server 2008 eine große Bedeutung. Mit ihrer Hilfe sind Administratoren in der Lage, einen Server für bestimmte Aufgaben zu konfigurieren. Dadurch entfällt die separate Installation und Einrichtung der für eine Rolle erforderlichen Komponenten, was gleichzeitig zur Vereinfachung der Verwaltung beiträgt. Werden zusätzliche Rollen oder Funktionen installiert, werden die zusätzlichen Verwaltungsoberflächen automatisch in den ServerManager integriert. Administratoren müssen daher nicht für jeden Server manuell eine Microsoft Management Console (MMC) erstellen, sondern können bequem über eine einheitliche Verwaltungsoberfläche arbeiten, die alle notwendigen Programme enthält. Der Server-Manager wird nach der Anmeldung automatisch gestartet. TIPP Sie können den Server-Manager entweder über das Symbol in der Schnellstartleiste, über die Programmgruppe Verwaltung oder über Start/Ausführen/servermanager.msc starten. Abbildg. 4.12
Verwalten eines Servers mit dem Server-Manager
125
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 4
Konfigurieren der Grundeinstellungen
HINWEIS
Der Server-Manager kann immer nur zur Verwaltung des lokalen Servers verwendet werden. Es ist keine Verbindung zu anderen Servern im Netzwerk möglich.
Administratoren sehen im Server-Manager auf einen Blick, ob die einzelnen Rollen des Servers funktionieren, und es werden Fehlermeldungen aus den Ereignisanzeigen angezeigt, die diese Rolle betreffen. Neben der Überwachung können die installierten Rollen und Funktionen auch optimal verwaltet werden, da die entsprechenden Snap-Ins automatisch hinzugefügt werden. Im mittleren Bereich des Server-Managers wird eine Zusammenfassung angezeigt, über welche die wichtigsten Informationen zum Server an zentraler Stelle angezeigt werden. Die Informationen in der Mitte des Server-Managers untergliedern sich in verschiedene Bereiche. Diese Bereiche können zur besseren Übersicht ein- und ausgeklappt werden. Der Bereich Serverübersicht untergliedert sich in die beiden Bereiche Computerinformationen und Sicherheitsinformationen. An dieser Stelle sehen Sie den Computernamen, die IP-Adresse, Domäne, Netzwerkverbindungen und die Produkt-ID. Über diesen Bereich können auch die dazugehörigen Konfigurationsfenster geöffnet werden, um die Servereinstellungen zur verwalten. Durch diese neue Struktur wird eine perfekte Symbiose von Einrichtung und Verwaltung der Serverrollen erreicht. Die Sicherheitsinformationen zeigen die aktivierte Windows-Firewall und Windows-Updates an. Auch die Konfiguration dieser wichtigen Serverfunktionen können direkt über diesen Bereich vorgenommen werden. Mit dem kleinen Pfeilsymbol neben den Informationsbereichen werden die Informationen und Konfigurationsmenüs ein- oder ausgeblendet. Neben der Serverübersicht sind die beiden Bereiche Rollenübersicht und Featureübersicht dafür zuständig, die auf dem Server installierten Rollen und die zusätzlichen Funktionen anzuzeigen. Über diese beiden Bereiche können auch zusätzliche Rollen oder Features hinzugefügt werden. Serverrollen bestimmen den primären Verwendungszweck eines Servers. Mit den Features im Server-Manager werden untergeordnete Funktionen zu Rollen hinzugefügt. Features erweitern installierte Serverrollen um zusätzliche Möglichkeiten. Zum Beispiel kann das Feature Failover-Clustering auch nach der Installation der Serverrolle Dateidienste installiert werden. Es stehen, neben den verschiedenen Rollen, über 30 verschiedene Features zur Verfügung. Manche Rollen haben nur ein Konfigurationsfenster, andere Rollen, wie zum Beispiel die Dateidienste, müssen ausführlicher konfiguriert werden und werden im Server-Manager daher mit mehreren Snap-Ins repräsentiert. Mit Hilfe des Assistenten zur Installation einer Rolle können weitere, untergeordnete Rollendienste und -Features hinzugefügt werden. Werden Rollendienste ausgewählt, die von anderen abhängig sind, werden diese ebenfalls automatisch zur Installation vorgeschlagen. Zusätzlich wird in diesen beiden Bereichen ein Überblick angezeigt, aus dem schnell ersichtlich wird, ob eine Rolle fehlerfrei funktioniert oder ob Fehlermeldungen in den Ereignisanzeigen protokolliert werden. Weist eine Rolle Fehler auf, wird diese in der Rollenübersicht als fehlerhaft dargestellt. Entsprechende Ereignisse können dann direkt über den Server-Manager angezeigt und Verwaltungsaufgaben durchgeführt werden. Administratoren können entweder über den entsprechenden Link die Ereignisanzeige gefiltert nach Ereignissen dieser Rolle anzeigen oder über den Menüpunkt Verwalten die jeweilige Rolle konfigurieren, um die Fehler zu beseitigen. Es sind keine verschiedenen Werkzeuge dazu mehr notwendig, sondern alle diese Aufgaben können direkt im Server-Manager durchgeführt werden. Im Bereich Ressourcen und Support können die Fehlerberichtserstattung und die Einstellungen für das Programm zur Verbesserung der Benutzerfreundlichkeit konfiguriert werden. Außerdem lässt sich über diesen Bereich direkt die Microsoft TechNet-Seite von Small Business Server 2008 öffnen, um zum Beispiel Informationen über bestimmte Ereignisse in der Ereignisanzeige zu überprüfen. Neben den Rollen und Features lassen sich im Server-Manager auch die Diagnoseprogramme sowie die Systemkonfiguration an zentraler Stelle
126
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Arbeiten mit dem Server-Manager
vornehmen. Zur Diagnose von Small Business Server 2008 kommen wir noch ausführlich in Kapitel 16 zurück. Da Small Business Server 2008 bereits standardmäßig sehr ressourcenschonend installiert wird, sind noch keinerlei Serverrollen und -features installiert. Server-Manager in der Befehlszeile verwenden Neben der grafischen Oberfläche bietet der neue Server-Manager auch eine Befehlszeilenoberfläche, über die Sie Rollen und Features in der Befehlszeile und skriptbasiert installieren können. Das Tool hat die Bezeichnung ServerManagerCMD.exe. Mit dem Tool können Sie unbeaufsichtigte Installationen von Serverrollen und Features durchführen. Antwortdateien lassen sich mit XML übergeben. Mit dem Server-Manager können Sie sich auch die installierten Rollen und Features eines Servers anzeigen lassen. Mit dem Befehl servermanagercmd –query können Sie sich eine Übersicht des Servers in der Befehlszeile anzeigen lassen. Installierte Rollen und Features werden besonders hervorgehoben. Abbildg. 4.13
Abfrage der installierten Rollen und Funktionen über ServerManagerCMD.exe
127
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 4
Konfigurieren der Grundeinstellungen
Server über das Netzwerk verwalten – Remotedesktop Sobald Sie einen neuen Server installiert haben, ist der bequemste und effizienteste Weg die Verwaltung über das Netzwerk. In diesem Fall können Sie den Server von Ihrem Arbeitsplatz aus verwalten und müssen nicht vor dem Server sitzen, um einzelne Einstellungen vorzunehmen. Damit Sie über das Netzwerk auf einen Server effizient zugreifen können, müssen Sie nach der Installation zunächst noch eine Maßnahme durchführen. In Windows Server 2008 und damit auch Small Business Server 2008 wurde der Remotedesktop von Windows Vista integriert. Aktivieren Sie diesen Remotedesktop, können Sie mit einem Zusatzprogramm unter Windows XP oder Windows Vista bequem auf den Server zugreifen. Wenn Sie sich mit einem Remotedesktop über das Netzwerk verbinden, ist die Geschwindigkeit beinahe so schnell, als wenn Sie direkt vor dem Server am Bildschirm sitzen würden. Bei Small Business Server 2008 besteht keine Notwendigkeit mehr, unbedingt ein Fernwartungstool zu verwenden. Die Bordmittel sind dazu vollkommen ausreichend.
Aktivieren des Remotedesktops Um sich mit einem Server verbinden zu können, aktivieren Sie daher zunächst die Funktion des Remotedesktop über die Systemsteuerung. Klicken Sie auf der linken Seite auf Startseite der Systemsteuerung, dann auf System und Wartung und dann auf Remotezugriff zulassen bei System. Aktivieren Sie dann die Option Remoteeinstellungen auf diesem Computer aktivieren. Aktivieren Sie im Dialogfeld Systemeigenschaften im Bereich Remotedesktop die Option Verbindungen von Computern zulassen, auf denen eine beliebige Version von Remotedesktop ausgeführt wird. Abbildg. 4.14
Aktivieren des Remotedesktop unter Small Business Server 2008
128
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Server über das Netzwerk verwalten – Remotedesktop
Bei der anderen Option dürfen nur PCs mit Windows Vista oder Server unter Small Business Server 2008 auf den Server zugreifen. Nachdem Sie eine Sicherheitsmeldung bestätigt und das Dialogfeld über OK verlassen haben, ist der Server für den Zugriff über das Netzwerk bereit. Standardmäßig dürfen sich die Benutzer verbinden, die entweder in der lokalen Gruppe Administratoren oder Remotedesktopbenutzer Mitglied sind. Small Business Server 2008 aktiviert diese Option bereits bei der Installation des Servers.
Verbindungsaufbau über Remotedesktop Wenn Sie den Remotedesktop aktiviert haben, können Sie auf einem Windows XP- oder Vista-PC oder einem anderen Server mit Small Business Server 2008 über Start/Alle Programme/Zubehör/Kommunikation/Remotedesktopverbindung das entsprechende Clientprogramm starten. Alternativ können Sie das Programm auch über Start/Ausführen/mstsc.exe starten. Über die Schaltfläche Optionen können Sie zahlreiche weitere Optionen einstellen. Für die Verwaltung eines Servers reicht die Standardeinstellung hier allerdings vollkommen aus. Wenn Sie im Eingabefeld die IP-Adresse des Servers eingeben, können Sie sich direkt mit dem Server verbinden. Sie müssen sich in der Anmeldemaske authentifizieren, damit die Verbindung aufgebaut wird. Small Business Server 2008 erlaubt standardmäßig nicht die gleichzeitige Verbindung von zwei Sitzungen des gleichen Benutzers auf einem Server. Wenn an der Konsole ein Administrator angemeldet war, wird der Bildschirm durch den Verbindungsaufbau mit der Remotedesktopkonsole automatisch gesperrt. Diese Option kann aber in der Terminaldienstekonfiguration angepasst werden. Entsperrt ein Administrator an der Konsole den Bildschirm wieder, wird die Remotedesktopsitzung wiederum getrennt. Es kann daher standardmäßig immer nur ein Administrator an der Konsole arbeiten. Wollen Sie mit mehreren Sitzungen auf einem Server arbeiten, müssen Sie sich mit einem anderen Administrator-Konto anmelden oder die Konfiguration anpassen. Diese Sitzung ist vollkommen unabhängig vom Desktop auf dem Server. Sie sehen daher in dieser Sitzung zunächst keinerlei Fehlermeldungen, die unter Umständen auf dem Desktop des Servers angezeigt werden, wenn Sie sich mit dem Administrator anmelden, also der Konsole. Wenn ein Administrator über Remotedesktop mit dem Server verbunden ist, kann er die gleichen Aufgaben durchführen, als wenn er direkt am Server lokal angemeldet ist. Seine Tätigkeit wird allerdings nicht am Bildschirm des Servers angezeigt, wenn er sich mit einem eigenen Benutzerkonto anmeldet. Melden sich mehr als zwei verschiedene Administratoren über das Netzwerk an und ein dritter versucht eine Verbindung aufzubauen, erscheint bei der letzten Anmeldung eine Warnmeldung, da die maximale Anzahl der Verbindungen erreicht ist. In der oberen Bildschirmhälfte wird Ihnen eine Menüleiste angezeigt, mit der Sie die Sitzung minimieren können. Diese Leiste können Sie über das entsprechende Symbol auch ausblenden lassen. Standardmäßig wird die Sitzung im Vollbild aufgebaut. Sie können eine Remotedesktopsitzung parallel zu mehreren Servern aufbauen. In dieser Hinsicht gibt es keinerlei Einschränkungen. Wenn Sie die Arbeit im Remotedesktop beendet haben, können Sie sich regulär über das Startmenü abmelden. Von dieser Abmeldung ist nur Ihre Sitzung betroffen, nicht die Sitzungen der anderen Administratoren oder der Konsole.
129
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 4
Abbildg. 4.15
Konfigurieren der Grundeinstellungen
Konfigurieren der Remotedesktopverbindung
Trennen Sie lediglich die Sitzung, schließen also einfach nur das Remotefenster, bleibt die Sitzung auf dem Server aktiv. Beachten Sie, dass in diesem Fall die Sitzung zu den maximalen Sitzungen auf dem Server dazu zählt. Wenn auf dem Server mehr als zwei getrennte Sitzungen laufen, können Sie sich von einem anderen Computer nicht mehr per Remotedesktop verbinden, da der Server Sie nicht mit der laufenden Sitzung verbindet, sondern eine neue aufbauen will. Wenn Sie daher aus Bequemlichkeit Sitzungen immer nur trennen lassen, besteht die Möglichkeit, dass Sie sich selbst vom Server aussperren. Sie können getrennte Sitzungen auf dem Server wieder freigeben und auch Einstellungen für den Remotedesktop auf dem Server vornehmen.
Zurücksetzen von getrennten Verbindungen Sie können die Sitzungen eines Servers mit Hilfe des Verwaltungsprogramms (Aufruf über Start/Verwaltung/Terminaldienste/Terminaldiensteverwaltung) steuern. Allerdings müssen dazu die Verwaltungstools der Terminaldienste installiert werden. Installieren Sie dazu am besten auf einem Server das Feature Remoteserver-Verwaltungstools. Hier kann ausgewählt werden, welche Verwaltungswerkzeuge installiert werden sollen. Sie installieren die notwendigen Tools folgendermaßen: 1. Starten Sie den Server-Manager über Start/Ausführen/servermanager.msc. 2. Klicken Sie auf Features. 3. Klicken Sie auf der rechten Seite des Fensters auf Features hinzufügen. 4. Navigieren Sie zu Remoteserver-Verwaltungstools/Rollenverwaltungstools/Tools für Terminaldienste und aktivieren Sie die Option Terminalservertools. 5. Lassen Sie das Feature installieren.
130
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Server über das Netzwerk verwalten – Remotedesktop
Abbildg. 4.16
Installieren der Verwaltungstools für Terminalserver
Nach der Installation finden Sie Verwaltungsprogramme über Start/Verwaltung/Terminaldienste/ Terminaldiensteverwaltung. Wenn Sie in der Terminaldiensteverwaltung den lokalen Server markieren, werden Ihnen alle Sitzungen angezeigt. Die getrennten Sitzungen werden mit dem Status Getrennt oder Disconnected angezeigt. Klicken Sie die Sitzung mit der rechten Maustaste an, können Sie diese Sitzung im Kontextmenü über die Option Zurücksetzen wieder freigeben. In diesem Fall ist die Lizenz sofort wieder frei und Administratoren können sich wieder mit dem Server über einen Remotedesktop verbinden. Sie können sich auch mit der Terminaldiensteverwaltung von einem Server mit einen anderen Server verbinden lassen und dort Sitzungen freigeben. Klicken Sie dazu in der Konsolenstruktur mit der rechten Maustaste auf Terminaldiensteverwaltung und wählen Sie die Option Verbindung mit Computer herstellen. Wenn Sie über genügend Rechte auf dem anderen Server verfügen, können Sie auf diese Weise die Sitzungen auf mehreren Servern wieder freigeben. Abbildg. 4.17
Anzeigen der geöffneten Remotedesktopsitzungen auf dem Server
131
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 4
Konfigurieren der Grundeinstellungen
Konfigurieren der Verbindungsmöglichkeiten Sie können aber auch generelle Einstellungen vornehmen, damit Sitzungen nach gewisser Zeit automatisch freigegeben werden. Denken Sie aber daran, dass auch die Programme beendet werden, die in dieser Sitzung erstellt worden sind. Sie finden diese Konfiguration über Start/Verwaltung/Terminaldienste/ Terminaldienstekonfiguration. Rufen Sie mit der rechten Maustaste die Eigenschaften der Verbindung RDP-Tcp auf. Sie finden an dieser Stelle zahlreiche Verwaltungsmöglichkeiten. Auf der Registerkarte Sitzungen können Sie das Zeitlimit für getrennte Sitzungen aktivieren und diese nach einem Tag automatisch beenden lassen. Sie können hier auch Zeitlimits für verbundene und aktive Sitzungen sowie für Sitzungen, die zwar verbunden sind, über die aber kein Netzwerkverkehr läuft, festlegen. Abbildg. 4.18
Konfigurieren der Verbindungseinstellungen über RDP
Remotedesktopverbindungen effizient mit Royal TS und visionapp Remote Desktop verwalten Viele Administratoren kennen das Problem: Im Unternehmen müssen zahlreiche Server verwaltet werden und zwar meistens auch noch gleichzeitig. Vor allem wenn mehrere Verbindungen parallel geöffnet werden, wird die Arbeit schnell unübersichtlich. Zwar gibt es das MMC-Snap-In Remotedesktops, allerdings ist dieses Werkzeug nicht so komfortabel wie kostenlose Zusatzprogramme. Optimal geeignet sind die beiden Freeware-Produkte Royal TS und visionapp Remote Desktop. 132
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Server über das Netzwerk verwalten – Remotedesktop
Royal TS – Freeware-Verwaltung des Remotedesktops Das Tool kann von der Internetseite www.code4ward.net heruntergeladen werden. Auf der Seite gibt es auch ein Forum, in welchem Fehler und neue Funktionen des Tools besprochen werden und der Programmierer direkt antwortet. Für die Installation wird .NET Framework 2.0 oder 3.0 vorausgesetzt, welches zu den Features von Small Business Server 2008 gehört. Außerdem wird der Remotedesktopverbindungs-Client von Microsoft benötigt. Ist dieser auf dem Computer nicht bereits installiert, kann dieser Client kostenlos auf der Internetseite http://support.microsoft.com/kb/925876 heruntergeladen werden. Der größte Nutzen des Tools ist die gemeinsame Verwaltung von mehreren Remotedesktops, die auch parallel geöffnet sein können. Administratoren können durch einen Mausklick zwischen den verschiedenen geöffneten RDP-Sitzungen wechseln. Der geöffnete Remotedesktop wird in der Mitte der Konsole als Vollbild angezeigt. Wem das nicht gefällt, kann einzelne Verbindungen so konfigurieren, dass diese in einem eigenen Fenster geöffnet werden. Alle gespeicherten Verbindungen zu anderen Servern werden auf der linken Seite der Oberfläche angezeigt. Die einzelnen Remotedesktopverbindungen lassen sich über einen Assistenten erstellen. Neben den Verbindungsoptionen wie Auflösung, verbundene Laufwerke, IP-Adresse oder Name des Servers lässt sich auch eine Authentifizierung hinterlegen. So kann eine RDP-Verbindung per Doppelklick geöffnet werden. Abbildg. 4.19
Mit Royal TS können effizient Remotedesktopverbindungen unter Windows Server 2003, Small Business Server 2008 und Windows 2000 Server parallel verwaltet werden
133
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 4
Konfigurieren der Grundeinstellungen
Die einzelnen Verbindungen lassen sich auch gruppieren. Weiterhin können mehrere Gruppen in einer so genannten RTS-Datei zusammengefasst werden. Royal TS lässt sich so konfigurieren, dass eine bestimmte Datei mit den enthaltenen Gruppen automatisch geöffnet wird. Die einzelnen Verbindungen lassen sich natürlich jederzeit umgruppieren. Die Authentifizierungsdaten werden verschlüsselt in der Verbindungsdatei gespeichert. Die Verschlüsselung ist allerdings nicht sehr zuverlässig und kann über die Windows PowerShell oder von .NET-Programmierern leicht ausgehebelt werden. Aus diesem Grund sollte die Datei, welche die Verbindungen enthält, extrem sicher aufbewahrt oder vom Speichern der Kennwörter abgesehen werden. Wer die Authentifizierungsoptionen speichert, muss diese für alle Verbindungen einzeln hinterlegen. Wird das Kennwort des hinterlegten Benutzerkontos geändert, müssen auch die einzelnen Verbindungen nachträglich angepasst werden. Leider ist eine sichere zentrale Speicherung für Authentifizierungsdaten nicht vorgesehen. Bei aufgebauten Verbindungen kann die Größe des Fensters auch dynamisch vergrößert oder verkleinert werden, der Remotedesktop wird daraufhin automatisch angepasst. Diese Funktion wird in Royal TS AutoExpand genannt und automatisch aktiviert. Wer das nicht will, kann für die einzelnen Verbindungen auch eine Auflösung für den Remotedesktop vorgeben. Für jede Verbindung können die Einstellungen über das Kontextmenü nachträglich angepasst werden. Abbildg. 4.20
Einzelne Server können in Gruppen zusammengefasst werden
134
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Server über das Netzwerk verwalten – Remotedesktop
Auch der RDP-Port, standardmäßig auf TCP 3389 konfiguriert, kann geändert werden. Für alle Verbindungen stehen über den Menübefehl Tools/Options Möglichkeiten zur Verfügung, um die Standardauflösung und Verbindungsoptionen zentral zu bearbeiten. Das Tool unterstützt neben Windows XP auch Windows Vista. Über die Datei RTSApp.exe.config im Installationsverzeichnis von Royal TS können zusätzlich einige Einstellungen angepasst werden, die nicht in der grafischen Benutzeroberfläche zur Verfügung stehen. So lässt sich in dieser Datei zum Beispiel über die Einstellung ConfigurationPath der Pfad zu den Benutzereinstellungen anpassen, was Unternehmen entgegenkommt, die mit servergespeicherten Profilen arbeiten. Standardmäßig werden die Benutzereinstellungen des Tools im Profil des Anwenders gespeichert. Treten nach Windows-Updates Fehler mit dem Tool auf, besonders unter Windows Vista, hilft oft das Löschen dieser Benutzerdateien, die anschließend automatisch neu erstellt werden. visionapp Remote Desktop – Effiziente Gruppierung von Remotedesktopverbindungen In die gleiche Kerbe wie Royal TS schlägt die Software visionapp Remote Desktop. Das Programm kann von der Internetseite http://www.visionapp.com nach erfolgter Registrierung kostenlos heruntergeladen werden. Auch dieses Programm benötigt .NET Framework von Microsoft. Wie bei Royal TS lassen sich die Verbindungsinformationen und Authentifizierungsdaten für die Verbindungen hinterlegen. Die Einstellungsmöglichkeiten sind nahezu identisch. Hier zeigt sich auch der Vorteil von visionapp Remote Desktop im Vergleich zu Royal TS: Authentifizierungsinformationen lassen sich zentral vorgeben. Bei den jeweiligen Verbindungen wird die einzelne Authentifizierungsinformation nur noch ausgewählt. Wird ein solches Kennwort zentral geändert, müssen nicht alle Serververbindungen angepasst werden, sondern es reicht das Ändern der zentralen Authentifizierungsinformationen, die dadurch auch nur an einer Stelle gespeichert werden. Mit visionapp Remote Desktop können die Verbindungen auch effizienter gruppiert werden als mit Royal TS. Abbildg. 4.21
visionapp Remote Desktop unterstützt die zentrale Verwaltung von Authentifizierungsoptionen
135
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 4
Konfigurieren der Grundeinstellungen
Verbindungen können in Ordner zusammengefasst werden und auch eine Verschachtelung dieser Ordner ist möglich. Royal TS bietet keine Verschachtelung an, sondern nur eine einfache Ordnerstruktur. Für jeden Ordner kann eine Authentifizierungsinformation hinterlegt werden, die wiederum aus dem zentralen Bereich Credentials übernommen wird. Für einzelne Verbindungen kann auch eine eigene Authentifizierung hinterlegt werden. Unternehmen, die auch für Administratoren regelmäßig das Kennwort ändern, profitieren von dieser Möglichkeit. Beim Beenden werden Änderungen automatisch gespeichert. Über das Menü File können die aktuellen Verbindungsinformationen in einer Datei gesichert werden. Auf die gleiche Weise ist auch eine Wiederherstellung möglich. visionapp Remote Desktop sichert den Zugriff auf die Datei mit einem Kennwort ab, sodass ein Unbefugter, der sich die Datei kopiert, die Verbindungen darin nicht nutzen kann. Das Tool unterstützt ab der Version 1.5 offiziell Windows Vista. Springt bei einer geöffneten Sitzung der Bildschirmschoner an, ist die Maus leider auch bei den anderen geöffneten Sitzungen deaktiviert. Hier hilft es, wenn in die Sitzung mit aktiviertem Bildschirmschoner geklickt wird, damit dieser deaktiviert wird. Bei vielen gleichzeitig geöffneten Verbindungen kann dieses Problem aber sehr störend wirken, da erst die Verbindung mit dem aktivierten Bildschirmschoner gefunden werden muss. visionapp Remote Desktop bietet im Hauptfenster noch die Registerkarte Overview an. Hier werden alle geöffneten Verbindungen in einer kleinen Übersicht angezeigt, sodass schnell erkannt werden kann, wenn in einer Sitzung zum Beispiel ein Meldefenster erscheint. Über diese zentrale Sicht der Verbindungen kann per Doppelklick auch direkt zu einer einzelnen Verbindung gesprungen werden. Alle geöffneten Verbindungen werden nicht nur auf der linken Seite angezeigt, sondern zusätzlich als eigene Registerkarte. So verliert ein Administrator nie die Übersicht, welche Verbindungen aktuell geöffnet sind. Durch die Registerkarten wird die Navigation zwischen den verschiedenen Sitzungen extrem erleichtert. Zusätzlich bietet die Software auch die Unterstützung für Mehr-Monitor-Systeme an. Vor allem Systemverwalter, die gleichzeitig mehrere Verbindungen zu verschiedenen Servern offen halten müssen, erhalten mit dem neuem Remote Desktop 2009 eine hervorragende Möglichkeit, effizient diese Verbindungen zu verwalten und auch zu verwenden. Eine der maßgeblichsten Neuerungen in der neuen Version ist die Erweiterung der unterstützten Protokolle. Die vorangegangenen Versionen unterstützten nur Microsofts Remote Desktop Protokoll (RDP). Die neue Version kann auch Verbindungen mit den Protokollen Citrix ICA, VNC, SSH, Telnet und HTTP(S) aufbauen. Für Telnetverbindungen ist in Remote Desktop 2009 ein kleines Putty integriert. Dieses ist dann auch für den SSH-Verbindungsaufbau verantwortlich. Durch diese Erweiterung lassen sich jetzt auch Citrix-, Linux und auch Macintosh-Rechner mit einer gemeinsamem Oberfläche verwalten. visionapp hat dazu die Funktionen des jüngst übernommenen Tools mRemote in Remote Desktop 2009 integriert. Die Bedienung ist wie bei den Vorgängerversionen sehr einfach, und per Doppelklick lassen sich Verbindungen aufbauen oder beenden. Auch eine Suchfunktion ist integriert. Häufig verwendete Verbindungen lassen sich mit Verbindungsdaten als Shortcuts abspeichern. Verwenden Systemverwalter das RDP-Protokoll von Microsoft, kann die Verbindung auch mit SecureServer-Authentication aufgebaut werden. Auch Network-Level-Authentication (NLA) unterstützt visionapp Remote Desktop 2009. Über das Tranport-Layer-Security-Protokoll authentifiziert sich der Client mit einem Terminalserver dann über SSL. Dabei installiert sich auf dem Terminalserver ein Zertifikat, dem der RDP-Client vertraut. Eine weitere neue Funktion ist die Unterstützung des neuen Terminaldienstegateways von Windows Server 2008. Dies hat den Vorteil, dass für den externen Zugriff auf Remotedesktops der RDP-Port auf der Firewall nicht offen sein muss. Vor allem für große Unternehmen interessant ist, dass RD2009 die Verbindungsdaten in einer Datenbank abspeichert. Für diese lassen sich Zugriffsrechte 136
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Server über das Netzwerk verwalten – Remotedesktop
vergeben, sodass mehrere Systemverwalter die gleiche Datenbank nutzen können. Das spart Zeit bei der Einrichtung von Verbindungen und erhöht die Effizienz. RD2009 speichert den Zugriff und die Änderungen in der Datenbank in einem Protokoll ab, sodass sich Modifikationen leicht nachvollziehen lassen. Die zuletzt geöffneten Verbindungen speichert das Programm ab. Über die interne Berechtigungsstruktur legen Systemverwalter fest, welche Anmeldedaten für andere Benutzer des Programms sichtbar sein sollen und welche Tätigkeiten auf den einzelnen Systemen freigeschaltet sind. Wie bei den Vorgängerversionen lassen sich Verbindungen in Ordner abspeichern sowie sortieren, und auch eine Verschachtelung dieser Ordner ist möglich. Dadurch lassen sich Serververbindungen sehr effizient und übersichtlich sortieren. Auch die Anzeige und die Sortierreihenfolge der Ordner und Einzelverbindungen hat visionapp im Remote Desktop 2009 deutlich verbessert. Mehrere Objekte lassen sich jetzt gleichzeitig anwählen sowie bearbeiten, und alle Verbindungen eines Ordners können gleichzeitig geöffnet werden. Die Ansichten und verwendeten Protokolle lassen sich jederzeit wieder ändern. Remote Desktop 2009 bietet auch die gleichzeitige Anzeige aller geöffneten Verbindungen an, sodass Systemverwalter schnell und einfach eine Übersicht erhalten. Selbst wenn die Anzeige des Fensters geändert wird, zeigt Remote Desktop die entfernten Desktops ohne Bildlaufleisten an und skaliert die Ansicht automatisch. Alle Einstellungen lassen sich in einer passwortgeschützten Datei abspeichern, sodass bei einer erneuten Einrichtung des Programms oder der Installation auf einem anderen Computer nur diese Datei eingelesen werden muss. Die Export-/Importfunktion ermöglicht auch das Exportieren und Importieren einzelner Verbindungsobjekte sowie das Einlesen von mRemote-Einstellungen. Authentifizierungsinformationen lassen sich zentral für einzelne Ordner oder alle Verbindungen vorgeben. Bei den einzelnen Verbindungen wählen Systemverwalter die einzelne Authentifizierungsinformation nur noch aus. Ändert sich ein Kennwort für einen bestimmten Administratorbenutzer, müssen Benutzer nicht alle Serververbindungen anpassen, sondern es reicht das Ändern der zentralen Authentifizierungsinformationen. Für jeden Ordner lässt sich eine Authentifizierungsinformation hinterlegen, die Remote Desktop 2009 wiederum aus dem zentralen Bereich übernimmt. Natürlich lassen sich auch für einzelne Verbindungen eigene Authentifizierungsdaten hinterlegen. Unternehmen, die auch für Administratoren regelmäßig das Kennwort ändern, profitieren von dieser Möglichkeit. Beim Beenden speichert das Tool Änderungen automatisch und legt diese in der Historie ab. Alle geöffneten Verbindungen zeigt das Tool nicht nur auf der linken Seite an, sondern zusätzlich als eigene Registerkarte. So verliert ein Administrator nie die Übersicht, welche Verbindungen aktuell geöffnet sind. Zusätzlich bietet die Software auch die Unterstützung für Mehr-Monitor-Systeme an. Neben der Speicherung in einer XML-Datei oder der bereits erwähnten Datenbank legt das Tool auch Informationen in der Registry ab. Das gefällt nicht jedem Systemverwalter, vor allem weil dadurch Gefahr besteht, dass Unbefugte Daten auslesen, die geheim bleiben sollen. Visioapp Remote Desktop 2009 unterstützt jetzt auch das Starten von mehreren Instanzen des Programms gleichzeitig. So lässt sich das Tool einmal mit Datenbankverbindung starten und einmal mit Verbindung zur eigenen XML-Datei. Das Tool kann die benötigten Systemkomponenten, die es für die verschiedenen Zugriffe und Protokolle benötigt, selbständig testen und anzeigen. Zu den unterstützten Betriebssystemen, auf denen sich Remote Desktop 2009 installieren lässt, gehören Windows XP SP3, Windows Vista, Windows Server 2003/R2 und Windows Server 2008. Das Programm unterstützt sowohl x86- als auch x64-Prozessoren. Zur Installation, auch zu Testzwecken, muss auf dem Server Microsoft .NET Framework 2.0 installiert sein. Systemverwalter, welche von der Vorgängerversion Remote Desktop 2008 auf Remote Desktop 2009 aktualisieren, bekommen unter Umständen Probleme bei der Aktualisierung der XML-Datei. Zwar speichert die neue Version die Daten auch in XML ab, allerdings hat die Datei ein etwas anderes Format als die Version des Vorgän137
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 4
Konfigurieren der Grundeinstellungen
gers Remote Desktop 2008. In diesem Fall bietet sich die Installation in ein anderes Verzeichnis an, sowie der Export aus der alten und der anschließende Import in die neue Version, um das Problem zu umgehen. Systemverwalter, welche Daten von mRemote in Remote Desktop 2009 importieren wollen, müssen vorher in den Einstellungen von mRemote die Verschlüsselung für die Speicherdatei ausschalten, da sonst der Import in Remote Desktop 2009 abbricht. Beim Nutzen der gemeinsamen SQL-Datenbank müssen außerdem erst die Berechtigungen entsprechend vergeben sein, damit Systemverwalter, die mit gemeinsamen Verbindungen arbeiten, alle geöffneten Sitzungen sehen können. Interessant dürfte auch sein, dass Remote Desktop 2009 sich auch auf Terminalservern installieren lässt. So können Systemverwalter auch gemeinsam mit einer Installation arbeiten. Bei der Lizenzierung müssen Unternehmen allerdings dabei beachten, dass so viele Lizenzen benötigt werden wie Systemverwalter mit dem Programm arbeiten. visionapp bietet keine Con Current-Versionen an, also wie oft das Programm tatsächlich aktiv in Benutzung ist. Stattdessen muss für jeden Administrator, der mit dem Programm arbeitet, eine Lizenz verfügbar sein. Soll der angemeldete Benutzer automatisch unterhalb des Verbindungsobjektes angezeigt werden, müssen Systemverwalter diese Option erst aktivieren. Dazu steht die Option Extras/Einstellungen/Remote Desktop/Aktualisierungsintervall für die Ermittlung der Verbindungsinformation zur Verfügung. In diesem Fall müssen Systemverwalter den Wert von Kein auf einen anderen Wert anpassen. Per Klick mit der rechten Maustaste auf eine Verbindung lassen sich Verbindungsinformationen aktualisieren. Interessierte Systemverwalter können das Tool 30 Tage lang kostenlos testen und dann entweder käuflich erwerben oder als Freeware-Version weiterverwenden. Die Freeware-Version unterstützt nur bist zu drei gleichzeitig geöffnete Verbindungen, das gilt auch für die Evaluierungshase. Während der Testphase lassen sich Einstellungen nicht exportieren. Außerdem lassen sich in der Freeware-Version nur 15 exportierbare Verbindungskonfigurationen abspeichern.
Heraufstufen der Funktionsebene von Active Directory Ein Active Directory und auch Exchange kann unter verschiedenen Betriebsmodi betrieben werden. Standardmäßig befindet sich Active Directory nach der Installation im Windows Server 2003Modus. Idealerweise sollten Sie den Betriebsmodus auf Small Business Server 2008 umstellen, auch wenn Sie noch Mitgliedsserver mit Windows Server 2003 betreiben. Die Umstellung betrifft nur Domänencontroller. Um die Funktionsebene hochzusetzen, öffnen Sie über Start/Verwaltung das Snap-In Active Directory-Benutzer und -Computer, klicken dann mit der rechten Maustaste auf die Domäne und wählen im Kontextmenü den Eintrag Domänenfunktionsebene heraufstufen. Im anschließenden Fenster können Sie den Modus auswählen, den Sie aktivieren wollen. Sie erhalten eine Warnung, dass die Umstellung des Modus nicht mehr rückgängig gemacht werden kann. Haben Sie diese Meldung bestätigt, wird die Funktionsebene heraufgestuft. Es ist nicht notwendig, den Server neu zu starten. Die meisten Vorteile bei der Heraufstufung der Funktionsebenen haben in der Regel nicht Domänen mit Small Business Server 2008, da die neuen Funktionen hauptsächlich für die Zusammenarbeit von verschiedenen Domänen gedacht sind. Dennoch ist die Heraufstufung sauberer, da dadurch das Small Business Server 2008-Netzwerk in einer einheitlichen Struktur ist und später nicht Funktionen fehlen, nur weil zu Beginn keine Heraufstufung gewählt wurde.
138
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Heraufstufen der Funktionsebene von Active Directory
Abbildg. 4.22
Heraufstufen der Domänenfunktionsebene
Die Funktionsebene der Gesamtstruktur können Sie mit Hilfe des Snap-Ins Active Directory-Domänen und -Vertrauensstellungen heraufstufen. Dieses Verwaltungsprogramm steht Ihnen über Start// Verwaltung/Active Directory-Domänen und -Vertrauensstellungen zur Verfügung. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den Eintrag Active Directory-Domänen und -Vertrauensstellungen und wählen Sie im Kontextmenü den Eintrag Gesamtstrukturfunktionsebene heraufstufen aus. Abbildg. 4.23
Heraufstufen der Gesamtstrukturebene
Sie können die Gesamtstrukturfunktionsebene erst heraufstufen, nachdem die Domänenfunktionsebene heraufgestuft wurde. Wählen Sie auch hier den Modus Windows Server 2008 aus und klicken Sie auf die Schaltfläche Heraufstufen. Auch nach der erfolgreichen Heraufstufung der Gesamtstruktur ist es nicht notwendig, die Domänencontroller neu zu starten. Die Änderungen werden auf alle Domänencontroller der Gesamtstruktur repliziert.
139
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 4
Konfigurieren der Grundeinstellungen
Während die Funktionsebene der Gesamtstruktur nur einmal verändert werden muss, müssen Sie für jede Domäne der Gesamtstruktur deren eigene Funktionsebene anpassen. Diese beiden Ebenen können unabhängig voneinander jeweils drei verschiedene Betriebsmodi annehmen. Diese drei Betriebsmodi haben keine Kompatibilitätsunterschiede für Mitgliedsserver oder -PCs. Wichtig ist der Modus nur für die integrierten Domänencontroller. 쐍 Windows 2000 In diesem Modus können nur noch Windows 2000-, Windows Server 2003und Windows Server 2008-Domänencontroller die Domäne verwalten. Es dürfen aber weiterhin Windows NT 4.0-Server als Mitglied betrieben werden. Ab diesem Modus können universelle Gruppen erstellt werden und die SID-History wird unterstützt. Bei der SID-History können den Benutzerkonten mehrere SIDs aus anderen Domänen zugeordnet werden. Sicherheitsgruppen können in diesem Modus zu Verteilergruppen umfunktioniert werden. Ab diesem Modus kann auch Exchange Server 2007 in der Domäne installiert werden. 쐍 Windows Server 2003 Ab diesem Modus können Domänen in der Gesamtstruktur umbenannt und umstrukturiert werden. Es können Gesamtstruktur-übergreifende Vertrauensstellungen erstellt werden. Sofern in einer Gesamtstruktur keine Windows 2000-Domänencontroller unterstützt werden müssen, sollten Sie so schnell wie möglich die Funktionsebene der Domänen und der Gesamtstruktur auf den Windows Server 2003-Modus hochsetzen. Sie erhalten dadurch keinerlei Nachteile, eröffnen sich aber erst dann die vollständigen Möglichkeiten von Active Directory. In diesem Modus werden schreibgeschützte Domänencontroller (RODC) unterstützt, sofern sich der PDC-Emulator auf einem Domänencontroller unter Small Business Server 2008 befindet. 쐍 Windows Server 2008 Dieser Modus hat funktional keine großen Unterschiede zum Windows Server 2003-Modus. Allerdings wird durch Auswahl dieses Modus sichergestellt, dass alle Domänen der Gesamtstruktur im Windows Server 2008-Modus betrieben werden. In diesem Modus werden Kennwortrichtlinien für mehrere OUs unterstützt. Außerdem wird in diesem Modus zu Replikation des Sysvol-Verzeichnisses DFS genutzt, was wesentlich performanter und stabiler funktioniert. In diesem Modus kann der Kerberosverkehr mit AES 128 oder 256 verschlüsselt werden.
Konfiguration der Auslagerungsdatei Performanceprobleme können eine Reihe unterschiedlicher Ursachen haben. Ein weiteres Problem bei der Performanceanalyse ist, dass die Beseitigung eines Engpasses oft zum nächsten Engpass führt. Dafür gibt es viele Beispiele. Wenn mehr Speicher bereitsteht, zeigt sich oft, dass auch die Prozessorauslastung bereits an der Kapazitätsgrenze ist. Es gibt nun einige grundsätzliche Regeln für den Einsatz von Hauptspeicher. Die erste Regel lautet: Viel hilft viel, sowohl bei Hauptspeicher als auch beim Cache. Das hat für Windows Server 2008 und damit auch für Small Business Server 2008 noch mehr Gültigkeit als unter Windows Server 2003. Die zweite Regel besagt, dass die Auslagerungsdatei am besten auf einer anderen physischen Festplatte als der Systempartition aufgehoben ist. Der Preis dafür ist, dass dann keine Speicherdumps bei einem Systemfehler mehr durchgeführt werden können. Profis können Speicherdumps dazu nutzen, Fehler im Betriebssystem nachzuvollziehen. Allerdings werden diese Möglichkeiten heutzutage eher weniger genutzt, da zur Fehlerbehebung bessere Möglichkeiten und Tools zur Verfügung stehen. Die Auslagerungsdatei ist auch einer der Bereiche, die für die Speicherverwaltung die größte Bedeutung haben. Small Business Server 2008 lagert Informationen aus dem physischen Hauptspeicher in die Auslagerungsdatei aus, wenn
140
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Konfiguration der Auslagerungsdatei
nicht genügend Hauptspeicher zur Verfügung steht. Der Server kann zwar, ausreichend freie Festplattenkapazität vorausgesetzt, fast beliebig viel Speicher auslagern. Es ist aber relativ schnell der Punkt erreicht, an dem diese Auslagerung zu langsam wird. Die Überwachung der Auslagerung spielt daher bei der Analyse eine wichtige Rolle. Sie sollten die Auslagerungsdatei auf eine andere physische Festplatte des Servers verschieben, damit Schreibzugriffe auf die Auslagerungsdatei nicht von Schreibzugriffen auf der Festplatte ausgebremst werden. Wenn keine zweite physische Festplatte zur Verfügung steht, ist ein Verschieben nicht sinnvoll, da die Auslagerung auf eine Partition, die auf derselben Platte liegt, keine positiven Auswirkungen hat. Zusätzlich sollten Sie die Größe der Auslagerungsdatei auf das etwa 2,5-fache des tatsächlichen Arbeitsspeichers legen. Damit wird die Fragmentierung der Datei minimiert. Die maximale Größe der Auslagerungsdatei von 4.095 MB wurde unter Small Business Server 2008 aufgehoben. Die Einstellungen für die Auslagerungsdatei finden Sie über Start/Systemsteuerung/System/Erweiterte Systemeinstellungen auf der Registerkarte Erweitert über die Schaltfläche Einstellungen im Bereich Leistung. 1. Klicken Sie auf Erweitert/Virtueller Arbeitsspeicher/Ändern. 2. Deaktivieren Sie das Kontrollkästchen Auslagerungsdateigröße für alle Laufwerke automatisch verwalten. 3. Aktivieren Sie die Option Benutzerdefinierte Größe. 4. Setzen Sie bei Anfangsgröße und bei Maximale Größe in etwa das 2,5-fache Ihres Arbeitsspeichers ein. Dadurch ist sichergestellt, dass die Datei nicht fragmentiert wird, da diese immer die gleiche Größe hat. Setzen Sie die Größe der Auslagerungsdatei für Laufwerk C: auf 0. 5. Klicken Sie auf Festlegen. 6. Schließen Sie alle Fenster und starten Sie den Server neu. Abbildg. 4.24
Konfigurieren der Auslagerungsdatei in Small Business Server 2008
141
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 4
Konfigurieren der Grundeinstellungen
Diagnose des Servers und von Active Directory Treten in Ihrem Active Directory Probleme auf, können Sie oft leicht bereits mit Bordmitteln eine Diagnose durchführen und die Lösung für das Problem finden. Auch beim Installieren von neuen Domänencontrollern oder wenn Sie sich einen Überblick über die Replikation der Domänencontroller verschaffen wollen, helfen Bordmittel. Vor allem nach der Installation eines Domänencontrollers ist eine Diagnose sinnvoll, um die Stabilität zu gewährleisten.
Überprüfung der Ereignisanzeigen Nach der erfolgreichen Einrichtung sollte der erste Blick in die Ereignisanzeigen des Servers gehen. Hier sehen Sie auf einen Blick, welche Komponenten des Servers noch Probleme bereiten. Small Business Server 2008 schreibt deutlich mehr Einträge in die Ereignisanzeigen als seine Vorgänger, sodass auch Fehler protokolliert werden, die keine dauerhaften Schäden hinterlassen. Dennoch ist es sehr wichtig, dass Sie die Ereignisanzeigen überprüfen und den Fehlern nachgehen. Sie finden die Ereignisanzeigen am besten, wenn Sie eventvwr.msc in das Ausführen-Feld des Startmenüs eingeben und bestätigen. Sie finden auf den folgenden Internetseiten ausführliche Hilfen zu den einzelnen Einträgen in der Ereignisanzeige: 쐍 www.eventid.net 쐍 www.experts-exchange.com 쐍 support.microsoft.com Abbildg. 4.25
Überprüfen der Small Business Server 2008-Ereignisanzeige
142
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Diagnose des Servers und von Active Directory
Vor allem auf der Seite www.eventid.net finden Sie Informationen zu so gut wie allen möglichen Einträgen in Ereignisanzeigen und mögliche Lösungsansätze. Durch diese Seite finden Sie entweder die Information sofort oder wissen zumindest, wo Sie suchen müssen. Auch in der Microsoft Knowledge Base unter http://support.microsoft.com (ohne www) gibt es viele hilfreiche Artikel. Auch hier sollten Sie immer besser mit den englischen Antworten arbeiten, da die meisten Artikel in der KB in englisch zur Verfügung stehen. Im nächsten Abschnitt zeigen wir Ihnen, wie Sie eine Diagnose Ihrer Domänencontroller entweder direkt nach der Installation oder im Fehlerfall durchführen.
Windows Small Business Server 2008 Best Practices Analyzer Ein wichtiges Werkzeug zur Diagnose von Small Business Server 2008 nach der Installation ist der Windows Small Business Server 2008 Best Practices Analyzer (BPA). Laden Sie sich diesen von der Internetseite http://www.microsoft.com/downloads/details.aspx?FamilyId=86A1AA32-9814-484E-BD433E42AEC7F731&displaylang=en herunter und installieren Sie ihn auf dem Server. Der BPA überprüft den Server auf Fehler und gibt einen schnellen Überblick über das Befinden Ihres Small Business Servers. Während der Installation können Sie auswählen, dass sich das Tool direkt in die Windows SBS Console integriert. Abbildg. 4.26
Installieren des BPA für Small Business Server 2008 und Integrieren des Tools in die Windows SBS Console
Um den Server zu testen, rufen Sie das Tool zunächst auf. Wählen Sie auf der Startseite zunächst die Aktualisierung des Tools aus. Der BPA überprüft anschließend, ob Microsoft neue Regeln für die Überprüfung integriert hat. Als Nächstes starten Sie einen Scan des Servers. Dieser dauert wenige Minuten. Anschließend erhalten Sie Informationen über den aktuellen Zustand des Servers und können Fehler und falsche Konfigurationen rechtzeitig entfernen. Idealerweise sollte das Tool keinerlei Fehler finden.
143
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 4
Abbildg. 4.27
Konfigurieren der Grundeinstellungen
Überprüfung von Small Business Server 2008 mit dem SBS 2008 Best Practices Analyzer
Die Diagnose mit dem BPA reicht jedoch noch nicht aus. Sie sollten den Server mit weiteren Tools testen, die wir in den folgenden Abschnitten besprechen.
Exchange Server Best Practices Analyzer (ExBPA) Der Exchange Server Best Practices Analyzer (ExBPA) ist ein kostenloses Tool von Microsoft, das in Exchange Server 2007 fest in die Exchange-Verwaltungskonsole integriert worden ist. Sie finden ihn im Bereich Toolbox. Er überprüft die Installation eines Exchange Servers und gibt Verbesserungsvorschläge für eventuell notwendige Nacharbeiten. Sie finden die Exchange-Verwaltungskonsole über Start/ Alle Programme/Microsoft Exchange Server 2007. Laut Microsoft sind 80 % aller Support-Anfragen auf fehlerhafte Konfigurationen zurückzuführen. Der ExBPA geht solchen Fehlkonfigurationen auf den Grund und gibt einen ersten Überblick über die Konfiguration der Exchange Server. Der ExBPA ist mittlerweile nicht nur ein nettes Zusatztool, sondern extrem wichtig bei der Analyse von Problemen. Microsoft aktualisiert das Programm ständig und bietet neue Regeln zum Download an. Aktuell gibt es bereits über 2.000 integrierte Regeln, die jede einzelne auf die Exchange-Organisation angewendet wird. Sollte der ExBPA einen Fehler aufgrund einer solchen Fehlkonfiguration feststellen, gibt er einen Hinweis aus, wie das Problem behoben werden kann. Administratoren und Berater, die Fehler im Bereich Exchange beheben müssen, können mit diesem Werkzeug an zentraler Stelle die wichtigsten Informationen über die Exchange-Organisation abrufen und erhalten gleich Lösungsvorschläge, wie vorhandene Fehlkonfigurationen beseitigt werden können.
144
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Diagnose des Servers und von Active Directory
Abbildg. 4.28
Best Practices Analyzer in der Exchange-Verwaltungskonsole
Der ExBPA behebt nicht nur Fehlkonfigurationen, sondern testet auch die Performance sowie den Patchlevel der Server. Der Vorteil des Tools sind das automatische Abarbeiten komplexer Konfigurationstests sowie die Dokumentation der Konfiguration und eventueller Fehler. Es ist nicht mehr notwendig, dass Administratoren zahlreiche Whitepapers durcharbeiten, um Exchange zu optimieren, sondern der ExBPA gibt detaillierte Informationen zur Optimierung von Exchange Server 2007. Das Tool deckt Fehler auf, die aktuell noch nicht mal einem Administrator auffallen, erkennt Fehler bereits frühzeitig und hilft bei der Lösung. Der ExBPA in Exchange Server 2007 überprüft auch die notwendigen Berechtigungen und gibt entsprechende Berichte über die Konfiguration aus. Die Oberfläche und der Umgang mit dem Tool sind sehr übersichtlich und leicht zu verstehen. Auch sehr komplexe Umgebungen können mit dem Tool gescannt und überwacht werden. Es gibt keine Enterprise- oder Standardversion, der Einsatz ist in allen denkbaren Szenarien möglich. Eine schnellere Möglichkeit, die Konfiguration einer Exchange-Organisation abzurufen, gibt es nicht, und Sie können durch die Verwendung extrem viel Zeit sparen, da Sie die Einstellungen nicht manuell überprüfen müssen. Das Tool basiert auf XML und ist in C# programmiert. Der Ablauf bei der Bedienung ist ähnlich zum SBS BPA. Lassen Sie das Tool nach dem Start zunächst aktualisieren und scannen dann den Server auf eventuelle Fehler und Probleme. Klicken Sie doppelt auf einen Fehler, weist der BPA auf eventuelle Lösungsansätze hin. Meistens lassen sich über die einzelnen Fehler direkt Links von Technet-Seiten aufrufen, die bei der Fehlerbehebung helfen.
145
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 4
Abbildg. 4.29
Konfigurieren der Grundeinstellungen
Überprüfen der Exchange-Komponente von Small Business Server 2008 auf Fehler
HINWEIS Die Installationsroutine von Exchange Server 2007 führt eine eigene Logdatei, in der alle Informationen der Installation gespeichert werden. Diese Datei trägt die Bezeichnung ExchangeSetup.log und wird im Verzeichnis C:\ExchangeSetupLogs abgelegt. Hier werden alle Informationen abgelegt, die während der Installation anfallen. Zusätzlich gibt es aus Kompatibilitätsgründen noch die Datei Exchange Server Setup Progress.log, die auch unter Exchange 2000/ 2003 verwendet wurde. Untersuchen Sie Probleme während der Installation von Exchange Server 2007, sollten Sie jedoch die Datei ExchangeSetup.log verwenden, da diese Datei mehr Informationen enthält, nach denen Sie auch im Internet suchen können, wenn Probleme auftreten. Treten Probleme während der Installation auf, haben Sie die größte Chance, in dieser Logdatei den Fehler zu finden. Geben Sie den entsprechenden Fehler in eine Suchmaschine ein, finden Sie bereits ausführliche Hilfen zum Problem. Die Logdateien der Exchange Server 2007-Installation liegen im Textformat vor und können von jedem Texteditor gelesen werden. Normalerweise werden diese Protokolldateien nur im Fehlerfall benötigt. In der Datei ExchangeSetup.msilog werden die Informationen gespeichert, die der Windows Installer während der Extraktion der ExchangeServer-Installationsdateien protokolliert.
146
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Diagnose des Servers und von Active Directory
Verwenden der Domänencontroller-Diagnose (dcdiag.exe) Das wichtigste Tool für die Diagnose von Domänencontrollern ist dcdiag.exe. Sie können das Tool in der Befehlszeile aufrufen, indem Sie dcdiag eingeben. Unter Windows Server 2003 mussten Sie dieses Tool noch nachträglich installieren. Eine ausführliche Diagnose erhalten Sie durch dcdiag /v. In diesem Fall sollten Sie jedoch die Ausgabe in eine Datei umleiten, da Sie dadurch das Ergebnis besser durchlesen und eventuell auch an einen Spezialisten weiterleiten können. Die Befehlszeile könnte dann zum Beispiel dcdiag/v >c:\dcdiag.txt lauten. Für die erste Überprüfung reicht die normale Diagnose mit dcdiag jedoch vollkommen aus. Im Folgenden gehe ich mit Ihnen die wichtigsten Informationen durch, die bei der Diagnose mit dcdiag eine Rolle spielen. Listing 4.1
Ausgabe einer dcdiag-Diagnose Directory Server Diagnosis Performing initial setup: Trying to find home server... Home Server = sbs * Identified AD Forest. Done gathering initial info. Doing initial required tests Testing server: Default-First-Site-Name\SBS Starting test: Connectivity Warning during resolution of hostname sbs.contoso.com through IPv6 stack. *** Warning: could not confirm the identity of this server in the directory versus the names returned by DNS servers. If there are problems accessing this directory server then you may need to check that this server is correctly registered with DNS. ......................... SBS passed test Connectivity - - - - -
873
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 19
Listing 19.1
Integrieren eines zusätzlichen Servers in das Small Business Server-Netzwerk
Empfohlenes Schema für die Installation von Serverrollen und -funktionen über XML-Antwortdateien (Fortsetzung) - - - - - - - - - - - - - -
874
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Serverrollen und -features in der Befehlszeile verwalten
Listing 19.1
Empfohlenes Schema für die Installation von Serverrollen und -funktionen über XML-Antwortdateien (Fortsetzung) - - - - - - - - - - - - - - - - - -
875
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 19
Listing 19.1
Integrieren eines zusätzlichen Servers in das Small Business Server-Netzwerk
Empfohlenes Schema für die Installation von Serverrollen und -funktionen über XML-Antwortdateien (Fortsetzung) - - - - - - - - - - - - - - - -
876
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Serverrollen und -features in der Befehlszeile verwalten
Listing 19.1
Empfohlenes Schema für die Installation von Serverrollen und -funktionen über XML-Antwortdateien (Fortsetzung) - - - - -
Beispiele Um eine Antwortdatei zu erstellen, müssen nicht immer solche komplexen Skripts erstellt werden. Oft reichen kurze Texte aus, um das gewünschte Ergebnis zu erzielen. Der folgende Text in einer XML-Datei installiert den DNS-Server, Webserver, Terminaldienstegateway, Message QueuingServer und .NET Framework 3.0. Dieser Text kann ohne Weiteres auch in Notepad erstellt werden. Wird der Zeilenumbruch aktiviert, können die einzelnen Zeilen auch angepasst werden. Nach der Bearbeitung kann die Datei einfach als C:\answer.xml gespeichert werden. Über den Befehl servermanagercmd –inputpath c:\answer.xml wird diese zur Installation verwendet. Da auf dem Server im Beispiel bereits DNS installiert ist, wird diese Rolle übersprungen. Abbildg. 19.26 Installieren von mehreren Rollen und Funktionen über eine Antwortdatei
877
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 19
Integrieren eines zusätzlichen Servers in das Small Business Server-Netzwerk
Anschließend arbeitet der Installationsassistent alle Rollen und Funktionen ab und meldet die erfolgreiche Installation. Durch den Befehl Remove anstelle des Befehls Install in der Antwortdatei werden die entsprechenden Rollen oder Funktionen wieder deinstalliert. Dazu können Sie in einer Testumgebung einfach die bereits erstellte XML-Datei öffnen und den Befehl von Install auf Remove ändern. Nachdem Sie auch diesen Befehl über servermanagercmd –inputpath c:\answer.xml gestartet haben, beginnt der Assistent mit der Deinstallation entsprechender Komponenten. Nicht installierte Komponenten werden dabei übersprungen, ohne dass der Vorgang abbricht. Abbildg. 19.27 Der Assistent entfernt die Komponenten, die in der Antwortdatei zur Deinstallation festgelegt wurden
Server in SBS-Domäne aufnehmen In einem Unternehmensnetzwerk können die Hauptvorteile der Microsoft-Betriebssysteme, sei es auf Ebene der Server oder der Clients, erst sinnvoll ausgespielt werden, wenn eine Active DirectoryDomäne gebildet wird. Neben der beschriebenen Möglichkeiten können Sie auch manuell Computer in einer SBS-Domäne aufnehmen. Wie das geht, zeigen wir Ihnen im folgenden Abschnitt.
Notwendige Netzwerkeinstellungen für die Domänenaufnahme Grundsätzlich ist der Ablauf mit dem unter Windows Server 2003 nahezu identisch. Der erste Schritt, einen Server in eine Windows-Domäne aufzunehmen, ist es, den Server erstmals mit dem Netzwerk zu verbinden und zu überprüfen, ob der Small Business Server mit dem Ping-Befehl ganz ohne Namensauflösung erreicht werden kann. Der nächste wichtige Schritt ist das Eintragen eines DNS-Servers in den IP-Einstellungen. Erst wenn ein DNS-Server eingetragen wurde, der die DNSZone der Active Directory-Domäne auflösen kann, ist eine Aufnahme in eine Windows-Domäne möglich. Bei der Verwendung von DHCP erhält der Server die IPv4-Konfiguration durch den DHCP-Server. Allerdings wird bei Servern eine statische IP-Adresse empfohlen. 878
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Server in SBS-Domäne aufnehmen
Erstellen eines Computerkontos für den Server in der Domäne Nachdem Sie die IP-Einstellungen korrekt vorgenommen haben, besteht der nächste Schritt darin, dass Sie für den Server in der Windows-Domäne ein Domänenkonto erstellen. Dieses Konto kann ohne Weiteres auch direkt auf dem Server erstellt werden. Dazu ist lediglich eine Authentifizierung eines Benutzerkontos notwendig, welches berechtigt ist, Computerkonten in der Domäne zu erstellen. 1. Um einen Computer in eine Windows-Domäne aufzunehmen, öffnen Sie am besten zunächst das Startmenü und klicken dann mit der rechten Maustaste auf den Menüpunkt Computer und wählen im zugehörigen Kontextmenü den Eintrag Eigenschaften. Es öffnet sich ein neues Fenster, über das Sie die Domänenmitgliedschaft des Computers anpassen können. 2. Klicken Sie dazu im Abschnitt Aufgaben auf den Link Erweiterte Systemeinstellungen. Im neuen Fenster wechseln Sie auf die Registerkarte Computername. Auf der Registerkarte Computername können Sie eine Beschreibung des Computers eintragen, die auch in den Verwaltungswerkzeugen von Active Directory angezeigt wird. Über die Schaltfläche Ändern können Sie am effizientesten einer Domäne beitreten oder den Namen des Computers ändern. Abbildg. 19.28
Aufnehmen eines Servers in eine Windows-Domäne
3. Wichtig ist an dieser Stelle, dass Sie den Namen der Domäne eingeben, in die der Server aufge-
nommen wird. Im Anschluss versucht der Server eine Verbindung zu der Domäne aufzubauen. Gelingt dies nicht, erscheint eine Fehlermeldung, die Sie detailliert darüber informiert, warum eine Domänenaufnahme nicht möglich ist. Meistens liegt ein solcher Fehler darin begründet, dass der DNS-Server in den IP-Einstellungen nicht stimmt oder der Computer keine Verbindung zum Domänencontroller, in diesem Fall dem SBS-Server, herstellen kann, weil der Netz879
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 19
Integrieren eines zusätzlichen Servers in das Small Business Server-Netzwerk
werkverkehr blockiert wird oder die IP-Adresse des Servers nicht stimmt. Überprüfen Sie daher an dieser Stelle diese Einträge. Wenn Sie die beschriebenen Einstellungen ohne Assistent ändern wollen, klicken Sie auf die Schaltfläche Ändern. Es erscheint ein neues Fenster, in dem Sie den Namen des Servers und die Domäne eintragen können, zu der Ihr Server eine Verbindung aufbauen soll. Verwenden Sie an dieser Stelle am besten den NetBIOS-Namen der Domäne. Wenn Sie auf OK klicken, baut der Server eine Verbindung zur Domäne auf und Sie müssen sich mit einem Benutzerkonto authentifizieren, welches Computerkonten in die Domäne aufnehmen darf. Sind alle Daten korrekt eingetragen worden, erhalten Sie eine Meldung, dass Sie der Domäne beigetreten sind. Nachdem Sie den erfolgreichen Beitritt zu der Windows-Domäne bestätigt haben, müssen Sie den Server neu starten. Abbildg. 19.29
Authentifizierung an der Domäne für den Beitritt des zweiten Servers
Erste Anmeldung an der Windows-Domäne Nachdem Ihr Server neu gestartet wurde, erhalten Sie die Meldung, dass Sie die Tastenkombination (Strg)+(Alt)+(Entf) drücken müssen, damit das Anmeldefenster erscheint. Diese Meldung wird aus Sicherheitsgründen angezeigt, damit auf Servern keine Trojaner oder Viren die Anmeldung der Domäne vortäuschen können, um an geheime Benutzerdaten zu gelangen. Erst wenn Sie diese Tastenkombination gedrückt haben, erscheint das bekannte Anmeldefenster von Windows Vista. Allerdings wird nicht unbedingt gleich die Anmeldung an der Domäne angezeigt. Nach der ersten Anmeldung am Server nach der Aufnahme in der Domäne wird unter Umständen noch der Anmeldename am lokalen Server angezeigt. Sie erkennen dies daran, dass Ihr Benutzername zusammen mit Ihrem Server-Namen angezeigt wird, was die lokale Anmeldung am Server symbolisiert. Sie können sich auch nach der Aufnahme in einer Domäne ohne Weiteres lokal anmelden, erhalten
880
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Server in SBS-Domäne aufnehmen
dann aber ein anderes Benutzerprofil, als mit dem Benutzerkonto in der Domäne. Klicken Sie auf die Schaltfläche Benutzer wechseln in der Anmeldemaske, erscheint eine neue Ansicht. Über die Auswahl der Option Anderer Benutzer können Sie ein Domänenkonto auswählen, mit dem Sie sich am Server anmelden können. Geben Sie an dieser Stelle am besten im oberen Feld den Namen Ihrer Domäne gefolgt von einem Rückstrich (Backslash = \) und dann dem Benutzernamen und dem Kennwort des Domänenkontos an. Klicken Sie im Anschluss entweder auf das blaue Symbol mit dem Pfeil neben dem Kennwort oder drücken die (¢)-Taste, um die Anmeldung vorzunehmen. Im Anschluss authentifiziert sich der Server an der Domäne und ein ganz neues Benutzerprofil wird erstellt. Wenn Sie sich das nächste Mal am Server anmelden, hat sich der Server die Anmeldung an der Domäne gemerkt und zeigt diese auch in der Anmeldemaske an. An dieser Stelle reicht jetzt das Angeben des Kennworts und Sie werden an der Domäne angemeldet. Wollen Sie sich an Ihrem Server lokal anmelden, wählen Sie einfach wieder die Schaltfläche Benutzer wechseln aus.
Erste Schritte in der Windows-Domäne Wenn Sie sich an der Domäne angemeldet haben, können Sie über den bereits beschriebenen Weg die Eigenschaften des Computerkontos aufrufen. Sie erkennen am Server-Namen, dass dieser automatisch mit dem primären DNS-Suffix der Active Directory-Domäne ergänzt wurde. Außerdem sehen Sie auf der Registerkarte Computername zusätzlich, welcher Domäne Ihr Server beigetreten ist. Sie können die Domänenmitgliedschaft jederzeit wieder rückgängig machen und aus der Domäne austreten. Dazu können Sie den gleichen Weg verwenden, den Sie bereits zur Aufnahme in die Domäne durchgeführt haben. Anschließend können Sie überprüfen, ob die Domänen-Benutzergruppen in die lokalen Gruppen des Servers aufgenommen worden sind. Wenn ein Server in eine Domäne aufgenommen wird, wird automatisch die Gruppe Domänen-Admins in die lokale Gruppe Administratoren aufgenommen. Die Domänen-Benutzergruppe Domänen-Benutzer wird in die lokale Gruppe Benutzer aufgenommen. Sie können die lokale Benutzerverwaltung über Start/Ausführen/lusrmgr.msc aufrufen. Durch die Aufnahme dieser beiden Gruppen wird sichergestellt, dass zum einen die Administratoren der Domäne über administrative Berechtigungen auf dem Server verfügen und die Benutzerkonten der Domäne die Möglichkeit erhalten, sich an den einzelnen Arbeitsstationen der Domäne zu authentifizieren. Fahren Sie mit der linken Maustaste über das Netzwerksymbol im Infobereich der Taskleiste, wird Ihnen angezeigt, an welcher Domäne der Server angeschlossen ist. Hier wird Ihnen der DNS-Name der Domäne angezeigt. Öffnen Sie das Netzwerk- und Freigabecenter, wird die Verbindung zur Domäne angezeigt und zusätzlich die Netzwerkverbindung zum Domänennetzwerk erklärt. Rufen Sie auf dem Domänencontroller im SnapIn Active Directory-Benutzer und -Computer die Eigenschaften eines Servers auf, können Sie sich auf der Registerkarte Betriebssystem auch die Edition anzeigen lassen. Sie können dieses Snap-In auf dem Domänencontroller über den Server-Manager oder Start/Ausführen/dsa.msc aufrufen.
881
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 19
Integrieren eines zusätzlichen Servers in das Small Business Server-Netzwerk
Zusätzlicher Domänencontroller Haben Sie eine neue Domäne installiert, sollten Sie immer so schnell wie möglich einen zusätzlichen Domänencontroller installieren. Den zweiten Server im Netzwerk können Sie, neben der Installation von Programmen und des SQL-Servers, auch als zweiten Domänencontroller betreiben. Die Installation ist schnell durchgeführt und Sie können damit sichergehen, dass die Daten der Active Directory-Domäne bei Ausfall des ersten Servers nicht verloren gehen können. Wir zeigen Ihnen im folgenden Abschnitt, wie zusätzliche Domänencontroller in einer Domäne installiert werden. Dabei muss es sich nicht gezwungenermaßen um einen schreibgeschützten Domänencontroller handeln, wir gehen aber in diesem Beispiel davon aus. RODCs können von Clients mit Windows Server 2003/ 2008 und Windows XP/Vista verwendet werden. Es sind keine Änderungen an diesen Betriebssystemen notwendig. HINWEIS Wollen Sie einen schreibgeschützten Domänencontroller (RODC) installieren, achten Sie darauf, dass der PDC-Emulator der Domäne auf einem Windows Server 2008-DC positioniert sein muss. Außerdem muss sich die Gesamtstruktur mindestens im Windows Server 2003-Betriebsmodus befinden. Ein RODC empfängt Daten der Domänenpartition nur von Windows Server 2008Domänencontrollern. Andere Daten aus Active Directory können auch von Windows Server 2003Domänencontrollern empfangen werden. Das heißt, in jeder Domäne muss es mindestens einen normalen Windows Server 2008-Domänencontroller geben, der vom RODC zur Replikation erreicht werden kann.
Vorbereitungen für die Integration eines zusätzlichen Domänencontrollers in eine Domäne Der erste Schritt bei der Integration eines zusätzlichen Domänencontrollers in eine Domäne besteht aus der Installation des Betriebssystems. Achten Sie darauf, dass Sie den Server mit dem gleichen Stand des Betriebssystems installieren, damit Sie eine homogene Umgebung erhalten.
Computername und primäres DNS-Suffix Geben Sie dem zusätzlichen Domänencontroller zunächst einen passenden Namen, zum Beispiel dc02, und konfigurieren Sie das primäre DNS-Suffix auf dem Server. Gehen Sie bei diesem Schritt so vor wie bei der Erstellung des ersten Domänencontrollers.
DNS-Erweiterung installieren Installieren Sie auf dem Rechner nach dem Neustart des Servers, wie beim ersten Server, ebenfalls die DNS-Erweiterung. Wurde der Server als Domänencontroller in Active Directory mit aufgenommen, steht er ebenfalls als DNS-Server für die Mitgliedsserver und Arbeitsstationen zur Verfügung.
Konfigurieren der IP-Einstellungen Weisen Sie dem zusätzlichen Domänencontroller zunächst den ersten Domänencontroller, den Sie installiert haben, als bevorzugten DNS-Server zu. Später kann diese Einstellung noch abgeändert werden, aber für das Beitreten der Domäne muss der Server einen DNS-Server in der Domäne erreichen können.
882
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Zusätzlicher Domänencontroller
Integration eines neuen Domänencontrollers Rufen Sie im Anschluss über Start/Ausführen/dcpromo den Installationsassistenten von Active Directory auf dem neuen Domänencontroller auf. Aktivieren Sie die erweiterte Konfiguration. Auf dem ersten Fenster wählen Sie die Option Vorhandene Gesamtstruktur und dann Domänencontroller vorhandener Domäne hinzufügen. Abbildg. 19.30 Hinzufügen eines Domänencontrollers zu einer bestehenden Domäne
Auf der nächsten Seite des Assistenten ist automatisch die Option Alternative Anmeldeinformationen aktiviert. Über die Schaltfläche Festlegen müssen Sie das Konto eines Administrators festlegen, der über die Rechte verfügt, Domänencontroller zu einer Domäne hinzuzufügen. Außerdem müssen Sie auf dieser Seite den DNS-Namen der Domäne angeben, der Sie einen Domänencontroller hinzufügen wollen. Sie können zwar auch mit dem NetBIOS-Namen der Domäne arbeiten, aber die Auflösung per DNS geht schneller und ist zuverlässiger. Wichtig ist an dieser Stelle nicht, dass Sie dieser hier angegebenen Domäne einen zusätzlichen Domänencontroller hinzufügen, sondern dass Sie sich an der Gesamtstruktur authentifizieren. Damit Sie sicherstellen, dass die Authentifizierung und die Verbindung auch zur Domäne passen, der Sie einen Domänencontroller hinzufügen wollen, ist hier die Angabe dieser Domäne der beste Weg. Im nächsten Fenster wählen Sie schließlich exakt die Domäne in der verbundenen Gesamtstruktur aus, der Sie einen zusätzlichen Domänencontroller hinzufügen wollen.
883
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 19
Integrieren eines zusätzlichen Servers in das Small Business Server-Netzwerk
Abbildg. 19.31 Auswählen der Domäne für den zusätzlichen Domänencontroller
Als Nächstes wählen Sie den physischen Standort aus, in welchen der Domänencontroller positioniert wird. Diese Möglichkeit ist neu in Windows Server 2008. Bei Windows Server 2003 wurde die Zuweisung nur automatisiert durchgeführt, eine manuelle Zuweisung während dem Heraufstufen war nicht möglich. Active Directory bietet die Möglichkeit, eine Gesamtstruktur in mehrere Standorte zu unterteilen, die durch verschiedene IP-Subnetze voneinander getrennt sind. Durch diese physische Trennung der Standorte ist es nicht notwendig, für jede Niederlassung eine eigene Domäne zu erstellen. An jedem Standort müssen zwar weiterhin Domänencontroller installiert werden, allerdings kann die Domäne von einem zentralen Standort aus verwaltet werden, von dem die Änderungen auf die einzelnen Standorte repliziert werden können. Die Replikation zwischen verschiedenen Standorten in Active Directory läuft weitgehend automatisiert ab. Damit die Replikation aber stattfinden kann, müssen Sie zunächst die notwendige Routingtopologie erstellen. Bei der Erstellung der Routingtopologie fallen hauptsächlich folgende Aufgaben an: 쐍 Erstellen von Standorten in der Active Directory-Verwaltung 쐍 Erstellen von IP-Subnetzen und Zuweisen an die Standorte 쐍 Erstellen von Standortverknüpfungen für die Replikation von Active Directory 쐍 Konfiguration von Zeitplänen und Kosten für die optimale Standort-Replikation Damit Sie die standortübergreifende Replikation von Active Directory verwenden können, sollten Sie in jedem Standort, an dem später ein Domänencontroller angeschlossen wird, ein unabhängiges IP-Subnetz verwenden. Dieses IP-Subnetz wird in der Active Directory-Verwaltung hinterlegt und dient fortan zur Unterscheidung der Standorte in Active Directory. Das wichtigste Verwaltungswerkzeug, um Standorte in Active Directory zu verwalten, ist das Snap-In Active Directory-Standorte und -Dienste, das auch über den Server-Manager zur Verfügung gestellt wird. 884
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Zusätzlicher Domänencontroller Abbildg. 19.32 Auswählen des physischen Standorts
Auf der nächsten Seite des Assistenten legen Sie fest, ob der neue Domänencontroller zum globalen Katalog konfiguriert werden soll. Außerdem können Sie an dieser Stelle festlegen, dass der Domänencontroller nur als schreibgeschützter Domänencontroller verwendet wird, also dieser Server keine Änderungen entgegennimmt, außer als Replikation von seinem übergeordneten Domänencontroller. Abbildg. 19.33 Konfiguration des zusätzlichen Domänencontrollers als schreibgeschützter Domänencontroller (RODC)
885
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 19
Integrieren eines zusätzlichen Servers in das Small Business Server-Netzwerk
Auf der nächsten Seite wählen Sie die Benutzergruppen oder direkt die Benutzer aus, deren Kennwörter auf den RODC repliziert werden dürfen. Wird für eine Gruppe die Replikation des Kennworts verweigert, steht den Mitgliedern dieser Gruppe der RODC nicht als Anmeldeserver zur Verfügung, da er die Kennwörter nicht verifizieren kann. Durch diese Konfiguration können Sie recht leicht festlegen, welche Benutzer sich an diesem DC anmelden dürfen und welche nicht. Diese Richtlinien spielen für die Authentifizierung von Benutzern an einem Domänencontroller eine wichtige Rolle. Authentifiziert sich ein Benutzer an einem RODC, kontaktiert dieser einen normalen DC, um die Anmeldeinformationen zu kopieren. Der DC erkennt, dass die Anforderung von einem RODC kommt und überprüft auf Basis der Richtlinien für die Kennwortreplikation, ob diese Daten zu dem jeweiligen RODC übertragen werden dürfen. Wird die Replikation durch die Richtlinie gestattet, werden die Anmeldeinformationen vom DC zum RODC übertragen und dort zwischengespeichert, sodass weitere Anmeldungen deutlich schneller ablaufen. Abbildg. 19.34 Festlegen der Benutzergruppen und deren Replikationsrechte für Kennwörter
In der OU Users gibt es bereits die standardmäßigen Benutzergruppen Zulässige RODC-Kennwortreplikationsgruppe und Abgelehnte RODC-Replikationsgruppe. Benutzerkonten, die Sie diesen Benutzergruppen zuordnen, können sich an diesem Domänencontroller anmelden, da die Kennwörter repliziert wurden (Zulässige RODC-Kennwortreplikationsgruppe ), oder Sie können sich nicht anmelden, da die Kennwörter nicht zur Verfügung stehen (Abgelehnte RODC-Replikationsgruppe). Sie können die Einstellungen die Sie auf diesem Fenster vornehmen, jederzeit über die Eigenschaften des Computerkontos im Server-Manager wieder anpassen, nachdem der Server zum Domänencontroller heraufgestuft worden ist. Auf der nächsten Seite des Assistenten geben Sie eine Benutzergruppe an, welche die Berechtigung erhält, den Domänencontroller zu verwalten. Mitglieder der angegebenen Gruppe dürfen den Server verwalten beziehungsweise Änderungen auf dem Server vornehmen. Die Gruppe oder der Benutzer, die Sie hier angeben, erhalten lokale Administratorberechtigungen auf dem Controller, aber über keinerlei Rechte in der Active Directory-Domäne. 886
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Zusätzlicher Domänencontroller Abbildg. 19.35 Neue Standardgruppen in Active Directory, über die Sie die Replikation der Kennwörter auf
schreibgeschützte Domänencontroller konfigurieren können
Abbildg. 19.36 Auswählen der Benutzergruppen für den Zugriff und die Installation
auf den schreibgeschützten Domänencontroller
887
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 19
Integrieren eines zusätzlichen Servers in das Small Business Server-Netzwerk
Im nächsten Fenster legen Sie fest, ob der Domänencontroller die Daten von Active Directory über das Netzwerk oder die WAN-Leitung erhalten soll oder ob Sie die Datensicherung Ihres Active Directory verwenden. Diese Option ist vor allem sinnvoll, wenn Sie einen neuen Domänencontroller für eine kleine Niederlassung installieren. Ist diese Niederlassung nur über eine schmalbandige WAN-Leitung angebunden, kann die Replikation der Active Directory-Daten sehr lange dauern und vor allem die Leitung blockieren. Sie können an dieser Stelle auch auf einem Domänencontroller in der Zentrale eine Datensicherung des Servers vornehmen, diese auf CD brennen und mit der Post verschicken und dann erst auf dem Server einlesen. Abbildg. 19.37 Festlegen des Quellmediums für die Active Directory-Replikation
Auf der nächsten Seite des Assistenten wählen Sie aus, von welchem Domänencontroller Sie die Replikation zum neuen Domänencontroller für die Installation ausführen wollen. Alle weiteren Fenster sind identisch mit der Installation des ersten Domänencontrollers. Im Anschluss beginnt der Assistent mit der Installation von Active Directory auf dem Domänencontroller und repliziert die Daten auf den lokalen Domänencontroller. Hat der Assistent seine Arbeit beendet, können Sie den Server neu starten und sich in der Domäne anmelden. Die Installation des zusätzlichen Domänencontrollers ist damit abgeschlossen. Das Konto des neuen Domänencontrollers wird im Server-Manager angezeigt, auch dessen Typ.
888
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Zusätzlicher Domänencontroller Abbildg. 19.38 Auswählen des Replikationspartners für den neuen Domänencontroller
ACHTUNG
Einschränkungen für schreibgeschützte Domänencontroller
Beim Einsatz von RODCs müssen einige Einschränkungen beachtet werden:
쐍 An jedem Active Directory-Standort wird pro Windows-Domäne nur ein einzelner schreibgeschützter Domänencontroller (RODC) unterstützt
쐍 Zwischen RODCs kann keine Replikation durchgeführt werden 쐍 Wird am Active Directory-Standort ein Exchange-Server betrieben, muss an diesem Standort auch ein normaler Domänencontroller positioniert werden. Exchange Server 2003/2007 unterstützen keine RODCs für den Zugriff auf den globalen Katalog. Diese Einschränkung soll mit Windows Server 2008 R2 wegfallen.
쐍 Fällt die WAN-Verbindung zwischen RODC und einem schreibgeschützten Domänencontroller aus, können am Standort mit dem RODC keine Kennwortänderungen der Anwender durchgeführt werden. Auch Computerkonten können nicht angelegt werden. Außerdem wird die Anmeldung aller Konten, deren Kennwörter nicht auf den RODC repliziert wurden, abgelehnt.
쐍 Werden an einem Standort mit einem RODC neue Computerkonten aufgenommen, werden die dazu notwendigen RID von einem schreibgeschützten Domänencontroller bezogen. Ein RODC verfügt über keinen RID-Pool.
Damit sich Benutzer aus der Domäne an einem RODC authentifizieren können, müsse diese zwingend in der Gruppe Zulässige RODC-Kennwortreplikationsgruppe sein, ansonsten wird die Anmeldung verweigert. In den Eigenschaften des Computerkontos des schreibgeschützten Domänencontrollers auf der Registerkarte Kennwortreplikationsrichtlinie werden alle auf dem RODC zwischengespeicherten Kennwörter und Benutzer angezeigt, wenn auf die Schaltfläche Erweitert geklickt wird.
889
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 19
Integrieren eines zusätzlichen Servers in das Small Business Server-Netzwerk
Delegierung der RODC-Installation Da es sich bei RODC meistens um Server in Niederlassungen handelt, besteht auch die Möglichkeit, die Installation des Servers zu delegieren. Dazu wird vorher ein neues Computerkonto für den RODC in der Domäne erstellt und der Administrator vor Ort darf den Server dann installieren und zum RODC der Domäne heraufstufen. Gehen Sie dazu folgendermaßen vor: 1. Öffnen Sie das Snap-In Active Directory-Benutzer und -Computer. 2. Klicken Sie in der OU Domain Controllers für die Domäne, in der Sie den RODC installieren wollen, mit der rechten Maustaste. 3. Wählen Sie Alle Aufgaben\Konto für schreibgeschützten Domänencontroller vorbereiten. 4. Anschließend startet der Assistent. 5. Geben Sie den Namen des RODCs ein. Der Administrator vor Ort muss anschließend den Server exakt so benennen. 6. Anschließend können alle Optionen genauso vorgegeben werden, wie bei der normalen Installation eines RODC. 7. Der Administrator kann auf dem RODC vor Ort anschließend den Assistenten über dcpromo/ UseExistingAccount:Attach aufrufen. Abbildg. 19.39
Vorbereiten eines Kontos für einen RODC
HINWEIS Wird ein schreibgeschützter Domänencontroller (RODC) gestohlen, enthält dieser ausschließlich nur die Daten der Benutzerkonten, die zur Replikation auf den Server explizit ausgewählt wurden. Alle anderen Daten von Active Directory sind auf dem Server nicht verfügbar und können daher auch nicht ausgelesen werden. Entfernt ein Administrator das Computerkonto des gestohlenen Domänencontrollers, erhält er ein Auswahlfenster, auf dem die Kennwörter der Benutzer und Computer, die auf den RODC repliziert wurden, zurückgesetzt werden können. Selbst wenn es einem Dieb gelingen sollte, diese Daten vom RODC auszulesen, sind diese wertlos, weil sie zurückgesetzt wurden. Bei diesem Vorgang werden nicht die Benutzer- und Computerkonten selbst gelöscht, sondern ausschließlich nur die Kennwörter, welche von den Anwendern 890
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Zusätzlicher Domänencontroller
neu festgelegt werden können. Diese Daten können außerdem nicht nur zurückgesetzt werden, sondern über den Assistenten besteht auch eine Export-Möglichkeit der Konten, sodass auch manuell vorgegangen werden kann.
Notwendige Nacharbeiten nach der Integration eines zusätzlichen Domänencontrollers Haben Sie den Domänencontroller in die Domäne aufgenommen, sollten Sie zunächst noch einige Nacharbeiten durchführen, um den Domänencontroller optimal einzubinden. Zunächst sollten Sie auf dem neuen Domänencontroller das Snap-In der DNS-Verwaltung starten. Überprüfen Sie, ob die Daten der DNS-Zonen auf den Domänencontroller repliziert wurden. Ist sichergestellt, dass die DNS-Daten repliziert wurden, ist die DNS-Funktionalität auf dem zusätzlichen Domänencontroller vorhanden. Die Replikation kann allerdings durchaus einige Minuten dauern.
Optimierung der IP-Einstellungen auf den Domänencontrollern Im nächsten Schritt sollten Sie die IP-Einstellungen auf den Domänencontrollern optimieren. Tragen Sie in den IP-Einstellungen jeweils den anderen Domänencontroller als bevorzugten Server und als alternativen Domänencontroller den Controller selbst ein, zumindest dann, wenn sich beide am selben Standort befinden. Durch diese Konfiguration ist sichergestellt, dass die beiden Domänencontroller über Kreuz die Namen auflösen können. Wird ein Domänencontroller neu gestartet, besteht die Möglichkeit, dass der DNS-Dienst vor Active Directory beendet wird und das Herunterfahren unnötig lange dauert. In diesem Fall werden darüber hinaus noch Fehlermeldungen in der Ereignisanzeige protokolliert. Aus Gründen der Ausfallsicherheit ist es daher immer am besten, wenn ein Domänencontroller jeweils einen anderen Domänencontroller als bevorzugten DNS-Server verwendet, und nur wenn dieser bevorzugte Server nicht zur Verfügung steht, seine eigenen Daten verwendet. Haben Sie diese Einstellungen vorgenommen, können Sie mit nslookup in der Befehlszeile überprüfen, ob die Namensauflösung auf den Domänencontrollern noch fehlerfrei funktioniert. Öffnen Sie dazu eine Befehlszeile und geben Sie nslookup ein. Geben Sie danach einmal die Bezeichnung des ersten und dann die des zweiten Domänencontrollers ein, also in diesem Beispiel dc01.contoso.com und dc02.contoso.com. Auf dem anderen Domänencontroller sollten Sie diese Aufgaben ebenfalls durchführen. Es sollte kein Fehler angezeigt werden, damit sichergestellt ist, dass die Namensauflösung funktioniert.
Replikation der beiden Domänencontroller überprüfen Nach einigen Minuten sollten Sie die Replikation der beiden Domänencontroller überprüfen. Starten Sie dazu das Snap-In Active Directory-Standorte und -Dienste. Navigieren Sie zum Menü des Namens des Standorts und öffnen Sie das Menü Servers. An dieser Stelle sollten beide Domänencontroller angezeigt werden. Klicken Sie bei den Servern auf das Pluszeichen, sehen Sie darunter einen weiteren Menüpunkt mit der Bezeichnung NTDS-Settings. Klicken Sie auf diesen Menüpunkt, wird auf der rechten Seite jeder Replikationspartner des Domänencontrollers angezeigt. Klicken Sie auf diese automatisch erstellten Verbindungen mit der rechten Maustaste, können Sie aus dem Menü die Option Jetzt replizieren auswählen. Im Anschluss daran erscheint ein Fenster, das Sie über die erfolgreiche Replikation informiert. Führen Sie diese Replikation für beide Domänencontroller durch, damit sichergestellt ist, dass die Active Directory-Replikation zwischen den beiden Domänencontrollern funktioniert. Damit ist die Erstellung des zusätzlichen Domänencontrollers abgeschlossen und Sie haben alle notwendigen Maßnahmen zur Überprüfung durchgeführt. 891
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 19
Integrieren eines zusätzlichen Servers in das Small Business Server-Netzwerk
Grundlagen für ein Ausfallkonzept Der erste Schritt eines Ausfallkonzepts besteht darin, bereits frühzeitig Einflüsse zu erkennen, die den Ausfall eines Servers begünstigen könnten. Der erste und wichtigste Schritt eines Ausfallkonzepts ist, einen Ausfall zu verhindern. Dazu gehört eine effiziente Planung des Netzwerks und der einzelnen Server. Ein solches Konzept beinhaltet aber auch eine vernünftige Sicherheits- und Berechtigungsstruktur. Natürlich enthält es auch die Planung und konsequente Umsetzung eines optimalen Serverraums sowie der Stromversorgung. Die letzte notwendige Voraussetzung für ein effizientes Ausfallkonzept ist eine gut geplante Datensicherung mit allen Möglichkeiten, um Dateien schnell und effizient wiederherzustellen. Erst wenn alle Voraussetzungen erfüllt sind, wird als Letztes ein Ausfallkonzept erstellt. Wenn Sie in einem Unternehmen alles unternommen haben, damit die Server möglichst nicht ausfallen, dass Daten schnell wiederhergestellt werden können und dass niemand unberechtigt Einfluss auf die Daten nehmen kann, dann können Sie sich an die Erstellung eines Ausfallkonzepts machen. Ein Ausfallkonzept soll Ihnen helfen, falls unvorhergesehene Ausfälle passieren. Eine gute Netzwerkplanung soll vorhersehbare Ausfälle verhindern. Wenn Sie sich bereits Gedanken über einen Serverausfall machen, der noch gar nicht eingetreten ist, bleibt Ihnen genügend Zeit, notwendige Gegenmaßnahmen zu planen, ohne unter Zeitdruck zu stehen. Wenn einer oder mehrere Server ihre Funktion eingestellt haben, können keine Gegenmaßnahmen getroffen werden, sondern es wird nur reagiert und mit allen möglichen Mitteln versucht, den Server wieder ans Laufen zu bringen.
Dokumentationen für das Ausfallkonzept Der Aufbau eines Ausfallskonzepts muss sehr strukturiert durchgeführt werden. Sehr wichtig dabei ist die Berücksichtigung wirklich jedes erdenklichen Problemfalls. Ein Ausfallkonzept macht keinen Sinn, wenn Sie sich zu einem großen Teil darauf verlassen, dass schon nichts schief gehen wird. Das Ausfallkonzept wird in einem Ordner aufbewahrt, der alle notwendigen Informationen enthält. Dieser Ordner muss an bekannter Stelle gelagert werden, damit er für den notwendigen Personenkreis zum Zugriff bereitsteht.
Dokumentation der Server Eine gute Dokumentation gehört eigentlich nicht speziell zu einem Ausfallkonzept, sondern ist eine Selbstverständlichkeit für ein Netzwerkprojekt. Eine Dokumentation kann durchaus in elektronischer Form vorliegen. Im Falle eines Netzwerkausfalls werden Sie allerdings an eine elektronische Dokumentation möglicherweise nicht mehr herankommen. Daher sollten Sie parallel alle Dokumente für den Ausdruck optimieren, ausdrucken und in Ordner ablegen. Für jeden Server sollte eine Dokumentation angefertigt werden, die alle notwendigen Informationen über ihn enthält. Folgende Informationen gehören zum Beispiel in die Dokumentation eines Servers: 쐍 Dokumentation des Standorts des Servers, zum Beispiel in welchem Serverraum und an welcher Stelle des Racks er eingebaut wurde 쐍 Genaue Dokumentation der eingebauten Hardware in verständlichen Worten und schnell überschaubar (am besten Kopie des Angebots oder der Rechnung, falls alles draufsteht) 쐍 Telefonnummern der Ansprechpartner im Notfall, also Support und Techniker, notfalls ITAdministratoren
892
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Grundlagen für ein Ausfallkonzept
쐍 Soweit vorhanden, Servicenummer, Kundennummer und Kaufdatum, die Sie angeben müssen, wenn Sie den Herstellersupport verständigen. Er ist sehr ärgerlich, wenn die entsprechenden Daten bei einem Ausfall erst gesucht werden müssen. 쐍 Dokumentation des Betriebssystems und der installierten Treiber. Bei Aktualisierungen muss auch dieser Teil der Dokumentation ständig aktuell gehalten werden. 쐍 Dokumentation der installierten Software mit genauem Softwarestand. Ideal in diesem Fall sind Screenshots und die genaue Beschreibung der Installation jeder einzelnen Anwendung. Sie müssen nicht jedes Fenster dokumentieren. Aber zum Beispiel bei der Installation von Oracle-Datenbanken oder ERP-Systemen, die nicht jeden Tag durchgeführt werden, kann bei einer späteren Wiederherstellung eine lückenlose Dokumentation sehr wichtig sein. 쐍 Dokumentation der Besonderheiten wie Partitionierung, spezielle RAID-Einstellungen oder aller Maßnahmen, die bei der Installation vorgenommen wurden und sich von der Norm unterscheiden 쐍 Dokumentation der Systemeinstellungen wie IP-Adresse, Domänennamen, Servername, angelegte lokale Benutzer und Kennwörter (nur unter Verschluss) 쐍 Dokumentation, welche Abteilungen und Mitarbeiter im Unternehmen bei Ausfall des Servers nicht mehr arbeiten können, damit diese informiert werden können 쐍 Aufkleber auf dem Server, der die wichtigsten Informationen enthält (Servername, IP-Adresse, Servicenummer, die meistens auf der Rückseite steht) 쐍 Gegenseitige Abhängigkeiten des Servers von anderen Servern oder Serverdiensten. Zum Beispiel kann ein ERP-Server ohne einen Oracle-Datenbankserver nicht mehr funktionieren. 쐍 Dokumentation der Dienste des Servers (lässt sich in der Befehlszeile mit net start >c:\dienste.txt in eine Textdatei dokumentieren) Ihnen werden sicherlich noch einige weitere Punkte einfallen, die für Ihre Dokumentation notwendig sind. Auch wenn es oft lästig erscheint, Softwareinstallationen genau zu dokumentieren, sollten Sie an dieser Stelle so genau wie möglich vorgehen. In dem Moment, in dem Sie eine Änderung vornehmen, wissen Sie, warum Sie dies getan haben. Wenn Sie später im Notfall den Server neu installieren oder wiederherstellen müssen, vor allem noch unter Zeitdruck, werden Sie dankbar dafür sein, wenn Sie nicht nachgrübeln müssen, sondern anhand der Anleitung nachvollziehen können, was bei der Installation durchgeführt wurde.
Empfehlungen für die Dokumentation In eine Dokumentation sollten Sie so genau wie möglich vom Standard abweichende Informationen aufnehmen. Irrelevante Informationen wie etwa die Bestätigung von Standardfenstern verwirren nur und lenken von den wirklich wichtigen Dingen ab. Solche standardmäßigen Vorgänge müssen nicht dokumentiert werden. Eine Dokumentation sollte hinsichtlich spezieller Installationen und Einstellungen präzise sein und alle notwendigen Informationen enthalten. Sobald Sie etwas an einem Server ändern, sollten Sie diese Änderung in die Dokumentation aufnehmen und erläutern, was genau geändert oder installiert wurde, wann und von wem. Auch eine Beschreibung über den Grund der Änderung oder Installation kann sehr hilfreich sein. Eine Dokumentation ist nur brauchbar, wenn sie aktuell gehalten wird. Eine veraltete Dokumentation bringt im Notfall überhaupt nichts.
893
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 19
Integrieren eines zusätzlichen Servers in das Small Business Server-Netzwerk
Archivierung der notwendigen Software Der nächste Schritt sollte darin bestehen, dass Sie jede Software und jeden Treiber, den Sie auf dem Server installieren, in einem eigenen Verzeichnis im Netzwerk aufbewahren. Wenn sich ein Treiber oder eine Software ändert oder hinzugefügt wird, sollten Sie auch diese Änderung in dem Verzeichnis aufnehmen und die alte Version löschen. In einem solchen Verzeichnis sollten sich darüber hinaus auch alle Seriennummern und notwendigen Informationen befinden, die Sie zur Installation benötigt haben. Auch die Dokumentation des Servers in elektronischer Form sollte hier, zumindest in Kopie, abgelegt werden. Kopieren Sie den Inhalt dieses Verzeichnisses auf mindestens zwei CDs oder DVDs und bewahren Sie diese zwei Datenträger in einer Plastikhülle im Dokumentationsordner auf – zwei Datenträger aus dem Grund, weil dann die notwendige Software wirklich immer verfügbar ist. Nach Murphys Gesetz geht schief, was schief gehen kann. Folglich wird die CD in der Dokumentation sicher defekt sein, wenn Sie diese brauchen, daher machen zwei Kopien durchaus Sinn. Im Dokumentationsordner befindet sich daher nicht nur die ausführliche Dokumentation, sondern er enthält auch zwei Datenträger mit allen Treibern und die Dokumentation in elektronischer Form. Halten Sie diesen Stand immer aktuell, auch wenn es lästig erscheint. Beim Ausfall des Servers werden Sie dankbar sein, nicht erst Software zusammensuchen oder herunterladen zu müssen.
Dokumentation der Netzwerkinfrastruktur Mindestens genauso wichtig wie die Dokumentation der Server ist die Dokumentation der Netzwerkinfrastruktur. Diese sollte am besten mit Microsoft Visio oder einem anderen Grafikprogramm angefertigt werden. Die Dokumentation sollte visuell den Serverraum mit allen Servern sowie deren Namen und IP-Adressen enthalten. Auch die angeschlossenen USVs und Switches sowie die Anbindung der Niederlassungen mit Routern und Firewalls sollten lückenlos aufgezeichnet und die IPAdressen der Routingtabellen genau dokumentiert werden. Am besten lassen Sie sich diese Zeichnung auf DIN A0 ausplotten oder drucken und hängen sie an die Wand. Je mehr Niederlassungen und physische Netzwerke ein Unternehmen hat, umso wichtiger ist die ausführliche Dokumentation der Leitungen und Wege, welche die IP-Pakete durchlaufen müssen. Die Dokumentation der einzelnen Netzwerkgeräte und deren Konfiguration sollte ebenfalls in schriftlicher Form vorliegen. Wer schon einmal eine schlecht dokumentierte Konfiguration eines Cisco-Routers übernommen hat, weiß, wovon ich rede. Die Dokumentation der Netzwerkinfrastruktur sollte daher grafisch erfolgen, aber auch schriftlich, was die Konfigurationen der einzelnen Geräte betrifft. Auch auf Switches, Router und Hardware-Firewalls sollten Aufkleber mit IP-Adressen und Servicenummern vorne am Gerät angebracht sein. Auf diese Weise sind die wichtigsten Informationen sofort greifbar. Der entsprechende Ordner zur Dokumentation der Netzwerkinfrastruktur sollte ebenfalls die Notrufnummern des Supports beinhalten und genauso ausführlich sein wie die Dokumentation der Installation der Server. Auch eine Kopie der Rechnung und des Lieferscheins vereinfacht Telefonate mit dem Support des Serverherstellers. Zwar enthalten die meisten Netzwerkgeräte kein installiertes Betriebssystem mit Treibern und Software, aber dafür ist die Konfiguration, vor allem bei Routern, deutlich komplexer. Da die meisten Router eine Konfiguration in Form einer Textdatei bieten, sollten Sie diese im Netzwerk abspeichern, gegebenenfalls auch zeitlich gestaffelt in mehreren Versionen, um später noch einen Überblick über erfolgte Änderungen zu haben.
894
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Grundlagen für ein Ausfallkonzept
Workflow für Änderungen erstellen Damit Sie sicher sein können, dass die Dokumentationen Ihrer Server immer so aktuell wie möglich sind, sollten Sie für Änderungen auf den Servern und den damit einhergehenden Änderungen der Dokumentation und archivierten Software einen Workflow definieren, den Sie zum Beispiel in den SharePoint Services ablegen können. In diesem Workflow wird definiert, was genau bei Änderungen an den Servern durchgeführt werden muss. Administratoren und Supportmitarbeiter müssen sich an diesen Workflow halten. Dieser hält in einfachen Schritten fest, in welcher Reihenfolge die einzelnen Aufgaben der Aktualisierung durchgeführt werden müssen. Ein Workflow sollte mindestens folgende Informationen enthalten: 1. Vor der Installation beim Anbieter der bereits installierten Software nach der Kompatibilität erkundigen (sehr wichtig vor der Installation von Service Packs) 2. Genehmigung einholen, wenn es ein Change Management im Unternehmen gibt. Auch ohne Change Management muss trotzdem ein Verantwortlicher über die Installation und deren möglichen Folgen informiert werden. Einfach etwas zu installieren und damit einen Ausfall zu provozieren hat schon manchen Administrator den Arbeitsplatz gekostet. Jede Installation ist ein potentielles Risiko, das genau abgewogen und genehmigt werden muss. Es muss begründet werden, warum eine Aktualisierung stattfinden soll, und erläutert, was im schlimmsten Fall passieren kann. Eventuell Zeitrahmen für die Installation mit den betroffenen Mitarbeitern abstimmen. 3. Vor der Änderung eine Datensicherung des Servers durchführen, am besten sogar ein Image 4. Vor der Installation sicherstellen, dass das Ausfallkonzept auf dem aktuellen Stand ist (ein guter Administrator ist immer paranoid und geht vom Schlimmsten aus) 5. Die notwendige Software auf den Server und das Archivierungsverzeichnis der installierten Software ins Netzwerk kopieren 6. Installation auf dem Server durchführen und lückenlos dokumentieren 7. Dokumentation aktualisieren, dazu kann zum Beispiel in den SharePoint Services ein Formular hinterlegt werden, in das nur noch alle wichtigen Informationen eingetragen werden müssen. Falls ein solches Formular vorhanden ist, können Sie davon ausgehen, dass bei der Aktualisierung der Dokumentation alle notwendigen Informationen erfasst werden und einzelne Punkte nicht vergessen werden können. 8. Dokumentation ausdrucken und im entsprechenden Ordner ablegen, überholte Dokumentation entfernen oder als ungültig kennzeichnen 9. Datenträger für das Softwarearchiv in der Dokumentation aktualisieren, alte Datenträger archivieren oder vernichten 10. Nach zwei bis drei Wochen veralteten Treiber oder Software aus dem Archivierungsverzeichnis im Netzwerk löschen, wenn sichergestellt ist, dass die neue Version funktioniert Dieser Ablauf ist natürlich nur sehr grob gehalten, zeigt aber trotzdem, wie wichtig es ist, strukturiert bei Veränderungen vorzugehen. In Zeiten, in denen die IT für ein Unternehmen lebensnotwendig geworden ist und ein Ausfall zur Insolvenz führen kann, ist es nicht mehr angebracht, mal eben ein Service Pack zu installieren und zu hoffen, dass danach alles wie gehabt funktioniert. Wenn nie Probleme auftauchen, funktioniert dieses Vorgehen natürlich. Allerdings reicht oft ein einziges Problem nach einer Softwareinstallation, damit ein Unternehmen unnötig Daten verliert oder Mitarbeiter längere Zeit nicht mehr arbeiten können. Definieren Sie den Workflow, wie es für Ihr Unternehmen notwendig erscheint, und lassen Sie sich diese Vorgehensweise von der Geschäftsleitung oder den Verantwortlichen genehmigen bzw. ergänzen.
895
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 19
Integrieren eines zusätzlichen Servers in das Small Business Server-Netzwerk
Welche Ausfälle kann es geben? Der nächste Schritt eines Ausfallkonzepts besteht darin, genau zu überlegen, was alles passieren kann. Hier sollten Sie so detailliert wie möglich vorgehen. Wenn Sie auch hier auf Murphys Gesetz vertrauen, wird nämlich genau das schief gehen, was Sie nicht beachtet und berücksichtigt haben. Setzen Sie sich mit allen Kollegen in der IT zusammen und führen Sie ein Brainstorming durch. Lassen Sie Ihrer Fantasie freien Lauf und schreiben Sie alle Probleme auf, die auftreten können. Dieser Vorgang bildet die Basis eines Ausfallkonzepts. Wenn Sie an dieser Stelle etwas vergessen, fehlt später genau für diesen Bereich das entsprechende Ausfallkonzept. Bei dieser Auflistung sollten Sie zunächst zwischen physischen Ausfällen der Netzwerkinfrastruktur und Ausfällen der Software oder der Server selbst unterscheiden.
Ausfall der Netzwerkinfrastruktur Die erste Überlegung bezieht sich auf den Ausfall der Infrastruktur. Hier gilt es zu berücksichtigen, was alles ausfallen kann – ohne die Server einzubeziehen. Erfahrungsgemäß sollten bei diesen Punkten folgende Sachverhalte berücksichtigt werden: 쐍 Der Strom kann ausfallen (Stichwort USV) 쐍 Ein Einbrecher kann in den Serverraum eindringen und den Raum beschädigen 쐍 Ein Switch kann ausfallen 쐍 Eine oder alle Leitungen zu den Niederlassungen können ausfallen 쐍 In den Niederlassungen kann ein Switch ausfallen oder ein Einbrecher die Netzwerkgeräte oder Server entwenden 쐍 Die Router zu den Niederlassungen können ausfallen 쐍 Bei Funknetzwerken können einzelne oder alle Access Points ausfallen 쐍 Brand kann im Unternehmen ausbrechen 쐍 Ein oder mehrere Netzwerkdrucker können ausfallen (zwar nicht lebensnotwendig, aber im Rechnungslauf der Buchhaltung sicherlich problematisch) 쐍 Ein Bandgerät zur Datensicherung kann ausfallen 쐍 Durch Umbauarbeiten werden die Netzwerkkabel in einem Stockwerk beschädigt Sie können sich noch weitere mögliche Probleme ausdenken. Was die Netzwerkinfrastruktur betrifft, haben sicherlich die Netzwerkkabel und die Switches das größte Gefahrenpotential. Sie können das beste Ausfallkonzept für die Server erstellen, wenn aber die Netzwerkswitches nicht mehr funktionieren, kann niemand mehr arbeiten. Erfassen Sie alle möglichen Ausfälle und welche Probleme sich aus ihnen ergeben können. Ein Beispiel ist der Einbrecher im Serverraum, der die Switches und Router entwendet (Server werden erst später berücksichtigt).
Ausfall einzelner Server einplanen Neben der Netzwerkinfrastruktur sollten Sie für jeden einzelnen Ihrer Server erfassen, was alles passieren kann. Beispiele können sein: 쐍 Das Netzteil eines Servers funktioniert nicht mehr 쐍 Die Hauptplatine oder Arbeitsspeicher eines Servers kann defekt sein 쐍 Ein oder mehrere Datenträger können beschädigt sein 896
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Grundlagen für ein Ausfallkonzept
쐍 Die Internetverbindung kann getrennt werden 쐍 Eine Software oder ein Dienst kann nicht mehr starten (zum Beispiel nach Absturz oder Installation eines Updates) 쐍 Die Exchange-Datenbank kann zerstört sein 쐍 Der Server fällt aus unbekannten Gründen komplett aus 쐍 Eine Netzwerkkarte funktioniert nicht mehr 쐍 Das Betriebssystem startet nicht mehr (Bluescreen) 쐍 Ein RAID-Controller wird defekt 쐍 Ein SAN kann Probleme beim Zugriff bereiten 쐍 Ein Server wird zerstört oder gestohlen 쐍 Alle Server oder mehrere fallen auf einmal aus, zum Beispiel durch Wasserschaden oder einen Brand 쐍 Ein Server in den Niederlassungen startet nicht mehr 쐍 Ein oder mehrere Server müssen abgeschaltet werden, um die thermische Belastung zu verringern (extremer Hochsommer oder Ausfall der Klimaanlage) Auch diese Liste lässt sich fortsetzen. Denken Sie genau nach, welcher einzelne Server bzw. welche Komponenten des Servers bei Ihnen ausfallen können. Gehen Sie so lückenlos wie möglich vor und fassen Sie potentielle Probleme zusammen. Im Anschluss daran liegt ihnen eine schriftliche Dokumentation aller möglichen Ausfälle vor, die als Basis für das Ausfallkonzept dient.
Folgen für das Unternehmen abschätzen Im nächsten Schritt erfassen Sie, welche Probleme die Ausfälle im Einzelnen bewirken und welche Abteilungen betroffen sind.
Auswirkungen auf die einzelnen Abteilungen Angenommen der SBS-Server fällt aus. Das heißt zum Beispiel, die Buchhaltung kann nicht mehr arbeiten. Setzen Sie sich mit der Buchhaltung zusammen und halten Sie genau fest, was der Ausfall für diese Abteilung bedeutet und welche Arbeitsprozesse des Unternehmens gestört werden. Im Fall der Buchhaltung können das Lohnzahlungen, Rechnungszahlungen, Monatsabschlüsse etc. sein. Sie müssen davon ausgehen, dass der Ausfall immer zum schlechtesten Zeitpunkt kommt, ein weiteres Gesetz von Murphy. Diese Schritte müssen Sie für jeden Server durchführen. Wenn zum Beispiel der Exchange Server nicht mehr funktioniert, kann niemand im Unternehmen mit E-Mail arbeiten. Aber was heißt das für die einzelnen Fachabteilungen? Für jede Abteilung muss dokumentiert werden, welche Prozesse gestört werden. Es geht hier noch nicht darum, eine Lösung zu finden, sondern nur darum, sämtliche Auswirkungen der einzelnen Ausfälle festzustellen.
Maximale Ausfalldauer festlegen Beim nächsten Schritt geht es darum, mit sämtlichen Abteilungsleitern festzulegen, für welchen Zeitraum diese Prozesse maximal unterbrochen sein dürfen. Hierbei gilt es realistisch festzulegen, welchen maximalen Ausfall das Unternehmen verkraften kann. Wenn zum Beispiel der Einkauf nicht mehr funktionsfähig ist und keine Ware bestellen kann, könnte unter Umständen auch der Verkauf die Kunden nicht mehr beliefern. Jede Abteilung hat solche Prozesse, die teilweise von 897
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 19
Integrieren eines zusätzlichen Servers in das Small Business Server-Netzwerk
einem oder mehreren Servern abhängen. Sie werden recht schnell erkennen, wie abhängig ein Unternehmen von der IT ist und wie fahrlässig es ist, kein Ausfallkonzept zu haben. Nachdem Sie diese maximale Ausfalldauer festgehalten haben, ist es sehr wichtig, mit Verantwortlichen im Unternehmen eine definitive Aussage und Entscheidung herbeizuführen, wie lange ein Ausfall genehmigt werden kann. Natürlich werden auch an dieser Stelle oft wieder Forderungen nach 100-prozentiger Verfügbarkeit laut, die aber oft nach ersten Kostenschätzungen für gespiegelte Rechenzentren, SANs und Cluster schnell wieder zurückgenommen werden. Da alle Serverkomponenten von Small Business Server 2008 auf einem Server installiert werden müssen, werden Sie eine hundertprozentige Verfügbarkeit ohnehin nicht erreichen. Wichtig an dieser Stelle ist, dass der Verantwortliche im Unternehmen die Gefahren, die Sie erfasst haben, und die Auswirkungen auf die Prozesse kennt. Es ist die Aufgabe des Geschäftsführers, eine schriftliche Anweisung zu geben, welche der genannten Prozesse für einen fest definierten Zeitraum ausfallen können. Auch der maximal mögliche Datenverlust der einzelnen Server muss festgelegt werden. Erst nachdem ein Verantwortlicher im Unternehmen genau vorgegeben hat, was er akzeptiert und was nicht, natürlich schriftlich, kann ein seriöses Ausfallkonzept erstellt werden. Dem Geschäftsführer muss klar sein, dass an dieser Stelle investiert werden muss. Aus diesem Grund kann es hilfreich sein, wenn Sie vor dem Gespräch mit dem Geschäftsführer aufgrund der Informationen der Abteilungen und der Abteilungsleiter ganz grob Preise schätzen und Maßnahmen erarbeiten, die durchgeführt werden können. Nach Festlegung der Ausfallzeiten durch den Geschäftsführer muss ein Konzept mit einem genauen Budgetplan erstellt werden, auf dem das Ausfallkonzept beruht. Diese maximalen Ausfallzeiten müssen von den Abteilungsleitern ebenfalls gegengezeichnet werden, damit bei einem Ausfall sichergestellt ist, dass der Abteilungsleiter mit dem Ausfall eines Prozesses für zum Beispiel zwei Tage auch einverstanden war. Oft legt der Abteilungsleiter für einen Prozess eine kürzere maximale Ausfallzeit fest als der Geschäftsführer. Der Abteilungsleiter muss daher über die Entscheidung des Geschäftsführers informiert werden. Natürlich kann eine Besprechung der IT-Abteilung, der Abteilungsleiter und des Geschäftsführers sinnvoll sein. Dabei kann gemeinsam eine Entscheidung getroffen und anschließend ein Ergebnisprotokoll an alle Teilnehmer verschickt werden. HINWEIS Ein IT-Leiter oder Berater sollte niemals selbständig solche Entscheidungen treffen, sondern immer den Verantwortlichen des Unternehmens in die Pflicht nehmen. Nur dadurch ist im Notfall sichergestellt, dass die Abteilungsleiter oder der Geschäftsführer genau informiert sind, welche Maßnahmen zu ergreifen sind. Über maximale Ausfallzeiten kann nur der Geschäftsführer bestimmen, keinesfalls ein Berater oder IT-Leiter, der an seinem Job hängt.
Erstellen eines Ausfallkonzepts Inzwischen haben Sie ein stabiles Fundament, auf dem Sie Ihr Ausfallkonzept aufbauen können. Sie haben alle möglichen Ausfallszenarien mit den IT-Spezialisten des Unternehmens definiert. Sie haben mit den Fachabteilungen die Folgen und die möglichen Auswirkungen auf die Abteilung und das Unternehmen besprochen. Schließlich hat ein Entscheider im Unternehmen festgelegt, welche maximalen Ausfallzeiten und Datenverluste akzeptiert werden. Erst dann und mit diesem Fundament können Sie beginnen, ein seriöses Ausfallkonzept zu erarbeiten.
898
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Grundlagen für ein Ausfallkonzept
Festlegen der Ausfallzeiten für einzelne Komponenten und Server Der nächste Schritt besteht darin, dass Sie die Definition der maximalen Ausfallzeiten für die einzelnen Prozesse im Unternehmen bis auf die beteiligten Server und die Infrastruktur herunterrechnen. Beispiel: Wenn in der Planung des Ausfalls der Geschäftsführer festlegt, dass der Rechnungszahlungslauf in der Buchhaltung maximal um drei Tage verzögert werden darf, müssen Sie alle Komponenten, die diesen Prozess betreffen, so absichern können, dass eine maximale Ausfallzeit von drei Tagen zusammenkommt. Das können zum Beispiel für diesen Server folgende Komponenten sein: 쐍 Ausfall eines Switch 쐍 Ausfall des Netzwerkdruckers, der die Rechnungen ausdruckt 쐍 Ausfall der Software oder des ganzen Servers der Buchhaltung 쐍 Ausfall der Domänencontroller, sodass sich niemand mehr anmelden kann 쐍 Stromausfall im Unternehmen 쐍 Totalzerstörung des Buchhaltungsservers Das sind nur einige Beispiele, die Sie für diesen Prozess berücksichtigen müssen. Von den Netzwerkswitches hängen natürlich noch weitere Prozesse ab. Wenn zum Beispiel einer dieser Prozesse nur für einen Tag ausfallen darf, müssen Sie die Switches innerhalb eines Tages wieder ans Laufen bringen. Durch diese konsequente Analyse der einzelnen Prozesse und damit verbundenen Geräte haben Sie am Ende eine Auflistung darüber, welche Geräte, welche Server und welche Software für welchen Zeitraum ausfallen darf. Anhand dieser Informationen müssen Sie für jeden einzelnen Server, jedes Netzwerkgerät, jeden Drucker, eben für alles, was einen Ausfall dieses Prozesses bewirken kann, einen Ausfallplan entwickeln. Wenn zum Beispiel ein Server nur einen halben Tag ausfallen darf, macht ein Servicevertrag, bei dem ein Techniker erst am nächsten Arbeitstag kommt, keinen Sinn. In diesem Fall benötigen Sie einen Techniker nach maximal vier Stunden, besser früher. Daher muss auf dieser Basis eine exakte Aufgabenliste erstellt werden. Nachdem die Aufgaben genau definiert sind, welches Gerät in welchem Zeitraum wiederhergestellt werden muss, geht es an die Konzeptionierung der Ausfallsicherheit. Sie sollten die Geräte physisch nur so weit herunterbrechen, wie es möglich ist. Beispiel: Beim Server eines Markenherstellers müssen Sie nicht den Ausfall jeder einzelnen Komponente berücksichtigen und Ersatzteile kaufen, da dieser Service durch den Technikersupport abgedeckt wird. Sie sollten sich aber bei den Komponenten, auf die Sie Einfluss haben, frühzeitig absichern. Bei Servern sind das: 쐍 doppelte Netzteile 쐍 doppelte Netzwerkkarten 쐍 mehrfache RAID-Controller 쐍 RAID-Datenträger Dem Ausfall des Arbeitsspeichers und der Hauptplatine können Sie nicht entgegenwirken. Vor allem bei der Planung einer Ersatzteilliste für Ihre Infrastruktur sollten Sie beim Hersteller Ihres Servers nachfragen, in welchem Zeitraum eine neue Hauptplatine oder ein neuer Arbeitsspeicher geliefert werden kann. Wenn Sie einen Supportvertrag mit vier Stunden Reaktionszeit abschließen, heißt das nur, dass nach vier Stunden eine Reaktion erfolgt, aber nicht automatisch eine Problemlösung. Die
899
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 19
Integrieren eines zusätzlichen Servers in das Small Business Server-Netzwerk
Servicetechniker haben oft auch keine Ersatzteile dabei, sondern müssen Hauptplatinen oder RAIDController erst bestellen. Wenn dieser Bestellvorgang länger als die maximale Ausfalldauer ist, müssen Sie den Ausfall des Servers zusätzlich absichern. Sobald Sie eine vollständige Liste haben, welche Komponenten bei Ihnen ausfallen dürfen, können Sie auf dieser Grundlage für eine Notfallkonzeption sorgen. Zunächst benötigen Sie jedoch die Aufstellung dieser einzelnen Komponenten.
Erstellen des Ausfallkonzepts für die einzelnen Komponenten Im Anschluss daran legen Sie fest, wie Sie die einzelnen Komponenten innerhalb des definierten Zeitraums wieder zum Laufen bringen. Hierbei können Sie nach vier Gesichtspunkten vorgehen: 쐍 Ausfall einzelner Geräte der Netzwerkinfrastruktur oder sonstiger Hardware 쐍 Ausfall eines kompletten Servers 쐍 Ausfall von Software 쐍 mehrere Ausfälle infolge von Katastrophen wie Wasserschaden, Brand, Einbruch oder Vandalismus Ein Ausfallkonzept baut immer auf diesen vier Punkten auf. Sie sollten daher Ihre Maßnahmenliste entsprechend aktualisieren und genau aufteilen. Beispiel: Wenn es sich bei Ihrem Server um einen Server mit nur einem Netzteil, einer Netzwerkkarte, ohne RAID und Service handelt, müssen Sie für entsprechende Ersatzteile, neue Serviceverträge oder einen neuen Server sorgen. Bei Katastrophen, bei denen der ganze Serverraum betroffen ist, hilft nur die Auslagerung der Server, ein gespiegeltes Rechenzentrum oder ein SAN. Wenn eine Software auf einem Server nicht mehr läuft, helfen keine Ersatzteile, sondern die Software muss so schnell wie möglich wieder ans Laufen gebracht werden. Genau um diese Aufteilung geht es hier. Sie müssen entscheiden, welche Probleme Sie durch Lagerung von Ersatzteilen lösen, für welche Sie größere Investitionen vornehmen müssen (Spiegelung eines Rechenzentrums zum Beispiel) und welche durch Ausfallserver, Datensicherung oder Schulung abgefangen werden können. Ausfall einzelner Geräte abfangen Alle physischen Ausfälle können Sie leicht beeinflussen. Wenn ein Switch in Ihrem Unternehmen ausfällt und Sie nicht genügend Steckplätze auf den anderen Switches freihaben, vielleicht sogar nur einen einsetzen, dann sollten Sie schleunigst einen zusätzlichen Switch planen, der zur Ausfallsicherheit dient. Idealerweise verteilen Sie die Anschlüsse auf die beiden Switches, damit Sie auch sicher sein können, dass beide Switches im Notfall funktionieren. Beim Ausfall eines Switches müssen Sie nur die gesteckten Anschlüsse in den anderen Switch stecken und alle können wieder arbeiten. Genau nach dieser Vorgehensweise müssen Sie überprüfen, welche Ausfälle Sie auf einfache Art abfangen können. Switches können so geplant werden, dass der Ausfall eines Switches durch die anderen abgefangen werden kann. Auch beim Ausfall einer USV kann so verfahren werden, indem die Server auf mehrere USVs verteilt werden. Selbst gebaute Server erfordern entsprechende Ersatzteile der Komponenten am Lager. Aus diesem Grund sind Markenserver mit Supportverträgen bei Ausfallkonzepten längerfristig sehr viel sicherer und günstiger. Überlegen Sie genau, welche Hardware Sie einfach doppelt kaufen können, um dadurch einen Ausfall zu verhindern. Auch der Ausfall einer Klimaanlage im Serverraum gehört zu einem Ausfallkonzept. Statt einer großen Klimaanlage sollten Sie besser zwei mittlere installieren. Fällt eine aus, wird zwar die Temperatur nicht mehr so niedrig sein wie vorher, aber auf jeden Fall deutlich niedriger als ohne. Auch Rauchmelder sollten immer doppelt vorhanden sein. Ihnen fallen sicherlich noch weitere Geräte ein, die Sie in Ihre Vorsorgemaßnahmen einbeziehen können. Fällt erst einmal ein Gerät aus und Sie bekommen in angemessener Zeit kein neues, ist der Ärger vorprogrammiert. Daher lieber in die Zukunft investieren und die Kosten kalkulierbar halten. 900
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Grundlagen für ein Ausfallkonzept
Ausfall von Servern Dieser Part ist im Grunde genommen der wichtigste von allen. Sie müssen genau festlegen, was zu tun ist, wenn ein einzelner Server komplett ausfällt. Der erste und wichtigste Schritt in dieser Situation ist, dass Sie die Supportverträge überprüfen und abklären, in welchem Zeitraum ein Techniker vor Ort ist und wie lange die Bestellung von Ersatzteilen dauert. Wenn Sie nicht hundertprozentig sicher sein können, dass die Hardware nach entsprechender Zeit wieder lauffähig ist, müssen Sie das in Ihre Planung mit einbeziehen. Beachten Sie, dass bei einem Server nicht nur ein Teil der Hardware ausfallen kann, sondern er unter Umständen neu installiert werden muss und alle Daten der Datensicherung zurückgespielt werden müssen. Aus diesem Grund ist auch die genaue Festlegung des maximalen Datenverlustes wichtig. Wenn Sie zum Beispiel nachts um 22:00 Uhr die Daten auf verschiedenste Weise sichern und dabei ein ideales Datensicherungskonzept verwenden, ist so weit alles in Ordnung. Aber was ist, wenn der Server um 21:00 Uhr komplett ausfällt? Im schlimmsten Fall müssen Sie den Server neu installieren und die Datensicherung zurückspielen. Allerdings geht in diesem Beispiel die Arbeit eines ganzen Tages vollständig verloren, da Sie nur die Datensicherung des Vortages zurückspielen können. Wenn die Geschäftsführung sagt, das sei kein Problem, und Ihnen das schriftlich gibt, ist von Seiten der IT alles in Ordnung. Wenn allerdings festgelegt wird, dass maximal ein halber Tag verloren gehen darf, müssen Sie in Ihr Datensicherungskonzept eine Sicherung um die Mittagszeit einplanen. Diese Sicherung wird zwar das System ausbremsen, aber mittags werden sicherlich nicht viele Mitarbeiter arbeiten. Wenn die Sicherung nur wenige Minuten dauert, wäre es eventuell auch sinnvoll, die Dienste für diese Datensicherung währenddessen nicht zur Verfügung zu stellen. Aber auch das muss ein Geschäftsführer erst genehmigen. Da im Fall eines Ausfallkonzepts für Server oft ein zusätzlicher Server gekauft werden muss oder sonstige Investitionen vorgenommen werden müssen, sollten Sie innerhalb des Konzepts immer drei Möglichkeiten anbieten: 쐍 Günstige Variante, die sehr wenig oder gar nichts kostet, dafür aber längere Ausfallzeiten und höhere Datenverluste nicht abfangen kann. Allerdings ist eine solche Lösung immer noch besser als gar keine. 쐍 Mittlere Variante, bei der Ausfallzeiten und Datenverlust kalkulierbar bleiben und die Kosten nicht so hoch sind. Bei einem Small Business Server 2008-Server könnte das ein zweiter, kleinerer Server sein, auf dem einzelne Daten ausgelagert werden. 쐍 Hochverfügbarkeitslösung, bei der die geforderte Sicherheitsstufe maximal eingehalten werden kann, zum Beispiel ein gespiegeltes Rechenzentrum oder ein SAN. Auch bei einer hochverfügbaren Lösung sollten Sie sich keine unnötige Arbeit machen und Vorschläge ausarbeiten, von denen Sie bereits bei der Erstellung wissen, dass sie nicht genehmigt werden. Sie sollten festlegen, was Sie als Unternehmer maximal ausgeben würden und was sich die Firma überhaupt leisten kann. Ein Mittelstandsunternehmen mit 75 Mitarbeitern wird nur selten ein gespiegeltes Rechenzentrum in einem atombombensicheren Keller aufbauen können. In diesem Fall ist ein Small Business Server 2008-Server auch sicherlich nicht der richtige Weg. Am Ende muss wieder der Geschäftsführer entscheiden, für welche Server er welches Ausfallkonzept genehmigt. Generell lässt sich sagen, dass der beste und bezahlbarste Ausfallschutz für Server einfach eine Verdoppelung ist. Wenn Sie nur einen Exchange Server haben, sollten Sie zwei einsetzen. Bei diesem Szenario können bei Ausfall eines Servers zumindest noch 50% der Mitarbeiter arbeiten. Setzen Sie drei ein, sind es schon 66,66%. Genau in diesem Rahmen sollten Sie in Bezug auf alle Server denken. Solche Möglichkeiten stehen Ihnen allerdings in Small Business Server 2008 nur sehr begrenzt zur Verfügung, da alle Dienste nun mal auf einem einzigen Server installiert werden müssen.
901
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 19
Integrieren eines zusätzlichen Servers in das Small Business Server-Netzwerk
Ausfall von Software auf den Servern Ein Server muss nicht unbedingt komplett ausfallen, sondern es ist auch möglich, dass nur einzelne Serversoftware beeinträchtigt ist. Im Fall von Exchange kann es durchaus passieren, dass der Server noch läuft, aber die Exchange-Dienste nicht mehr starten, weil die Datenbank defekt ist. Auch für diesen Fall muss festgelegt werden, wie lange Exchange als Funktion und wie lange die Datenbank mit den E-Mails und den Kalendereinträgen oder öffentlichen Ordnern nicht zur Verfügung stehen darf. Vor allem der Ausfall eines Exchange Servers kommt recht oft vor. In diesem speziellen Fall kann die Reparatur der Datenbank durchaus unkalkulierbar lange dauern. Zwischen dem Zeitpunkt der Datensicherung und dem Ausfall können E-Mails verloren gehen, zum Beispiel von Kunden oder Lieferanten. Daher sollte bereits frühzeitig an eine Ausfallsicherheit von Exchange gedacht werden. Durch den Outlook 2003-Caching-Modus, bei dem die E-Mails vom Server in eine lokale Datei kopiert werden, besteht die Möglichkeit, dass die Mitarbeiter weiterhin mit Outlook offline arbeiten können, auch wenn der Exchange Server nicht zur Verfügung steht. Eine hundertprozentige Garantie, dass niemals E-Mails verloren gehen, gibt es nicht, aber durch Vorsorge, eine konsequente Datensicherung und die Verteilung der Nutzer können Sie Ausfällen entgegenwirken. Ausfall einzelner Serversoftware kann auch dadurch abgefangen werden, dass die Images zurückgespielt werden, die dank des Workflows für Serveraktualisierungen vor einer Softwareaktualisierung angelegt wurden. Meistens fällt Serversoftware nur dann aus, wenn etwas am Server verändert wird. Aus diesen Gründen ist die Erstellung eines vorherigen Images mit Tools wie Symantec LiveState Recovery oder Acronis True Image.
Katastrophenfälle absichern Die Absicherung von Katastrophenfällen können sich meistens nur sehr große Unternehmen leisten, da die Kosten leicht in die Höhe schnellen. Um den kompletten Ausfall eines ganzen Serverraums durch Brand, Wasserschaden, Einbruch oder Vandalismus zu verhindern, können alle Server auf zwei verschiedene Rechenzentren in verschiedenen Gebäuden aufgeteilt werden. Für jeden Server muss es einen oder mehrere Ausfallserver geben, die im jeweils anderen Rechenzentrum stehen. Auch die Daten werden mithilfe von gespiegelten SANs zwischen den Rechenzentren verteilt. Ideal ist in einem solchen Fall auch der Einsatz eines Clusters, bei dem die Knoten ebenfalls im gespiegelten Rechenzentrum verteilt werden. Kleinere Katastrophen können dadurch abgesichert werden, dass der Serverraum so gut es geht vor diesen Gefahren geschützt wird und der Server für die Datensicherung im Keller in einem speziellen Datentresor steht.
Genehmigung und Umsetzung des Konzepts Nachdem Sie für alle Komponenten Ausfallkonzepte erstellt haben, müssen die Verbesserungen von entsprechender Stelle genehmigt werden. Sie sollten sich hier die Mühe machen und eine Präsentation erstellen, damit auch Geschäftsführer ohne starken IT-Bezug verstehen, warum Sie welche Vorschläge unterbreiten. Sie sollten Ihre Meinung äußern, welches Konzept Sie warum für das beste halten. Im Anschluss daran werden die Konzepte genehmigt und Sie können sich nach und nach an deren Umsetzung machen. Nach der Fertigstellung sollten Sie eine zweite Präsentation für die Abteilungsleiter und Geschäftsführer erstellen. Auf diese Weise werden alle darüber unterrichtet, wie die einzelnen Prozesse im Unternehmen durch die IT geschützt werden und wie die einzelnen Ausfallzeiten aussehen. Ein gut gemachtes Ausfallkonzept in einer schönen Präsentation professionell dargestellt, überzeugt Geschäftsführer und später die Banken davon, dass ein Unternehmen alles unternimmt, um seine IT so sicher und stabil wie möglich zu machen. 902
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Zusammenfassung
Zu einem guten Ausfallkonzept gehören natürlich eine effiziente Datensicherung und Sicherheitsstrategie des Unternehmens. Sehr wichtig ist hier, dass Sie nochmals ausführlich dokumentieren, für welche Prozesse welche maximalen Ausfallzeiten angestrebt sind. Auch den maximalen Datenverlust bei einem Ausfall sollten Sie in der Präsentation festhalten und noch einmal mit den Abteilungen und Geschäftsführern abschließend besprechen. Ganz ohne Datenverlust wird der komplette Ausfall eines Servers oder einer Exchange-Datenbank selten ausgehen. Allerdings lässt sich eine solche Problematik bereits frühzeitig planen und durch geeignete Maßnahmen umgehen. Vor allem die regelmäßige Datensicherung, stabile Server mit gut dokumentierten Änderungen, eine ganzheitliche Sicherheitsstrategie, ein guter Virenschutz mit sicherer Internetanbindung und ein durchdachtes Notfallkonzept helfen Unternehmen, Probleme in der IT möglichst effizient zu bewältigen.
Zusammenfassung In diesem Kapitel haben Sie erfahren, wie Sie einen zweiten Server im Netzwerk integrieren und das Netzwerk vor einem Ausfall schützen. Auch auf die Anbindung eines zusätzlichen Domänencontrollers wurde in diesem Kapitel eingegangen. Im nächsten Kapitel zeigen wir Ihnen, wie Sie optimal mit der PowerShell und der normalen Befehlszeile in Small Business Server 2008 umgehen.
903
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 20
Windows PowerShell
In diesem Kapitel: Die grundsätzliche Funktionsweise der PowerShell
907
Windows PowerShell zur Administration verwenden
910
Spezielle SBS-Befehle in die PowerShell einbinden
916
Die Communitys – Tools für die PowerShell
917
Normale Befehlszeile verwenden
918
Zusammenfassung
926
905
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 20
Windows PowerShell
Die Windows PowerShell ist die neue objektorientierte Befehlszeile für Small Business Server 2008. Das heißt, Befehle führen nicht nur Aktionen im Betriebssystem aus, sondern können Objekte direkt ansprechen und bearbeiten. Alle Befehle aus der normalen Befehlszeile sind auch in der PowerShell verfügbar. Die Befehle werden dazu in PowerShell-Aliase übersetzt. Sie können die PowerShell auch für Windows Server 2003 Vista und XP herunterladen. Unter Small Business Server 2008 haben Sie den Vorteil, dass die Shell bereits in das Betriebssystem integriert, aber noch nicht installiert ist. Die Befehlszeile von Small Business Server 2008 unterscheidet sich nicht von ihrem Pendant in Windows Server 2003. Auch wenn Sie die Windows PowerShell als zusätzliche Funktion installieren, ändert sich die Befehlszeile nicht, sondern Sie müssen die PowerShell über die entsprechende Verknüpfung erst starten (Abbildung 20.1). Die meisten neuen Server-Produkte von Microsoft, zum Beispiel Exchange Server 2007, bauen auf die Windows PowerShell auf. Die grafische Oberflächen dieser Produkte dienen dann nur noch dazu, Befehle zu generieren, so genannte Cmdlets, die durch die PowerShell ausgeführt werden. Exchange Server 2007 erweitert zum Beispiel die Windows PowerShell mit zusätzlichen Funktionen. Die neue Befehlszeile hat nichts mehr mit einer DOS-Box gemeinsam und ist extrem mächtig. Die PowerShell baut auf .NET Framework auf. Abbildg. 20.1
Die neue Befehlszeile in Small Business Server 2008
Am besten fügen Sie die Windows PowerShell als neue Feature über den Server-Manager hinzu. Standardmäßig wird die PowerShell nach der Installation von Small Business Server 2008 nicht automatisch installiert. Exchange Server-Administratoren und auch Administratoren anderer Serversysteme können zukünftig alle Verwaltungsaufgaben, die auch in der grafischen Oberfläche durchgeführt werden können, in der PowerShell skriptgesteuert und automatisiert durchführen. Skriptbasierte Aktionen mussten zum Beispiel in Exchange Server 2003 noch durch komplizierte VB-Skripts durchgeführt werden, während in Exchange Server 2007 einfache PowerShell-Skripts verwendet werden können. Auch wenn Sie die Windows PowerShell als zusätzliche Funktion installieren, ändert sich die Befehlszeile nicht, sondern Sie müssen die PowerShell über die entsprechende Verknüpfung erst starten. Die herkömmliche Befehlszeile mit den bekannten Befehlen steht auch weiterhin zur Verfügung, das gilt natürlich auch für die Unterstützung von VB-Skripts. Die PowerShell ist eine Ergänzung die parallel verwendet werden kann, das gilt für Windows Server 2003/2008 und Windows XP/Vista. Aufgaben, die Sie nicht über Gruppenrichtlinien oder sonstige Automatismen erledigen können, sind die perfekte Herausforderung für die PowerShell.
906
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Die grundsätzliche Funktionsweise der PowerShell
Die grundsätzliche Funktionsweise der PowerShell Sie können Cmdlets an ihrem Aufbau erkennen: ein Verb und ein Substantiv, getrennt durch einen Bindestrich (–), beispielsweise Get-Help, Get-Process und Start-Service. Die meisten Cmdlets sind sehr einfach und für die Verwendung zusammen mit anderen Cmdlets vorgesehen. So werden mit Get-Cmdlets Daten abgerufen, mit Set-Cmdlets Daten erzeugt oder geändert, mit Format-Cmdlets Daten formatiert und mit Out-Cmdlets Ausgaben an ein angegebenes Ziel geleitet. Unter Small Business Server 2008 können Cmdlets für die Automatisierung der neuen Serverrollen, zum Beispiel des IIS 7.0, der Active Directory-Domänendienste und der Terminaldienste verwendet werden. Für die Terminaldienste gibt es im Microsoft TechNet Script Center zum Beispiel zahlreiche Beispielskripts, welche die Verwaltung der Terminaldienste unter Small Business Server 2008 enorm vereinfachen. Auch die Verwaltung der Registry, von Zertifikaten und der Ereignisanzeigen lassen sich über die PowerShell automatisieren. Windows PowerShell baut auf .NET Framework und der Common Language Runtime (CLR) von .NET auf und kann .NET-Objekte akzeptieren und zurückgeben. Diese grundlegende Änderung ermöglicht neue Tools und Skript-Verfahren für die Verwaltung und Konfiguration von Windows. Sie finden die Aktivierung der PowerShell im ServerManager von Small Business Server 2008 über Features/Features hinzufügen. Standardmäßig wird die PowerShell nach der Installation von Small Business Server 2008 nicht automatisch installiert. Administratoren können zukünftig alle Verwaltungsaufgaben, die auch in der grafischen Oberfläche durchgeführt werden können, in der PowerShell skriptgesteuert und automatisiert durchführen. Skriptbasierte Aktionen mussten zum Beispiel in Exchange Server 2003 noch durch komplizierte VB-Skripts durchgeführt werden, während in Exchange Server 2007 einfache, aber sehr mächtige PowerShell-Skripts verwendet werden können. Nach der Installation wird die PowerShell über eine eigene Verknüpfung im Startmenü gestartet.
Die PowerShell-Laufwerke verwenden Neben den bekannten Dateisystemlaufwerken wie C: und D: enthält Windows PowerShell auch Laufwerke, die die Registrierungsstrukturen HKEY_LOCAL_MACHINE (HKLM:) und HKEY_CURRENT_ USER (HKCU:), den Speicher für digitale Signaturzertifikate auf Ihrem Computer (Cert:) und die Funktionen in der aktuellen Sitzung (Function:) darstellen. Diese werden als Windows PowerShellLaufwerke bezeichnet. Eine Liste kann mit dem Befehl Get-PSDrive angezeigt werden. In der PowerShell wird mit .NET-Objekten gearbeitet. Technisch gesehen ist ein .NET-Objekt eine Instanz einer .NET-Klasse, die aus Daten und zugeordneten Operationen besteht. Sie können sich ein Objekt als Dateneinheit mit Eigenschaften und Methoden vorstellen. Methoden sind Aktionen, die für das Objekt ausgeführt werden können. Wenn beispielsweise ein Dienst aufgerufen werden soll, wird eigentlich ein Objekt, das diesen Dienst darstellt, verwendet. Wenn Informationen über einen Dienst angezeigt werden, werden die Eigenschaften des zugehörigen Dienstobjekts angezeigt. Und wenn ein Dienst gestartet wird, verwendet die PowerShell eine Methode des Dienstobjekts. Um zum Beispiel in die lokale Registry in HKEY_CURRENT_USER zu wechseln, geben Sie in der PowerShell CD hkcu: ein. Den Inhalt des Registry-Hives können Sie sich mit Dir anzeigen lassen (Abbildung 20.2).
907
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 20
Abbildg. 20.2
Windows PowerShell
Bearbeiten und Anzeigen der Registry in der PowerShell
CMD-Befehle in der PowerShell verwenden Ein weiterer Vorteil der PowerShell liegt darin, dass die vertrauten Tools der normalen Befehlszeile nicht aufgegeben werden müssen, diese werden weiterhin unterstützt. Dazu gibt es für jeden CMDBefehl einen PowerShell-Alias. Die Verwendung dieser Befehle ist analog zur bisherigen Eingabeaufforderung, die natürlich noch immer parallel zur Verfügung steht. Abbildg. 20.3
Herkömmliche CMD-Befehle können wie gewohnt auch in der PowerShell eingesetzt werden
Die meisten Befehle werden als Alias in der PowerShell zur Verfügung gestellt. Über den Befehl Alias werden alle Aliase in der Befehlszeile angezeigt. Über den Befehl Alias * können die einzelnen Aliase, die mit dem angegebenen Buchstaben beginnen, angezeigt werden. Die Aliase müssen aber für die Arbeit mit den alten Befehlen nicht bekannt sein.
908
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Die grundsätzliche Funktionsweise der PowerShell
Skripts mit der PowerShell erstellen Wenn Sie immer wieder bestimmte Befehlsfolgen ausführen oder ein PowerShell-Skript für eine komplexe Aufgabe entwickeln, empfiehlt es sich, die Befehle nicht einzeln einzugeben, sondern in einer Datei zu speichern. Die Dateierweiterung für Windows PowerShell-Skripts lautet *.ps1 (das dritte Zeichen der Dateierweiterung ist die Zahl 1). Es muss immer ein vollqualifizierter Pfad zu der Skriptdatei angegeben werden, auch wenn sich das Skript im aktuellen Verzeichnis befindet. Wenn auf das aktuelle Verzeichnis verwiesen werden soll, geben Sie einen Punkt ein, zum Beispiel .script.ps1. Zum Schutz des Systems enthält die PowerShell verschiedene Sicherheitsfeatures, zu denen auch die Ausführungsrichtlinie zählt. Die Ausführungsrichtlinie bestimmt, ob Skripts ausgeführt werden dürfen und ob diese digital signiert sein müssen. Standardmäßig werden Skripts blockiert. Sie können die Ausführungsrichtlinie mit dem Cmdlet Set-ExecutionPolicy ändern. Die Ausführungsrichtlinie wird in der Windows-Registrierung gespeichert. Mit dem Cmdlet Start-Sleep werden Windows PowerShell-Aktivitäten für einen bestimmten Zeitraum gestoppt. Mit dem Befehl Start-Sleep –s 10 hält das Skript zehn Sekunden an. Start-Sleep –m 10000 verwendet Millisekunden. Wird die Ausgabe von Cmdlets mit der Option | Out-Printer an das Cmdlet Out-Printer übergeben, wird die Ausgabe auf dem Standarddrucker ausgedruckt. Der Drucker kann mit Anführungszeichen und der Bezeichnung in der Druckersteuerung auch angegeben werden. Mit dem Cmdlet Write-Warning können eigene Warnungen in der PowerShell angezeigt werden. Write-Host schreibt Nachrichten. Beide sind farblich unterschiedlich formatiert. Farbzuweisungen können nur für Write-Host gesetzt werden. Die Farben werden mit –foregroundcolor und –backgroundcolor manuell konfiguriert. Folgende Werte sind möglich: 쐍 Black (Schwarz) 쐍 DarkBlue (Dunkelblau) 쐍 DarkGreen (Dunkelgrün) 쐍 DarkCyan (Dunkelzyan) 쐍 DarkRed (Dunkelrot) 쐍 DarkMagenta (Dunkelmagenta) 쐍 DarkYellow (Dunkelgelb) 쐍 Gray (Grau) 쐍 DarkGray (Dunkelgrau) 쐍 Blue (Blau) 쐍 Green (Grün) 쐍 Cyan (Zyan) 쐍 Red (Rot) 쐍 Magenta (Magentarot) 쐍 Yellow (Gelb) 쐍 White (Weiß) Mit dem Cmdlet Invoke-Expression wird in der Windows PowerShell ein Skript gestartet: InvokeExpression c:\scripts\test.ps1. 909
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 20
Windows PowerShell
Windows PowerShell zur Administration verwenden Geben Sie in der Windows PowerShell den Befehl Get-Command ein, um sich eine BefehlszeilenReferenz anzeigen zu lassen. Über Get-Command >c:\befehle.txt werden alle Befehle in die Datei C:\befehle.txt umgelenkt, Sie erhalten wie immer bei der Dateiumleitung keine Bestätigung der Ausführung. Innerhalb der PowerShell funktionieren auch die herkömmlichen Befehle aus der Befehlszeile. Abbildg. 20.4
Anzeige aller in der Windows PowerShell verfügbaren Befehle
Über den Befehl Help können Sie sich zu einzelnen Befehlen eine ausführliche Hilfe anzeigen lassen. Wenn Sie eine detaillierte Hilfe zu einem Cmdlet einschließlich Parameterbeschreibungen und Beispielen anzeigen möchten, verwenden Sie Get-Help mit dem detailed-Parameter, zum Beispiel Get-Help Get-Command –detailed. Über die Tastenkombination (Strg)+(C) können Sie innerhalb der Shell einzelne Aktionen stoppen.
910
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Windows PowerShell zur Administration verwenden
Abbildg. 20.5
Anzeige der Hilfe eines einzelnen Befehls mit help
Interessant ist auch die Möglichkeit, dass Sie innerhalb der Shell auch Variablen definieren können, welche aktuelle Informationen automatisch abfragen. Diese Variablen können Sie dann später innerhalb eines Skripts verwenden. Wollen Sie zum Beispiel das aktuelle Datum als Variable $heute hinterlegen, können Sie in der Shell den Befehl $heute = Get-Date eingeben. Anschließend wird das heutige Datum als Variable $heute hinterlegt. Geben Sie als Nächstes in der Shell $heute ein, wird das aktuelle Datum ausgegeben (Abbildung 20.6). Abbildg. 20.6
Verwenden von Variablen in der PowerShell
Sie können auch auf einzelne Bestandteile der Variable getrennt zugreifen. Interessiert Sie zum Beispiel aus dem Datum lediglich die Zeit, können Sie zum Beispiel einzelne Elemente objektorientiert aus der Variable auslesen. So können Sie zum Beispiel durch Eingabe des Befehls $heute.ToShortTimeString() ohne viel Aufwand nur die Uhrzeit in Stunden und Minuten aus der Variable auslesen. Weitere Möglichkeiten sind die Formatierung der Ausgabe. So ist es zum Beispiel auch möglich, per Eingabe des Befehls $heute.ToString("MMMM") die Ausgabe des Monats zu erzwingen, oder über $heute.ToString("MM") den Monat als Zahl innerhalb des Kalenderjahres. Generell können Sie hinter den meisten Befehlen, die einen Status oder eine Statistik ausgeben, noch den Zusatz |fl eingeben. Dieser Zusatz bewirkt, dass Sie eine formatierte Liste (daher fl) erhalten, welche deutlich mehr Informationen ausgibt, als der Befehl ohne diesen Zusatz. Der Befehl Get-Date –displayhint date zeigt nur das Datum, Get-Date –displayhint time nur die Uhrzeit an. 911
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 20
Abbildg. 20.7
Windows PowerShell
Aufrufen von verschiedenen Werten aus gesetzten Variablen
Sie können ermitteln, welche Art von Objekt von einem bestimmten Cmdlet abgerufen wird, indem die Ergebnisse des Befehls Get mit einem Pipelineoperator (|) an den Befehl Get-Member übergeben werden. So werden mit dem Befehl Get-Service | Get-Member abgerufene Objekte an Get-Member gesendet. Mit diesem Befehl können Informationen über das .NET-Objekt angezeigt werden, das von einem Befehl zurückgegeben wird. Zu den Informationen zählen der Typ, die Eigenschaften und die Methoden des Objekts. Wenn beispielsweise alle Eigenschaften eines Dienstobjekts angezeigt werden sollen, geben Sie Get-Service | Get-Member –membertype *property ein.
Anzeigen und Verwalten von Prozessen mit der PowerShell Eine häufige Administrationsaufgabe ist die Verwaltung der laufenden Prozesse auf einem Server. Über den Befehl Get-Process können alle laufenden Prozesse eines Servers angezeigt werden. Sollen zum Beispiel nur alle Prozesse mit dem Anfangsbuchstaben »S« angezeigt werden, geben Sie den Befehl Get-Process s* ein. Sollen die Prozesse zusätzlich noch, zum Beispiel absteigend nach der CPU-Zeit, sortiert werden, geben Sie Get-Process s* gefolgt von der Pipe-Option |Sort-Object cpu –descending ein (Abbildung 20.8). Abbildg. 20.8
Prozesse absteigend nach CPU-Verbrauch sortieren
912
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Windows PowerShell zur Administration verwenden
Praxisbeispiele für die wichtigsten Cmdlets In diesem Abschnitt zeigen wir Ihnen einige Cmdlets, die in der Praxis sehr nützlich sind und die Möglichkeiten der PowerShell im Vergleich zur herkömmlichen Befehlszeilen verdeutlichen. Befehle für die Datei- und Ordnerverwaltung Mit dem Cmdlet Copy-Item werden Dateien oder Verzeichnisse in der PowerShell kopiert. Mit dem Befehl Copy-Item C:\Scripts\test.txt C:\Test wird die Datei test.txt kopiert. Die Syntax ist ähnlich zum Copy-Befehl der herkömmlichen Befehlszeile. Der Befehl Copy-Item C:\Scripts\* C:\Test kopiert alle Dateien im entsprechenden Quellverzeichnis in das Zielverzeichnis. Der Befehl Copy-Item C:\Scripts C:\Test –recurse legt eine Kopie des Ordners C:\Scripts im Ordner C:\Tests an. Ohne die Option –recurse wird in C:\Test ein Ordner Scripts angelegt, aber keine Dateien und Ordner kopiert. Neben dem vollständigen Befehl kann auch mit den Abkürzungen cpi, cp oder copy gearbeitet werden. Das Cmdlet Move-Item verschiebt Objekte: Move-Item C:\Scripts\test.zip c:\test. Auch hier kann wieder mit Platzhaltern gearbeitet werden, genauso wie beim Kopieren. Standardmäßig überschreibt Move-Item vorhandene Dateien im Zielordner nicht. Mit dem Parameter –force werden vorhandene Zieldateien oder Ordner überschrieben: Move-Item C:\Scripts\test.zip C:\Test –force. Mit dem Befehl Move-Item C:\Scripts\test.log C:\Test\ad.log werden Dateien verschoben und gleich umbenannt. Neben Move-Item kann auch mi, mv oder move verwendet werden. Mit dem Cmdlet New-Item werden neue Dateien oder Ordner erstellt. Mit dem Befehl New-Item C:\Temp\PowerShell –type directory wird im Verzeichnis C:\Temp ein neues, leeres Verzeichnis PowerShell erstellt (Abbildung 20.9). Abbildg. 20.9
Erstellen von neuen Verzeichnissen in der PowerShell
Um eine neue Datei zu erstellen, wird die gleiche Syntax, aber der Typ file verwendet: New-Item C:\Scripts\skript.txt –type file. Mit dem Befehl New-Item C:\Scripts\skript.txt –type file –force wird die vorhandene Datei durch eine neue leere Datei ersetzt. Mit dem Befehl New-Item C:\Scripts\ skript.txt –type file –force –value "Text" wird eine neue Datei erstellt und der hinterlegte Text in die Datei geschrieben. Statt New-Item kann auch ni verwendet werden. Mit dem Cmdlet Add-Content können Daten an eine Textdatei angefügt werden: Add-Content C:\Scripts\test.txt "Text". Standardmäßig fügt Add-Content den neuen Wert hinter dem letzten Zeichen in der Textdatei ein. Der Inhalt einer Datei wird mit Set-Content ersetzt. Clear-Content löscht den Inhalt einer Datei. Nach der Ausführung existiert die Datei weiterhin, hat aber keinen Inhalt mehr. Auch hier kann mit Platzzeichen gearbeitet werden: Clear-Content C:\Test\e*. Neben Textdateien unterstützt das Cmdlet auch Excel-Tabellen, Word-Dokumente und andere Dateien. Statt Clear-Content kann auch clc verwendet werden. 913
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 20
Windows PowerShell
Das Cmdlet Remove-Item löscht Objekte: Remove-Item C:\Scripts\test.txt. Mit dem Platzhalterzeichen * werden Objekte in einem angegebenen Ordner gelöscht: Remove-Item C:\Scripts\*. Mit dem Befehl Remove-Item C:\Scripts\* –recurse muss das Löschen nicht bestätigt werden. Der Befehl Remove-Item C:\Scripts\* –exclude *.doc löscht alle Dateien außer denen, die mit –exclude ausgeschlossen werden. Über den Befehl Remove-Item C:\Scripts\* –include .xls,.doc werden alle Dateien behalten, nur die hinter –include werden gelöscht. Beide Optionen können auch gemeinsam verwendet werden, zum Beispiel: Remove-Item C:\Scripts\* –include *.txt –exclude *test*. Hier werden alle Textdateien im Ordner gelöscht außer Dateien mit der Zeichenfolge »test« im Dateinamen. Der Parameter –whatif entfernt nichts, gibt aber aus, was passieren würde: Remove-Item C:\windows\*.exe –whatif (Abbildung 20.10). Abbildg. 20.10 Das Löschen von Dateien kann mit –whatif auch simuliert werden
Statt Remove-Item kann auch ri, rd, erase, rm, rmdir oder del verwendet werden. Vorhandene Objekte werden mit dem Cmdlet Rename-Item umbenannt: Rename-Item C:\Scripts\test.txt neu.txt. Die Befehle rni und ren führen ebenfalls zum Ziel. Das Cmdlet Get-ChildItem hat eine ähnliche Funktionalität wie der Befehl Dir. Mit Get-ChildItem –recurse wird auch der Inhalt der Unterordner angegeben, ähnlich zu Dir /s, nur übersichtlicher. Get-ChildItem HKLM:\SOFTWARE zeigt den Inhalt von Registryschlüsseln an (Abbildung 20.11). Abbildg. 20.11 Auflisten von Registryinhalten in der PowerShell
Durch die PowerShell-Laufwerke können alle Registryschlüssel auf diese Weise ausgelesen werden. Auch hier kann mit den beiden Optionen –include und –exclude gearbeitet werden: Get-ChildItem C:\Windows\*.* –include *.exe,*.pif. Die Funktionsweise ist ähnlich zu Copy-Item beziehungsweise 914
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Windows PowerShell zur Administration verwenden
Remove-Item. Die zurückgegebenen Informationen können auch an das Cmdlet Sort-Object weitergegeben werden, um eine Sortierung durchzuführen: Get-ChildItem C:\Windows\*.* | Sort-Object length. Mit Get-ChildItem C:\Windows\*.* | Sort-Object length –descending wird mit den größten Dateien begonnen. Für den Befehl können auch die Aliase gci, ls und dir verwendet werden. Das Cmdlet Test-Path überprüft das Vorhandensein einer Datei oder eines Ordners: Test-Path C:\Temp. Test-Path gibt True zurück, wenn die Datei vorhanden ist, und False, wenn die Datei nicht vorhanden ist. Auch hier kann mit Platzhaltern gearbeitet werden. Abbildg. 20.12 Überprüfen, ob ein Verzeichnis vorhanden ist
Die Anweisung Test-Path HKCU:\Software\Microsoft\Windows\ testet, ob ein bestimmter Registryschlüssel vorhanden ist. Programme starten und manipulieren Mit dem Cmdlet Invoke-Item kann über die Windows PowerShell eine ausführbare Datei gestartet oder eine Datei geöffnet werden: Invoke-Item C:\Windows\System32\Calc.exe. Statt Invoke-Item kann auch ii verwendet werden. Abbildg. 20.13 Starten von ausführbaren Dateien in der PowerShell
915
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 20
Windows PowerShell
Spezielle SBS-Befehle in die PowerShell einbinden Sie können die Windows-PowerShell so erweitern, dass sich spezielle SBS-Befehle, zum Beispiel für das Verschieben von Benutzerdaten, einbinden lassen. Fügen Sie das Snap-In Microsoft.WindowsServerSolutions.SBS.Powershell.MoveData zur PowerShell hinzu, können Sie Cmdlets verwenden, um verschiedene Daten zu verschieben: 쐍 Get-SBSDataStore Zeigt den entsprechenden Datenspeicher an, den Sie verschieben wollen, zum Beispiel Exchange, SharePoint oder Benutzerdaten 쐍 Move-SBSDataStore Verschiebt die Daten des entsprechenden Datenspeichers Verschieben lassen sich neben Benutzerdaten auch die Daten für Updates von WSUS. Dazu können Sie als SBSDataStore die entsprechenden Werte verwenden: 쐍 Exchange Exchange-Postfachdaten 쐍 SharePoint SharePoint-Dokumente 쐍 WSUS Daten der Patches 쐍 UserShares Daten von Freigaben 쐍 UserDocuments Daten aus umgeleiteten Ordnern von Benutzern 쐍 ClientBackup Verschiedene Sicherungsdaten Um die PowerShell zu erweitern, rufen Sie die Verknüpfung über Start/Alle Programme auf. Um das Snap-In der PowerShell hinzuzufügen, geben Sie den folgenden Befehl ein: Add-PSSnapin Microsoft.WindowsServerSolutions.SBS.Powershell.MoveData Abbildg. 20.14 Die PowerShell lässt sich so erweitern, dass sich spezielle SBS-Befehle nutzen lassen
916
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Die Communitys – Tools für die PowerShell
Geben Sie anschließend nur den Befehl get-sbsdatastore ein, fordert Sie die Befehlszeile ein, den entsprechenden Speicher anzugeben. Als Nächstes zeigt die Befehlszeile an, auf welchen Datenspeicher sich die Daten verschieben lassen, wie viel Platz benötigt wird und wie viel Speicher aktuell belegt wird. Abbildg. 20.15 Anzeigen der Daten eines Speichers in Small Business Server
Die Ausgabe des Cmdlets Get-SBSDataStore lässt sich an Move-SBSDataStore weitergeben. Das Ziellaufwerk ist das erste verfügbare Laufwerk unter AvailableDrives. Dazu verwenden Sie den Befehl Get-SBSDataStore | Move-SBSDataStore. Mit dem Befehl Get-SBSDataStore | Move-SBSDataStore –drive : können Sie den Laufwerkbuchstaben angeben. Der Befehl Move-SBSDataStore –drive : verschiebt direkt, ohne dass Sie get-sbsdatastore verwenden müssen. Durch die Option –log können Sie eine Protokolldatei mit Informationen zum Verschiebevorgang erstellen. Die Protokolldatei wird im Ordner %ProgramFiles%\Windows Small Business Server\Logs mit der Bezeichnung MoveDataCmd.{Prozess-ID}.log gespeichert.
Die Communitys – Tools für die PowerShell Bereits vor der Veröffentlichung von Small Business Server 2008 wird die PowerShell von vielen Administratoren bereits produktiv eingesetzt. Im Internet gibt es zahlreiche Communitys und Zusatzprodukte, welche den Nutzen der PowerShell weiter verbessern. So können Sie zum Beispiel PowerGadgets einsetzen, um über diese neue Shell Gadgets für die Sidebar von Windows Vista und Small Business Server 2008 zu erstellen. Sie finden den Link im folgenden Tipp. Ebenfalls im Internet erhältlich sind Cmdlets für die PowerShell, die spezielle Aufgaben im Netzwerk durchführen, auf Active Directory zugreifen oder auch Dateien übertragen können. Auch hier haben wir für Sie Beispiele aufgeführt. Selbst eine grafische Oberfläche wird mittlerweile angeboten, die Administratoren bei der Erstellung von Cmdlets unterstützt. Die PowerGUI kennt nicht nur die Cmdlets der herkömmlichen PowerShell, sondern auch die Erweiterungen für Exchange Server 2007 und Microsoft Operation Manager 2007. Mit der PowerGUI können Sie Cmdlets direkt in der grafischen Oberfläche durch bequeme Menüs ausführen.
917
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 20
Windows PowerShell
TIPP
Wichtige Internetseite für den Umgang mit der Windows PowerShell
http://www.powergadgets.com http://www.it-visions.de/scripting/powershell http://www.nsoftware.com/powershell/ http://www.quest.com/activeroles-server/arms.aspx http://powergui.org http://www.microsoft.com/technet/scriptcenter/scripts/msh/ts http://blogs.msdn.com/PowerShell/ http://www.microsoft.com/windowsserver2003/technologies/management/powershell/download.mspx
Normale Befehlszeile verwenden Neben der neuen PowerShell besteht auch weiterhin die Möglichkeit, auf die normale Befehlszeile zu setzen. In diesem Abschnitt zeigen wir Ihnen ein paar Tipps und Tricks zur Arbeit mit der Befehlszeile. In diversen Kapiteln dieses Buchs wurde bereits auf einzelne Befehle eingegangen, die ohne grafische Oberfläche in der Befehlszeile eingegeben werden können. Eine Befehlszeile öffnen Sie am besten über Start/Ausführen/cmd. Wenn Sie häufiger eine Befehlszeile benötigen, können Sie zur Datei cmd.exe auch eine Verknüpfung auf dem Desktop erstellen. Anders als bei Windows-Programmen steht der Anwender beim ersten Öffnen der Eingabeaufforderung zunächst einmal recht ratlos da: Es gibt keine Menüs, Schaltflächen oder sonstige Hinweise darauf, was man denn nun eigentlich anfangen kann. Nicht mal ein Druck auf die (F1)-Taste bringt nützliche Informationen auf den Bildschirm. Mit der Befehlszeile zu arbeiten, heißt tippen: Man erteilt dem System Befehle, indem man ihren Namen per Tastatur eingibt und die Zeile mit einem Druck auf die (¢)-Taste abschließt. Der Rechner führt daraufhin die gewünschten Aktionen aus, schreibt die angeforderten Informationen – oder auch eine Fehlermeldung – in dasselbe Fenster und steht anschließend für weitere Eingaben zur Verfügung. Nicht nur der eigentliche Umgang mit der Befehlszeile, auch die Auswahl an zur Verfügung stehenden Befehlen hat sich im Laufe der Zeit stark verbessert. Viele von ihnen erschließen – wie Ping – Funktionen, die man in der grafischen Oberfläche vergeblich sucht. Um eine weitere beliebte Startmöglichkeit der Befehlszeile schätzen zu lernen, muss man wissen, dass beim Arbeiten mit ihr immer genau ein Verzeichnis eines Laufwerks das so genannte aktuelle Verzeichnis ist. Nur Dateien in diesem Ordner lassen sich ansprechen, ohne ihnen einen Pfad voranstellen zu müssen. Zum Wechseln des aktuellen Verzeichnisses dient der Befehl ChDir oder kurz CD, der als Argument – wie bei allen Befehlen üblich durch ein Leerzeichen abgetrennt – den Namen des Ordners benötigt, in den man wechseln will. Einmal gestartet, präsentiert sich die Eingabeaufforderung als recht schmuckloses schwarzes Fenster mit ein paar Zeilen hellgrauem Text. Wem die Darstellung nicht gefällt, findet im Systemmenü dieses Fensters den Befehl Eigenschaften, mit dessen Hilfe sich beispielsweise die Schriftart und -größe, die Vorder- und Hintergrundfarbe und manches andere anpassen lassen. Empfehlenswert ist, auf der Registerkarte Layout die voreingestellte Fensterhöhe auf 50 Zeilen zu verdoppeln und die Fensterpuffergröße etwas großzügiger zu bemessen, etwa auf 300 bis 500 Zeilen. Die erste Zahl gibt an, wie viele Zeilen Text das Fenster vollständig anzeigt, die zweite definiert die Größe des Speichers, aus dem die Bildlaufleiste am rechten 918
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Normale Befehlszeile verwenden
Rand Text zurückholen kann, der nach oben aus dem Fenster gerutscht ist. Die Breite sollte besser auf 80 Zeichen eingestellt bleiben, da manche Programme sonst nur noch wirren Zeichensalat ausgeben. Abbildg. 20.16 Konfigurieren der Befehlszeile unter Small Business Server 2008
Interessant sind noch einige Einstellungen auf der Registerkarte Optionen. Hier spart ein Häkchen bei QuickEdit-Modus ein paar Mausklicks beim Kopieren von Text aus der Eingabeaufforderung in andere Anwendungen. Um den Text zu markieren, muss man ihn nur bei gedrückter Maustaste einrahmen und dann die (¢)-Taste drücken; ohne QuickEdit leitet der Befehl Markieren aus dem Systemmenü das Kopieren ein. Die restlichen Optionen sind mit sinnvollen Einstellungen vorbelegt; in Einzelfällen verdienen lediglich noch die Parameter im Bereich Befehlsspeicher Beachtung. Die Steuertasten, um die Eingabemarke um ein Zeichen oder ein Wort nach rechts oder links sowie an den Anfang oder das Ende der Zeile zu bewegen, funktionieren wie gewohnt. Dagegen dienen die Tasten (½), (¼), (Bild½) und (Bild¼) dazu, durch die Historie der vorher eingegebenen Befehle zu blättern; die letzten beiden springen an den Anfang beziehungsweise ans Ende dieser Liste. Auch wenn ein eingetippter langer Befehl auf die nächste Bildschirmzeile umbricht, verwaltet ihn der Editor wie eine einzige Zeile. Ein Druck auf (Esc) löscht die Eingabezeile. Weitere Editiermöglichkeiten stellen die Funktionstasten (F1) bis (F5) zur Verfügung. Beim Arbeiten mit der Eingabeaufforderung ist es recht häufig notwendig, Verzeichnis- oder Dateinamen einzugeben. Dabei kann man durch zwei verschiedene Kniffe einiges an Tipparbeit sparen. Der erste bedeutet einen Rückgriff auf die Maus und die grafische Windows-Oberfläche: Wenn Sie per Drag & Drop eine Datei oder einen Ordner aus dem Explorer auf ein Eingabeaufforderungsfenster ziehen, wird deren kompletter Name inklusive Pfad an der aktuellen Cursorposition in die gerade bearbeitete Befehlszeile eingefügt. Bei einem Druck auf die (ÿ)-Taste versucht der Eingabeeditor das, was vor dem Cursor steht, zu einem existierenden Datei- oder Verzeichnisnamen zu ergänzen. Eine Liste 919
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 20
Windows PowerShell
der grundlegenden Befehle gibt das System aus, wenn man den Befehl Help eingibt. Die meisten der angezeigten Befehle benötigen noch weitere Parameter, etwa einen oder mehrere Datei- oder Ordnernamen oder auch so genannte Optionen, die das Verhalten des Befehls im Detail ändern. Letztere bestehen in der Regel aus einem Buchstaben mit einem vorangestellten Schrägstrich (/). Grundsätzlich muss zwischen dem eigentlichen Befehl und seinen Argumenten sowie zwischen einzelnen Parametern jeweils ein Leerzeichen stehen. Welche Argumente ein bestimmter Befehl benötigt, offenbart sich durch die Eingabe von Help oder auch /?. Die wichtigsten Befehle sind nachfolgend aufgelistet: 쐍 APPEND Suche nach Dateien im Unterverzeichnis 쐍 ASSIGN Verweist dem Laufwerk einen anderen Buchstaben 쐍 ATTRIB
Anzeige/Ändern von Dateiattributen
쐍 C: Wechselt zum Laufwerk C: 쐍 CALL
Aufrufen einer Batchdatei aus einer anderen heraus mit Rücksprung
쐍 CD Der Befehl CD zeigt Ihnen den Namen des aktuellen Verzeichnisses an oder wechselt den aktuellen Ordner. Wird CD nur mit einem Laufwerkbuchstaben (z.B. ChDir C:) verwendet, zeigt es diesen Laufwerkbuchstaben und den Namen des Ordners an, der auf dem Laufwerk der aktuelle Ordner ist. Ohne Parameter zeigt CD das aktuelle Laufwerk und den aktuellen Ordner an. 쐍 CHKDSK Datenträger überprüfen 쐍 CHOICE 쐍 CLS
Erlaubt verschiedene Auswahlmöglichkeiten innerhalb von Batchdateien
Bildschirm löschen
쐍 COMP Dateien miteinander vergleichen 쐍 COPY Dateien kopieren 쐍 DATE
Aktuelles Datum anzeigen/ändern
쐍 DEL Löscht eine oder mehrere Dateien 쐍 DELTREE Löscht komplette Verzeichnisbäume 쐍 DIR Inhaltsverzeichnisse anzeigen. Zeigt eine Liste der in einem Verzeichnis enthaltenen Dateien und Unterverzeichnisse an. Wenn Sie Dir ohne Parameter verwenden, wird die Datenträgervolumebezeichnung und Seriennummer des Datenträgers, gefolgt von einer Liste der Verzeichnisse und Dateien auf dem Datenträger, einschließlich der entsprechenden Namen und des Datums und der Uhrzeit der letzten vorgenommenen Änderung angezeigt. Bei Dateien zeigt Dir die Namenerweiterung und die Größe in Bytes an. Dir zeigt auch die Gesamtzahl der aufgelisteten Dateien und Verzeichnisse an, ihre Gesamtgröße und den Umfang des auf dem Datenträger noch verfügbaren Speicherplatzes (in Byte). 쐍 ECHO Anzeigen von Meldungen auf dem Bildschirm aus einer Batchdatei heraus; Befehlsanzeige ein- bzw. ausschalten 쐍 EXIT Mit Exit beenden Sie aktuelle Batchskript (mit den Parameter /b) oder das Programm cmd.exe und kehrt zu dem Programm, das cmd.exe gestartet hat, oder zum Programm-Manager zurück 쐍 EXPAND 쐍 FC
Expandiert eine oder mehrere komprimierte Dateien
Dateien vergleichen
쐍 FIND Textstellen in Dateien suchen 920
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Normale Befehlszeile verwenden
쐍 FOR
Batchbefehle zur mehrfachen Wiederholung eines DOS-Befehls
쐍 FORMAT 쐍 FTP
Festplatten vorbereiten (formatieren)
Öffnet die FTP-Verbindung
쐍 GOTO
Sprungbefehl in Batchdatei
쐍 IF Setzen von Bedingungen in Batchdateien 쐍 LABEL
Zuweisen, Ändern oder Löschen eines Datenträgernamens
쐍 MD Unterverzeichnis erstellen 쐍 MENUCOLOR Legt die Farben für das Multikonfigurationsmenü fest 쐍 MOVE 쐍 PATH
Verschiebt Dateien, benennt Verzeichnisse um Suchpfad für ausführbare MS-DOS-Befehlsdateien festlegen oder anzeigen
쐍 PAUSE Stoppt innerhalb von Batchdateien und wartet auf einen Tastendruck 쐍 PING Testet eine Netzwerkverbindung 쐍 PRINT Druckt Textdateien im Hintergrund aus 쐍 RD Unterinhaltsverzeichnis löschen 쐍 REM Kommentare in Batchdateien 쐍 REN Dateien umbenennen 쐍 SUBST Ersetzt einen Verzeichnisnamen durch einen Laufwerksbezeichner 쐍 TELNET
Öffnet das Telnet-Fenster. Dazu muss aber die Funktion Telnet-Client installiert sein.
쐍 TIME Systemzeit anzeigen und ändern 쐍 TREE
Verzeichnisstruktur eines Datenträgers grafisch anzeigen
쐍 TYPE Inhalt einer Datei auf dem Bildschirm anzeigen 쐍 VOL Namen und Seriennummer eines Datenträgers 쐍 XCOPY Erweitertes Kopierprogramm mit zusätzlichen Möglichkeiten zur Übertragung von Dateien und kompletten Verzeichnisbäumen Mit Xcopy lassen sich Dateien und Verzeichnisse einschließlich der Unterverzeichnisse kopieren. Die Syntax dazu lautet: Xcopy Quelle [Ziel] [/c] [/v] [/l] [/d[:TT.MM.JJ]] [/u] [/s [/e]] [/t] [/k] [/r] [/h] [{/y|/-y}] [/z]
Dabei können Sie folgende Optionen verwenden: 쐍 /c Unterdrückt Fehlermeldungen 쐍 /v Bewirkt, dass jede Zieldatei nach dem Schreiben überprüft wird, um sicherzustellen, dass die Zieldateien mit den Quelldateien übereinstimmen 쐍 /l Zeigt eine Liste der zu kopierenden Dateien an 쐍 /d[:TT.MM.JJ] Kopiert nur Quelldateien, die an oder nach dem angegebenen Datum geändert wurden. Wenn Sie keinen Wert für TT.MM.JJ angeben, kopiert Xcopy alle Dateien aus der Quelle, die neuer sind als vorhandene Dateien auf das Ziel. Mit dieser Befehlszeilenoption können Sie veränderte Dateien aktualisieren. 921
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 20
Windows PowerShell
쐍 /u Kopiert nur die Dateien aus der Quelle, die bereits im Ziel existieren 쐍 /s Kopiert Verzeichnisse und Unterverzeichnisse, wenn diese nicht leer sind. Wenn Sie /s weglassen, arbeitet Xcopy nur innerhalb eines Verzeichnisses. 쐍 /e
Kopiert alle Unterverzeichnisse, auch wenn diese leer sind
쐍 /t Kopiert nur die Unterverzeichnisstruktur (Tree), keine Dateien. Um auch leere Verzeichnisse zu kopieren, müssen Sie die Befehlszeilenoption /e angeben. 쐍 /k Kopiert Dateien und behält das Attribut Schreibgeschützt bei den Zieldateien bei, wenn es bei den Quelldateien gesetzt war. Standardmäßig entfernt Xcopy das Attribut Schreibgeschützt. 쐍 /r Kopiert schreibgeschützte Dateien 쐍 /h Kopiert Dateien mit den Attributen Versteckt und System. Standardmäßig kopiert Xcopy weder versteckte Dateien noch Systemdateien. 쐍 /y Unterdrückt die Ausgabe einer Aufforderung zur Bestätigung des Überschreibens einer vorhandenen Zieldatei 쐍 /–y Fordert Sie auf, das Überschreiben einer vorhandenen Zieldatei zu bestätigen 쐍 /z
Kopiert im ausführbaren Modus über ein Netzwerk
Batchdateien verwenden Für die Befehlszeile gibt es eine Art Programmiersprache, mit der Sie Befehle automatisieren und abspeichern können. Zum Schreiben von Batchdateien benötigen Sie lediglich den Windows-Editor. Beispiel: In der Batchdatei sollen der erste und zweite Parameter einfach per Echo ausgegeben werden. Dazu sollten Sie noch am Anfang den Befehl @Echo off verwenden, der verhindert, dass die Befehle, die ausgeführt werden, am Bildschirm ausgegeben werden. Beim Speichern müssen Sie beachten, dass Sie unter Dateityp die Option Alle Dateien auswählen und beim Dateinamen die Endung *.bat oder *.cmd hinzufügen. Nachdem Sie die Batchdatei gespeichert haben, können Sie die Datei ganz einfach über die Befehlszeile ausführen lassen. Starten Sie dazu die Befehlszeile und wechseln Sie zum Verzeichnis, in dem sich die Batchdatei befindet. Alternativ können Sie die Batchdatei auch per Doppelklick unter Windows öffnen oder eine Verknüpfung zur Datei anlegen. Die wichtigsten Befehle in Batchdateien sind folgende: 쐍 REM Für Kommentare, diese werden beim Ausführen nicht berücksichtigt 쐍 ECHO 쐍 FOR
Ausgabe einer Meldung am Bildschirm
Führt Befehle so lange aus, solange die Bedingung zutrifft
쐍 IF Führt einen Befehl nur dann aus, wenn die Bedingung zutrifft 쐍 GOTO Sprungbefehl zu einer Sprungmarke 쐍 : Sprungmarke, zu der mittels GOTO gesprungen werden kann 쐍 PAUSE Wartet so lange, bis eine Taste gedrückt wird 쐍 CALL Führt eine andere Batchdatei aus
922
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Normale Befehlszeile verwenden
TIPP
Weiterführende Informationen zu Batchdateien finden Sie auf den folgenden
Internetseiten:
쐍 http://www.axel-hahn.de/axel/page_compi/bat_index.htm 쐍 http://de.wikipedia.org/wiki/Stapelverarbeitung Weitere wichtige Befehle, vor allem für Batchdateien im Netzwerkbereich, finden Sie in der folgenden Tabelle: Tabelle 20.1
Häufige Befehle für die Verwendung in Batchdateien Befehl
Was können Sie mit diesem Befehl erreichen?
net use
Laufwerke verbinden und trennen, Druckeranschlüsse verbinden und trennen
net view
Server und Freigaben anzeigen
net share
Freigaben erstellen, ändern und löschen
cacls
NTFS-Zugriffsrechte anzeigen und ändern
net user
Benutzer verwalten
net group
Benutzergruppen verwalten
net computer
Konten für Computer in der Domäne anlegen und löschen
net accounts
Kennworteinstellungen verändern und anzeigen
net start
Startet einen Dienst
net stop
Beendet einen Dienst
net file
Zeigt die geöffneten Dateien an
net session
Zeigt die Sitzungen auf einem Computer an oder trennt eine Sitzung
net time
Führt eine Zeitsynchronisierung mit einem anderen Computer im Netzwerk aus oder zeigt dessen Uhrzeit an
cipher
Verschlüsseln oder Entschlüsseln von Dateien und Ordnern
assoc
Zeigt oder ändert die Zuordnungen von Dateiendungen zu Programmen an
setver
Spielt einem Programm eine andere Betriebssystemversion vor
Arbeiten mit Umgebungsvariablen Sie benötigen für nahezu jedes komplexere Skript neben den Befehlen für die Batchprogrammierung auch fast immer Umgebungsvariablen, da in den wenigsten Fällen alle Betriebssysteme und Programme in denselben Verzeichnissen gespeichert sind. Um das Systemverzeichnis herauszufinden, können Sie beispielsweise die Variable %systemroot% verwenden. Mit %username% ermitteln Sie den Benutzernamen des angemeldeten Benutzers. In der folgenden Tabelle zeigen wir Ihnen eine Übersicht über die wichtigsten Umgebungsvariablen und deren Bedeutung.
923
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 20
Tabelle 20.2
Windows PowerShell
Die wichtigsten Systemvariablen in der Übersicht Variable
Beispielwert
Bedeutung
ComSpec
F:\WINNT\system32\cmd.exe
Speicherort des Befehlsinterpreters
HOMEDRIVE
H:
Laufwerkbuchstabe für das Home Directory
HOMEPATH
\admin
Verzeichnis des Home-Directory
LOGONSERVER
\\CCI2000
Welcher Server hat das Domänenlogin durchgeführt?
NUMBER_OF_PROCESSORS
1
Anzahl der Prozessoren
OS
Windows_NT
Betriebssystem (Achtung: Auch bei Small Business Server 2008 liefert die Variable Windows_NT)
Path
F:\WINNT\system32;F:\WINNT; F:\WINNT\System32\Wbem; F:\Programme\Support Tools\; F:\Programme\Resource Kit\;c:\dos
Suchpfad für Windows-Anwendungen
PATHEXT
.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;. Dateiendungen, die als ausführbare JSE;.WSF;.WSH Dateien erkannt werden
PROCESSOR_ARCHITECTURE
x86
PROCESSOR_IDENTIFIER
Prozessortyp (Windows Server 2003 unterstützt nur x86, das bedeutet Pentium-kompatible Prozessoren) Genaue Identifikation des Prozessors
PROCESSOR_LEVEL
5
Pentium = 5, 486 = 4
PROCESSOR_REVISION
080c
Interne Versionsnummer des Prozessors
ProgramFiles
F:\Programme
Pfad für Programminstallationen
PROMPT
$P$G
Promptzeichen in der Eingabeaufforderung
SystemDrive
F:
Laufwerkbuchstabe der Systemplatte
SystemRoot
F:\WINNT
Pfad zum Windows-Verzeichnis
TEMP
F:\Temp
Pfad für temporäre Dateien
TMP
F:\Temp
Pfad für temporäre Dateien
USERDNSDOMAIN
Contoso.com
Vollständiger DNS-Name der Active Directory-Domäne
USERDOMAIN
Contoso
NetBIOS-Name der Active DirectoryDomäne
USERNAME
Admin
Name des angemeldeten Benutzers
USERPROFILE
C:\Benutzer\admin
Verzeichnis, in dem das Benutzerprofil des angemeldeten Benutzers gespeichert ist.
windir
C:\Windows
Das Windows-Verzeichnis
924
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Normale Befehlszeile verwenden
Verwaltung mit WMI und dem Tool WMIC Die Grundidee der WMIC (Windows Management Instrumentation Commandline) ist einfach: Die umfassenden Funktionen, die WMI (Windows Management Instrumentation) potenziell bietet, sollen ohne Programmierung nutzbar werden. Das Tool ist nur für Windows XP Professional, Windows Server 2003, Windows Vista und Small Business Server 2008 verfügbar, nicht für ältere Windows-Versionen. Die meisten der Funktionen, die von WMI angeboten werden, lassen sich auch mit WMIC nutzen. Die WMIC ist Teil von Small Business Server 2008. Sie wird beim ersten Aufruf automatisch installiert. Dieser Prozess dauert allerdings nicht einmal eine Minute – danach kann dann die volle Funktionalität von WMIC genutzt werden. WMIC ist als Werkzeug für Administratoren konzipiert. Mit den über 80 Aliasen kann auf rund 150 Methoden zugegriffen werden. Diese Methoden haben wiederum eine Vielzahl von Eigenschaften. Die Reports können in unterschiedlichen Formaten wie Text oder XML erstellt werden. Für den Zugriff auf die insgesamt mehr als 10.000 Objekte, die standardmäßig bei Small Business Server 2008 unterstützt werden, gibt es zwei WMIC-Modi: 쐍 Im Befehlsmodus können direkt an der Eingabeaufforderung Befehle eingegeben werden 쐍 Im interaktiven Modus wird dagegen eine eigene WMIC-Befehlszeile geladen. Von dort aus können Sie dann durch die Strukturen der WMI navigieren. Der interaktive Modus wird durch Eingabe von Wmic gestartet und kann mit Quit beendet werden. In diesem zweiten Modus können Sie Hilfeinformationen über die verfügbaren Aliase und Optionen anzeigen lassen. Die Hilfe rufen Sie mit /? an der WMIC-Befehlszeile auf (Abbildung 20.17). Abbildg. 20.17 Im interaktiven Modus können Sie durch die Strukturen der WMI navigieren
Um die Hilfefunktion an der Befehlszeile aufzurufen, verwenden Sie Wmic /?. Es wird dann die gleiche Hilfefunktion angezeigt. Die WMIC-Engine greift auf ein Alias-Schema zu. Dieses Schema setzt Bezeichner von WMI in die Aliase um. Das Schema kann editiert werden, sodass Sie bei Bedarf auch zusätzliche Aliase definieren können. Die WMIC-Engine greift dann auf die eigentliche WMISchnittstelle zu und erzeugt die Ergebnisse. Diese werden intern als XML gehandhabt und über XSLT in das gewünschte Format umgesetzt. Dabei gibt es verschiedene Standardformate wie die Anzeige an der Konsole. Diese Trennung von Komponenten gibt der WMIC eine hohe Flexibilität,
925
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 20
Windows PowerShell
weil Erweiterungen des WMI-Schemas ebenso gut umgesetzt werden können wie unterschiedliche Anforderungen an die Ausgabe. Wichtig ist bei der WMIC auch, dass nicht nur Informationen des lokalen Systems, sondern auch von externen Systemen abgefragt werden können. Je nach Befehl können auch Daten von mehreren Computern mit einer einzigen Anweisung angefordert werden. Die WMIC bietet eine Vielzahl von Möglichkeiten, was schon bei der Liste der Aliase deutlich wird. Diese können Sie sich in der Hilfefunktion anzeigen lassen. Wenn Sie den interaktiven Modus nutzen, können Sie durch die Strukturen der WMI navigieren. Die WMIC kennt dabei eine Reihe so genannter Global Switches, also von Schaltern, die Sie beeinflussen können und die wiederum das Verhalten der WMIC steuern. Den aktuellen Zustand dieser Schalter erfragen Sie mit dem Befehl Context. Zu den Switches gehört beispielsweise die Liste der Systeme, auf die zugegriffen wird. Diese finden sich beim Switch Node(s). Durch den Befehl /node:Server10 können Sie zum Beispiel zusätzlich den Server mit dem Namen Server10 in die Liste der Systeme aufnehmen, auf die zugegriffen wird. Servernamen mit Sonderzeichen müssen in Anführungszeichen gesetzt werden. Die beiden wichtigsten Befehle für den Einstieg in die WMIC sind: 쐍 list full 쐍 list brief Der erste der beiden Befehle zeigt für den ausgewählten Alias eine umfassende Liste von Informationen an, der zweite dagegen die Kurzform dieser Liste. Sie können diesen Befehl beispielsweise mit den folgenden Aliasen testen: 쐍 os (Betriebssystem) 쐍 nic (Netzwerkadapter) 쐍 volume (Logischer Datenträger) Mit diesen einfachen List-Befehlen für Volumes können Sie schnell und effizient auf Zustandsdaten des Systems zugreifen. Wenn Sie sich für die Aliase mit /? die Hilfeinformationen anzeigen lassen, werden weitere Methoden dargestellt. Dabei wird deutlich, dass es eine Reihe von Methoden gibt, die bei verschiedenen Objekten in der gleichen Form auftauchen. Es gibt aber auch Methoden, die nicht überall unterstützt werden. Um die Möglichkeiten einer Methode wie OS Set kennen zu lernen, geben Sie OS Set /? ein. In diesem Fall wird dann beispielsweise eine Liste der Eigenschaften angezeigt, die Sie für das Betriebssystem setzen können. Dazu zählt zum Beispiel die Zeitzone. Auch die vordefinierten Formate sind recht nützlich. Neben der Anzeige an der Konsole können Sie beispielsweise mit OS List Full /format:rawxml eine Ausgabe im XML-Format erzeugen. Über eigene XSL-Dateien könnten Sie das Ausgabeformat auch anpassen. Wichtig ist zusätzlich, dass Sie mit Abfragen arbeiten können, wobei das Format dieser Abfragen weitgehend identisch mit dem der WMI-Filter ist. Mit den Methoden Call und Set können Sie auch Änderungen an bestehenden Parametern vornehmen.
Zusammenfassung In diesem Kapitel konnten Sie mehr über den optimalen Umgang mit der neuen Windows-PowerShell sowie der Befehlszeile erfahren. Mit der Befehlszeile und der PowerShell lassen sich optimal Skripts entwickeln und Aufgaben automatisieren. Im nächsten Kapitel zeigen wir Ihnen die erweiterten Verwaltungsmöglichkeiten des Webservers in Windows Server 2008, der auch in Small Business Server 2008 integriert ist.
926
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
In diesem Kapitel: Neuerungen in IIS 7.0
928
Installieren, Konfigurieren und erste Schritte
933
Verwalten von Anwendungspools
942
Delegierung der IIS-Verwaltung
948
Sicherheit in IIS 7.0 konfigurieren
958
Konfigurieren der Webseiten, Dokumente und HTTP-Verbindungen
970
IIS 7.0 überwachen und Logdateien konfigurieren
974
Optimieren der Serverleistung
977
FTP-Server betreiben
980
Zusammenfassung
985
927
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Wie Sie bereits in Kapitel 1 gesehen haben, hat Microsoft auch die Internetinformationsdienste (Internet Information Services, IIS) komplett überarbeitet. Während in Windows Server 2003 noch die IIS 6.0 ihre Dienste verrichtet, wird Small Business Server 2008 mit IIS 7.0 ausgeliefert, die einige Neuerungen mitbringen. In Kapitel 1 wurde bereits auf die wichtigsten Neuerungen eingegangen. Diese werden in diesem Kapitel noch weiter vertieft. Das Erste, was Administratoren auffällt, ist die neue Verwaltungsoberfläche der Internetinformationsdienste (Internet Information Services, IIS), die deutlich überarbeitet wurde (Abbildung 21.1). Abbildg. 21.1
Die überarbeitete Oberfläche des Internetinformationsdienste-Managers
Für die Remoteverwaltung von Webservern wird unter Small Business Server 2008 nicht mehr das RPC-Protokoll verwendet, sondern HTTP oder HTTPS. Die einzelnen Komponenten zur Verwaltung sind in der neuen Oberfläche schneller zu finden und leichter zu bedienen.
Neuerungen in IIS 7.0 Neben den bereits erwähnten Neuerungen wurde im IIS 7.0 auch einiges in der internen Struktur geändert. Http.sys, der Kernelmodus-Treiber für Hypertext Transfer Protocol-(HTTP-)Verkehr, wurde in Small Business Server 2008 und Windows Vista für folgende Elemente erweitert: 쐍 HTTP-Server-API 2.0 Bei der HTTP-Server-API handelt es sich um einen HTTP-Protokolltreiber im Kernelmodus, für den über Httpapi.dll APIs im Benutzermodus verfügbar sind. Die HTTP-Server-APIs ermöglichen einer Serveranwendung die Registrierung von HTTP-URLs sowie das Empfangen von Anfragen und von Dienstantworten. HTTP-Server-APIs beinhalten 928
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Neuerungen in IIS 7.0
benutzerfreundliche HTTP-Listener-Funktionalität für Windows sowohl für systemeigene als auch für verwaltete Windows-.NET-Anwendungen. Anwendungen können die HTTP-ServerAPI verwenden, um TCP-Ports gemeinsam mit Internet Information Services (IIS) 6.0 zu verwenden. Dadurch können viel genutzte TCP-Ports (z. B. 80 und 443) gleichzeitig sowohl von HTTP-Server-API-basierten als auch von IIS 6.0-Anwendungen verwendet werden, sofern diese verschiedene Teile des URL-Namespace bedienen. 쐍 Serverseitige Authentifizierung Http.sys führt nun eine serverseitige Authentifizierung durch. Bislang führten die Serveranwendungen eigene Authentifizierungen durch. Serveranwendungen können jetzt unter geringer privilegierten Konten ausgeführt werden. Es können verschiedene Konten verwendet werden, da Http.sys nun die Service Principle Name-(SPN-)Authentifizierung für Anwendungen übernimmt. 쐍 Protokollierung Http.sys bietet eine zentralisierte W3C-Protokollierung, wobei alle Einträge für sämtliche Sites einer Serveranwendung in einer einzigen Protokolldatei gespeichert werden. Innerhalb der zentralisierten Protokolldatei identifizieren ID-Felder die Site, zu der die Protokolleinträge gehören. 쐍 Ereignisablaufverfolgung in Windows für HTTP-Ereignisse Bei der Ereignisablaufverfolgung für Windows (Event Tracing for Windows, ETW) handelt es sich um eine Möglichkeit, in Windows Informationen zu Komponenten und Ereignissen abzurufen, die in der Regel in Protokolldateien geschrieben werden. Mithilfe von ETW-Protokolldateien wird die Problembehebung deutlich erleichtert. 쐍 Netsh-Befehle Sie können die Konfigurationseinstellungen verwalten und die Diagnose für Http.sys über verschiedene Befehle im Netsh-HTTP-Kontext steuern. Netsh ist ein Befehlszeilentool. Mithilfe dieser neuen Unterstützung können Sie an einer Windows-Eingabeaufforderung zahlreiche Aufgaben durchführen: Konfigurieren von SSL-Zertifikatbindungen, URL-Reservierungen, IP-Überwachungslisten oder globalen Zeitüberschreitungen ist möglich. Auch das Löschen oder Leeren des HTTP-Zwischenspeichers oder das Protokollieren von Puffern. Das Anzeigen des Status des Http.sys-Dienstes oder des Zwischenspeichers kann in der Befehlszeile durchgeführt werden. 쐍 Leistungsindikatoren Http.sys verfügt über neue Leistungsdatenindikatoren, die bei der Überwachung, Diagnose und Kapazitätsplanung von Webservern helfen sollen: 쐍 Leistungsindikatoren für HTTP-Dienste 쐍 Anzahl an URLs im Zwischenspeicher, hinzugefügt seit dem Start, gelöscht seit dem Start und Anzahl an Zwischenspeicherleerungen 쐍 Cachetreffer/Sekunde und Cachefehlversuche/Sekunde 쐍 HTTP-Dienst-URL-Gruppen 쐍 Datensenderate, Datenempfangsrate, übertragene Bytes (gesendet und empfangen) 쐍 Maximale Anzahl an Verbindungen, Verbindungsversuchsrate, Rate für GET- und HEADAnfragen und Gesamtanzahl an Anfragen 쐍 Anfragenwarteschlangen des HTTP-Dienstes 쐍 Anzahl der Anfragen in der Warteschlange, Alter der ältesten Anfrage in der Warteschlange 쐍 Rate der Anfrageeingänge in der Warteschlange, Ablehnungsrate, Gesamtzahl der abgelehnten Anfragen und Rate der Cachetreffer
929
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Anders als der Vorgänger IIS 6.0 bieten die IIS 7.0 um einen kleinen Webserverkern (Web Core Server) herum die Auswahl unter mehr als 40 IIS-Modulen für Netzwerkprotokolle, Protokollierung, Konfiguration, Authentifizierungsverfahren und Diagnose. Neben den Anwendungsentwicklungsframeworks wie ASP, ASP.NET, CGI und ISAPI können die IIS 7.0 auch in den Bereichen HTTPFeatures, Diagnose, Sicherheit und Verwaltungswerkzeuge selektieren. Im Bereich Sicherheit sind verschiedene Authentifizierungsverfahren (Basic, Windows, Digest, Zertifikate) wählbar. Bei den Management-Diensten steht zur Wahl, ob eine Fernverwaltung des IIS über einen Management Service erlaubt sein soll. Im Hinblick auf Sicherheit reduziert dies die Angriffsfläche und erhöht die Sicherheit des Webservers. IIS 7.0 verwendet das .NET-basierte Konfigurationssystem. Alle Einstellungen einer Web-Anwendung, sowohl die von ASP.NET als auch die des IIS, werden in *.configDateien gespeichert. Web.config-Dateien bieten gegenüber dem bisherigen Metabase-basierten Konfigurationsmodell einige Vorteile: 쐍 Die Konfigurationsdateien können mit einfachen Werkzeugen (Text- oder XML-Editoren) bearbeitet werden 쐍 Die Konfigurationsdateien können einfacher (per Dateikopie und auch per FTP) übertragen werden 쐍 Geänderte Konfigurationsdateien führen sofort zur Verhaltensänderung 쐍 Die Konfigurationsdateien liegen lokal in dem jeweiligen Webprojekt. Die Delegation von administrativen Aufgaben wird dadurch einfacher. 쐍 In jedem Unterverzeichnis können Konfigurationsdateien existieren, wobei untergeordnete Konfigurationsdateien übergeordnete Einstellung überschreiben Zentrale Einstellungen, die für den ganzen Webserver gelten, befinden sich in der Datei applicationHost.config im Verzeichnis systemroot\System32\inetsrv. Die Datei erbt die Einstellungen von der Machine.config in .NET Framework. Unterhalb der applicationHost.config steht die globale Web.config-Datei aus dem Verzeichnis systemroot\Microsoft.NET\Framework\Versionnummer\CONFIG. Zur automatisierten Administration bieten die IIS 7.0 ein neues Befehlszeilenwerkzeug AppCMD.exe. Die Verwaltung der Zertifikate findet jetzt direkt über den Server im InternetinformationsdiensteManager statt. An dieser Stelle können Sie Zertifikate hinzufügen und die Zertifikate des Servers verwalten. Abbildg. 21.2
Verwalten der Serverzertifikate in IIS 7.0
930
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Neuerungen in IIS 7.0
TIPP
Auf der Internetseite www.iis.net werden vom IIS-Entwicklungsteam ausführliche Informationen zu den Services zur Verfügung gestellt.
Authentifizierung in IIS 7.0 Im Bereich der Authentifizierung und Berechtigungen hat Microsoft einige Anpassungen im Vergleich zu IIS 6.0 von Windows Server 2003 vorgenommen. Unterstützte Authentifizierungsverfahren sind vor allem NTLM, Kerberos, Standardauthentifizierung, Formulare und Zertifikate. Auch RSA und Herstellermethoden von Drittanbietern können integriert werden. Die einzelnen Authentifizierungsprotokolle können einzeln installiert werden. Diese Funktion ist neu unter Small Business Server 2008. Klicken Sie dazu den Eintrag Webserver (IIS) in der Konsolenstruktur des ServerManagers mit der rechten Maustaste an und wählen Sie im Kontextmenü den Befehl Rollendienste hinzufügen aus (Abbildung 21.3). Auf diesem Weg können Sie auch Rollendienste entfernen, zum Beispiel Authentifizierungsmaßnahmen, die Sie nicht auf Ihrem Webserver unterstützen wollen. Abbildg. 21.3
Die Authentifizierungsprotokolle können bei IIS 7.0 einzeln über das Hinzufügen oder Entfernen von Rollendiensten installiert oder deinstalliert werden
Die Authentifizierungsprotokolle finden Sie unter Sicherheit. Hier können einzelne Protokolle ausoder abgewählt werden. Im Internetinformationsdienste-Manager können über Authentifizierung die einzelnen Authentifizierungsprotokolle für den kompletten Server aktiviert oder deaktiviert werden. Der erste Schritt nach der Einrichtung des Servers besteht daher darin, zunächst die unterstützten Authentifizierungsmaßnahmen auf dem Server zu konfigurieren (Abbildung 21.5). Über den Menüpunkt .NETBenutzer können neue Benutzer angelegt werden, die unabhängig von Domänenbenutzerkonten zur Authentifizierung für den Webserver verwendet werden können. Ein Administrator kann sehr einfach über dieses Menü neue Benutzer anlegen und auf deren Basis Berechtigungen vergeben.
931
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Abbildg. 21.4
Auswählen der Authentifizierungsprotokolle für IIS
Abbildg. 21.5
Konfigurieren der Authentifizierung in IIS 7.0
932
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Installieren, Konfigurieren und erste Schritte
TIPP
Entwickler und Administratoren, die Authentifizierungsprobleme lösen müssen, sollten von der Internetseite www.fiddlertool.com das Programm Fiddler2 kostenlos herunterladen. Das Tool bindet sich als Proxy zwischen Browser und IIS und liefert umfangreiche Debuginformationen für Webentwickler und Administratoren (Abbildung 21.6). Abbildg. 21.6
Analysieren von Authentifizierungsproblemen mit dem kostenlosen Fiddler-Tool
Neue IBLD21_WPG-Gruppe Die IBLD21_WPG-Gruppe des IIS 6.0 gibt es in dieser Form in den IIS 7.0 nicht mehr. Stattdessen gibt es die Gruppe IBLD21_IUSRS, mit der Berechtigungen erteilt werden können. Diese Gruppen sind nicht mehr speziell maschinenbezogen, sondern unterstützen auch das Übertragen und Klonen der IIS-Metabase sowie das Kopieren von Berechtigungen (Zugriffsteuerungslisten, ACLs) über Xcopy. Diese Gruppe ist daher auf jedem IIS-Server bekannt, sodass gesetzte Berechtigungen übernommen werden können. Da die Berechtigungen nicht durch Benutzernamen, sondern durch SIDs gesetzt werden, können auch diese Daten zwischen IIS 7.0-Servern per Xcopy übernommen werden. Dadurch besteht die Möglichkeit, über die Mitgliedschaft der Gruppe IBLD21_IUSRS auf einem Server auch auf Daten anderer Server im Netzwerk zuzugreifen, sofern dies konfiguriert und erwünscht ist. Auf Basis dieser Gruppenmitgliedschaften dürfen Anwendungspools gestartet und verwaltet werden. Entwickler, die eigene Benutzerkonten für die Verwaltung Ihrer Anwendungspools erstellen, müssen dieses Benutzerkonto nicht mehr manuell der Gruppe IBLD21_WPG hinzufügen, wie noch unter Windows Server 2003. Entsprechende Benutzerkonten werden automatisch in die Gruppe IBLD21_IUSRS aufgenommen.
Installieren, Konfigurieren und erste Schritte IIS 7.0 kann als Rolle über den Server-Manager hinzugefügt werden. Nach der Auswahl der zu installierenden Rollendienste können Sie die Verwaltung über den InternetinformationsdiensteManager starten. Die Oberfläche des Verwaltungstools sieht im Vergleich zu seinem Pendant in Windows Server 2003 deutlich verändert aus. Das Verwaltungstool kann auch über Start/Ausführen/ inetmgr gestartet werden. 933
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Starten und Beenden des Webservers Beim Installieren von Patches oder der Änderung von wichtigen Systemeinstellungen ist es oft nötig, den Webserver neu zu starten. Dazu muss nicht der ganze Server gebootet werden, sondern die Dienste des IIS können einzeln beendet und wieder gestartet werden. An dieser Vorgehensweise hat sich im Vergleich zum IIS 6.0 von Windows Server 2003 nichts geändert. Das Beenden und der Start von IIS kann über die Verwaltungskonsole durchgeführt werden, indem Sie die entsprechenden Punkte aus dem Kontextmenü des Servers oder im Aktionen-Bereich auswählen (Abbildung 21.7). Abbildg. 21.7
Starten und Beenden des Webservers in IIS 7.0
Alternativ können Sie in der Befehlszeile auch den Befehl net stop w3svc zum Beenden und net start w3svc zum Starten des Dienstes eingeben. Neben dem Starten und Stoppen des kompletten Servers können Sie auch einzelne Webseiten zeitweise deaktivieren. Alle anderen Webseiten des Servers bleiben davon unbeeinflusst. Klicken Sie dazu im Internetinformationsdienste-Manager auf die Website, die neu gestartet oder beendet werden soll. Im Aktionen-Bereich der Konsole werden im Abschnitt Website verwalten die Befehle zum Neustart und zum Beenden angezeigt (Abbildung 21.8). Neben dem Starten und Beenden können auf diesem Weg auch die anderen Einstellungen der Webseite angepasst werden. Über die Befehlszeile kann mit dem Tool AppCMD.exe (siehe den folgenden Abschnitt) ebenfalls ein Neustart oder das Beenden erzwungen werden. Zum Beenden beispielsweise der Webseite Contoso geben Sie den Befehl appcmd stop site /site.name:contoso ein, mit appcmd start site /site.name:contoso wird die Seite wieder gestartet.
934
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Installieren, Konfigurieren und erste Schritte
Abbildg. 21.8
Starten und Beenden einzelner Webseiten im IIS
IIS in der Befehlszeile verwalten – AppCMD.exe Neben der Verwaltung in der grafischen Oberfläche bieten die IIS 7.0 auch ein neues Befehlszeilentool für die Verwaltung mit der Bezeichnung appcmd.exe an. Für die Verwaltung von IIS werden nicht mehr verschiedene Tools und Skripts benötigt, wie noch für IIS 6.0, sondern alle Verwaltungsaufgaben werden jetzt in einem Befehlszeilen-Tool zusammengefasst. Das Tool befindet sich allerdings nicht direkt im Pfad der Befehlszeile, kann also nicht direkt aufgerufen werden. Sie müssen zuvor in das Verzeichnis \Windows\System32\inetsrv wechseln. Das Tool muss mit Administratorrechten gestartet werden. Eine ausführliche Hilfe erhalten Sie über appcmd /?. Da die Hilfe kontextsensitiv ist, können Sie auch für einzelne Befehle, wie zum Beispiel appcmd site /?, die entsprechende Hilfe aufrufen. Wir zeigen Ihnen in den entsprechenden Abschnitten in diesem Kapitel auch die zu AppCMD.exe gehörigen Befehle. Abbildg. 21.9
Befehlszeilenverwaltungstool für IIS
935
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Mit AppCMD.exe können Einstellungen des Servers, einzelner Webseiten und von Web.configDateien angepasst werden. Für die Systemverwaltung des IIS und einzelner Seiten spielen hauptsächlich die drei Dateien Machine.config, Web.config und applicationHost.config eine wesentliche Rolle. In diesen drei Dateien werden die wichtigsten Systemeinstellungen des IIS vorgenommen. Standardmäßig liest und schreibt das Tool Änderungen in die Datei applicationHost.config. Soll der Fokus auf die Datei Machine.config oder der obersten Web.config gesetzt werden, muss zusätzlich noch die Option commit verwendet werden. Die zusätzliche Option MACHINE für commit setzt den Fokus auf Machine.config, die Option WEBROOT aktiviert oder liest Änderungen aus der obersten Web.config. Soll zum Beispiel der Bereich machineKey aus der obersten Web.config gelesen werden, verwenden Sie den Befehl appcmd list config /section:machineKey /commit:WEBROOT. Sollen Einstellungen in der Web.config einzelner Seiten vorgenommen werden, muss die Bezeichnung der Seite in den Befehl integriert werden, zum Beispiel über appcmd set config "Contoso" /section:defaultDocument /enabled:false. Bei diesem Beispiel werden die Änderungen in der Datei Web.config für alle Webseiten unterhalb der Seite Contoso vorgenommen. Sollen Änderungen nur in einzelnen Unterwebseiten oder virtuellen Verzeichnissen durchgeführt werden, muss auch dieser Pfad im Befehl mit angegeben werden, zum Beispiel über appcmd set config "Contoso/Produkte" /section:defaultDocument /enabled:true. Beispiele: Neben den Möglichkeiten, die wir auf den folgenden Seiten vorstellen, können mit AppCMD.exe zum Beispiel auch die aktuellen Anfragen an einen Webserver angezeigt werden. Dazu wird der Befehl appcmd list request verwendet. TIPP Die aktuellen Einstellungen eines Servers lassen sich darüber hinaus mit AppCMD auch sichern. Mit dem Befehl appcmd add backup kann ein Backup erstellt werden, zum Beispiel bevor Systemänderungen vorgenommen werden. Die erstellten Sicherungen lassen sich über appcmd list backups anzeigen und über appcmd restore backup wiederherstellen (Abbildung 21.10). Abbildg. 21.10 Mit AppCMD die Einstellungen von IIS sichern, auflisten und wiederherstellen
Auch mit der PowerShell können Administrationsaufgaben für die IIS durchgeführt werden (siehe Kapitel 20).
936
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Installieren, Konfigurieren und erste Schritte
Anzeigen der Webseiten in IIS Die Webseiten, die ein IIS-Server verwaltet, können in der grafischen Verwaltungsoberfläche oder über die Befehlszeile angezeigt werden. In der grafischen Oberfläche werden die Webseiten und deren virtuelle Verzeichnisse in einer Baumstruktur wie im Explorer angezeigt (Abbildung 21.11). Abbildg. 21.11 Anzeigen der Webseiten eines IIS-Servers
Neben der grafischen Oberfläche können die Webseiten auch in der Befehlszeile über den Befehl appcmd list site angezeigt werden. Mit diesem Befehl werden aber nur die Webseiten, nicht die enthaltenen virtuellen Verzeichnisse angezeigt. Auch der Status der einzelnen Seiten wird in der Befehlszeile angezeigt (Abbildung 21.12). Abbildg. 21.12 Anzeigen von Webseiten und deren Status in der Befehlszeile
Hinzufügen und Verwalten von Webseiten Das Hinzufügen von Webseiten übernehmen viele Applikationen selbst, wie zum Beispiel Exchange, die Terminaldienste, SharePoint usw. In vielen Unternehmen werden die IIS aber auch zur Anzeige selbst entwickelter Webseiten und Applikationen für das Internet oder Intranet verwendet. In IIS 7.0 ist das Hinzufügen und Verwalten von Webseiten ähnlich einfach gehalten wie unter IIS 6.0. Allerdings sind verschiedene neue Funktionen hinzugekommen, welche die Sicherheit erhöhen. Standardmäßig werden nicht mehr alle Funktionen automatisch aktiviert, sondern Administratoren und Webentwickler können einzelne Funktionen und Einstellungen detaillierter als unter IIS 6.0 verwalten. 937
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Erstellen einer neuen Website Um eine neue Website manuell hinzuzufügen, klicken Sie mit der rechten Maustaste auf den Eintrag Sites und wählen im Kontextmenü den Befehl Website hinzufügen aus (Abbildung 21.13). Dieser Menübefehl steht auch im Aktionen-Bereich der MMC zur Verfügung. Abbildg. 21.13 Hinzufügen von neuen Websiten zu IIS 7.0
Auf dem neuen Fenster können jetzt die Daten für die neue Website eingetragen werden. Hier kann auch der Applikationspool ausgewählt sowie der physische Pfad zu der Datei ausgewählt werden. Beim Erstellen einer neuen Website wird in IIS 7.0 automatisch auch ein eigener Anwendungspool für diese Website erstellt. Ist das nicht gewünscht, kann beim Erstellen auch ohne Weiteres ein anderer Anwendungspool verwendet werden. Zusätzlich kann beim Erstellen ausgewählt werden, mit welchem Benutzerkonto sich das System in dem physischen Verzeichnis anmelden darf, um auf die Daten des Servers zuzugreifen. Im Bereich Bindung kann ausgewählt werden, mit welchem Protokoll auf die Website zugegriffen wird, auf welche IP-Adresse gehört wird und welcher Port für den Zugriff aktiviert werden soll. Abbildg. 21.14 Erstellen und Konfigurieren einer neuen Website in IIS 7.0
938
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Installieren, Konfigurieren und erste Schritte
Neben der grafischen Oberfläche können neue Websites auch über die Befehlszeile erstellt werden, was die skriptbasierte oder automatisierte Installation von Webservern deutlich erleichtert. Die Syntax sieht in diesem Fall folgendermaßen aus: appcmd add site /name: /id: /physicalPath: /bindings:. Als ID können Sie eine normale Zahl zur Identifikation der Seite verwenden. Die Option bindings ist eine Kombination aus Protokoll, IP-Adresse, Port und Header der Seite. So aktiviert die Option http/*:88, dass die neue Seite auf alle Anfragen zu allen Domänen auf den Port 88 antwortet. Durch die Option http/*:88:shop.contoso.com hört die Seite auf den Port 88 aller IP-Adressen zur Domäne shop.contoso.com. Beispiel Um eine Seite mit der ID 2 aus dem physischen Verzeichnis c:\contoso, die auf HTTP-Anfragen zum Port 88 auf alle IP-Adressen und der Domäne shop.contoso.com hört, zu erstellen, verwenden Sie den Befehl appcmd add site /name:contoso /id:2 /physicalPath:c:\contoso /bindings:http/*:88:shop.contoso.com.
Bindungen einer Seite nachträglich bearbeiten Haben Sie eine Website erstellt, können die Bindungen, also das Protokoll, die IP-Adresse und der Port jederzeit über das Kontextmenü oder den Aktionen-Bereich der Seite erweitert werden (Abbildung 21.15). Über das Bindungen-Menü können auch Hostnamen von Websites nachträglich bearbeitet und hinzugefügt werden. Abbildg. 21.15 Die Bindungen von Websites können nachträglich angepasst werden
Grundeinstellungen von Websites bearbeiten Über den Link Grundeinstellungen im Aktionen-Bereich der Verwaltungskonsole kann der physische Pfad und der Anwendungspool einer Website nachträglich angepasst werden.
939
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Abbildg. 21.16 Bearbeiten der Grundeinstellungen einer Website
Verwalten der Webanwendungen und virtuellen Verzeichnisse einer Website Eine einzelne Website kann aus mehreren virtuellen Verzeichnissen oder Anwendungen bestehen, die jeweils über eine eigene URL verfügen, aber unter einem gemeinsamen Dach, der Website, agieren. Die Anwendungen werden im Internetinformationsdienste-Manager als untergeordnete Objekte der Website angezeigt. In der Befehlszeile können Sie die Anwendungen eines Webservers mit dem Befehl appcmd list app angezeigt werden (Abbildung 21.17). Abbildg. 21.17 Anzeigen der Webanwendungen einer Website
Sollen nur die Anwendung einer einzelnen Website angezeigt werden, verwenden Sie den Befehl appcmd list app /site.name:. Um eine neue Webanwendung zu erstellen, klicken Sie mit der rechten Maustaste auf die Website, unter der Sie die neue Anwendung erstellen wollen, und wählen im Kontextmenü den Befehl Anwendung hinzufügen aus (Abbildung 21.18). Soll ein virtuelles Verzeichnis hinzugefügt werden, benutzen Sie im Kontextmenü die Option Virtuelles Verzeichnis hinzufügen.
940
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Installieren, Konfigurieren und erste Schritte Abbildg. 21.18 Hinzufügen von neuen Anwendungen zu einer Website
Es öffnet sich ein neues Fenster, über das Sie die Daten für die neue Anwendung konfigurieren können. Hier kann der Alias, der Anwendungspool, der physische Pfad und der Benutzer konfiguriert werden, mit dem der Dienst auf den Pfad zugreifen soll. Nachdem die Anwendung erstellt wurde, wird diese als untergeordnetes Objekt der Website angezeigt. Über die Befehlszeile verwenden Sie den Befehl appcmd add app /site.name: /path:/ /physicalPath:. Die Einstellungen lassen sich ebenfalls wieder über den AktionenBereich der Konsole bearbeiten. Abbildg. 21.19 Konfiguration der neuen Anwendung
941
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Die erweiterten Einstellungen einer Webanwendung oder der kompletten Seite lassen sich durch den Link Erweiterte Einstellungen im Aktionen-Bereich oder im Kontextmenü mit dem Befehl Anwendung verwalten beziehungsweise Website verwalten aufrufen. In diesem Fenster können detailliertere Änderungen vorgenommen werden, als in den jeweiligen Grundeinstellungen. Abbildg. 21.20 Konfigurieren der erweiterten Einstellungen für eine Website oder eine Webanwendung
Verwalten von Anwendungspools Webseiten und Webanwendungen können unter Small Business Server 2008, wie bereits unter Windows Server 2003, in eigenen Anwendungspools und daher Speicherbereichen laufen. Der Absturz einer einzelnen Anwendung führt dabei nicht unweigerlich zum Absturz anderer Anwendungen oder des kompletten Servers. Bei der Erstellung einer neuen Webseite schlägt der Assistent automatisch auch das Erstellen eines eigenen Anwendungspools für die Seite vor. Alle Anwendungspools werden im Internetinformationsdienste-Manager über den Eintrag Anwendungspools in der Konsolenstruktur angezeigt und konfiguriert. Über die Befehlszeile können Sie die Anwendungspools über appcmd list apppool anzeigen lassen (Abbildung 21.21).
942
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Verwalten von Anwendungspools Abbildg. 21.21 Verwalten und Anzeigen der Anwendungspools im IIS 7.0
Über den Befehl Anwendungen anzeigen im Kontextmenü oder Aktionen-Bereich des Anwendungspools werden die Webseiten und Anwendungen angezeigt, die sich diesen Anwendungspool teilen. Über die Zurück-Schaltfläche in der Oberfläche kommen Sie im Fenster wieder zur Hauptansicht zurück. In der Befehlszeile werden die Anwendung eines Anwendungspools über appcmd list app / apppool.name: angezeigt (Abbildung 21.22). Abbildg. 21.22 Anzeigen der Anwendungen eines Anwendungspools
943
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Erstellen und Verwalten von Anwendungspools Beim Erstellen einer neuen Webseite kann auf dem entsprechenden Fenster gleich ein neuer Anwendungspool erstellt werden. Über den Eintrag Anwendungspools in der Konsolenstruktur des Internetinformationsdienste-Managers kann ebenfalls ein neuer Anwendungspool über das Kontextmenü oder den Aktionen-Bereich erstellt werden. Beim Erstellen können auf dem Standardfenster zunächst der Name, die Version der unterstützten .NET-Version und der verwaltete Pipelinemodus konfiguriert werden. Dieser steht normalerweise auf Integriert. Dadurch werden Anfragen direkt über die IIS und der ASP.NET-Pipeline abgebildet. Ältere Anwendungen haben mit dieser Funktion unter Umständen Schwierigkeiten. In diesem Fall können Sie den Modus auf Klassisch stellen. Abbildg. 21.23 Erstellen eines neuen Anwendungspools in IIS 7.0
Im Gegensatz zu IIS 6.0 werden bei der Erstellung von neuen Anwendungspools in IIS 7.0 keine weiteren Einstellungen benötigt. Wollen Sie die Identität des Anwendungspools oder erweiterte Einstellungen anpassen, müssen Sie nach der Erstellung den Befehl Erweiterte Einstellungen oder Anwendungspoolstandardwerte festlegen im Kontextmenü oder dem Aktionen-Bereich aufrufen. In dem neuen Fenster können dann die Grundeinstellungen, aber auch die erweiterten Einstellungen, wie zum Beispiel die Identität angepasst werden (Abbildung 21.24). Abbildg. 21.24 Verwalten der erweiterten Einstellungen für Anwendungspools
944
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Verwalten von Anwendungspools
Der Windows-Prozessaktivierungsdienst (Windows Process Activation Service, WAS) überprüft in regelmäßigen Abständen, ob ein Anwendungspool noch funktioniert. Dabei wird, wie beim Pingen, das ICMP-Protokoll verwendet. In den erweiterten Einstellungen kann dieser Ping deaktiviert werden, indem die entsprechende Einstellung von True auf False gesetzt wird.
Zurücksetzen von Arbeitsprozessen in Anwendungspools Manche Anwendungen werden im Laufe der Zeit instabiler, da zu viele Anfragen vorliegen oder die Speicherlast zu stark ansteigt. Anwendungspools können in regelmäßigen Abständen die Arbeitsprozesse von Anwendungen zurücksetzen und damit neu starten. Diese Funktion ist ähnlich zum Neustart eines Servers. Dieses Zurücksetzen wird auf englischen Servern Recyceln, auf deutschen Wiederverwenden genannt. Das Zurücksetzen von Arbeitsprozessen bereinigt laufende Anwendungen und kann diese nach dem Neustart extrem beschleunigen. Dieses Wiederverwenden kann über das Kontextmenü konfiguriert werden. Dabei besteht die Möglichkeit, in regelmäßigen Zeitabständen ein Zurücksetzen zu konfigurieren, nach einer bestimmten Anzahl Anfragen oder zu einer bestimmten Zeit. Weitere Möglichkeiten sind das Zurücksetzen bei der starken Auslastung des Arbeitsspeichers oder des virtuellen Speichers. Abbildg. 21.25 Zurücksetzen von Anwendungen nach bestimmten Kriterien
Das Zurücksetzen von Arbeitsprozessen für Webanwendungen kann Ereignisse in der Ereignisanzeige generieren. Auf der zweiten Seite des Assistenten zur Konfiguration dieses Vorgangs kann ausgewählt werden, welche Ereignisse protokolliert werden sollen (Abbildung 21.26).
945
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Abbildg. 21.26 Die Ereignisse, die beim Starten eines Wiederherstellungsvorgangs anfallen,
können protokolliert werden
Verwalten von Modulen im IIS 7.0 IIS 7.0 unterscheidet im Betrieb zwischen systemeigenen (nativen) Modulen, die nicht von .NETFunktionen wie ASP.NET erstellt werden, und verwalteten (managed) Modulen, die durch .NETProzesse erstellt werden. Bei den systemeigenen Modulen handelt es sich meistens um *.dll-Dateien, die im Webserver integriert werden müssen. Es würde den Rahmen dieses Buches sprengen, dieses Thema ausführlich zu behandeln, vor allem weil es in diesem Bereich eher um das Thema Entwicklung geht. Administratoren und Consultants sollten diese Funktion dennoch etwas verstehen, da IIS 7.0 mit Anwendungen und Webseiten basierend auf diesen beiden Modultypen umgeht. Module werden über Module auf der Hauptseite des Internetinformationsdienste-Managers verwaltet und konfiguriert.
946
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Verwalten von Anwendungspools Abbildg. 21.27 Verwalten der Module in IIS 7.0
Hinzufügen und Verwalten von Modulen Native Module werden geladen, wenn der Arbeiterprozess (Worker Process) einer Anwendung gestartet und initialisiert wird. Native Module werden immer auf Server-Basis hinzugefügt, können für einzelne Webseiten oder Anwendungen aber deaktiviert werden. Um ein systemeigenes Modul hinzuzufügen, wählen Sie in der Module-Verwaltung aus dem Kontextmenü oder dem AktionenBereich die Option Verwaltetes Modul hinzufügen oder Systemeigene Module konfigurieren aus. Anschließend kann das entsprechende Modul aktiviert und über die Schaltfläche Registrieren dem Server hinzugefügt werden. Abbildg. 21.28 Hinzufügen eines systemeigenen Moduls zu IIS
Nachdem Sie auf die Schaltfläche Registrieren geklickt haben, können Sie einen Namen für das Modul festlegen sowie die entsprechende *.dll für das native Modul auswählen (Abbildung 21.29). 947
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Abbildg. 21.29 Konfigurieren eines systemeigenen Moduls
Nachdem die Daten eingegeben wurden, kann das Modul aktiviert und bearbeitet werden. Auf dem gleichen Weg kann ein Modul wieder deinstalliert werden, wenn dieses nicht mehr benötigt wird.
Delegierung der IIS-Verwaltung Mit IIS 7.0 kann die Verwaltung von einzelnen Webseiten oder des kompletten Servers wesentlich besser delegiert und konfiguriert werden als bei IIS 6.0. Administratoren für Webseiten oder Anwendungen müssen nicht gezwungenermaßen auch Administratoren des kompletten Servers sein. Es besteht die Möglichkeit, die Verwaltung einzelner Funktionen und Webseiten an verschiedene Administratoren zu verteilen. Da die meisten IIS-Einstellungen in Web.config-Dateien liegen, können Berechtigungen und Einstellungen auch im Rahmen der Synchronisierung von Webseiten zwischen verschiedenen Servern kopiert werden.
Vorgehensweise bei der Delegierung von Berechtigungen Um Benutzern das Recht der Verwaltung für einzelne Webseiten oder Anwendungen zu erteilen, können entweder Windows-Benutzerkonten oder spezielle IIS-Konten verwendet werden. Die IISKonten können ausschließlich nur innerhalb des Webservers für die Delegierung von Rechten verwendet werden. Im nächsten Schritt können auf Basis der angelegten Benutzerkonten Rechte speziell für einzelne Webseiten oder Webanwendungen gewährt werden. Damit die Webadministratoren ihre Webseiten auch verwalten können, muss der Verwaltungsdienst auf dem Webserver so konfiguriert werden, dass der Zugriff gestattet wird.
Verwalten von IIS-Manager-Benutzern Damit Benutzerkonten speziell im IIS verwaltet werden können, starten Sie den Internetinformationsdienste-Manager in der Programmgruppe Verwaltung. Sie können das Tool auch über Start/ Ausführen/inetmgr starten. Die Benutzerverwaltung wird über den Menüpunkt IIS-Manager-Benutzer durchgeführt (Abbildung 21.30). Klicken Sie auf diesen Menüpunkt, werden im Fenster alle bereits angelegten Benutzer im IIS angezeigt. Über dieses Fenster können weitere Benutzer angelegt, die Kennwörter geändert oder Benutzer gelöscht werden.
948
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Delegierung der IIS-Verwaltung Abbildg. 21.30 Starten der IIS-Benutzerverwaltung
Dieses Feature wird allerdings nur dann angezeigt, wenn der Rollendienst Verwaltungsdienst unterhalb der Verwaltungsprogramme für den Webserver installiert wurden. Über das Kontextmenü eines IISManager-Benutzers können verschiedene Verwaltungsaufgaben durchgeführt werden (Abbildung 21.31). So besteht zum Beispiel auch die Möglichkeit, solche Benutzer zu deaktivieren. In diesem Fall kann der Benutzer bis zu seiner Aktivierung nicht mehr auf die Verwaltungsoberfläche zugreifen, muss dafür aber auch nicht wieder neu angelegt werden, wenn dieser erneut benötigt wird. Abbildg. 21.31 Über das Kontextmenü können die Manager-Benutzer innerhalb der IIS verwaltet werden
949
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
HINWEIS
Die installierten Rollendienste des Webservers werden angezeigt, wenn Sie im Server-Manager auf Webserver klicken. Die installierten Rollendienste werden im Bereich Rollendienste angezeigt (Abbildung 21.32). Über Rollendienste hinzufügen, beziehungsweise Rollendienste entfernen, werden diese Funktionen dem Server hinzugefügt oder entfernt. Von den installierten Rollendienste hängen auch die angezeigten Verwaltungsmöglichkeiten des IIS ab. Sollen lokale IIS-Konten verwaltet werden, benötigen Sie den Rollendienst Verwaltungsdienst. Abbildg. 21.32 Die installierten IIS-Rollendienste werden über den Server-Manager verwaltet
Berechtigungen der IIS-Manager-Benutzer verwalten Nachdem die Benutzerkonten im IIS für die Delegierung angelegt wurden, können die Rechte für diese Benutzer über den Menüpunkt IIS-Manager-Berechtigungen verwaltet werden (Abbildung 21.33). Dazu verwenden Sie aber nicht das Symbol in der Serverkonfiguration, sondern klicken auf die Webseite, für die Sie den IIS-Manager delegieren wollen und wählen den Menüpunkt aus. Anschließend klicken Sie auf Benutzer zulassen (Abbildung 21.34). Es öffnet sich ein neues Fenster, über das Sie auswählen können, welche Benutzer zugelassen werden.
950
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Delegierung der IIS-Verwaltung Abbildg. 21.33 Verwalten der Berechtigungen für IIS-Manager-Benutzer
Abbildg. 21.34 Benutzer als Administratoren für eine bestimmte Webseite festlegen
951
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
HINWEIS
Standardmäßig ist die Möglichkeit, IIS-Manager für eine Webseite zu delegieren, deaktiviert, da der Server nur Windows-Benutzerkonten zulässt. Damit auch die angelegten IISManager-Benutzer verwendet werden können, muss auf Serverebene über das Feature Verwaltungsdienst die Option Windows-Anmeldeinformationen oder IIS-Manager-Anmeldeinformationen aktiviert und bestätigt sein (Abbildung 21.35). Der Dienst muss anschließend gestartet werden. Erst dann kann in den IIS-Manager-Berechtigungen auch ein IIS-Manager ausgewählt werden. Abbildg. 21.35 Aktivieren der IIS-Manager-Anmeldeinformationen für einen Webserver
Verwalten der Delegierung Nachdem den entsprechenden IIS-Manager-Benutzern und/oder Windows-Benutzern das Recht zur Anmeldung für spezielle Webseiten gewährt wurde, kann generell festgelegt werden, welche Rechte überhaupt für Webseiten auf dem Server delegiert werden können. Da die Delegations-Einstellungen automatisch nach unten vererbt werden, lässt sich gezielt einstellen, welche Rechte auf welcher Ebene und Webseite die einzelnen Manager-Benutzer erhalten sollen. Diese Einstellungen finden entweder in oberster Ebene über den Server statt oder indem Sie auf eine übergeordnete Website im Internetinformationsdienste-Manager klicken (Abbildung 21.36). Die Verwaltung der Delegation findet dann über das Feature Delegierung von Features statt.
952
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Delegierung der IIS-Verwaltung Abbildg. 21.36 Festlegen der Delegierung der einzelnen Funktionen
In diesem Bereich kann jetzt sehr detailliert festgelegt werden, welche Rechte die einzelnen Manager-Benutzer erhalten sollen (Abbildung 21.37). Über das Kontextmenü oder den Aktionen-Bereich der Konsole können bereits gesetzte Delegierungen wieder zurückgesetzt oder benutzerdefinierte Delegierungen konfiguriert werden. Abbildg. 21.37 Festlegen der einzelnen Delegierungsfeatures für den Server oder einzelne Webseiten
Durch die benutzerdefinierte Delegierung können Aufgaben spezielle für einzelne untergeordnete Sites festgelegt werden. Auch hier werden die Rechte wieder an die untergeordneten Webseiten vererbt. Die benutzerdefinierten Delegationen können aber ebenfalls jederzeit entweder wieder auf den Standard oder auf Vererbung von oben zurückgesetzt werden.
953
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Abbildg. 21.38 Auswählen einer Webseite für eine benutzerdefinierte Siteregelung
Für die einzelnen Features, die delegiert werden können, besteht die Möglichkeit, unterschiedliche Rechte festzulegen (Abbildung 21.39). Abbildg. 21.39 Festlegen der Rechte für einzelne Features
쐍 Lesen/Schreiben Bei diesem Recht darf das entsprechende Feature angezeigt und angepasst werden 쐍 Schreibgeschützt Wird für ein Feature diese Option ausgewählt, kann der IIS-Manager, der sich an der Seite anmelden darf, die entsprechenden Einstellungen in der IIS-Verwaltung zwar anzeigen, aber nicht bearbeiten 쐍 Nicht delegiert Bei diesem Recht wird das entsprechende Feature in der IIS-Verwaltung nicht angezeigt. So können die Administratoren der Webseite die Einstellung der jeweiligen Funktion nicht mal lesen.
954
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Delegierung der IIS-Verwaltung
쐍 Auf geerbt zurücksetzen Durch das Aktivieren diese Option wird die benutzerdefinierte Einstellung des jeweiligen Features wieder auf den Standard zurückgestellt und das Recht wird vom jeweils übergeordneten Objekt vererbt. Das übergeordnete Objekt kann jeweils der Server oder eine Webseite sein. 쐍 Alle Delegierungen zurücksetzen Durch diese Option werden alle benutzerspezifischen Einstellungen der Features wieder auf den Standard zurückgesetzt
Aktivieren der Remoteverwaltung Damit die Delegationen verwendet werden können, muss auf einem Server die Remoteverwaltung konfiguriert und aktiviert werden. Diese Option findet auf Serverebene über den Menüpunkt Verwaltungsdienst statt (Abbildung 21.40). Abbildg. 21.40 Konfigurieren des Verwaltungsdiensts auf einem Webserver
Damit die Einstellungen angepasst werden können, muss ein gestarteter Verwaltungsdienst zunächst beendet werden. Erst dann können Einstellungen vorgenommen werden. Neben der allgemeinen Aktivierung und der Möglichkeit, neben Windows-Benutzern auch IIS-Manager-Benutzer zu berechtigen, können in diesem Bereich der Konsole weitere Einstellungen zur Remoteverwaltung eines Servers vorgenommen werden (Abbildung 21.41).
955
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Abbildg. 21.41 Konfigurieren des Verwaltungsdiensts für einen Webserver
쐍 Über das Listenfeld IP-Adresse wird die Netzwerkschnittstelle festgelegt, mit der sich Administratoren über das Netzwerk verbinden können. Dadurch besteht die Möglichkeit, in größeren Serverfarmen spezielle Netzwerkverbindungen nur für die Verwaltung zu definieren. 쐍 Im Feld Port wird der Standard-Port festgelegt, über den sich die Benutzer verbinden 쐍 Über SSL-Zertifikat legen Sie fest, welches SSL-Zertifikat für die Verbindung verwendet werden soll. Hier werden die Zertifikate angezeigt, die als Serverzertifikat dem Server zugewiesen wurden. Über die SSL-Verbindung wird der Datenverkehr zwischen Client und Server verschlüsselt. 쐍 Im Verzeichnis unterhalb des Kontrollkästchens Anforderungen protokollieren in werden die Protokolldateien festgelegt, in denen die Verbindungen der Administratoren über das Netzwerk festgehalten werden 쐍 Über den Bereich Einschränkungen für IPv4-Adresse können Sie entweder eine Liste pflegen, welchen Clients der Zugriff gestattet wird, oder eine Liste führen, welchen Clients der Zugriff generell untersagt wird. Hier wird auch festgelegt, ob nicht angegebenen Clients der Zugriff generell erlaubt wird (Standardeinstellung) oder nicht.
956
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Delegierung der IIS-Verwaltung
HINWEIS
Der Verwaltungsdienst verwendet für die Remoteverbindung von Clients standardmäßig den Port 8172. Ändern Sie den Port ab, muss im Internetinformationsdienste-Manager des Clients ebenfalls der neue Port beim Verbindungsaufbau festgelegt werden. Dazu wird dieser mit einem Doppelpunkt nach dem Servernamen angegeben (Abbildung 21.42) Abbildg. 21.42 Verbindungsaufbau zu einem Server über einen angepassten Port
Auf der rechten Seite der Konsole werden die Einstellungen schließlich bestätigt und der Verwaltungsdienst gestartet oder beendet (Abbildung 21.43). Änderungen können nur vorgenommen werden, wenn der Dienst beendet wurde. Abbildg. 21.43 Übernehmen der Änderungen und Starten oder Beenden des Verwaltungsdiensts
957
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Sicherheit in IIS 7.0 konfigurieren In diesem Abschnitt beschäftigen wir uns maßgeblich mit der Sicherheit und der Authentifizierung in IIS 7.0. Da sich vor allem in diesem Bereich einiges geändert hat, sollten Sie sich mit den Sicherheits- und Authentifizierungsoptionen gründlich auseinandersetzen.
Authentifizierung in IIS 7.0 Die Konfiguration der Authentifizierung ist eine der wichtigsten Konfigurationsmaßnahmen auf einem Webserver. In diesem Bereich hat sich im Vergleich zu IIS 6.0 von Windows Server 2003 einiges geändert, vor allem die einzelnen Stellschrauben, um die Authentifizierung zu konfigurieren. Bei Small Business Server 2008 können die verschiedenen Authentifizierungsoptionen nachträglich installiert oder einzeln deinstalliert werden. Auf dem Server stehen nur die Authentifizierungsoptionen zur Verfügung, die auch bei der Installation als Rollendienst ausgewählt wurden. Über den Server-Manager können einzelne Rollendienste und auch Authentifizierungsoptionen deinstalliert werden (Abbildung 21.44). Abbildg. 21.44 Die einzelnen Authentifizierungsoptionen und Sicherheitsfunktionen in IIS 7.0 können modular
installiert und deinstalliert werden
Konfiguration der anonymen Authentifizierung Häufig wird auf Webservern ein Zugriff benötigt, bei dem keinerlei Authentifizierung stattfindet. Im IIS 7.0 ist diese anonyme Authentifizierung standardmäßig bereits aktiviert. Soll daher den Anwendern der Zugriff auf einige Verzeichnisse verwehrt werden, können Sie mit NTFS-Berechtigungen den Zugriff entziehen. Soll für eine Webseite immer eine Authentifizierung stattfinden, muss der anonyme Zugriff zunächst deaktiviert und eine Authentifizierungsvariante ausgewählt werden. Dabei stehen in IIS 7.0 einige Möglichkeiten zur Verfügung. Bei der Standardauthentifizierung erscheint ein Anmeldefenster und Anwender müssen sich mit Benutzernamen und Kennwort authentifizieren. Die Daten werden dabei in Klartext übertragen, können also durch spezielle Programme wie dem Netzwerk-Monitor angezeigt werden. Um die anonyme Authentifizierung generell auf dem Server zu aktivieren oder zu deaktivieren, öffnen Sie den InternetinformationsdiensteManager und doppelklicken auf das Feature Authentifizierung. Über das Kontextmenü der Option Anonyme Authentifizierung aktivieren oder deaktivieren Sie diese (Abbildung 21.45).
958
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Sicherheit in IIS 7.0 konfigurieren Abbildg. 21.45 Die anonyme Authentifizierung kann über den Internetinformationsdienste-Manager
für den kompletten Server gesteuert werden
An dieser Stelle aktivieren oder deaktivieren Sie auch die anderen Authentifizierungs-Optionen, die auf dem Server verfügbar sein sollen. Über die Befehlszeile deaktivieren Sie die anonyme Authentifizierung mit dem Befehl appcmd set config /section:anonymousAuthentication /enabled:false. Mit dem Befehl appcmd set config /section:anonymousAuthentication /enabled:true wird die anonyme Authentifizierung wieder aktiviert. Achten Sie darauf, dass das Verzeichnis C:\Windows\System32\Inetsrv, in dem sich das BefehlszeilenTool appcmd.exe der IIS 7.0 befindet, nicht im Standard-Pfad des Servers enthalten ist. Sie müssen daher entweder den Pfad hinzufügen oder in der Befehlszeile zunächst in das Verzeichnis wechseln. Die erfolgreiche Aktivierung oder Deaktivierung wird in der Befehlszeile gemeldet und im IISManager auch angezeigt. Abbildg. 21.46 Die anonyme Authentifizierung kann auch in der Befehlszeile deaktiviert werden
Ist die anonyme Authentifizierung aktiviert, verwenden die IIS das Benutzerkonto IUSR_, das bei der Installation des IIS angelegt wird, für den anonymen Zugriff. Über das Kontextmenü der anonymen Authentifizierung kann neben der Deaktivierung auch die Bearbeitung der Funktion durchgeführt werden. In diesem Fall wird das Konto und das Kennwort, das für den anonymen Zugriff verwendet wird, konfiguriert. Dazu kann ein spezielles Benutzerkonto ausgewählt werden. Es lässt sich jedoch auch dasjenige Benutzerkonto verwenden, mit dem der Anwendungspool gestartet wird, in dem die Anwendung mit dem anonymen Zugriff gespeichert ist (Abbildung 21.47).
959
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Abbildg. 21.47 Die Identität des Benutzers für den anonymen Zugriff kann im IIS-Manager angepasst werden
Achten Sie aber darauf, dass Anwendungspools standardmäßig mit dem Benutzerkonto Netzwerkdienst gestartet werden. Das Konto kann in den erweiterten Einstellungen des Anwendungspools konfiguriert werden. Auch diese Einstellungen können in der Befehlszeile durchgeführt werden. Dazu wird der Befehl appcmd set config /section:anonymousAuthentication /userName: /password: verwendet.
Konfiguration der Standardauthentifizierung Bei der Standardauthentifizierung müssen sich Anwender über ein Windows-typisches Fenster zuerst am Server authentifizieren, dabei wird allerdings Benutzername und Kennwort in Klartext übertragen. Die Standardauthentifizierung macht daher nur für Webseiten Sinn, bei denen SSL aktiviert ist. Hier wird der komplette Datenverkehr, auch die Standardauthentifizierung, verschlüsselt. Die Standardauthentifizierung ist standardmäßig nach der Installation deaktiviert. Um diese zu aktivieren oder zu deaktivieren, rufen Sie im Internetinformationsdienste-Manager den Punkt Authentifizierung auf. Über das Kontextmenü der Option Standardauthentifizierung kann diese aktiviert oder deaktiviert werden. Über Bearbeiten legen Sie zum Beispiel die Standarddomäne fest. Gibt ein Besucher einen Benutzer ein, wird das Konto erst in der hier angegebenen Domäne gesucht (Abbildung 21.48).
960
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Sicherheit in IIS 7.0 konfigurieren Abbildg. 21.48 Konfigurieren und Aktivieren der Standardauthentifizierung in IIS 7.0
Über die Befehlszeile deaktivieren Sie die Standardauthentifizierung mit dem Befehl appcmd set config /section:basicAuthentication /enabled:false. Mit dem Befehl appcmd set config /section:basicAuthentication /enabled:true wird die Standardauthentifizierung aktiviert. Achten Sie darauf, dass das Verzeichnis C:\Windows\System32\Inetsrv, in dem sich das Befehlszeilen-Tool appcmd.exe von IIS 7.0 befindet, nicht im Standard-Pfad des Servers enthalten ist. Sie müssen daher entweder den Pfad hinzufügen oder in der Befehlszeile zunächst in das Verzeichnis wechseln. Die erfolgreiche Aktivierung oder Deaktivierung wird in der Befehlszeile gemeldet und im IIS-Manager auch angezeigt.
Konfiguration der Windows-Authentifizierung Auch die Windows-Authentifizierung kann getrennt installiert werden und ist wie die Standardinstallation zunächst deaktiviert. Im Internetinformationsdienste-Manager über den Punkt Authentifizierung kann auch diese Authentifizierungsmethode konfiguriert werden. Über das Kontextmenü der Option Windows-Authentifizierung kann diese aktiviert oder deaktiviert werden. Über die Befehlszeile deaktivieren Sie die Windows-Authentifizierung mit dem Befehl appcmd set config /section:windowsAuthentication /enabled:false. Mit dem Befehl appcmd set config /section:windowscAuthentication /enabled:true wird die Windows-Authentifizierung aktiviert.
Serverzertifikate verwalten Für die Verwendung von SSL und auch für die sichere Authentifizierung werden Serverzertifikate eingesetzt. IIS 7.0 bietet nach der Installation bereits standardmäßig ein selbstsigniertes Zertifikat an. Es ist allerdings sicherer und auch professioneller, entweder ein Zertifikat im Internet zu erwerben oder eine eigene Zertifizierungsstelle zum Beispiel mit Small Business Server 2008 zu verwenden. Die Serverzertifikate werden über das Feature Serverzertifikate im Internetinformationsdienste961
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Manager verwaltet. Hier werden alle ausgestellten Zertifikate angezeigt. Außerdem können neue Zertifikate ausgestellt werden. Abbildg. 21.49 Verwalten der Serverzertifikate in IIS 7.0
Über das Kontextmenü oder den Aktionen-Bereich können bereits hinterlegte Zertifikate exportiert, neue importiert oder neue Anforderungen erstellt werden. Hier kann auch ein selbstsigniertes Zertifikat ausgestellt werden, um die Installation einer eigenen Zertifizierungsstelle zu vermeiden. Per Doppelklick auf ein Zertifikat werden die Informationen sowie die Zertifizierungsstelle und die Gültigkeit des Zertifikats angezeigt.
Secure Sockets Layer (SSL) konfigurieren Um Internetseiten sicher zur Verfügung zu stellen, ist die SSL-Verschlüsselung der einfachste und gebräuchlichste Weg. SSL kann für einzelne Webseiten, Anwendungen, Verzeichnisse und URLs konfiguriert werden. Die Konfiguration von SSL wird im Internetinformationsdienste-Manager über das Feature SSL-Einstellungen durchgeführt (Abbildung 21.50). HINWEIS In IIS 7.0 können SSL-Einstellungen nicht auf Serverebene durchgeführt werden. Damit das Feature SSL-Einstellungen angezeigt wird, muss daher zunächst eine Webseite wie beispielsweise die Standardwebseite markiert werden.
962
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Sicherheit in IIS 7.0 konfigurieren Abbildg. 21.50 SSL-Einstellungen werden am besten auf Ebene der Webseiten durchgeführt
In den SSL-Einstellungen kann die Verwendung von SSL vorgeschrieben werden sowie eine 128-BitVerschlüsselung aktiviert werden. Allerdings stehen diese Optionen nur dann zur Verfügung, wenn für eine Webseite eine HTTPS-Bindung konfiguriert und ein Zertifikat zugewiesen wurde (Abbildung 21.51). Abbildg. 21.51 Für Webseiten können HTTPS-Bindungen und Zertifikate zugewiesen werden
Bei HTTPS-aktivierten Webseiten kann über die SSL-Einstellungen die Konfiguration aktiviert und eingestellt werden (Abbildung 21.52). 963
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Abbildg. 21.52 Die SSL-Einstellungen werden für einzelne Webseiten im Internetinformationsdienste-Manager
vorgenommen
Bereits bei der Erstellung von Webseiten kann eine HTTPS-Verbindung vorgegeben und ein Zertifikat hinterlegt werden. Diese Einstellungen lassen sich aber auch über den Befehl Bindungen bearbeiten im Kontextmenü nachträglich vornehmen (Abbildung 21.53). Abbildg. 21.53 Die Bindungen von Webseiten lassen sich auch nachträglich bearbeiten
Einschränkungen für IPv4-Adressen und Domänen Über das Feature Einschränkungen für IPv4-Adressen und Domänen gelangen Sie zur Steuerung der Zugriffsregeln für den Webserver. Über das Kontextmenü oder den Aktionen-Bereich können bestimmte Zulassungs- oder Verweigerungsregeln für einzelne IP-Adressen oder komplette Bereiche erstellt werden. Regeln für IPv4-Adressen können einfach erstellt werden. Damit aber auch Domänen ausgeschlossen werden können, muss die DNS-Infrastruktur im Unternehmen Reverse-DNS unterstützen, damit im Internet die IP-Adressen der zugreifenden Clients zu einer Domäne aufge964
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Sicherheit in IIS 7.0 konfigurieren
löst werden können. Die Einschränkungen für Domänenfilterung muss darüber hinaus zunächst aktiviert werden. Klicken Sie dazu im Bereich Einschränkungen für IPv4-Adressen und Domänen mit der rechten Maustaste und wählen Sie die Option Featureeinstellungen bearbeiten aus (Abbildung 21.54). Abbildg. 21.54 Die Einstellungen der Einschränkungen für IPv4-Adressen und Domänen
müssen erst konfiguriert werden
Anschließend öffnet sich ein neues Fenster. Hier legen Sie zunächst fest, was mit Clients passieren soll, für die keine Regeln hinterlegt wurden. Standardmäßig dürfen alle Clients zugreifen, außer die, für die Sie Ablehnungseinträge konfigurieren. Aktivieren Sie an dieser Stelle aber die Option Verweigern, dürfen nur die Clients Verbindung zu diesem Webserver aufbauen, für die Sie einen Zulassungseintrag konfiguriert haben. Abbildg. 21.55 Konfigurieren der Standardeinstellungen für die Einschränkung von IPv4-Adressen oder Domänen
Schalten Sie das Kontrollkästchen Einschränkungen nach Domänenname aktivieren ein, können auch Zulassungs- beziehungsweise Ablehnungseinträge konfiguriert werden, die als Basis einen bestimmten Domänennamen haben. Nach Aktivierung erhalten Sie noch eine Warnung, dass Reverse-DNSEinträge den Server belasten. Das ist allerdings auch abhängig von den Zugriffen.
965
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Abbildg. 21.56 Erstellen einer Zulassungs- oder Ablehnungsregel
Konfigurieren und Verwalten von Autorisierungsregeln Autorisierungsregeln steuern, welche Benutzer auf den Server zugreifen dürfen. Die Regeln werden im Internetinformationsdienste-Manager über das Feature Autorisierungsregeln verwaltet. Über das Kontextmenü oder den Aktionen-Bereich können neue Regeln erstellt und vorhandene bearbeitet werden (Abbildung 21.57). Standardmäßig dürfen zunächst alle Besucher auf einen Server zugreifen. Abbildg. 21.57 Verwalten der Autorisierungsregeln in IIS 7.0
Beim Erstellen von Zulassungs- oder Ablehnungsregeln können verschiedene Einstellungen vorgenommen werden: 쐍 Alle Benutzer Wird diese Option aktiviert, gilt die Regel sowohl für anonyme als auch für authentifizierte Benutzer 쐍 Alle anonymen Benutzer Bei Aktivierung dieser Option sind nur die anonymen, also nicht authentifizierten Benutzer betroffen
966
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Sicherheit in IIS 7.0 konfigurieren
쐍 Bestimmte Rollen oder Benutzergruppen Durch Aktivierung dieser Option können bestimmte Serverrollen oder Benutzergruppen ausgewählt werden, für welche die Regel gilt 쐍 Bestimmte Benutzer Hier werden speziell einzelne Benutzer angegeben, für welche die Regel gilt 쐍 Diese Regel auf bestimmte Verben anwenden Hierüber können Regeln speziell für einzelne Befehle im Zugriff konfiguriert werden Abbildg. 21.58
Konfigurieren von Regeln für den Webserverzugriff
HINWEIS Regeln können nachträglich bearbeitet werden. Eine Zulassungsregel kann aber nicht in eine Ablehnungsregel umkonfiguriert werden. Dies gilt auch umgekehrt.
Freigegebene Konfiguration Mit dem IIS 7.0 ist es möglich, die Konfiguration des Webservers an einer zentralen Stelle im Netzwerk freizugeben, sodass mehrere Webserver von einer zentralen Stelle aus verwaltet werden können. Die Konfiguration dieser Funktion erfolgt im Internetinformationsdienste-Manager im Abschnitt Verwaltung über das Feature Freigegebene Konfiguration (Abbildung 21.59).
967
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Abbildg. 21.59 In IIS 7.0 kann eine Konfiguration für mehrere Webserver konfiguriert werden
Im angegebenen Verzeichnis müssen sich alle Konfigurationsdateien der IIS befinden. Erst dann lässt sich die Konfiguration durchführen. Abbildg. 21.60 Festlegen des Speicherplatzes für eine gemeinsame Konfiguration
Aus diesem Grund bietet es sich vor der Konfiguration der freigegebenen Konfiguration an, zunächst Einstellungen auf einem Webserver vorzunehmen und dann über den Link Konfiguration exportieren in den Einstellungen für die freigegebene Konfiguration die notwendigen Installationsdateien in eine Netzwerkfreigabe zu exportieren (Abbildung 21.61).
968
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Sicherheit in IIS 7.0 konfigurieren Abbildg. 21.61 Exportieren der Konfiguration eines Webservers für die gemeinsame Konfiguration
Die Konfigurationsdaten lassen sich auch verschlüsseln, damit keine unbefugten Anwender Zugriff auf die Einstellungen der Webserver nehmen können. Beim Exportieren werden folgende Daten berücksichtigt: 쐍 administration.config Diese Datei enthält die Servereinstellungen für den Internetinformationsdienste-Manager 쐍 applicationHost.config Diese Datei enthält die Einstellungen auf Serverebene 쐍 configEncKey.key Diese Datei enthält den Verschlüsselungsschlüssel für den Zugriff auf die freigegebene Konfiguration. Alle Computer, welche die gemeinsame Konfiguration nutzen, importieren diesen Schlüssel und speichern ihn lokal. Abbildg. 21.62
Beim Exportieren der Konfiguration werden drei Dateien kopiert
Wird die freigegebene Konfiguration auf einem Server aktiviert, muss das Kennwort angegeben werden, das beim Exportieren konfiguriert wurde. Erst dann wird diese Konfiguration übernommen.
969
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Nachdem die gemeinsame Konfiguration aktiviert wurde, sollten Sie den Internetinformationsdienste-Manager schließen und den Dienst IIS-Verwaltungsdienst neu starten. Abbildg. 21.63 Beim Aktivieren der gemeinsamen Konfiguration muss das Kennwort für den
Verschlüsselungsschlüssel eingegeben werden
Konfigurieren der Webseiten, Dokumente und HTTP-Verbindungen Greifen Anwender auf einen Server über eine Domäne zu, zum Beispiel http://www.contoso.com, wird das Standarddokument der Seite angezeigt. Anwender müssen nicht http://www.contoso.com/ default.hmtl eingeben, sondern die Seite default.html kann in IIS bereits hinterlegt werden. Es kann aber nicht nur ein Dokument angegeben werden, sondern eine komplette Liste, die der Server nach und nach abarbeitet. Wird kein Standarddokument hinterlegt oder kann das entsprechende Verzeichnis nicht durchsucht werden, erhält der Anwender eine typische 404 – Datei nicht gefundenMeldung.
Festlegen des Standarddokuments Damit ein Standarddokument angezeigt wird, muss diese Funktion erst aktiviert und entsprechende Standarddokumente hinterlegt werden. Die Konfiguration des Standarddokuments eines Servers findet über das Feature Standarddokument im Internetinformationsdienste-Manager statt. Die Funktion ist standardmäßig bereits aktiviert und es sind einige Dokumente hinterlegt (Abbildung 21.64). Über das Kontextmenü kann die Funktion deaktiviert werden, zum Beispiel, wenn Sie die Funktion Verzeichnis durchsuchen im nächsten Abschnitt konfigurieren. Auch neue Dokumente können an dieser Stelle hinterlegt werden. Bereits vorhandene Dokumente lassen sich über deren Kontextmenü aus der Liste entfernen. Hierüber kann auch die Reihenfolge, in welcher der Server
970
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Konfigurieren der Webseiten, Dokumente und HTTP-Verbindungen
nach einem Dokument sucht konfiguriert werden. Standarddokumente können auf Ebene des Servers, aber auch für einzelne Webseiten und Anwendungen hinterlegt werden. Abbildg. 21.64 Konfigurieren von Standarddokumenten in IIS
Das Feature Verzeichnis durchsuchen aktivieren und verwalten Wird im Internetinformationsdienste-Manager das Feature Verzeichnis durchsuchen aktiviert und konfiguriert, wird Anwendern der komplette Inhalt des hinterlegten Verzeichnisses angezeigt, wenn in der URL nicht ein spezifisches Dokument direkt angegeben wurde. Auch wenn kein Standarddokument hinterlegt worden ist oder das Feature Standarddokument deaktiviert wurde, wird in diesem Fall das ganze Verzeichnis angezeigt, keine spezielle Webseite (Abbildung 21.65). Standardmäßig ist dieses Features deaktiviert und muss zuerst aktiviert werden. Da die Verzeichnisse nicht angezeigt werden, wird die Sicherheit des Servers erhöht. Abbildg. 21.65 Anzeigen des Verzeichnisinhalts statt einer HTML-Seite
971
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Durch diese Funktion können schnell verschiedene Dateien zur Verfügung gestellt werden, zum Beispiel ohne eine HTML-Seite zu konfigurieren. Abbildg. 21.66 Damit das Verzeichnis einer Webseite durchsucht wird, muss die Funktion erst aktiviert werden
Diese Funktion kann auf Ebene des Servers, also der Standardwebseite, oder für einzelne Webseiten und Anwendungen aktiviert werden. Sollen nicht alle Verzeichnisse oder Dateien angezeigt werden, kann auch mit NTFS-Berechtigungen gearbeitet werden.
Konfigurieren der HTTP-Fehlermeldungen Auf Ebene des Servers oder der einzelnen Webseiten können die Fehlermeldungen, die den Anwendern angezeigt werden, ebenfalls bearbeitet und konfiguriert werden. Über das Feature Fehlerseiten im Internetinformationsdienste-Manager können Sie sich eine Liste aller hinterlegten Fehlermeldungen anzeigen lassen (Abbildung 21.67). Über das Kontextmenü können entweder andere HTML-Seiten hinterlegt oder neue Fehlermeldungen konfiguriert und angezeigt werden. Neben den Standardfehlermeldungen besteht natürlich die Möglichkeit, die angezeigten Meldungen anzupassen. Für die Fehlermeldungen 400, 403.9, 411, 414, 500, 500.11, 500.14, 500.15, 501, 503, und 505 können allerdings keine angepassten Fehlermeldungen erstellt werden.
972
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Konfigurieren der Webseiten, Dokumente und HTTP-Verbindungen Abbildg. 21.67 Die Fehlerseiten in IIS können modular bearbeitet werden
Um angepasste Fehlermeldungen anzuzeigen, öffnen Sie die Verwaltung der Fehlerseiten im Internetinformationsdienste-Manager. Klicken Sie im Aktionen-Bereich auf den Link Hinzufügen. Anschließend öffnet sich ein Dialogfeld, über das Sie die verschiedenen Daten der Fehlermeldung konfigurieren können.
Konfigurieren von HTTP-Umleitungen Bei einer HTTP-Umleitung werden alle Zugriffe auf eine bestimmte URL zu einer anderen URL automatisch umgeleitet. So können Sie zum Beispiel Ihre Seite umleiten lassen, wenn Teile davon bearbeitet werden. Beispielsweise können Sie alle Anfragen zu http://www.contoso.com/marketing/ default.aspx zur Seite http://www.contoso.com/sales/default.aspx umleiten lassen. Die Konfiguration der Umleitungen können auf Serverebene oder auf Ebene der Webseiten über das Feature HTTPUmleitung durchgeführt werden. Neben der Umleitung kann an dieser Stelle auch das Verhalten dieser Konfiguration festgelegt werden. Aktivieren Sie das Kontrollkästchen Alle Anforderungen an eigentliches Ziel (und nicht relativ zum Ziel) umleiten, werden Anfragen immer exakt zu der Adresse umgeleitet, die in der Umleitung konfiguriert wurde. Das gilt auch dann, wenn Anfragen an Unterverzeichnisse gestellt werden. Wird das Kontrollkästchen Anforderungen zu Inhalt in diesem Verzeichnis (nicht in Unterverzeichnissen) umleiten aktiviert, werden Anfragen, die an Unterverzeichnisse des umgeleiteten Verzeichnisses gerichtet sind, direkt an das Weiterleitungsziel geleitet, ohne die Unterverzeichnisse zu berücksichtigen. Beachten Sie, dass diese Konfiguration noch in der Konsole bestätigt werden muss.
973
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Abbildg. 21.68 Konfigurieren der HTTP-Umleitung
IIS 7.0 überwachen und Logdateien konfigurieren In diesem Abschnitt gehen wir auf die Überwachung der IIS-Zugriffe ein. Vor allem zur Fehlersuche beim Zugriff sind die verschiedenen Möglichkeiten der Überwachung ein wichtiger Punkt bei der Verwaltung des IIS. Die Überwachung kann auf Ebene des Servers, der Webseiten, von Applikation und physischen wie virtuellen Verzeichnissen abgewickelt werden.
Ablaufverfolgungsregeln für Anforderungsfehler Doppelklicken Sie im Internetinformationsdienste-Manager auf das Feature Ablaufverfolgungsregeln für Anforderungsfehler, können Regeln erstellt und bearbeitet werden, mit denen die fehlerhaften Zugriffe auf den Server überwacht werden können (Abbildung 21.69). Neue Regeln lassen sich über das Kontextmenü oder den Aktionen-Bereich erstellen. Abbildg. 21.69 Erstellen und Verwalten von Regeln für die Ablaufverfolgung
974
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
IIS 7.0 überwachen und Logdateien konfigurieren
Über den Assistenten kann auf verschiedenen Seiten festgelegt werden, was der Server überwachen soll. Auf der nächsten Seite des Assistenten legen Sie fest, welche Fehler protokolliert werden sollen. Dadurch erhalten Sie ein Protokoll und müssen den Fehler nicht erst nachstellen. Sobald eine der hinterlegten Bedingungen auftritt, wird der Fehler protokolliert. Auf der Seite der Bedingungen können auch mehrere Statuscodes hinterlegt werden, die jeweils durch Komma voneinander getrennt werden (Abbildung 21.70). Im Feld Zeitraum (in Sekunden) geben Sie an, wie lange der Zeitraum ist, welche die Anforderung verbrauchen darf, bevor der Fehler protokolliert wird. Abbildg. 21.70 Festlegen der Bedingungen, bei denen die Ablaufverfolgung einen Fehler protokolliert
Auf der nächsten Seite des Assistenten legen Sie schließlich fest, welche der Anbieter überwacht werden sollen, und sofern möglich, auch welche Module der Anbieter. Über das Listenfeld Ausführlichkeitsgrad legen Sie fest, wie viele Daten protokolliert werden sollen. Hier kann für die jeweiligen Anbieter ein unterschiedlicher Protokollierungsgrad ausgewählt werden. Nach der Erstellung der Regel wird diese im Fenster angezeigt. Es können weitere Regeln erstellt und vorhandene Regeln können nachträglich über deren Kontextmenü bearbeitet werden. Die Logdateien werden standardmäßig im Verzeichnis \inetpub\logs\FailedReqLogFiles gespeichert.
Allgemeine Protokollierung aktivieren und konfigurieren Neben der Ablaufverfolgung für fehlerhafte Anforderungen kann auch der normale Betrieb des IIS protokolliert werden. Dazu steht der Punkt Protokollierung auf der Startseite des Internetinformationsdienste-Managers zur Verfügung. Die Protokollierung kann für einzelne Seiten und Anwendungen getrennt aktiviert oder deaktiviert werden. Auch dazu steht das Feature Protokollierung zur Verfügung, wenn Sie die entsprechende Seite oder Anwendung im IIS-Manager anklicken (Abbildung 21.71). Standardmäßig ist die Protokollierung für den Server an sich und für Webseiten akti-
975
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
viert. Über den Aktionen-Bereich der Konsole kann diese für einzelne Bereiche gezielt deaktiviert werden. Die Protokolldateien können in einem beliebigen Verzeichnis abgelegt werden und befinden sich standardmäßig im Verzeichnis \inetpub\logs\LogFiles. Abbildg. 21.71 Konfiguration der Protokollierung für den IIS
Im ersten Auswahlfeld wird über ein Listenfeld ausgewählt, ob für jede Webseite eine Protokolldatei erstellt werden soll oder eine Datei für den kompletten Server. Als Format stehen für die Protokolldatei verschiedene Möglichkeiten zur Verfügung. Die Codierung der Protokollierung sollte bei UTF-8 belassen werden: 쐍 W3C Dies ist die Standardauswahl. Diese Protokolldateien werden textbasiert gespeichert und über die Schaltfläche Felder auswählen wird festgelegt, was in der Datei protokolliert werden soll. Die einzelnen Felder werden durch Leerzeichen getrennt. 쐍 IIS Bei dieser Auswahl werden die Protokolldateien ebenfalls im Textformat gespeichert. Die einzelnen Felder sind allerdings fest vorgegeben und können daher nicht angepasst werden. Die einzelnen Felder werden durch Kommas getrennt. 쐍 Binär Bei dieser Auswahl wird eine Protokolldatei für alle Webseiten auf dem Server erstellt, daher steht diese nur dann zur Verfügung, wenn die Protokollierung pro Server eingestellt wird, nicht pro Datei. Die Daten werden in binärer Form gespeichert. Der Vorteil bei dieser Auswahl ist, dass der Server extrem wenig belastet wird, da nur wenige Daten protokolliert werden. Vor allem Server mit hohem Besucheraufkommen sollten dieses Format verwenden. Im Gegensatz zu den anderen Formaten können diese Dateien nicht mit einem Texteditor gelesen werden. Hier bietet sich das kostenlose Zusatztool Logparser an, das Microsoft ebenfalls zur Verfügung stellt. Mithilfe des Protokollparsers können Einträge gefiltert, Protokolldateien in andere Formate kon-
976
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Optimieren der Serverleistung
vertiert und Datenfilterung durchgeführt werden. Das Tool unterstützt unterschiedliche Eingabeformate, einschließlich sämtlicher IIS-Protokolldateiformate. Protokollparser unterstützt gleichermaßen mehrere Ausgabeformate, wie beispielsweise Textdateien und Datenbanktabellen. 쐍 NCSA Bei NCSA handelt es sich um das National Center For Supercomputing Applications. Auch hier werden die Felder fest vorgegeben und es werden weniger Informationen protokolliert, als bei den anderen Protokollmethoden. Ebenfalls in diesem Fenster legen Sie fest, wann neue Protokolldatei erstellt werden sollen, also nach einem bestimmten Zeitplan (Stündlich, Täglich, Wöchentlich oder Monatlich), nach einer bestimmten Größe oder überhaupt nicht. Die Auswahl hängt unter anderem von der Besucheranzahl des Servers ab. Aktivieren Sie nicht die Option Lokale Zeit für Dateibenennung und Rollover verwenden, wird standardmäßig die UTC-Zeit (Universelle Weltzeit) verwendet (http://de.wikipedia.org/wiki/ Koordinierte_Weltzeit).
Überprüfen der Arbeitsprozesse der Anwendungspools Über das Feature Arbeitsprozesse auf der Startseite des Internetinformationsdienste-Managers werden die laufenden Prozesse sowie deren Ressourcenverbrauch angezeigt. Anwendungspools können dabei auch mehrere Arbeitsprozesse, oft auch als Worker Processes bezeichnet, starten. Die eigentlichen Websites, sei es in Form von simplen statischen Websites oder als komplexe webbasierende Anwendungen, werden über diese Worker Processes abgewickelt, die eine Art von Mini-Webservern sind. Diese Arbeitsprozesse nutzen die Dienste der zentralen Komponenten, agieren also aus Sicht der Anwendungen als Webserver. Die Verwaltungskomponente überwacht den Status der Arbeitsprozesse, löscht sie, wenn sie nicht mehr erforderlich sind und kann sie neu starten, wenn Fehler in diesen Prozessen auftreten.
Optimieren der Serverleistung Die Optimierung der Serverleistung ist kein einfaches Unterfangen. Damit ein Server schnell und performant zur Verfügung steht, sind nicht nur Konfigurationen im IIS notwendig, sondern auch die Serverleistung an sich muss passen. In diesem Abschnitt gehen wir auf Möglichkeiten ein, Anfragen an IIS mit den Bordmitteln des Internetinformationsdienste-Managers zu verbessern.
Komprimierung aktivieren Mit der Komprimierung werden die Antwortzeiten eines Servers verbessert und Bandbreite bei der Übertragung von Webseiten kann gespart werden. Die Komprimierung wird über das Feature Komprimierung im Internetinformationsdienste-Manager gesteuert. Manche Einstellungen stehen nur auf Serverebene zur Verfügung. Viele Einstellungen können aber auch auf Ebene der Websites und Anwendungen vorgenommen werden, sodass jede Anwendung eigene Einstellungen für die Komprimierung verwenden kann. Wird die Komprimierung aktiviert, belastet das zwar die Serverhardware, aber die Netzwerkleistung wird erhöht. Ob durch diese Maßnahmen mehr Leistung erzielt wird, hängt davon ab, ob der Server oder die Leitung der Flaschenhals ist. Da meist eher die Leitung schuld an einer langsamen Übertragung ist, wird bei IIS 7.0 die Komprimierung von statischen 977
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Inhalten standardmäßig bereits aktiviert (Abbildung 21.72). Wurde ein statischer Inhalt, zum Beispiel eine Seite oder eine Datei, bereits komprimiert, belastet das den Server nicht erneut, da diese Datei bei der nächsten Anfrage einfach wieder aus dem Komprimierungscache zur Verfügung gestellt wird. Aktivieren Sie auch die Komprimierung für dynamische Inhalte, muss jede Übertragung immer wieder erneut komprimiert werden, was zwar Bandbreite spart, aber CPU-Leistung kostet. Abbildg. 21.72 Konfigurieren der Komprimierung für IIS 7.0
Sie können hier auch festlegen, ab welcher Größe Dateien komprimiert werden sollen und wie viel Speicherplatz jedem Anwendungspool und den darin enthaltenen Webseiten und Anwendungen zur Verfügung steht. Auch der Speicherplatz des Caches wird an dieser Stelle festgelegt.
Ausgabezwischenspeicherung verwenden Im Cache des Webservers können Teile der Webseiten zur Verfügung gestellt werden, sodass die Abrufe dieser Teile den Server nicht belasten. Anfragen an diese Seiten können durch diese Funktion wesentlich beschleunigt werden. Über das Feature Ausgabezwischenspeicherung im Internetinformationsdienste-Manager erreichen Sie die Verwaltung dieser Funktion. Die allgemeinen Einstellungen werden über den Befehl Featureeinstellungen bearbeiten über das Kontextmenü oder den AktionenBereich vorgenommen (Abbildung 21.73).
978
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Optimieren der Serverleistung Abbildg. 21.73 Konfigurieren der Ausgabezwischenspeicherung
Der Cache ist standardmäßig aktiviert und die Größe ist nicht beschränkt. In den Einstellungen können die Funktion aktiviert sowie ein Limit festgelegt werden. Der Cache wird allerdings erst dann produktiv genutzt, wenn Regeln festgelegt werden, die bestimmen, welche Daten zwischengespeichert werden sollen. Auch das Kernelcaching ist bereits aktiviert. Bei dieser Funktion werden Anfragen an den Cache nicht im Benutzermodus des Servers durchgeführt, sondern im Kernel selbst. Die Anwendungen werden durch diese Funktion also nicht belastet. Das Cachegrößenlimit sollte möglichst nicht bearbeitet werden. Der IIS entscheidet selbst, wie viel Speicher er zur Verfügung stellt. Nur wenn Sie feststellen, dass Ihr Server noch nicht vollständig ausgelastet ist, können Sie das Limit erhöhen, sollten dabei aber sehr vorsichtig vorgehen, da schnell ein gegenteiliger Effekt erreicht wird. Über das Kontextmenü werden neue Regeln für den Cache erstellt. Es öffnet sich ein neues Fenster, über das Einstellungen vorgenommen werden, wie Inhalte für den Benutzermodus und den Kernelmodus zwischengespeichert werden sollen. Zunächst wird im Fenster festgelegt, welche Dateien zwischengespeichert werden können. Als Nächstes wird festgelegt, wie lange die Daten im Zwischenspeicher verbleiben sollen. Es kann entweder eine Zwischenspeicherung bis zur Änderung der Datei oder ein Zeitintervall festgelegt werden. Auch das generelle Verhindern der Zwischenspeicherung für einige Dateitypen kann an dieser Stelle konfiguriert werden. Es können beliebig viele Cacheregeln erstellt werden. Die Regeln können nach der Erstellung jederzeit bearbeitet werden.
979
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Abbildg. 21.74 Bearbeiten einer Cacheregel
FTP-Server betreiben Mit den IIS 7.0 lässt sich auch ein FTP-Server betreiben, um zum Beispiel performant Dateien für den Download zur Verfügung zu stellen. Bei der FTP-Komponente handelt es sich um einen eigenen Rollendienst, der nachträglich oder bereits bei der Installation der Internetinformationsdienste installiert werden kann. Damit IIS auch als FTP-Server verwendet werden kann, benötigen Sie den Rollendienst FTP-Publishingdienst, der jederzeit installiert werden kann. Abbildg. 21.75 IIS 7.0 kann auch als FTP-Server verwendet werden
Nach der Installation des Rollendienstes ist der FTP-Server allerdings noch nicht gestartet. Rufen Sie die Verwaltung der Dienste auf, zum Beispiel über services.msc, und setzen Sie den Dienst FTP-Publishingdienst auf Automatisch und starten Sie diesen. Der Server kann anschließend über die Verwaltungskonsole konfiguriert werden. Über einen Webbrowser greifen Sie mit der Adresse ftp:// zu. Sie können im Verzeichnis normale Ordner anlegen und mit NTFS-Berechtigungen arbeiten.
980
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
FTP-Server betreiben Abbildg. 21.76 Auf den FTP-Server zugreifen
Die Verwaltung des FTP-Servers findet teilweise noch über den IIS 6.0-InternetinformationsdiensteManager statt, der aber über den IIS 7.0-Internetinformationsdienste-Manager gestartet werden kann. FTP in der Befehlszeile verwenden Wenn Sie gelegentlich Daten zu einem FTP-Server hochladen müssen, können Sie das auch in der Befehlszeile durchführen. Für Anwender, die häufiger FTP verwenden, bietet es sich an, ein Tool zu erwerben und zu installieren, welches in einer grafischen Oberfläche die FTP-Übertragung zulässt. Hinzu kommt, dass die FTP-Übertragung per Befehlszeile in Windows nicht verschlüsselt stattfindet. Als Notlösung, oder wenn Sie nur selten Dateien per FTP hochladen müssen, eignet sich die Befehlszeile jedoch durchaus. Damit das Hochladen per FTP in der Befehlszeile funktioniert, müssen Sie zunächst eine Textdatei vorbereiten, welche die notwendigen Konfigurationsschritte enthält. In dieser Konfigurationsdatei werden auch die einzelnen Dateien angegeben sowie der FTP-Server, zu dem Sie diese Dateien hochladen wollen. Wenn Sie eine neue Textdatei für die FTP-Konfiguration erstellen und konfigurieren wollen, können Sie diese zum Beispiel login.txt nennen. Die Datei sollte folgenden Inhalt haben: Listing 21.1
Konfigurationsdatei für den Upload von FTP-Dateien Open lc cd ascii send send
Mit dem Befehl send können Sie beliebig viele Dateien zum angegebenen FTP-Server hochladen. Möchten Sie nun die Übertragung starten, müssen Sie in der Befehlszeile den Befehl ftp –s:C:\login.txt ausführen.
981
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
Konfiguration des FTP-Servers Der FTP-Dienst bietet nicht so viele Konfigurationsparameter wie die Webseiten. Einige davon sind zudem relativ ähnlich zu denen, die sich bei WWW-Dienst finden. Nach der Installation müssen Sie den IIS-Manager neu starten. Erst dann werden die FTP-Einstellungen angezeigt. Über die Registerkarte FTP-Site können die Festlegungen zur Identifikation, zu den maximalen Verbindungen sowie zur Protokollierung konfiguriert werden. Über die Registerkarte Sicherheitskonten kann definiert werden, ob anonyme Verbindungen zugelassen und über welches Benutzerkonto diese abgewickelt werden sollen. Wie für die anderen virtuellen Server auch, lassen sich die verwendete IP-Adresse sowie der TCP-Port angeben. Im Gegensatz zu anderen Protokollen kann für FTP allerdings nur eine Adresse und ein Port angegeben werden. Die Anzahl eingehender Verbindungen ist in der Standardeinstellung auf 100.000 gesetzt, was faktisch keiner Begrenzung entspricht, weshalb Sie in diesem Fall auch Unbegrenzt wählen können. Abbildg. 21.77 Die Eigenschaften des FTP-Servers werden über den
IIS 6.0-Manager konfiguriert
Die Auswahl der verschiedenen Formate der Protokolldateien ist bei FTP auf W3-erweitert, ODBC und Microsoft IIS beschränkt, ansonsten ist die Konfiguration der Protokollierung identisch mit dem bereits beschriebenen Webserver. Die aktuell mit dem virtuellen FTP-Server verbundenen Benutzer können Sie jederzeit über die Schaltfläche Aktuelle Sitzungen anzeigen lassen. Neben dem Benutzernamen, mit dem sich ein Anwender am FTP-Server angemeldet hat, sehen Sie zusätzlich, von welcher IP-Adresse aus der Zugriff erfolgt ist. Die Dauer der Verbindung wird ebenfalls angezeigt. Falls die Verbindung nicht mehr benötigt wird oder Sie vermuten, dass es sich bei dem Benutzer um einen unbefugten Eindringling handelt, wählen Sie den entsprechenden Benutzer aus und beenden die Verbindung über Trennen.
982
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
FTP-Server betreiben Abbildg. 21.78 Anzeigen und Trennen der verbundenen Benutzer
Über Durchsuchen wählen Sie aus der Liste das Konto aus, mit dem die automatische Anmeldung erfolgen soll. Geben Sie danach das Kennwort für das Konto ein. Falls Sie den virtuellen FTP-Server in einer gesicherten Umgebung einsetzen wollen, in der nur autorisierte Benutzer Zugriff auf die Dateien haben sollen, deaktivieren Sie das Kontrollfeld Anonyme Verbindungen zulassen. Umgekehrt können Sie über Nur anonyme Verbindungen zulassen auch ausschließen, dass Anwender ihre Anmeldekennung verwenden, über die sie unter Umständen erweiterte Berechtigungen hätten. Abbildg. 21.79 Verwalten der Berechtigungen für FTP-Benutzer
HINWEIS
FTP arbeitet mit unverschlüsselten Kennwörtern. Aus diesem Grund sollte gut überlegt werden, ob bei FTP überhaupt mit einer Authentifizierung gearbeitet wird. Falls diese genutzt wird, sollte das idealerweise nur mit getrennten Benutzerkonten, die nur für FTP eingesetzt werden, oder über eine durch IPsec gesicherte Verbindung erfolgen.
Sie haben über die Registerkarte Meldungen die Möglichkeit, einen langen Banner-Text anzugeben, der dem Anwender beim Aufbau der Verbindung angezeigt wird, sowie einen Willkommen-Text, der nach der Anmeldung erscheint. Ein kurzer Beenden-Text erlaubt eine Nachricht zum Ende der Verbindung. Sobald das auf der Registerkarte FTP-Site angegebene Verbindungslimit erreicht ist, nimmt der Server keine neuen Verbindungen mehr an, kann dem Anwender aber eine Meldung anzeigen, die ihn darauf hinweist, dass das System derzeit ausgelastet ist. Diesen Text können Sie im Feld Maximale Verbindungen angeben. Über den FTP-Server ist der Zugriff auf die lokalen Laufwerke des Servers möglich, es können aber auch Freigaben auf anderen Servern zugänglich gemacht werden. So genügt ein einziger FTP-Server, um auf alle Ressourcen im gesamten Netzwerk zuzugrei-
983
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 21
Webserver – IIS 7.0
fen. Über die virtuellen Verzeichnisse, mit denen wir uns im Anschluss beschäftigen, wird ein solcher Zugriff eingerichtet. In der Standardeinstellung In einem Verzeichnis auf diesem Computer wird ein lokales Verzeichnis verwendet. Wählen Sie In einem Verzeichnis auf einem anderen Computer für den Zugriff auf die Freigabe eines anderen Servers. Anschließend geben Sie unter Verzeichnis der FTP-Site den lokalen Pfad bzw. die Freigabe an. Abbildg. 21.80 Verwalten des Speicherorts der FTP-Dateien
Wie bei Standardfreigaben können an dieser Stelle auch generell Berechtigungen für den Zugriff über FTP gesetzt werden. Zur Verfügung steht allerdings nur die Berechtigung Lesen, die standardmäßig gesetzt ist. Schreibzugriffe sowie das Löschen von Dateien sind erst dann möglich, wenn die Berechtigung Schreiben gegeben wird. Zusätzlich können die einzelnen Dateien und Verzeichnisse auch noch lokal über NTFS-Berechtigungen einzeln mit Berechtigungen versehen werden. Falls Sie auf der Registerkarte FTP-Site die Protokollierung eingeschaltet haben, aktivieren Sie das Kontrollkästchen Besuche protokollieren, um die Zugriffe in diesem Verzeichnis zu protokollieren. Um die Anzeige der Dateien an die Gewohnheiten der Anwender anpassen zu können, haben Sie unter Verzeichnisformat noch die Möglichkeit, zwischen den Formaten UNIX und MS-DOS zu wählen. Neben der Zugriffssicherung über die Anmeldung kann zusätzlich noch anhand von Adressen eine Einschränkung des Zugriffs durchgeführt werden. Das ist besonders dann wichtig, wenn Anwender von sicheren wie unsicheren Netzwerken aus auf den FTP-Server zugreifen können. Sofern die Gefahr besteht, dass ein Angreifer die unverschlüsselte Anmeldung protokolliert und somit in den Besitz der Benutzernamen und Passwörter gelangt, sollten Sie den Zugriff über die Registerkarte Verzeichnissicherheit einschränken. Dabei können Sie entweder mit einer Positiv- oder Negativliste arbeiten. In der Standardeinstellung wird mit einer leeren Negativliste gearbeitet, es wird also allen Systemen der Zugriff gestattet. Fügen Sie die Systeme der Liste hinzu, denen Sie explizit den Zugriff verweigern wollen. Andererseits können Sie über Zugriff verweigert auch zunächst allen Systemen den Zugriff verweigern und anschließend den gewünschten Systemen explizit erlauben.
984
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Zusammenfassung Abbildg. 21.81 Verwalten der Berechtigungen für einen FTP-Server
Erstellen virtueller Verzeichnisse Über den virtuellen FTP-Server ist zunächst einmal nur der Zugriff auf die lokale Festplatte des Servers bzw. eine Freigabe im Netzwerk möglich. Ein Anwender, der Daten von mehreren Servern haben möchte, müsste sich daher mit allen Servern verbinden und jeweils die benötigten Daten übertragen. Über virtuelle Verzeichnisse können allerdings andere Laufwerke oder Computer unter einem einzigen FTP-Server zusammengefasst werden, die dann nach außen für den Anwender wie ein einziges System erscheinen, in dessen Verzeichnissen er irgendwo die benötigten Dateien findet. Sie erstellen ein virtuelles Verzeichnis aus dem Kontextmenü des jeweiligen virtuellen FTP-Servers heraus über Neu/Virtuelles Verzeichnis. Eine Verschachtelung virtueller Verzeichnisse ist ebenfalls möglich – wählen Sie dann den gleichen Menüpunkt, allerdings in diesem Fall aus dem Kontextmenü eines bereits angelegten virtuellen Verzeichnisses. Geben Sie anschließend den Alias an, also den Namen, mit dem der Anwender in das virtuelle Verzeichnis wechselt und den Pfad, in dem die Daten des virtuellen Verzeichnisses tatsächlich liegen. Als Nächstes definieren Sie die Zugriffsrechte der Anwender, wobei die Berechtigung Lesen bereits gesetzt ist. Gewähren Sie über Schreiben bei Bedarf auch Schreibrechte. Weitere virtuelle FTP-Server erstellen Sie, indem Sie im Kontextmenü des Knotens FTP-Sites die Option Neu/FTP-Site auswählen. Weisen Sie anschließend dem neuen virtuellen FTP-Server einen Namen zu und wählen Sie dann aus, über welche IP-Adresse und welchen TCP-Port der Server angesprochen werden soll. Achten Sie dabei darauf, dass sich entweder die IP-Adresse oder der TCPPort oder beides von den Einstellungen bereits existierender virtueller Server unterscheiden, da es sonst zu Kommunikationsproblemen kommt. Danach geben Sie an, welches lokale Verzeichnis bzw. welche Freigabe über den virtuellen FTP-Server zur Verfügung gestellt werden soll und ob der Anwender Lese- und/oder Schreibrechte bekommen soll. Anschließend steht der neue virtuelle FTPServer bereits zur Verfügung.
Zusammenfassung In diesem Kapitel haben wir Ihnen gezeigt, wie Sie professionell mit dem Webserver in Small Business Server 2008 umgehen. In Standardumgebungen müssen Sie keine Anpassungen vornehmen. Wollen Sie aber eigene Webseiten entwickeln, kann sich eine Anpassung durchaus lohnen. Im nächsten Kapitel zeigen wir Ihnen die Möglichkeiten, die der zweite Server im Netzwerk mit Hyper-V bietet und wie Sie einen Server mit Small Business Server 2008 virtualisieren können. 985
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 22
Virtualisierung mit Hyper-V
In diesem Kapitel: Die Grundlagen von Hyper-V
988
System Center Virtual Machine Manager 2008
991
Installieren und Verwalten von Hyper-V
993
Erstellen und Verwalten von virtuellen Computern
998
Erstellen und Verwalten von Snapshots von virtuellen Servern
1011
Verwalten der virtuellen Netzwerke in Hyper-V
1013
Betreiben von Hyper-V im Cluster
1016
Exportieren und Importieren von virtuellen Computern
1018
Finden und Beheben von Fehlern in Hyper-V
1019
Delegieren von Berechtigungen in Hyper-V
1021
Zusammenfassung
1024
987
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 22
Virtualisierung mit Hyper-V
Mit Hyper-V bietet Microsoft erstmals eine in das Betriebssystem integrierte Lösung zur Virtualisierung an. Mit Windows Server 2008, Hyper-V und optional noch mit dem System Center Virtual Machine Manager (SCVMM) 2007/2008 bietet Microsoft die Möglichkeit, Virtualisierung im Unternehmen ohne Programme von Drittanbietern durchzuführen. Virtuelle Rechner erstellen Administratoren mit Hyper-V unter Windows Server 2008. Mit Hilfe von SCVMM lassen sich diese dann verwalten und mit System Center Operations Manager 2007 überwachen. Hyper-V bietet mit der Hypervisor-Technologie eine direkte Verbindung mit den Virtualisierungsfunktionen der aktuellen AMD- und Intel-Prozessoren. Sowohl Small Business Server 2008 als auch der zweite Server im SBSNetzwerk lassen sich getrennt oder zusammen als virtuelle Server auf einem physischen Hyper-V-Server betreiben. Betreiben Sie Hyper-V in einem SBS-Netzwerk, müssen Sie einige wichtige Punkte beachten. Sie können zum Beispiel Small Business Server 2008, also den primären Server des Netzwerks, als virtuelle Maschine auf dem zweiten Server installieren. Allerdings sollte in diesem Fall der Host-Server, also der Server, auf dem Sie Hyper-V installieren, kein Mitglied der SBS-Domäne sein. Ansonsten entsteht eine Abhängigkeit zwischen der übergeordneten und der untergeordneten Instanz in Hyper-V. Installieren Sie auf dem zweiten Server die Hyper-V-Rolle, dürfen sie lizenztechnisch auf diesem Server sowohl SBS 2008 in einer virtuellen Maschine als auch einen Server mit Windows Server 2008 installieren. Allerdings dürfen Sie dann auf dem physischen Host keinerlei weitere Serverrollen installieren, dieser darf dann nur als Hyper-V Maschine dienen. Hyper-V lässt sich nur über einen zweiten Server installieren. Es ist nicht möglich, den primären Server selbst als Host für Hyper-V zu verwenden. Hyper-V bietet keine Virtualisierung von COM-Ports. Wenn Sie also ein Peripheriegerät an einen COM-Port auf dem physischen System anschließen, ist dieses Peripheriegerät für die anderen Gastbetriebssysteme nicht verfügbar. Daher wird die Windows Server 2008-Faxserverrolle in Hyper-V nicht unterstützt.
Die Grundlagen von Hyper-V Hyper-V besteht aus einer kleinen hochspezialisierten Softwareschicht, den so genannten Hypervisor, die direkt zwischen der Serverhardware und den virtuellen Computern positioniert ist. Die Software partitioniert die Hardware-Ressourcen eines Servers. Dabei lassen sich übergeordnete und untergeordnete Partitionen, so genannte Parent-VMs und Child-VMs erstellen. Während in der Parent-VM die Prozesse der virtuellen Maschine, der WMI-Provider und der VM-Dienst läuft, sind in den Child-VMs die Anwendungen positioniert. Die Parent-VM verwaltet auch die Treiber der Computer. Hyper-V benötigt im Gegensatz zu vielen anderen Virtualisierungslösungen keine speziellen Treiber für aktuelle Hardware. Die Parent-VM ist sozusagen das eigentliche Host-System, während die Child-VMs die virtuellen Computer darstellen. Dabei tauscht nur die Parent-VM Informationen mit Hyper-V direkt aus. Untergeordnete Partitionen stellen die Anwendungen im Benutzermodus zur Verfügung, während der Kernelmodus nur die Virtualization Service Clients (VSC) und den Windows-Kernel betreibt. Dadurch steigert sich in der Theorie neben der Geschwindigkeit auch die Stabilität der Computer. Damit die virtuellen Computer funktionieren, nimmt Hyper-V kleinere Änderungen am Kernel der Gastsysteme vor, ähnlich wie auch XEN es tut. Installieren Sie die Hyper-V-Serverrolle, setzt Windows die Boot Configuration Database (BCD)-Einstellung hypervisorimagelaunchtypeboot auf auto (automatisch) und konfiguriert den Gerätetreiber Hvboot.sys, beim Start des Betriebssystems sehr
988
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Die Grundlagen von Hyper-V
früh zu starten. Das System ist dadurch auf die Virtualisierung vorbereitet und lädt entweder %Systemroot%\System32\Hvax64.exe (AMD-V) oder %Systemroot%\System32\Hvix64.exe (Intel VTCPU) in den Speicher. Nach dem Start von Hyper-V verwendet der Treiber die Virtualisierungserweiterungen. Benutzermodusanwendungen verwenden die Berechtigungsstufe Ring 3 des x64-Prozessors, der Kernel den Ring 0. Hypervisor arbeitet auf der Berechtigungsstufe darunter, denn er kann Code, der auf der Stufe Ring 0 ausgeführt wird, kontrollieren. Verwenden Sie nach der Installation die Hyper-V-Verwaltungskonsole, um eine untergeordnete Partition zu erstellen, verwendet diese den Treiber %Systemroot%\System32\Drivers\Winhv.sys. Durch die enge Kooperation von Microsoft mit den XEN-Entwicklern, ist viel Know-how dieser Virtualisierungslösung auch in Hyper-V eingeflossen. Hyper-V unterstützt die AMD- und Intel-Virtualisierungsfunktionen für x64-Server-Prozessoren und setzt diese für den Einsatz sogar voraus. Das bedeutet, dass X86-Computer von der Virtualisierung, zumindest als Hostsystem, ausgeschlossen sind. Hyper-V lässt sich daher nur auf x64-Bit-Servern mit Intel VT oder AMD-V Erweiterungen installieren. Technologische Basis von Hyper-V ist eine 64-Bit-Softwareschicht, die zwischen der Hardware und dem Betriebssystem platziert ist und die Hardwareressourcen des physischen Windows Server 2008-Host-Systems auf die einzelnen virtuellen Rechner verteilt. Administratoren ordnen die Ressourcen, zum Beispiel CPU und Arbeitsspeicher des Host-Systems, den virtuellen Betriebssystemsitzungen exakt zu. Hyper-V verwendet synthetische Gerätetreiber, sodass für I/O-Zugriffe keine Softwareemulation erforderlich ist. Die Geschwindigkeit der virtuellen Computer wird durch diese Funktion stark gesteigert. Microsoft setzt übrigens bereits selbst auf Hyper-V. Die Entwicklerseiten der TechNet und des MSDN laufen seit einiger Zeit auf mit Hyper-V virtualisierten Servern. Wie Virtual Server 2005 R2 unterstützt auch Hyper-V Linux als Gastbetriebssystem. So ist es beispielsweise möglich, auf einem Windows Server 2008-Host-System einen virtuellen 64-Bit-Server, einen 32-Bit-Server und ein Linux-System parallel zu betreiben. Offiziell unterstützt Hyper-V vor allem Suse Linux Enterprise Server 10 mit SP1. Neben 32-Bit- und 64-Bit-Systemen unterstützt Hyper-V auch Mehrprozessorsysteme als Gast. Auch Windows Vista mit SP1 und Windows XP SP3 unterstützt Hyper-V. Hyper-V lässt sich in System Center Virtual Machine Manager integrieren, aber auch in einer eigenständigen Managementkonsole (MMC) unter Windows Server 2008 verwalten. Hyper-V ist außerdem eine ServerRolle für den Server Core-Betriebsmodus von Windows Server 2008 ist. Durch das reduzierte HostBetriebssystem können Administratoren ihre ganze Aufmerksamkeit den virtuellen Computern widmen. Während der Installation von Windows Server 2008 lässt sich auswählen, ob der Server komplett oder über den Installationsassistent lediglich eine Core-Version installiert werden soll. Nach der Installation bietet ein Core-Server nicht die gewohnte grafische Benutzeroberfläche. Die Verwaltung eines solchen Servers findet ausschließlich über die Befehlszeile statt. Es gibt kein Startmenü, keine Systemsteuerungen, keine Snap-Ins für die MMC. Es besteht aber die Möglichkeit, einen solchen Server über das Netzwerk mit den Snap-Ins auf anderen Servern zu verwalten. Auf diesem Weg lässt sich auch Hyper-V auf einem Core-Server überwachen Die Core-Installation dient der Installation eines Servers, der nur spezielle Serverrollen annehmen kann. Dazu gehören neben der Hyper-VRolle auch die Rollen Dateiserver, Druckserver, Streaming Media Services, Domänencontroller, Active Directory Lightweight Directory Services, DNS-Server und DHCP-Server. Unternehmen haben bei einem Core-Server gegenüber der vollen Installation einige Vorteile. Es werden nur die notwendigen Komponenten installiert. Dadurch erhöht sich die Sicherheit, weil kein Angriff auf unnötige Funktionen stattfinden kann. Die Stabilität des Servers erhöht sich, weil nicht benötigte Komponenten keinen Absturz verursachen. Die Installation benötigt deutlich weniger Platz. Ein Core-Server ist daher die ideale Plattform als Host-System für die Virtualisierung. 989
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 22
Virtualisierung mit Hyper-V
Auch Windows PowerShell, ebenfalls in Windows Server 2008 integriert, enthält Befehle, mit denen sich etwa virtuelle Server starten und stoppen lassen. In der Windows PowerShell lassen sich zudem Skripts zur Automatisierung erstellen. Microsoft hat auch den Windows Server 2008-Clusterdienst für die Virtualisierung verbessert. Er bindet virtuelle Computer und deren Festplatten besser in einen Failover-Cluster ein. Fällt zum Beispiel ein physischer Server aus, der mehrere virtuelle Rechner verwaltet, erkennt Hyper-V das und führt eine so genannte Quick Migration durch. Diese Technik funktioniert allerdings aktuell nur für Windows-Systeme, aktuell bleibt Linux außen vor. Voraussetzung ist, dass die Rechner in einem Speichernetzwerk (SAN) liegen. Der zweite physische Knoten im Cluster startet die virtuellen Computer, sodass diese den Anwendern sofort wieder zur Verfügung stehen. Diese Funktion unterstützt geplante, aber auch ungeplante Ausfälle von Clusterknoten. Einer der Vorteile von Hyper-V ist die direkte Integration in das Betriebssystem. Selbst die Standard Edition von Windows Server 2008 enthält bereits eine Lizenz für Hyper-V. Unternehmen, welche auf Windows Server 2008 Standard Edition setzen, dürfen mit einer Lizenz das Host-System und eine virtuelle Maschine erstellen. Die Enterprise Edition von Windows Server 2008 ermöglicht die Installation des Host-Systems mit Windows Server 2008 sowie bis zu vier virtuellen Computern ohne weitere Lizenzkosten. Unternehmen, die Windows Server 2008 einsetzen, können Hyper-V als Server-Rolle installieren und mit der Virtualisierung sofort loslegen. Zusatzprogramme benötigen Systemverwalter nicht, die notwendigen Verwaltungswerkzeuge sind in das Betriebssystem integriert. Von der Kostenseite her profitieren daher Unternehmen von der Virtualisierung, ohne vorher teure Zusatzlösungen kaufen zu müssen. Allerdings müssen Unternehmen virtuelle Computer genauso lizenzieren wie physische Server. Nur die Datacenter-Editionen erlauben eine uneingeschränkte Anzahl an virtuellen Computern. Da Hyper-V die integrierten Virtualisierungstechniken von AMD und Intel unterstützt, sollte vor der Installation der Serverrolle im BIOS des Rechners diese Technik aktiviert sein. Nicht auf allen Servern ist diese Funktion nämlich per Standardeinstellung bereits aktiv. Wie von Microsoft gewohnt, lassen sich die virtuellen Computer mit Assistenten erstellen, die bei der kompletten Einrichtung zur Seite stehen. Über den Assistenten lassen sich Arbeitsspeicher, Datenträger, CD/DVD-Laufwerke und andere Hardware voreinstellen. Die eigentliche Installation der virtuellen Server läuft etwas langsamer ab, da zu diesem Zeitpunkt die Virtualisierung noch nicht an das System angepasst ist. Wer eine virtuelle Maschine installiert, muss mit Hyper-V also etwas mehr Zeit mitbringen. Nach der Installation lässt sich die Geschwindigkeit durch die Integration Services beschleunigen. Hierbei handelt es sich um eine Software, die ähnlich wie die VMware-Tools und deren Pendant in Virtual Server 2005 R2 beziehungsweise Virtual PC 2007 funktioniert. Während der Installation ersetzen die Integration Services einige Systemtreiber mit neuen Versionen, die für die Virtualisierung angepasst sind und virtuelle Computer deutlich beschleunigen. Generell ist die Verwaltung von virtuellen Computern mit der integrierten Verwaltungskonsole sehr effizient. Zusatzprogramme wie der System Center Virtual Machine Manager helfen bei der Verwaltung mehrerer Hosts, werden am Anfang selten benötigt, da die Bordmittel durchaus ausreichen. Allerdings lassen sich mit dem integrierten Verwaltungswerkzeug nur die virtuellen Computer eines Servers verwalten. Unternehmen, die mehrere Host-Systeme betreiben und diese gleichzeitig verwalten müssen, haben dadurch einen etwas höheren Verwaltungsaufwand. Der SCVMM kann auch mehrere Hostsysteme und deren virtuelle Computer verwalten.
990
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
System Center Virtual Machine Manager 2008
System Center Virtual Machine Manager 2008 Davon abgesehen, dass die Virtualisierung in Unternehmen eines der wichtigsten Themen ist, benötigen immer mehr Firmen eine zentrale Verwaltungsoberfläche für ihre virtuelle Infrastruktur. Diese Umgebungen sind häufig heterogen und werden mit zahlreichen unterschiedlichen Werkzeugen verwaltet. Das kostet unnötig Geld und bindet Ressourcen, die an anderer Stelle im Unternehmen fehlen. Der Virtual Machine Manager 2008 bietet im Vergleich zu seinem Vorgänger einige sehr wichtige Änderungen. Virtuelle Maschinen lassen sich sehr viel schneller bereitstellen. Durch neue Mechanismen und Tools ist die Migration von physischen zu virtuellen Servern (P2V) sehr einfach und nahezu ohne Ausfallzeiten durchzuführen. Auch das Übertragen von virtuellen Computern zwischen den verschiedenen Virtualisierungs-Infrastukturen (V2V) ist jetzt problemlos möglich. Rechte zum Erstellen von virtuellen Maschinen lassen sich delegieren. Auf diesem Weg erhalten untergeordnete Administratoren die Möglichkeit, virtuelle Server zu erstellen, oder deren Einstellungen zu ändern. Systemweite Einstellungen des VMM sind so vor Änderungen geschützt. Auch die intelligente Platzierung von virtuellen Servern auf physische Hosts übernimmt VMM, ohne dass Administratoren jedes Mal manuell eingreifen müssen. Für virtuelle Server lassen sich auch Vorlagen erstellen, sodass Sie identische Einstellungen nicht immer wieder für jeden Computer vornehmen müssen. SCVMM liefert eine optimale Infrastruktur sowohl für Großunternehmen mit Hunderten physischen Hosts und Tausenden virtuellen Servern als auch für kleine und mittelständische Unternehmen. System Center Virtual Machine Manager ist äußerst vielseitig: Neben der Möglichkeit, virtuelle Computer zu verwalten, die auf Virtual Server 2005 oder Windows Server 2008 Hyper-V basieren, unterstützt die neue Version jetzt auch VMware-Virtualisierungsumgebungen. Für Unternehmen ist dabei oft die Unterstützung von VMware ESX mit dem Virtual Center (ist Voraussetzung und muss vorhanden sein) und VMware Virtual Infrastructure 3 (VI3) am wichtigsten. Dadurch erhalten Unternehmen eine wirklich zentrale Verwaltungsplattform für alle virtuellen Computer. In einer einzelnen Konsole verwaltet SCVMM nicht nur die physischen Hosts der virtuellen Umgebung, sondern auch alle darin enthaltenen virtuellen Computer. Dabei sind dem SCVMM kaum Grenzen gesetzt. Neben Hunderten physischen Hosts verwalten Sie Tausende virtuelle Computer mit dem SCVMM. Durch diese Zentralisierung ist auch eine Verschiebung von virtuellen Computern zwischen den verschiedenen Systeme problemlos möglich. Dazu verwendet System Center Virtual Machine Manager 2008 VMware Motion, um virtuelle Server zu VMware ESX- oder VI3-Systemen zu portieren, oder Microsoft Quick Migration für die Migration zu HyperV. Auch die Migration von physischen zu virtuellen Servern (P2V) ist mit SCVMM möglich. Hier verwendet SCVMM eine sehr schnelle blockbasierte Übertragung und unterstützt auch den Schattenkopiedienst von Windows Server 2003/2008. Durch die vollständige Kompatibilität zu Hyper-V und Windows Server 2008 unterstützt der System Center Virtual Machine Manager auch 64-Bit-Betriebssysteme als Host und Gast und ist vollkommen Failover-Clusterfähig. Das bedeutet, physische Hosts für virtuelle Server lassen sich in einem Cluster betreiben. Fällt ein physischer Host aus, sind die virtuellen Server auf dem Host sehr schnell wieder verfügbar. Dadurch erstellen Sie hochverfügbare virtuelle Infrastrukturen, die eine optimale Ausfallsicherheit bieten. Die beste Grundlage dafür stellt Windows Server 2008 dar. Hier erkennt SCVMM automatisch ausgefallene oder neu hinzugefügte Clusterknoten und handelt entsprechend. Selbstverständlich unterstützt SCVMM auch VMware Host-Cluster, bei denen die Clusterknoten unter VMware ESX-Server laufen. Außerdem unterstützt SCVMM jetzt vollständig die Windows PowerShell, die sowohl für Windows Server 2008 als auch für Windows Server 2003 zur Verfügung 991
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 22
Virtualisierung mit Hyper-V
steht. Für die PowerShell gibt es beispielsweise Skripts, mit denen Sie zahlreiche Aufgaben automatisieren und zwar unabhängig von der virtuellen Plattform. Die Administrationskonsole von SCVMM basiert auf Windows PowerShell-Objekten, daher sind alle damit durchgeführten Aktionen zudem mit der Windows PowerShell möglich. Ein weiterer Vorteil des System Center Virtual Machine Managers 2008 ist die Integration in andere System Center-Produkte. Natürlich ist der Betrieb dieser Lösungen keine Voraussetzung. Allerdings steigert sich der Nutzen des SCVMM vor allem durch den Einsatz des System Center Operations Manager (SCOM) 2007 erheblich. Mit beiden gemeinsam überwachen Sie virtuelle Computer optimal. Mit der neuen Funktion Performance and Resource Optimation (PRO) hinterlegen Sie Richtlinien und Regeln, bei denen der SCVMM Daten aus dem System Center Operations Manager 2007 verwendet, um die Verfügbarkeit und Leistung der virtuellen Computer zu verbessern und die Hardware der physischen Hosts besser auszunutzen. So kann der SCVMM zum Beispiel virtuelle Server automatisch auf andere physische Hosts mit weniger Last verschieben. Auch neue virtuelle Server lassen sich so bereitstellen, wenn bereits vorhandene überlastet sind. Doch zurück zum System Center Virtual Machine Manager. Nicht jeder Administrator braucht für jeden virtuellen Computer vollständige administrative Rechte. Das stellen Sie jetzt in SCVMM ein. Durch das neue Rechtemodell erhalten übergeordnete Administratoren die Möglichkeit, einzelne Aufgaben oder die Verwaltung einzelner virtueller Computer an andere Administratoren zu delegieren. Für große Unternehmen stellt Microsoft System Center Virtual Machine Manager 2008 als Teil der Server Management Suite Enterprise (SMSE) zur Verfügung. Diese enthält, neben SCVMM, noch System Center Operations Manager (SCOM) 2007 und System Center Configuration Manager (SCCM) 2007. Die SMSE enthält außerdem noch die Datensicherungslösung Data Protection Manager (DPM) 2007. Für mittelständische Unternehmen bietet Microsoft eine Workgroup Edition des SCVMM. Mit ihr verwalten Sie bis zu fünf physische Hosts. System Center Virtual Machine Manager besteht aus mehreren Komponenten. Der wichtigste Teil ist der Virtual Machine Manager (VMM)-Server. Dabei handelt es sich um den Kernprozess, der für die Kommunikation mit den einzelnen Hosts zuständig ist. Der Server muss auf einem Computer mit 64-Bit-Prozessor und Windows Server 2008 betrieben werden. Seine Daten speichert er in einer SQL-Server-Datenbank. Sie verwalten den VMM-Server mit der Administratorkonsole. Diese stellt die graphische Oberfläche für den VMM-Server zur Verfügung und unterstützt die PowerShell-Cmdlets. Diese Cmdlets lassen sich mit der PowerShell aber auch ohne die Konsole verwenden, zum Beispiel für Skripts und zur Automatisierung. Zusätzlich enthält System Center Virtual Machine Manager ein Webportal. Mit diesem können Administratoren, denen bestimmte Rechte delegiert wurden, selbst neue virtuelle Computer erstellen. Die Systemvoraussetzungen des SCVMM sind Server mit 64-Bit-Prozessor, 2 GB RAM und mindestens 200 GB freien Festplattenplatz. Setzen Sie im Unternehmen noch einen Host mit Virtual Server 2005 ein, können Sie diesen auch dann in die SCVMM-Infrastruktur einbinden, wenn Virtual Server noch auf einem X86-System mit 32-Bit-Servern läuft. Allerdings müssen Sie dann sicherstellen, dass SCVMM selbst auf einem Hyper-V-aktivierten Windows Server 2008-System auf einem 64-Bit-Prozessor läuft. Auch ein DVD-Laufwerk sollte im Server vorhanden sein. Als Betriebssystem für SCVMM müssen Sie Windows Server 2008 inklusive Hyper-V betreiben. Außerdem benötigt SCVMM .NET Framework 2.0 sowie .NET Framework 3.0. Diese integriert der Installationsassistent des SCVMM automatisch auf dem Server. Zur Speicherung der Daten verwendet SCVMM Microsoft SQL Server 2005 Express Edition, die ebenfalls in der Installation enthalten ist. In dieser Datenbank speichert der VMM-Server beispielsweise die Leistungs- und Konfigurationsdatei und die Einstellungen der einzelnen virtuellen Computer. Für größere Umgebungen unterstützt der SCVMM aber auch die Standard oder Enterprise Edition des SQL Server 2005/2008. 992
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Installieren und Verwalten von Hyper-V
In diesem Fall müssen Sie den SQL-Server jedoch auf einem eigenständigen virtuellen Rechner installieren und lizenzieren. Da SCVMM auch die Windows-PowerShell unterstützt, müssen Sie diese ebenfalls auf dem Server installieren, das gilt auch für das Microsoft Windows Remote Management (WinRM). Für das Webportal des SCVMM benötigen Sie zudem IIS 7.0, die in Windows Server 2008 enthalten sind. Für den Einsatz des SCVMM müssen Sie außerdem über Active Directory verfügen. Der SCVMM verwendet die Authentifizierungsinformationen von Active Directory. Hier reichen natürlich auch Umgebungen mit Windows Server 2003. Der SCVMM setzt nicht die Migration der Domänencontroller zu Windows Server 2008 voraus.
Installieren und Verwalten von Hyper-V Die Installation von Hyper-V nehmen Sie als Serverrolle über den Server-Manager vor. Damit die Rolle im Server-Manager aber zur Verfügung steht, müssen Sie nach der Installation den Server am besten über Windows-Update auf den aktuellsten Stand bringen. Außerdem müssen Sie sicherstellen, dass vor der Installation im BIOS des Servers die Virtualisierungsfunktionen des Prozessors aktiviert sind. Die notwendige Aktualisierung für Windows Server 2008, mit welcher die Hyper-VUnterstützung in das Betriebssystem integriert wird, finden Sie am schnellsten, wenn Sie in einer Suchmaschine nach dem Artikel Hyper-V-Update für Windows Server 2008 x64 Edition (KB950050) suchen. Allerdings sollten Sie nicht nur diese Aktualisierung installieren, sondern am besten alle verfügbaren. Vor allem die beiden Updates Update für Windows Server 2008 x64 Edition (KB951978) und Update für Windows Server 2008 x64 Edition (KB955020) sind durchaus sinnvoll. Beide beheben Fehler in der Skriptverwaltung in den regionalen Einstellungen von Windows Server 2008. Damit Sie Hyper-V über Windows Vista x64 verwalten können, müssen Sie auf der Arbeitsstation noch das Update Hyper-V-Remoteverwaltungsupdate für Windows Vista für x64-Systeme (KB952627) installieren. Nachdem Sie alle notwendigen Aktualisierungen installiert haben, steht Hyper-V als Serverrolle im Server-Manager zur Verfügung. Die Installation erfolgt identisch zu anderen Serverrollen in Windows Server 2008. Vor der Installation sollten Sie darüber hinaus die Vorausetzungen überprüfen, die Microsoft auf der Internetseite http://go.microsoft.com/fwlink/?LinkId=122183 zur Verfügung stellt. Für Hyper-V gibt es auch verschiedene Sprachpakete. Mehr Informationen dazu finden Sie auf der Seite http://go.microsoft.com/fwlink/?LinkID=123536.
Zusammenfassung der Voraussetzungen für den Einsatz von Hyper-V Im folgenden Abschnitt gehen wir in Stichpunkten auf die einzelnen Voraussetzungen ein, die Sie erfüllen müssen, um Hyper-V einzusetzen: 쐍 Server mit x64-Prozessor und entsprechender 64-Bit-Ausstattung. AMD-Prozessoren tragen die Bezeichnung AMD Virtualization (AMD-V), Intel-Prozessoren die Bezeichnung Intel Virtualization Technology (Intel VT). 쐍 Der Prozessor muss Data Execution Prevention (DEP) unterstützen. Diese muss im BIOS auch aktiviert sein. Die Bezeichnung dafür ist Intel XD bit (Execute Disable Bit) oder AMD NX bit (No Execute Bit). 쐍 Der Host muss soviel Arbeitsspeicher enthalten, wie Sie den virtuellen Computern zuweisen können. Die maximale Größe ist an das Betriebssystem gebunden. Für Hyper-V gelten daher 993
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 22
Virtualisierung mit Hyper-V
nur die Einschränkungen des Betriebssystems. Windows Server 2008 Enterprise Edition unterstützt bis zu 1 Terabyte (TB) Arbeitsspeicher. Virtuellen Computern können Sie bis zu 64 GB zuweisen. Windows Server 2008 Standard Edition unterstützt bis zu 32 GB Arbeitsspeicher. 쐍 Hyper-V unterstützt bis zu 16 logische Prozessoren pro Host. Setzen Sie zum Beispiel vier DualCore-Prozessoren auf dem Server ein, entspricht das acht logischen Prozessoren. 쐍 Jeder virtuelle Computer kann bis zu acht herkömmliche und weitere vier Legacy-Netzwerkadapter verwalten. Die Netzwerkadapter unterstützen VLANs. Hyper-V unterstützt allerdings keine drahtlose Netzwerkkarten (WLAN) für die Gastbetriebssysteme. 쐍 Windows Server 2008 x64 Standard Edition, Enterprise Edition oder Datacenter Edition muss als Betriebssystem eingesetzt werden 쐍 Die maximale Festplattengröße für virtuelle Festplatten beträgt 2.040 GB. Jeder virtuelle Computer kann mehrere Festplatten mit einer Gesamtgröße von bis zu 512 TB verwalten. 쐍 Jeder virtuelle Computer unterstützt bis zu vier IDE-Controller und vier SCSI-Controller. Jeder SCSI-Controller unterstützt bis zu 64 Festplatten. Die virtuelle Festplatte, von der das Betriebssystem startet, muss an einen virtuellen IDE-Controller angeschlossen sein. 쐍 Sie können bis zu drei DVD-Laufwerke mit einem virtuellen Computer verbinden 쐍 Virtuelle Computer können nicht auf den physischen COM-Port des Hosts zugreifen. Auch der Zugriff auf das physische Diskettenlaufwerk des Hosts ist nicht möglich. 쐍 Auf jedem Host können maximal 128 virtuelle Computer gleichzeitig gestartet sein
Unterstützte Gastbetriebssysteme Hyper-V unterstützt 32-Bit und 64-Bit Gastbetriebssysteme und kann 1, 2 oder 4 virtuelle Prozessoren zuordnen, wenn auf dem Gast Windows Server 2008 installiert ist. Für Windows Server 2003 (R2) unterstützt Hyper-V 1 oder 2 Prozessoren. Virtuellen Windows 2000-Servern können Sie jeweils nur einen Prozessor zuordnen.
Folgende Betriebssysteme unterstützt Hyper-V mit 1, 2 oder 4 virtuellen Prozessoren: 쐍 Windows Server 2008 Standard und Windows Server 2008 Standard without Hyper-V 쐍 Windows Server 2008 Enterprise und Windows Server 2008 Enterprise without Hyper-V 쐍 Windows Server 2008 Datacenter und Windows Server 2008 Datacenter without Hyper-V 쐍 Windows Web Server 2008 쐍 Windows Server 2008 HPC Edition
Folgende Betriebssysteme unterstützt Hyper-V mit 1 oder 2 virtuellen Prozessoren: 쐍 Windows Server 2003 R2 Standard Edition with Service Pack 2 쐍 Windows Server 2003 R2 Enterprise Edition with Service Pack 2 쐍 Windows Server 2003 R2 Datacenter Edition with Service Pack 2
994
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Installieren und Verwalten von Hyper-V
쐍 Windows Server 2003 Standard Edition with Service Pack 2 쐍 Windows Server 2003 Enterprise Edition with Service Pack 2 쐍 Windows Server 2003 Datacenter Edition with Service Pack 2 쐍 Windows Server 2003 Web Edition with Service Pack 2 쐍 Windows Server 2003 R2 Standard x64 Edition with Service Pack 2 쐍 Windows Server 2003 R2 Enterprise x64 Edition with Service Pack 2 쐍 Windows Server 2003 R2 Datacenter x64 Edition with Service Pack 2 쐍 Windows Server 2003 Standard x64 Edition with Service Pack 2 쐍 Windows Server 2003 Enterprise x64 Edition with Service Pack 2 쐍 Windows Server 2003 Datacenter x64 Edition with Service Pack 2
Folgende Betriebssysteme unterstützt Hyper-V mit 1 virtuellen Prozessor: 쐍 Windows 2000 Server with Service Pack 4 쐍 Windows 2000 Advanced Server with Service Pack 4 쐍 Suse Linux Enterprise Server 10 with Service Pack 2 (x86 edition) 쐍 Suse Linux Enterprise Server 10 with Service Pack 2 (x64 edition) 쐍 Suse Linux Enterprise Server 10 with Service Pack 1 (x86 edition) 쐍 Suse Linux Enterprise Server 10 with Service Pack 1 (x64 edition)
Folgende Versionen von Windows Vista in den Editionen x86 und x64 unterstützt Hyper-V mit 1 oder 2 virtuellen Prozessoren: 쐍 Windows Vista Business with Service Pack 1 쐍 Windows Vista Enterprise with Service Pack 1 쐍 Windows Vista Ultimate with Service Pack 1
Folgende Versionen von Windows XP unterstützt Hyper-V: 쐍 Windows XP Professional with Service Pack 3 (1oder 2 virtuelle Prozessoren) 쐍 Windows XP Professional with Service Pack 2 (1 Prozessor) 쐍 Windows XP Professional x64 Edition with Service Pack 2 (1oder 2 virtuelle Prozessoren)
Installieren von Hyper-V Für die Installation von Hyper-V verwenden Sie den Server-Manager und fügen Hyper-V wie andere Rollen als Serverrolle hinzu. Auf herkömmlichen Servern startet der Assistent zum Hinzufügen von neuen Serverrollen.
995
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 22
Virtualisierung mit Hyper-V
TIPP
Um Hyper-V auf einem Core-Server zu installieren, verwenden Sie den Befehl Start /w ocsetup Microsoft-Hyper-V. Um Hyper-V remote über das Netzwerk zu verwalten, benötigen Sie einen Computer mit Windows Server 2008 oder Windows Vista SP1 sowie die Remoteverwaltungstools für Hyper-V. Sie finden den Download dieser Tools über die Seite http://support.microsoft.com/kb/950050. Damit Sie auf einem Core-Server Hyper-V installieren können, müssen Sie sicherstellen, dass die Aktualisierung von Hyper-V auf dem Server installiert ist. Geben Sie dazu in der Befehlszeile den Befehl wmic qfe list ein. Hier muss das Update mit der Bezeichnung kbid=950050 installiert sein. Ist das Update nicht vorhanden, laden Sie es herunter und kopieren Sie es auf den Server. Installieren Sie das Update mit dem Befehl wusa.exe Windows6.0-KB950050-x64.msu /quiet. Wollen Sie Hyper-V auf einem Core-Server installieren, beachten Sie unbedingt die Hinweise in den Kapiteln 3 und 4. Abbildg. 22.1
Hyper-V lässt sich als Serverrolle installieren
996
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Installieren und Verwalten von Hyper-V
Auf der nächsten Seite wählen Sie aus, welche Netzwerkkarten Hyper-V in den virtuellen Computern zur Verfügung stellen kann. Generell ist zu empfehlen, eine weitere Netzwerkkarte im System zu integrieren, welche ausschließlich der Verwaltung dient. Abbildg. 22.2
Während der Installation wählen Sie aus, welche Netzwerkkarten Hyper-V nutzen darf
Nachdem Sie die Netzwerkkarten ausgewählt haben, welche die virtuellen Computer nutzen dürfen, bestätigen Sie auf der nächsten Seite die Installation von Hyper-V. Nach der erfolgreichen Installation müssen Sie den Server neu starten, melden Sie sich nach dem Neustart mit dem gleichen Benutzerkonto an, mit dem Sie auch die Installation durchgeführt haben. Nach der Anmeldung führt der Assistent weitere Aufgaben durch und schließt die Installation ab. Hyper-V ist jetzt erfolgreich auf dem Server installiert.
997
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 22
Abbildg. 22.3
Virtualisierung mit Hyper-V
Der Installationsassistent meldet die erfolgreiche Installation von Hyper-V
Erstellen und Verwalten von virtuellen Computern Nach der Installation finden Sie im Server-Manager über Rollen/Hyper-V den Hyper-V-Manager, mit dem Sie virtuelle Computer erstellen und verwalten. In der Mitte der Konsole sehen Sie nach der Erstellung die verschiedenen virtuellen Computer. Auf der rechten Seite stehen die verschiedenen Befehle zur Verwaltung der virtuellen Computer zur Verfügung. Nach der Installation ist die Konsole natürlich noch leer, da keine virtuellen Computer vorhanden sind. Über den Link Neu erstellen Sie einen neuen virtuellen Computer. Nach der Erstellung können Sie das Betriebssystem auf dem neuen Server entweder mit einer CD/DVD oder über eine ISO-Datei installieren, die als CD/DVDLaufwerk mit dem Computer verknüpft wird. TIPP Hyper-V lässt sich auch von den 32-Bit-Editionen von Windows Server 2008 und von Windows Vista aus verwalten. Microsoft stellt dazu Verwaltungstools zum Download zur Verfügung. Sie finden die aktuellste Version dieser Tools auf den folgenden Internetseiten: 쐍 64-Bit-Editionen von Windows Vista mit SP1 http://go.microsoft.com/fwlink/?LinkId=123540
쐍 32-Bit-Editionen von Windows Vista mit SP1 http://go.microsoft.com/fwlink/?LinkId=123541
쐍 32-Bit-Editionen Windows Server 2008 http://go.microsoft.com/fwlink/?LinkId=123542 998
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Erstellen und Verwalten von virtuellen Computern
Erstellen eines virtuellen Computers Im nächsten Abschnitt zeigen wir Ihnen zunächst, wie Sie einen neuen virtuellen Server mit dem Hyper-V-Manager erstellen und Arbeitsspeicher, Netzwerkverbindung und virtuelle Festplatten festlegen. Nach der Erstellung des virtuellen Computers gehen wir ausführlicher auf die Installation und Verwaltung von neuen virtuellen Computern ein. Abbildg. 22.4
Erstellen eines neuen virtuellen Computers im Hyper-V-Manager
Nachdem Sie auf Neu geklickt haben, erstellen Sie mit dem Link Virtueller Computer einen neuen virtuellen Server. Abbildg. 22.5
Erstellen eines neuen virtuellen Computers
Anschließend startet der Assistent, der Sie durch die Erstellung des neuen Computers führt. Auf der Startseite geben Sie noch keine wichtigen Daten ein. Hier erhalten Sie lediglich eine Einführung zum Assistenten. Auf der zweiten Seite geben Sie den Namen des Computers ein, wie er in der Verwaltungs999
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 22
Virtualisierung mit Hyper-V
konsole angezeigt werden soll. Der Name hat nichts mit dem eigentlichen Computernamen zu tun. Hierbei handelt es sich lediglich um den Namen in der Konsole. Standardmäßig speichert der Assistent die Daten des Computers im Standardverzeichnis von Hyper-V. Sie können dieses Verzeichnis im Hyper-V-Manager über Hyper-V-Einstellungen festlegen. Hier nehmen Sie darüber hinaus weitere Einstellungen vor, die für Hyper-V selbst und alle virtuellen Computer gemeinsam gelten. Abbildg. 22.6
In den Hyper-V-Einstellungen lassen sich zentrale Eingaben vornehmen, die für alle Server gelten
Einzelne virtuelle Computer müssen natürlich nicht unbedingt das Standardverzeichnis verwenden. Auf der nächsten Seite legen Sie fest, wie viel Arbeitsspeicher Hyper-V dem neuen virtuellen Server zur Verfügung stellen soll. Generell sollten Sie darauf achten, dass der gemeinsame Arbeitsspeicher aller virtueller Server nicht den physischen Speicher des Hosts überschreiten soll. Natürlich lässt sich der Arbeitsspeicher des virtuellen Computers auch nach der Installation jederzeit anpassen.
1000
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Erstellen und Verwalten von virtuellen Computern
Abbildg. 22.7
Festlegen des Arbeitsspeichers des neuen virtuellen Computers
Als Nächstes legen Sie fest, ob der Computer mit dem Netzwerk verbunden sein soll und welche Netzwerkkarte dazu zur Verfügung steht. Standardmäßig steht bereits nach der Installation von Hyper-V ein virtuelles Netzwerk zur Verfügung. Diese virtuelle Netzwerkkarte verwendet die physische Netzwerkkarte des Servers zur Kommunikation mit dem Netzwerk. Sie verwalten virtuelle Netzwerke im Hyper-V-Manager über den Link Manager für virtuelle Netzwerke. Abbildg. 22.8
Auswählen der Netzwerkverbindung für den virtuellen Computer
Auf der nächsten Seite legen Sie fest, ob Sie für den neuen virtuellen Computer auch eine neue virtuelle Festplatte erstellen wollen oder ob der Server eine bereits vorhandene nutzen soll. Auch den Speicherort sowie die maximale Größe dieser Festplatte lässt sich an dieser Stelle festlegen.
1001
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 22
Abbildg. 22.9
Virtualisierung mit Hyper-V
Festlegen der virtuellen Festplatte des neuen virtuellen Servers
Im Anschluss legen Sie fest, wie Sie das Betriebssystem auf dem Server installieren wollen. Sie können entweder einen herkömmlichen Datenträger in das CD/DVD-Laufwerk des Hosts einlegen, eine ISO-Datei als Laufwerk verknüpfen oder das Betriebssystem mit den Windows-Bereitstellungsdiensten installieren. Für virtuelle Server bieten sich ISO-Dateien an, da so die Installation wesentlich schneller abläuft. Abbildg. 22.10 Auswählen der Installationsart des Betriebssystems
1002
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Erstellen und Verwalten von virtuellen Computern
Auf der letzen Seite erhalten Sie noch eine Zusammenfassung über die Eingaben, die Sie vorgenommen haben, und der Assistent erstellt den virtuellen Server nach Ihren Vorgaben.
Virtuelle Server verwalten und Betriebssysteme installieren Nach der Erstellung eines virtuellen Computers besteht der nächste Schritt darin, das Betriebssystem zu installieren sowie die »Integration Services«, welche den virtuellen Server für den Betrieb optimieren und beschleunigen. Nach der Erstellung eines oder mehrerer virtueller Computer sehen Sie diese Server im Hyper-V-Manager in der Mitte der Konsole. Standardmäßig sind diese Server nach der Erstellung noch ausgeschaltet. Um das Betriebssystem zu installieren, klicken Sie in der Mitte der Konsole auf den Server und wählen entweder aus dem Kontextmenü oder der Aktionsleiste den Befehl Verbinden aus. Abbildg. 22.11 Verbinden mit dem neuen virtuellen Computer
Anschließend öffnet sich ein neues Fenster, mit dem Sie den virtuellen Computer steuern. Durch das Verbinden bleibt der Computer aber ausgeschaltet. Um diesen einzuschalten, verwenden Sie entweder den Befehl Starten aus dem Menü Aktion oder die Schaltfläche zum Start des Servers. Nach dem Start verbindet sich der virtuelle Server sofort mit der Installations-DVD des Betriebssystems und startet das Setup. Führen Sie die Installation auf gleichem Weg durch wie auf einem herkömmlichen Server. Haben Sie im BIOS die Virtualisierungsfunktion des Prozessors nicht aktiviert, erhalten Sie unter Umständen eine Fehlermeldung, dass Hyper-V nicht starten kann. Fahren Sie in diesem Fall den Host herunter und überprüfen Sie im BIOS, ob diese Funktion tatsächlich aktiviert ist. Nach erfolgreicher Aktivierung lässt sich der virtuelle Computer starten und die Installation beginnt. Sie müssen übrigens während der Installation das Fenster des virtuellen Computers nicht geöffnet lassen. Schließen Sie das Verwaltungsfenster des virtuellen Servers, bleibt dieser gestartet und führt die Installation fort. Sie sehen dann im Hyper-V-Manager den aktuellen CPU-Verbrauch des Servers.
1003
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 22
Virtualisierung mit Hyper-V
Abbildg. 22.12 Ist die Virtualisierungsfunktion des Prozessors im BIOS nicht aktiviert, erscheint beim Starten
eines virtuellen Computers eine Fehlermeldung
Klicken Sie auf den Server, sehen Sie im unteren Bereich des Hyper-V-Managers den aktuellen Bildschirm. Per Doppelklick oder indem Sie wieder mit der rechten Maustaste Verbinden auswählen, startet wieder das Fenster des Servers. Führen Sie die Installation des Betriebssystems über eine Remotedesktopverbindung durch, steht die Maus im Fenster des virtuellen Computers während der Installation noch nicht zur Verfügung. Sie können in diesem Fall aber problemlos über Tastatureingaben die Installation durchführen. Abbildg. 22.13 Nach dem Verbindungsaufbau müssen Sie den virtuellen Computer erst starten
1004
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Erstellen und Verwalten von virtuellen Computern
Installieren der Integrationsdienste Nach der Installation des Betriebssystems müssen Sie auf dem Server noch die Integrationsdienste installieren. Deren Aufgaben haben wir bereits in der Einleitung zu diesem Kapitel besprochen. Diese Dienste entsprechen den VMware-Tools oder den Add-Ons von Virtual PC und beschleunigen jeden virtuellen Computer, den Sie unter Hyper-V installieren. Erst durch die Installation dieser Integrationsdienste ist der virtuelle Server einsatzbereit. Sie installieren die Dienste, indem Sie nach der Installation des Betriebssystems den Befehl Installationsdatenträger für Integrationsdienste im Menü Aktion auswählen. Vorher müssen Sie sich noch mit einem Administratorbenutzer am Server anmelden. Normalerweise startet der Installationsassistent automatisch. Ist das bei Ihnen nicht der Fall, können Sie die Installation auch manuell starten. Der Assistent verbindet den Installationsdatenträger der Integrationsdienste als herkömmliches CD/DVD-Laufwerk, welches im Explorer des virtuellen Computers zur Verfügung steht. Nach der Installation der Integrationsdienste steht der virtuelle Server zur produktiven Nutzung zur Verfügung. Abbildg. 22.14 Nach der Installation des Betriebssystems erfolgt die Installation der Integrationsdienste
Im Fernwartungsfenster des virtuellen Computers stehen neben den herkömmlichen Möglichkeiten und dem Herunterfahren noch zwei weitere interessante Punkte zur Verfügung: 쐍 Anhalten Einer laufenden VM werden sämtliche CPU-Ressourcen entzogen, sie friert im aktuellen Zustand ein. Der RAM-Inhalt, und damit der aktuelle Zustand der Maschine, bleibt erhalten und die VM läuft nach dem Fortsetzen sofort weiter. 쐍 Zustand speichern Mit dieser Option wird der RAM-Inhalt in einer Datei auf dem Host abgespeichert und der Gast dann abgeschaltet. Beim späteren Starten wird dieser Status aus der Datei erneut in den Arbeitsspeicher geladen und die Maschine steht schnell wieder zur Verfügung. Abbildg. 22.15
Schaltflächen für virtuelle Computer
1005
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 22
Virtualisierung mit Hyper-V
Migrieren von Microsoft Virtual Server 2005 zu Hyper-V Wollen Sie Server zu Hyper-V überführen, ist die Vorgehensweise grundsätzlich sehr einfach: 1. Entfernen Sie die VM-Additions von den virtuellen Servern unter Virtual Server 2005. 2. Kopieren Sie nur die VHD-Datei des Servers, keinerlei andere Dateien auf den Server mit HyperV. 3. Erstellen Sie manuell eine neue virtuelle Maschine und weisen Sie die vorhandene VHD-Datei zu. 4. Handelt es sich beim Server nicht um einen Computer mit Windows Server 2003/2008, entfernen Sie die virtuelle Netzwerkkarte und fügen einen Legacy-Netzwerkadapter über den Assistenten zum Hinzufügen von Hardware hinzu. 5. Installieren Sie die Integrationsdienste.
Anpassen der Einstellungen von virtuellen Servern Über das Kontextmenü oder den Aktionen-Bereich lassen sich die verschiedenen Einstellungen der virtuellen Computer anpassen. Hierüber passen Sie zum Beispiel die Anzahl der Prozessoren, den Arbeitsspeicher, BIOS-Einstellungen und die Schnittstellen an. Auch neue Hardware fügen Sie über diesen Bereich hinzu. In diesem Abschnitt gehen wir auf die einzelnen Möglichkeiten ein.
Hinzufügen von Hardware zu virtuellen Computern Wollen Sie einem virtuellen Computer neue Hardware hinzufügen, also eine neue Netzwerkkarte, einen SCSI-Controller, klicken Sie den virtuellen Computer mit der rechten Maustaste an, wählen Einstellungen und klicken dann auf Hardware hinzufügen. Im rechten Bereich wählen Sie die Hardware aus, die Sie hinzufügen wollen, und klicken auf Hinzufügen. Beim Hinzufügen eines Festplattencontrollers besteht zusätzlich die Möglichkeit, noch weitere Festplatten hinzuzufügen. Dazu klicken Sie den Controller im Einstellungsmenü an, wählen Festplatte aus und klicken auf Hinzufügen. Einmal hinzugefügte Geräte lassen sich übrigens über die Schaltfläche Entfernen wieder vom virtuellen Computer trennen. Nachdem Sie einem Controller eine Festplatte hinzugefügt haben, können Sie als Nächstes auswählen, welche SCSI-ID die Festplatte haben soll und ob Sie eine neue oder bereits vorhandene VHD-Datei verwenden möchten.
1006
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Erstellen und Verwalten von virtuellen Computern Abbildg. 22.16 Hinzufügen einer neuen Festplatte oder eines neuen SCSI-Controllers
BIOS-Einstellungen, Arbeitsspeicher und Prozessoranzahl von virtuellen Computern anpassen Ein weiterer Bereich in den Einstellungen von virtuellen Computern sind die BIOS-Einstellungen. Die meisten Einstellungen lassen sich aber nur dann anpassen, wenn der virtuelle Computer ausgeschaltet ist. Hierüber legen Sie fest, ob die (Num)-Taste beim Starten automatisch aktiviert ist und welche Bootreihenfolge der Server beachten soll. Über den Menüpunkt Arbeitsspeicher legen Sie die Größe des Arbeitsspeichers des virtuellen Computers fest. Ausführlichere Möglichkeiten bietet die Prozessorsteuerung von virtuellen Computern. Über den Menüpunkt Prozessor in den Eigenschaften eines virtuellen Servers legen Sie die Anzahl der Prozessoren sowie eine Gewichtung der Ressourcen fest, die dem Prozessor zugewiesen sind.
1007
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 22
Virtualisierung mit Hyper-V
Abbildg. 22.17 Konfigurieren der Prozessoreinstellungen von virtuellen Computern
Neben der eigentlichen Anzahl an physischen Prozessoren, die dem virtuellen Computer zugewiesen sind, steuern Sie hier, wie viel Prozessorzeit diesem virtuellen Computer zur Verfügung steht. Hier stehen mehrere Möglichkeiten zur Verfügung, die Sie über Prozentangaben steuern: 쐍 Reserve für virtuellen Computer Hiermit legen Sie fest, welche Ressourcen dem virtuellen Computer mindestens zur Verfügung stehen. Der eigentlich Wert darf niemals unter diesen Wert sinken. Achten Sie aber darauf, dass die reservierte Prozessorzeit sich auch auf andere virtuelle Computer auswirkt und deren maximale Anzahl auf dem Host beschränkt. 쐍 Grenze für virtuellen Computer Dieser Wert gibt an, wie viel Prozessorzeit dem virtuellen Computer maximal zur Verfügung steht 쐍 Relative Gewichtung Beim Einsatz mehrerer virtueller Computer auf dem Server, die identische Einstellungen im Ressourcenbereich haben, legt dieser Wert fest, in welcher Relation dieser Computer bevorzugt wird. Wichtige Server lassen sich dadurch bevorzugen und es ist sichergestellt, dass diese nicht zu wenig Ressourcen zugewiesen bekommen.
Allgemeine Einstellungen von virtuellen Computern verwalten Im unteren Bereich in den Einstellungen von virtuellen Computern legen Sie den Namen fest, den Hyper-V verwendet, sowie die freigeschalteten Funktionen der Integrationsdienste. Haben Sie für einen Computer noch keinen Snapshot erstellt, also eine Sicherung des Betriebssystemzustands zu 1008
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Erstellen und Verwalten von virtuellen Computern
einem bestimmten Zeitraum, lässt sich an dieser Stelle noch der Speicherort der Dateien des virtuellen Computers anpassen. Nach der Erstellung eines Snapshots ist keine Änderung des Speicherorts mehr möglich. Über den Menüpunkt Automatische Startaktion legen Sie fest, wie sich der virtuelle Computer bei einem Neustart des Hosts verhalten soll. Der Bereich Automatische Stoppaktion dient der Konfiguration des Verhaltens, wenn der Host heruntergefahren wird.
Verwalten und Optimieren virtueller Festplatten von Servern Im Aktionen-Bereich des Hyper-V-Managers findet Sie auf der linken Seite die beiden Menüpunkte Datenträger bearbeiten und Datenträger überprüfen. Abbildg. 22.18 Verwalten der Festplatten in Hyper-V
Mit Datenträger überprüfen starten Sie einen Scanvorgang einer beliebigen dynamischen Festplatte. Anschließend öffnet sich ein neues Fenster und zeigt die Daten dieser Platte an. So erfahren Sie, ob es sich um eine dynamisch erweiterbare Platte oder eine Platte mit fester Größe handelt. Auch die maximale Größe sowie die aktuelle Datenmenge zeigt das Fenster an. Über Datenträger bearbeiten stehen Ihnen verschiedene Möglichkeiten zur Verfügung, die aktuell ausgewählte Festplatte anzupassen: 쐍 Komprimieren Diese Aktion steht nur bei dynamisch erweiterbaren Festplatten zur Verfügung. Der Vorgang löscht leere Bereiche in der VDH-Datei, sodass diese deutlich verkleinert wird. Allerdings ergibt dieser Vorgang nur dann Sinn, wenn viele Daten von der Festplatte gelöscht wurden. 쐍 Konvertieren Mit diesem Vorgang wandeln Sie dynamisch erweiterbare Festplatten in Festplatten mit fester Größe um oder umgekehrt 쐍 Erweitern Dieser Befehl hilft dabei, den maximalen Festplattenplatz einer VHD-Datei zu vergrößern 쐍 Zusammenführen Der Assistent zeigt diesen Befehl nur dann an, wenn Sie eine differenzierende Festplatte auswählen, zum Beispiel die AVHD-Datei eines Snapshots. Da diese Datei nur die aktuellen Unterschiede zu der Quell-VHD-Datei enthält und auf diese verifiziert ist, lassen sich die Daten zu einer gemeinsamen VHD-Datei zusammenführen, die alle Daten enthält. Die beiden Quellfestplatten bleiben bei diesem Vorgang erhalten, der Assistent erstellt eine neue virtuelle Festplatte. 쐍 Verbindung wiederherstellen Für eine differenzierende Festplatte ist es wichtig, dass die Quelldatei der verifizierten VHD-Datei gefunden ist. Eine differenzierende Festplatte kann aber auch in einer Kette auf eine andere differenzierende Datei verweisen, die dann wiederum auf die 1009
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 22
Virtualisierung mit Hyper-V
VHD-Datei verweist. Dies kommt zum Beispiel dann vor, wenn mehrere Snapshots aufeinander aufbauen. Ist die Kette zerstört, zum Beispiel weil sich der Pfad einer Platte geändert hat, lässt sich mit diesem Befehl die Verbindung wiederherstellen. Abbildg. 22.19
Virtuelle Festplatten bearbeiten
Virtuelle Festplatten lassen sich auch ohne dazugehörigen Computer erstellen, indem Sie im Aktionen-Bereich des Hyper-V-Managers den Befehl Neu auswählen. Es startet ein Assistent, über den Sie auswählen können, welche Art von virtueller Festplatte Sie erstellen wollen: 쐍 Dynamisch erweiterbare virtuelle Festplatte Dieser Typ wird am häufigsten verwendet. Die hinterlegte Datei der Festplatte kann dynamisch mit dem Inhalt mitwachsen. 쐍 Virtuelle Festplatte mit fester Größe Bei dieser Variante wählen Sie eine feste Größe aus, welche die virtuelle Festplatte des virtuellen Servers nicht überschreiten darf 쐍 Differenzierende virtuelle Festplatte Wenn Sie diese Festplatte auswählen, wird auf Basis einer bereits vorhandenen virtuellen Festplatte eine neue Festplatte erstellt. Damit können Sie von bereits vorhandenen virtuellen Festplatten ein Abbild erzeugen. Microsoft empfiehlt, die übergeordnete virtuelle Festplatte mit einem Schreibschutz zu versehen, damit diese nicht versehentlich überschrieben wird. In der Differenzplatte liegen nur die Änderungen, die das Gastsystem an der virtuellen Platte vorgenommen hat. Dazu werden alle Schreibzugriffe des Gastes auf die Differenzplatte umgeleitet. Lesezugriffe kombinieren den Inhalt der Differenzplatte und den Inhalt der zugrunde liegenden virtuellen Platte, ohne dass der Gast etwas davon bemerkt. Die zugrunde liegende Festplatte wird nicht mehr verändert und die Differenzplatte bleibt relativ klein, da sie nur Änderungen enthält. Eine fertige Basisinstallation kann von mehreren VMs gleichzeitig verwendet werden, indem Sie mehrere Differenzplatten erstellen, die dieselbe virtuelle Festplatte verwenden. Dadurch sparen Sie sich viel Zeit und Platz beim Klonen von virtuellen Maschinen.
1010
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Erstellen und Verwalten von Snapshots von virtuellen Servern
TIPP
VHD-Dateien lassen sich in Hyper-V übrigens auch unter der übergeordneten Partition bereitstellen. Sie finden auf der Internetseite http://blogs.msdn.com/virtual_pc_guy/archive/ 2008/02/01/mounting-a-virtual-hard-disk-with-hyper-v.aspx dazu ein einfaches VBScript sowie Befehle für die PowerShell. Eine weitere Möglichkeit ist, das Tool oscdimg.exe aus dem WAIK zu verwenden. Mit diesem Tool erstellen Sie aus einer VHD-Datei eine ISO-Datei, die sich dann ebenso leicht mounten lässt.
Erstellen und Verwalten von Snapshots von virtuellen Servern Eine wichtige Funktion in Hyper-V ist die Möglichkeit, einen Snapshot von virtuellen Computern zu erstellen. Bei einem solchen Snapshot erstellt Hyper-V eine Sicherung des aktuellen Zustands des Betriebssystems. Dieser Zustand lässt sich jederzeit wiederherstellen. Solche Snapshots sind zum Beispiel vor der Installation von Patches oder Servicepacks sinnvoll. Snapshots erstellen Sie über das Kontextmenü des virtuellen Computers. Die erstellten Snapshots zeigt der Hyper-V-Manager im mittleren Bereich der Konsole an. Auch für die einzelnen Snapshots steht ein Kontextmenü zur Verfügung, über das Sie diese steuern. Abbildg. 22.20 Verwalten der Snapshots von virtuellen Servern
Im Kontextmenü von Snapshots stehen verschiedene Möglichkeiten zur Verfügung: 쐍 Einstellungen Hierüber rufen Sie die Einstellungen des virtuellen Computers auf, zu dem dieser Snapshot gehört 쐍 Anwenden Wählen Sie diese Option aus, setzt der Assistent den virtuellen Computer wieder auf den Stand zurück, an dem dieser Snapshot erstellt wurde. Vorher erscheint aber ein Abfragefenster, das Sie auf die Folgen hinweist. Außerdem können Sie vorher noch mal einen aktuellen Snapshot erstellen.
1011
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 22
Abbildg. 22.21
Virtualisierung mit Hyper-V
Anwenden eines Snapshots
쐍 Umbenennen Mit dieser Option geben Sie dem Snapshot einen anderen Namen. Hyper-V verwendet als Namen normalerweise Datum und Uhrzeit. Über diesen Menüpunkt können Sie zum Beispiel noch Informationen hinzufügen, warum Sie den Snapshot erstellt haben. 쐍 Snapshot löschen Löscht den Snapshot und die dazugehörigen Daten vom Server 쐍 Snapshot-Unterstruktur löschen Diese Option löscht den aktuellen Snapshot sowie alle Sicherungen, die nach dem Snapshot erstellt wurden und auf diesen aufbauen Hyper-V speichert die Snapshots übrigens in dem Verzeichnis, das Sie in den Einstellungen des virtuellen Computers im Bereich Speicherort für Snapshotdateien angeben. Standardmäßig handelt es sich um das Verzeichnis C:\ProgramData\Microsoft\Windows\Hyper-V\Snapshots. Nach der Erstellung eines Snapshots finden Sie in diesem Verzeichnis mehrere Dateien, darunter eine XML-Datei für jeden Snapshot. Rufen Sie den Befehl Zurücksetzen im Kontextmenü des virtuellen Computers auf, wendet Hyper-V den letzten erstellten Snapshot an und setzt den Computer auf diesen Stand zurück. Abbildg. 22.22 Für jeden Snapshot gibt es ein eigenes Verzeichnis und eine XML-Datei
Vorgang beim Erstellen eines Snapshots Standardmäßig besteht ein virtueller Computer aus einer VHD-Datei (seiner Festplatte), einer XML-Datei, welche die Einstellungen des Servers enthält, sowie aus den Statusdateien mit den Endungen *.bin und *.vsv. Erstellen Sie einen Snapshot, erstellt der Hyper-V-Manager zunächst eine neue virtuelle Platte, welche aber nur die Änderungen enthält, eine so genannte *.avhd-Datei oder auch Differencing Disk. Eine solche Datei zeigt auf eine herkömmliche VHD-Datei, welche die eigentlichen Daten des Servers enthält. Das Gastsystem schreibt nur Änderungen in diese AVHD-
1012
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Verwalten der virtuellen Netzwerke in Hyper-V
Datei. Zukünftig verweist dann die XML-Steuerdatei des virtuellen Computers auf diese AVHDDatei, welche die Änderungen seit dem Snapshot enthält. Setzen Sie den Snapshot zurück, benötigt Hyper-V diese nicht mehr und verweist wieder auf die originale VHD-Datei. Beispiel: Nehmen wir an, Sie haben drei Snapshots erstellt und wollen den Computer wiederherstellen, indem Sie auf den Zustand nach dem zweiten Snapshot zurückgehen. Da nach dem zweiten Snapshot noch ein dritter vorhanden ist, müssen Sie zunächst einen weiteren Snapshot erstellen. Machen Sie das nicht, gehen alle Snapshots verloren, die Sie nach dem zweiten Snapshot erstellt haben. Dieser neue Snapshot zeigt auf den ersten Snapshot, den Sie erstellt haben. Als Administrator müssen Sie dazu keine Aktion durchführen, denn diese Aufgabe übernimmt Hyper-V für Sie. Einfach ausgedrückt erstellt Hyper-V beim Anwenden eines Snapshots zunächst eine Kopie der Dateien des Snapshots und wendet diese Kopien an. Dadurch ist sichergestellt, dass der Computer nach dem Zurücksetzen den gewünschten Zustand hat, aber alle verfügbaren Snapshots weiterhin funktionieren. HINWEIS
Sie können für jeden virtuellen Computer maximal 50 Snapshots erstellen.
Verwalten der virtuellen Netzwerke in Hyper-V Mit Hyper-V stehen Ihnen für Ihre virtuellen Computer mehrere Arten von Netzwerken zur Verfügung. Sie können den virtuellen Computern drei verschiedene Arten von Netzwerkverbindungen zuweisen. Bei der »internen« Verbindung handelt es sich um eine Netzwerkverbindung, die nur die Kommunikation zwischen den einzelnen virtuellen Servern untereinander und dem physischen Host selbst erlaubt. »Private« Verbindungen erlauben die Kommunikation nur zwischen den virtuellen Servern. Hierbei ist der physische Host von der Kommunikation ausgeschlossen. Bei der »externen« Verbindung dürfen die virtuellen Server mit allen Netzwerkgeräten in Ihrem Netzwerk kommunizieren. Standardmäßig bekommen neue virtuelle Server diese Netzwerkkommunikation zugewiesen. Die virtuellen Netzwerke aller virtuellen Server verwalten Sie im Hyper-V-Manager über den Link Manager für virtuelle Netzwerke auf der rechten Seite der Konsole. Es öffnet sich ein neues Fenster, über das Sie neue Verbindungen erstellen und bereits vorhandene Verbindungen verwalten. Die Konfiguration ist im Grunde genommen recht einfach. Sie markieren die Verbindung, deren Einstellung Sie anpassen wollen. Im Fenster sehen Sie jetzt den Namen der Verbindung. Diesen zeigt der Assistent zur Erstellung von neuen virtuellen Servern an. Im Bereich Verbindungstyp legen Sie Art der Verbindung fest. Bei der externen Verbindung steht ein Dropdownmenü zur Verfügung, über das Sie die physische Netzwerkkarte des Hosts auswählen, welche diese Verbindung nutzen soll. Die beiden anderen Verbindungen aktivieren Sie nach Bedarf. Wollen Sie eine neue Verbindung erstellen, klicken Sie auf Neues virtuelles Netzwerk, wählen die Verbindungsart aus und klicken auf Hinzufügen. Anschließend legen Sie den Namen der Verbindung sowie deren Eigenschaften fest. Auch bei neu erstellten Verbindungen lassen sich Einstellungen jederzeit anpassen.
1013
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 22
Virtualisierung mit Hyper-V
Abbildg. 22.23 Verwalten der virtuellen Netzwerke in Hyper-V
Bereits erstellten virtuellen Servern lassen sich neue Verbindungen über die Einstellungen der virtuellen Computer zuweisen. Diese rufen Sie über das Kontextmenü im Hyper-V-Manager auf. Die Netzwerkeinstellungen finden Sie unter Netzwerkkarte. Wollen Sie einer bereits vorhandenen Netzwerkverbindung eine neue hinzufügen, klicken Sie in den Einstellungen des virtuellen Servers auf Hardware hinzufügen und wählen die neue Netzwerkverbindung aus. Neue Hardware lässt sich allerdings erst dann integrieren, wenn Sie den virtuellen Server herunterfahren und ausschalten.
1014
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Verwalten der virtuellen Netzwerke in Hyper-V Abbildg. 22.24 Verbinden einer neuen Netzwerkverbindung mit einem bereits erstellten virtuellen Server
TIPP Microsoft stellt zahlreiche interessanten Webseiten zur Verfügung, die, neben diesem Handbuch, sehr wertvolle Hilfe beim Umgang mit Hyper-V bieten: 쐍 Virtualization TechCenter http://technet.microsoft.com/en-us/virtualization/default.aspx 쐍 Hyper-V Planning and Deployment Guide http://download.microsoft.com/download/8/ 1/5/81556693-1f05-494a-8d45-cdeeb6d735e0/HyperV_Deploy.doc
쐍 Hyper-V Forum http://forums.technet.microsoft.com/en-US/winserverhyperv/threads/ 쐍 Virtualization Solution Accelerators http://technet.microsoft.com/en-us/solutionaccelerators/cc197910.aspx
쐍 Windows
Server 2008 Virtualization windowsserver2008/en/us/hyperv-main.aspx
with
Hyper-V
http://www.microsoft.com/
쐍 Hyper-V FAQ http://www.microsoft.com/windowsserver2008/en/us/hyperv-faq.aspx 쐍 Windows Server 2008 Hyper-V Performance Tuning Guide http://www.microsoft.com/ whdc/system/sysperf/Perf_tun_srv.mspx
쐍 MSDN & TechNet Powered by Hyper-V -http://blogs.technet.com/virtualization/archive/ 2008/05/20/msdn-and-technet-powered-by-hyper-v.aspx
1015
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 22
Virtualisierung mit Hyper-V
쐍 MSDN & TechNet Powered by Hyper-V Whitepaper http://download.microsoft.com/ download/6/C/5/6C559B56-8556-4097-8C81-2D4E762CD48E/ MSCOM_Virtualizes_MSDN_TechNet_on_Hyper-V.docx
쐍 Optimized Desktop http://www.microsoft.com/windows/products/windowsvista/enterprise/ default.mspx
쐍 Microsoft Virtualization http://www.microsoft.com/virtualization/default.mspx 쐍 Virtualization Case Studies http://www.microsoft.com/virtualization/case-studies.mspx Blogs:
쐍 http://blogs.technet.com/virtualization/default.aspx 쐍 http://blogs.msdn.com/virtual_pc_guy/ 쐍 http://blogs.technet.com/jhoward/ 쐍 http://blogs.technet.com/roblarson/ 쐍 http://blogs.technet.com/virtualworld/ 쐍 http://blogs.technet.com/windowsserver/ 쐍 http://blogs.technet.com/mapblog/ 쐍 http://blogs.technet.com/stbnewsbytes/
Betreiben von Hyper-V im Cluster Ein weiterer, sehr wichtiger Punkt beim Einsatz von Hyper-V ist die Clusterunterstützung dieser Funktion. Betreiben Sie Hyper-V in einem Cluster, können Sie sicherstellen, dass beim Ausfall eines physischen Hosts alle virtuellen Server durch einen weiteren Host automatisch übernommen werden. Im Kapitel 19 sind wir bereits ausführlich auf den Betrieb eines Clusters mit Windows Server 2008 eingegangen. Um Hyper-V in einem Cluster zu betreiben, installieren Sie zunächst einen herkömmlichen Cluster, wie bereits in Kapitel 19 beschrieben. Idealerweise sollten Sie vor der Installation der Clusterfunktion von Windows Server 2008 erst die Hyper-V-Rolle auf beiden physischen Knoten installieren. Die Installation unterscheidet sich dabei nicht von der Installation auf einem allein stehenden Server. Achten Sie aber bei der Erstellung des virtuellen Netzwerkes für Hyper-V darauf, dass die Bezeichnung dieser Verbindung auf beiden Knoten exakt identisch sein muss. Anschließend erstellen Sie einen neuen Cluster, wie bereits in Kapitel 19 ausführlich beschrieben. Erstellen Sie anschließend neue virtuelle Maschinen, müssen Sie darauf achten, dass die Dateien der virtuellen Server auf dem gemeinsamen Datenträger des Clusters liegen. Fällt der aktive Knoten aus, kann auf diesem Weg der passive Knoten die Dienste der virtuellen Server übernehmen. Auf dem gemeinsamen Datenträger müssen auch die virtuellen Festplatten der virtuellen Server liegen. Bevor Sie einen virtuellen Computer in einem Cluster betreiben können, müssen Sie noch einige Einstellungen vornehmen. Zunächst rufen Sie die Eigenschaften des virtuellen Computers auf und wechseln zu Verwaltung/Automatische Startaktion. Stellen Sie sicher, dass Keine Aktion ausgewählt ist. Die Ausfallsicherheit konfigurieren Sie später.
1016
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Betreiben von Hyper-V im Cluster Abbildg. 22.25 Virtuelle Server in einem Cluster dürfen nach einem Ausfall nicht automatisch starten
Die Ausfallsicherheit eines virtuellen Servers stellen Sie über die Failover-Clusterverwaltung sicher. Klicken Sie nach dem Start mit der rechten Maustaste auf den Eintrag Dienste und Anwendungen für den Cluster und wählen im Kontextmenü den Befehl Dienst oder Anwendung konfigurieren aus. Abbildg. 22.26 Konfigurieren von virtuellen Computern in einem Cluster
1017
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 22
Virtualisierung mit Hyper-V
Wählen Sie anschließend im neuen Fenster die Option Virtueller Computer aus. Daraufhin öffnet sich ein neues Fenster und Sie können die virtuellen Computer auswählen, die Sie in den Cluster integrieren wollen. Abbildg. 22.27 Virtuelle Server lassen sich in einen Windows Server 2008-Cluster integrieren
Nachdem Sie den virtuellen Computer ausgewählt haben, zeigt die Failover-Clusterverwaltung den Server unterhalb der Dienste und Anwendungen an. Per Rechtsklick auf den virtuellen Computer starten Sie diesen. Die virtuellen Computer lassen sich zwischen den Clusterknoten hin und her verschieben, wie alle Clusteressourcen. Die generelle Verwaltung dieser Computer unterscheidet sich nicht von der Verwaltung virtueller Computer auf herkömmlichen Hosts.
Exportieren und Importieren von virtuellen Computern Eine interessante Möglichkeit in Hyper-V ist die Möglichkeit, virtuelle Computer auf einem Server zu exportieren und auf einem anderen Server wieder zu importieren. Dabei besteht die Möglichkeit, den kompletten virtuellen Computer mit Snapshots, Konfigurationsdateien und VHD-Datei in ein Verzeichnis zu kopieren. Sie starten diesen Vorgang über das Kontextmenü des virtuellen Computers. Anschließend wählen Sie ein Export-Verzeichnis aus. Daraufhin erstellt der Assistent automatisch ein neues Verzeichnis mit dem Namen des virtuellen Computers. Dieses Verzeichnis enthält die VHD-Datei, Snapshots und die Einstellungen des virtuellen Computers.
1018
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Finden und Beheben von Fehlern in Hyper-V Abbildg. 22.28 Exportieren von virtuellen Servern in Hyper-V
Wollen Sie auf einem anderen Server einen virtuellen Computer wieder importieren, wählen Sie den Menüpunkt Virtuellen Computer importieren aus und verwenden das Verzeichnis mit den Dateien des virtuellen Computers. Abbildg. 22.29 Importieren eines virtuellen Computers
Finden und Beheben von Fehlern in Hyper-V Nach der Installation von Hyper-V erstellt der Assistent im Ereignisprotokoll des Servers eine neue Ansicht, welche nur die Hyper-V-Ereignisse enthält. Sie finden diese Ereignisse über Benutzerdefinierte Ansichten/Serverrollen/Hyper-V.
1019
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 22
Virtualisierung mit Hyper-V
Abbildg. 22.30 Windows Server 2008 protokolliert Hyper-V-Ereignisse im Ereignisprotokoll
und erstellt automatisch eine Ansicht
TIPP
Ein häufiges Problem beim Ausführen von virtuellen Maschinen ist es, wenn die Virtualisierungsfunktionen des Prozessors im BIOS nicht eingeschaltet sind. In diesem Fall erhalten Sie beim Starten von virtuellen Computern eine entsprechende Fehlermeldung. Solche Fehler treten zum Beispiel auf, wenn Sie das BIOS auf dem physischen Host aktualisiert haben und die Standardeinstellungen verwenden. Die meisten BIOS-Versionen aktivieren die Virtualisierungsunterstützung nicht automatisch.
Oft tritt auch das Problem auf, dass der Mauszeiger innerhalb von virtuellen Computern nicht ordnungsgemäß angezeigt wird. Überprüfen Sie in diesem Fall, ob die Integrationsdienste installiert sind und installieren Sie diese nach. Anschließend sollte sich der Mauszeiger problemlos zwischen Host und den einzelnen virtuellen Computern navigieren lassen. Die Installation der Integrationsdienste sorgt darüber hinaus auch dafür, dass die Treiber des Hosts und die verwendete Hardware im Gerätemanager des Gasts angezeigt werden. Ohne installierte Integrationsdienste stehen die verschiedenen Treiber des Hosts nicht in den virtuellen Computern zur Verfügung.
1020
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Delegieren von Berechtigungen in Hyper-V
TIPP
AMD stellt für seine Prozessoren über seine Internetseite ein Tool zur Verfügung, mit dem Sie testen können, ob Ihre CPU kompatibel zu Hyper-V ist. Natürlich funktioniert das Tool nur mit AMD-Prozessoren. Sie finden das Tool sowie Informationen zum Tool auf den Internetseiten:
쐍 http://support.amd.com/us/Pages/AMDSupportHub.aspx 쐍 http://www.amd.com/us-en/assets/content_type/utilities/AMD-V_HyperV_Compatibility_Check_Utility.zip
Delegieren von Berechtigungen in Hyper-V Hyper-V bietet die Möglichkeit, auf Basis der Windows-Gruppenzugehörigkeit oder des Benutzernamens bestimmte Rechte an Administratoren zu delegieren. Das ist zum Beispiel sinnvoll, wenn nicht jeder Administrator alle Rechte an einem Server haben soll. Um diese Rechte zu delegieren, verwenden Sie den Autorisierungs-Manager von Windows Server 2008. Diesen starten Sie am schnellsten, indem Sie den Befehl azman.msc in das Suchfeld des Startmenüs eintippen. Alternativ können Sie den Autorisierungs-Manager auch als Snap-In in einer MMC öffnen. Der nächste Schritt besteht darin, dass Sie einen Autorisierungsspeicher öffnen. Dazu klicken Sie mit der rechten Maustaste auf den Eintrag Autorisierungs-Manager und wählen Autorisierungsspeicher öffnen aus. Abbildg. 22.31 Öffnen eines Autorisierungsspeichers für den Autorisierungs-Manager
Im Anschluss navigieren Sie in das Verzeichnis C:\Programdata\Microsoft\Windows\Hyper-V und öffnen die Datei InitialStore.xml. Diese Datei enthält den Autorisierungsspeicher von Hyper-V, mit dem Sie alle notwendigen Aufgaben delegieren können. Achten Sie darauf, dass dazu die versteckten Systemdateien angezeigt werden müssen. Jetzt öffnet sich der Speicher. Anschließend lassen sich über das Fenster definierte Rollen erstellen und Befehle zuweisen.
1021
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 22
Virtualisierung mit Hyper-V
Abbildg. 22.32 Hyper-V Aufgaben mit dem Autorisierungs-Manager delegieren
Klicken Sie zunächst auf Aufgabendefinitionen und dann auf Neue Aufgabendefinition. Anschließend klicken Sie im neuen Fenster auf Hinzufügen und bestätigen das Informationsfenster. Auf der Registerkarte Vorgänge sehen Sie alle Aufgaben, die sich an Benutzer oder Gruppen verteilen lassen. Abbildg. 22.33 Der Autorisierungsspeicher bietet mehrere Definitionen an, um Aufgaben zu delegieren
Über den Menüpunkt Rollenzuweisung können Sie basierend auf diesen Aufgaben einzelnen Anwendern oder Gruppen Rechte zuweisen. Anstatt jedoch den Standard-Bereich zur Zuweisung zu verwenden, ist es besser, einen eigenen Bereich zu erstellen. Klicken Sie dazu mit der rechten Maustaste auf Microsoft Hyper-V services und wählen Neuer Bereich. Geben Sie anschließend einen Namen ein. In der Konsole sehen Sie jetzt die gleichen Menüs für den Standardbereich und können Delegationen konfigurieren, ohne die Standardeinstellungen zu verändern. Schritt-für-Schritt-Anleitung für die Delegation Im folgenden Abschnitt zeigen wir Ihnen an einem Beispiel, wie Sie bei der Delegation von Rechten am besten vorgehen:
1022
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Delegieren von Berechtigungen in Hyper-V
1. Öffnen Sie den Autorisierungs-Manager mit azman.msc. 2. Öffnen Sie die Datei InitialStore.xml im Verzeichnis C:\Programdata\Microsoft\Windows\Hyper-V. 3. Klicken Sie mit der rechten Maustaste unterhalb von Microsoft Hyper-V services/Definitionen auf
Rollendefinitionen und wählen Neue Rollendefinition aus. Abbildg. 22.34
Erstellen einer neuen Rollendefinition für Hyper-V
4. Fügen Sie im neuen Fenster einen Namen für die neue Rolle hinzu, zum Beispiel Hyper-V-
Manager. 5. Klicken Sie auf die Schaltfläche Hinzufügen. 6. Es öffnet sich das neue Fenster Definition hinzufügen. 7. Wechseln Sie auf die Registerkarte Vorgänge. 8. Wählen Sie die Aufgaben aus, die diese Rolle durchführen darf und bestätigen Sie diese. Abbildg. 22.35
Auswählen der Aufgaben zur Delegation
1023
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 22
Virtualisierung mit Hyper-V
9. Nachdem Sie eine neue Rolle definiert und deren Berechtigungen konfiguriert haben, legen Sie
fest, welche Windows-Benutzer mit dieser Rolle arbeiten dürfen. Legen Sie dazu am besten eine Windows-Gruppe an, der Sie anschließend die Rolle zuweisen. Klicken Sie dazu im Autorisierungs-Manager mit der rechten Maustaste auf Rollenzuweisung und wählen Sie Rollen zuweisen. 10. Wählen Sie im neuen Fenster zunächst Ihre erstellte Rollendefinition Hyper-V-Manager aus. Abbildg. 22.36
Auswählen der Rolle für die Steuerung der Berechtigungen in Hyper-V
11. Klicken Sie als Nächstes mit der rechten Maustaste unterhalb von Rollenzuweisungen auf Ihre
erstellte Rolle und wählen Sie Benutzer und Gruppen zuweisen sowie Von Windows und Active Directory aus. Abbildg. 22.37
Auswählen der Gruppen für die Berechtigung in Hyper-V
12. Legen Sie anschließend die Gruppe oder den Benutzer fest, dem Sie diese Rolle zuweisen wollen.
Nach der Auswahl zeigt die Konsole die Gruppe auf der rechten Seite der Konsole an, wenn Sie die entsprechende Rollendefinition anklicken. Die Benutzer können jetzt bei der Anmeldung an Ihrem Computer genau die Aufgaben durchführen, die Sie konfiguriert haben.
Zusammenfassung In diesem Kapitel haben Sie erfahren, wie Sie die neue Virtualisierungstechnologie von Windows Server 2008 zur Virtualisierung von Small Business Server 2008 verwenden können und diese verwalten. Im nächsten Kapitel zeigen wir Ihnen, was Sie bei der Migration zu Small Business Server 2008 alles beachten müssen. 1024
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 23
Migrieren zu Small Business Server 2008
In diesem Kapitel: Richtige Datensicherung als Vorbereitung zur Aktualisierung Small Business Server fit für die Migration machen SharePoint Services migrieren Netzwerkanpassungen für die Migration Aktive Directory und Exchange für die Migration vorbereiten Migrations-Tool und Tool zur Erstellung einer Antwortdatei Letzte Schritte vor der Migration – Der Small Business Server Best Practices Analyzer Migration durchführen Gruppenrichtlinien übernehmen Exchange-Daten und -Postfächer übernehmen Migration abschließen Bereinigen von Active Directory und Entfernen von Domänencontrollern Zertifikate migrieren Zusammenfassung
1026 1026 1028 1028 1030 1031 1032 1034 1035 1036 1045 1047 1053 1054
1025
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 23
Migrieren zu Small Business Server 2008
In diesem Kapitel zeigen wir Ihnen den optimalen Ablauf, um von Small Business Server 2003 (R2) zu Small Business Server 2008 zu migrieren. Da auf dem Server oft die wichtigsten Daten des Unternehmens liegen, ist es unerlässlich, bei der Migration die notwendige Sorgfalt walten zu lassen. Die Installation von SBS 2008 erfolgt auf einer neuen Servermaschine. Dies liegt daran, dass SBS 2008 einen 64-Bit-Server benötigt, während SBS 2003 nur als 32-Bit-Software zur Verfügung steht.
Richtige Datensicherung als Vorbereitung zur Aktualisierung Der erste Schritt bei der Migration zu Small Business Server 2008 ist die Durchführung einer vollständigen Datensicherung des Small Business Servers. Sie sollten die Sicherung durchführen, bevor Sie irgendeine Änderung vornehmen. Bevor Sie Daten sichern, sollten Sie zudem sicherstellen, dass sich auf dem Server keinerlei Viren befinden. Scannen Sie daher sicherheitshalber nochmals alle Verzeichnisse. Anschließend führen Sie mit Ihrer herkömmlichen Datensicherung eine vollständige Sicherung des Servers durch. Haben Sie ein Image-Programm zur Hand und verfügen über ausreichend Platz, ist es sicherlich auch sinnvoll, alle Partitionen des Servers zusätzlich zu spiegeln. In der Linksammlung zu diesem Abschnitt finden Sie ein Whitepaper, das Sie durch die Sicherung des Servers führt. Überprüfen Sie nach der Sicherung auf jeden Fall, ob diese fehlerfrei ist. Zusätzlich bietet es sich an, zusätzlich die wichtigsten Verzeichnisse, zum Beispiel die Dateiablagen der Benutzer und Abteilungen auf eine externe Festplatte zu kopieren. Auch eine zusätzliche Sicherung der Exchange-Datenbanken sowie eventuell vorhandener SQL-Datenbanken bietet sich an. Auf der Internetseite http://go.microsoft.com/fwlink/?linkid=27140 finden Sie ausführliche Informationen zur Datensicherung von Small Business Server 2003.
Small Business Server für die Migration vorbereiten Nachdem Sie den Server gesichert haben, müssen Sie sich an die notwendigen Vorbereitungen machen. Der erste Schritt besteht darin, alle notwendigen und aktuellen Sicherheitspatches und Service Packs zu installieren. Viele Produkte, auch SBS 2008, gehen bei der Installation über eine Vorgängerversion davon aus, dass das Produkt aktuell ist. Außerdem bieten vor allem viele Service Packs Verbesserungen im Bereich der Migration. Wichtig ist zunächst die Installation des Service Pack 1 für Small Business Server 2003, sofern das noch nicht erfolgt ist. Am schnellsten überprüfen Sie die Installation, indem Sie in der Registry zum Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SmallBusinesServer\ServicePackNumber navigieren. Der Wert muss an dieser Stelle mit 0x00000001 hinterlegt sein. In diesem Fall ist das Service Pack ordnungsgemäß installiert. Setzen Sie die R2-Version von Small Business Server 2003 ein, entfällt dieser Test, da hier das Service Pack 1 schon installiert ist. Fehlt das Service Pack, sollten Sie es vor der Migration zunächst installieren. Sie finden den Link zum Download in der Linksammlung dieses Abschnitts. Der nächste Schritt gilt auch für die R2-Version des SBS 2003: die Installation von Service Pack 2 für Windows Server 2003. Ob dieses bereits installiert ist, erfahren Sie, indem Sie die Eigenschaften des Arbeitsplatzes auf dem Desktop aufrufen oder winver in das Feld Ausführen des Startmenüs eingeben. Fehlt das Service Pack 2 für Windows Server 2003, installieren Sie es bitte nach. Auch diesen Link finden Sie wieder in der Linksammlung zum Abschnitt. Unter manchen Umständen gibt es im 1026
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Small Business Server für die Migration vorbereiten
Netzwerk Probleme nach der Installation des Service Packs. Die notwendigen Informationen dazu finden Sie im KB-Abschnitt 936594 der Microsoft Knowledge Base. Abbildg. 23.1
Überprüfen des installierten Service Packs auf dem Small Business Server 2003
Auch das Service Pack 2 für Exchange Server 2003 sollte auf dem Server installiert sein. Um das zu überprüfen, rufen Sie die Verwaltungsoberfläche von SBS 2003 auf und navigieren zu Erweiterte Verwaltung//Server. Auf der rechten Seite des Fensters finden Sie im Bereich Serverversion die Information, ob das Service Pack installiert ist. Wenn nicht, installieren Sie das Service Pack nach. Abbildg. 23.2
Vor der Migration zu SBS 2008 muss das Service Pack 2 für Exchange Server 2003 installiert sein
Zusätzlich müssen Sie sicherstellen, dass das Service Pack 1 für Microsoft Core XML Services (MSXML) 6.0 installiert ist. Rufen Sie dazu die Eigenschaften der Datei MSXML6.dll im Verzeichnis \Windows\System32 auf. Auf der Registerkarte Version muss die Dateiversion 6.10.1129.0 oder höher 1027
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 23
Migrieren zu Small Business Server 2008
hinterlegt sein. Wenn nicht, installieren Sie das Service Pack 1 für diese Komponente. Nachdem Sie das sichergestellt haben, sollten Sie noch überprüfen, ob das .NET-Framework 2.0 auf dem Server installiert ist. Das finden Sie wieder in der Systemsteuerung unter Software. Hier muss das .NETFramework 2.0 als installiertes Programm auftauchen. Wenn nicht, installieren Sie die Software nach. Außerdem muss noch das Service Pack 2 für das Microsoft SQL Server Management Studio Express installiert sein. Auch dieses Programm finden Sie in der Linksammlung. Wählen Sie die 32-Bit-Version, da SBS 2003 nicht als 64-Bit-Software verfügbar ist. Das Express-Studio lässt sich jedoch nicht installieren, wenn bereits die Vollversion für SQL Server 2005 installiert ist. In diesem Fall können Sie diesen Schritt überspringen.
SharePoint Services migrieren Setzen Sie auf Ihrem Server bereits die SharePoint Services 3.0 ein, müssen Sie bei der Migration einiges beachten, da die direkte Migration nicht möglich ist. Die notwendigen Hinweise dazu finden Sie auf der Internetseite in der Linksammlung zu diesem Abschnitt. Standardmäßig sind unter Small Business Server 2003 die SharePoint Services 2.0 installiert. Diese lassen sich zu SBS 2008 migrieren. Aber auch hier müssen Sie einiges beachten. Zunächst sollten Sie sicherstellen, dass das Service Pack 3 für die SharePoint Services 2.0 auf dem Server installiert ist. Am schnellsten stellen Sie fest, ob das Service Pack installiert ist, wenn Sie die Systemsteuerung starten und auf Software klicken. Wählen Sie anschließend Microsoft SharePoint Services 2.0 aus und klicken auf Klicken Sie hier, um Supportinformationen zu erhalten. Stellen Sie sicher, dass es sich um die Version 11.0.8173.0 handelt. Wenn das nicht der Fall ist, laden Sie das Service Pack herunter und installieren es als Nächstes. Müssen Sie das Service Pack installieren, überprüfen Sie nach erfolgter Installation, ob die Intranetwebseite CompanyWeb ordnungsgemäß aktualisiert ist. Rufen Sie dazu in der Programmgruppe Verwaltung den Link SharePoint-Zentraladministration auf. Klicken Sie nach erfolgreichem Start auf die Konfiguration für die virtuellen Server. Die CompanyWeb-Seite muss die Version 6.0.2.8165 haben, dann ist sie auf dem richtigen Stand. Sollte das bei Ihnen nicht der Fall sein, können Sie die Seite manuell aktualisieren. Starten Sie dazu eine Befehlszeile und wechseln mit dem Befehl cd /d \Programme\Gemeinsame Dateien\Microsoft Shared\Web Server Extensions\60\Bin in das Verzeichnis mit dem notwendigen Tool. Geben Sie dann den Befehl stsadm –o upgrade –forceupgrade –url http:// companyweb ein. Nach der Aktualisierung müssen Sie IIS neu starten. Geben Sie dazu den Befehl iisreset in der Befehlszeile ein oder starten Sie am besten den Server neu, damit alle Änderungen neu geladen werden.
Netzwerkanpassungen für die Migration Damit Sie auf einem Server SBS 2008 betreiben können, muss die Internetanbindung über eine Hardware-Firewall oder einen DSL-Router am Internet erfolgen. Der Router ist dann die Zwischenstelle zwischen Internet und internem Netzwerk. Diese Konfiguration ist ohnehin Standard für eine sichere Internetanbindung im Unternehmen. Setzen Sie die Premium Edition von Small Business Server 2003 ein, müssen Sie für die Aktualisierung des ISA Servers 2004 noch einiges beachten, doch dazu später mehr.
1028
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Netzwerkanpassungen für die Migration
ACHTUNG
Sie können Microsoft Internet Security and Acceleration (ISA) Server 2004 nicht direkt aus Windows SBS 2003 Premium Edition zu Windows SBS 2008 Premium Edition migrieren. Sie können ISA Server 2004 während der Migration jedoch weiterhin unter Windows SBS 2003 verwenden. Vergewissern Sie sich, dass ISA Server 2004 mit Service Pack 3 (SP3) installiert und konfiguriert ist, bevor Sie den Vorgang fortsetzen. Sie können ISA Server 2004 mit SP3 von der Microsoft-Website (http://go.microsoft.com/fwlink/?LinkId=104551) herunterladen.
Für die Durchführung der Migration empfiehlt Microsoft, dass nur ein Netzwerkadapter auf dem Server aktiv ist. Von diesem Netzwerkadapter aus muss der Server den Router erreichen können. Verwenden Sie mehrere Netzwerkkarten im Server, deaktivieren Sie diese für die Durchführung der Migration. Nach Abschluss des Vorgangs lassen sich diese wieder in das System einbinden. Rufen Sie anschließend in der Programmgruppe Verwaltung die Serververwaltungskonsole auf. Klicken Sie auf Internet und E-Mail und dann auf Verbindung mit dem Internet herstellen. Stellen Sie sicher, dass die Anbindung optimal funktioniert. Bestehen Probleme, weisen Sie dem SBS-Server eine zusätzliche IP-Adresse im Bereich 192.168.x.1 zu und ändern auch die IP-Adresse des Routers im Laufe der Migration. Setzen Sie ein VPN auf dem SBS-Server ein, deaktivieren Sie die Funktion während der Migration. Setzen Sie ISA 2004 auf dem SBS-Server ein, stellen Sie sicher, dass das Service Pack 3 für ISA Server 2004 installiert ist. Abbildg. 23.3
Vorbreiten des ISA-Servers für die Migration zu SBS 2008
1029
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 23
Migrieren zu Small Business Server 2008
Vor der Migration rufen Sie zunächst noch die ISA-Verwaltung auf. Diese befindet sich in einer eigenen Programmgruppe. Navigieren Sie zu den Firewallrichtlinien und rufen Sie die Eigenschaften der Regel SBS Protected Networks Access Rule auf. Wechseln Sie auf die Registerkarte Protokolle, klicken Sie auf die Schaltfläche Filterung und wählen Sie RPC-Protokoll konfigurieren aus. Entfernen Sie den Haken bei der Option Strikte RPC-Einhaltung konfigurieren. Dieser Schritt ist notwendig, damit der Migrationsassistent später alle notwendigen Schritte durchführen kann, zum Beispiel den DCOMVerkehr und Verbindungen per RPC.
Aktive Directory und Exchange für die Migration vorbereiten In der Domäne des SBS dürfen sich keine Domänencontroller mit Windows 2000 Server befinden. Ist das bei Ihnen der Fall, müssen Sie diese Domänencontroller vor der Migration aus dem Netzwerk entfernen. Standardmäßig befinden sich nach der Installation von SBS 2003 der Betriebsmodus der Domäne und der Gesamtstruktur im Windows 2000-Modus. Zwar sollte dieser ohnehin schnell umgestellt werden, da erst im Windows Server 2003-Modus alle Funktionen von Windows Server 2003 verfügbar sind, aber diesen Schritt übergehen viele Administratoren oft. Für die Migration zu Small Business Server 2008 ist dieser Schritt jedoch notwendig. Active Directory kann unter verschiedenen Betriebsmodi betrieben werden. Standardmäßig befindet sich Active Directory nach der Installation im gemischten Modus. In diesem Modus können neben den Windows Server 2003Domänencontrollern parallel auch noch Windows NT 4.0-Domänencontroller betrieben werden. Um die Funktionsebene hochzusetzen, klicken Sie in der Serververwaltungskonsole unter Erweiterte Verwaltung auf das Snap-In Active Directory-Benutzer und -Computer und dann mit der rechten Maustaste auf die Domäne und wählen die Option Domänenfunktionsebene heraufstufen. Im anschließenden Fenster können Sie den Modus auswählen, den Sie aktivieren wollen. Sie erhalten eine Warnung, dass die Umstellung des Modus nicht mehr rückgängig gemacht werden kann. Wenn Sie diese Meldung bestätigen, wird die Funktionsebene heraufgestuft. Es ist nicht notwendig, den Server neu zu starten. Die meisten Vorteile bei der Heraufstufung der Funktionsebenen haben in der Regel nicht Domänen mit Small Business Server 2003, da die neuen Funktionen hauptsächlich für die Zusammenarbeit von verschiedenen Domänen gedacht sind. Dennoch ist die Heraufstufung sauberer, da dadurch das Small Business Server-Netzwerk in einer einheitlichen Struktur ist und später nicht irgendwelche Funktionen fehlen. Die Funktionsebene der Gesamtstruktur können Sie mit Hilfe des Snap-Ins Active Directory-Domänen und -Vertrauensstellungen heraufstufen. Sie finden dieses Verwaltungsprogramm über Start/Programme/Verwaltung/Active Directory-Domänen und -Vertrauensstellungen. Klicken Sie mit der rechten Maustaste auf das Menü Active Directory-Domänen und -Vertrauensstellungen und wählen Sie die Option Gesamtstrukturfunktionsebene heraufstufen. Sie können die Gesamtstrukturfunktionsebene erst heraufstufen, wenn die Domänenfunktionsebene heraufgestuft ist. Wählen Sie auch hier den Modus Windows Server 2003 aus und klicken Sie auf die Schaltfläche Heraufstufen. Auch nach der erfolgreichen Heraufstufung der Gesamtstruktur ist es nicht notwendig, die Domänencontroller neu zu starten. Nach der Heraufstufung stehen die neuen Funktionen wie SID-History, universale Gruppen und Gesamtstruktur-übergreifende Vertrauensstellungen zur Verfügung.
1030
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Migrations-Tool und Tool zur Erstellung einer Antwortdatei
Migrations-Tool und Tool zur Erstellung einer Antwortdatei Bevor Sie die Migration durchführen, müssen Sie auf dem Quellserver, also Ihrem Server mit Small Business Server 2003 noch das Migration-Tool durchlaufen lassen, das Sie auf der ersten DVD von Small Business Server 2008 finden. Dieses Tool bereitet das Active Directory-Schema sowie weitere Einstellungen des Servers für die Migration vor. Achten Sie darauf, dass Sie sich als Administrator am Server anmelden. Nachdem Sie die DVD in den Server eingelegt haben, startet der Installationsassistent von Small Business Server 2008. Klicken Sie auf den Menüpunkt Tools und dann doppelt auf SourceTool.exe. Anschließend startet der Assistent und Sie müssen zunächst bestätigen, dass Sie eine Datensicherung des Servers vorgenommen haben. Abbildg. 23.4
Starten des Assistenten zur Migrationsvorbereitung
Anschließend beginnt das Tool mit der Vorbereitung für die Migration. Nachdem die Vorbereitungen abgeschlossen sind, müssen Sie den Quellserver neu starten. Vor der Migration zu Small Business Server 2008 bietet es sich an, eine Antwortdatei zu erstellen, in der Sie alle wichtigen Informationen für die Aktualisierung hinterlegen. Sie finden das Tool mit der Bezeichnung SBSAfg.exe im Verzeichnis Tools auf der SBS 2008-DVD1. Wählen Sie beim Start des Tools die Option Migration von vorhandenem Server und geben Sie die Informationen ein, mit denen Sie Small Business Server 2008 installieren wollen. Haben Sie alle Informationen eingegeben, speichern Sie die Datei als sbsanswerfile.xml und kopieren diese auf eine Diskette oder einen USB-Stick. Verbinden Sie den Stick mit dem Zielserver. Sobald Sie die Installation des Servers starten und der Assistent eine Antwortdatei entdeckt, verwendet er diese automatisch zur Installation.
1031
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 23
Abbildg. 23.5
Migrieren zu Small Business Server 2008
Erstellen einer Antwortdatei für die Migration zu Small Business Server 2008
HINWEIS Installieren Sie Small Business Server 2008 im Migrationsmodus mithilfe der erstellten Antwortdatei, wird der Server in die bestehende Domäne von Small Business Server 2003 aufgenommen. Sie müssen sicherstellen, dass der Quellserver nach spätestens 21 Tagen vom Netzwerk entfernt wird. Während der Einrichtung von Small Business Server 2008 verschiebt der Assistent die in Kapitel 1, 2 und 3 erwähnten FSMO-Rollen für die Steuerung von Active Directory automatisch auf den neuen Server. Außerdem wird der Zielserver automatisch zum globalen Katalog konfiguriert. Auch die DHCP-Rolle ist auf dem Zielserver aktiv und der DHCP-Server auf dem Quellserver wird deaktiviert. Überprüfen Sie aber die Einstellungen der beiden DHCP-Server auf ihre Richtigkeit. Nach der Installation können Sie in der Windows SBS Console die Migration abschließen. Während der Migration übernimmt der Server allerdings keinerlei Daten des SQL-Servers auf den Zielserver. Diese Migration müssen Sie manuell durchführen.
Letzte Schritte vor der Migration – Der Small Business Server Best Practices Analyzer Nachdem Sie alle Vorbereitungen getroffen haben, können Sie mit dem Small Business Best Practices Analyzer überprüfen, ob der Server in einem ordentlichen Zustand ist, um auf SBS 2008 migriert zu werden. Entfernen Sie vor der Migration alle Fehler, die das Tool findet. Microsoft stellt den Analyzer kostenlos zur Verfügung. Den Link dazu finden Sie wieder in der Linksammlung zu diesem
1032
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Letzte Schritte vor der Migration – Der Small Business Server Best Practices Analyzer
Abschnitt. Installieren Sie das Tool am besten direkt auf dem SBS-Server und starten Sie es nach der Installation. Stellen Sie sicher, dass der SBS-Server Verbindung zum Internet hat und lassen Sie das Tool zunächst nach Aktualisierungen suchen. Microsoft stellt ständig neue Regeln zur Verfügung, die der BPA an dieser Stelle herunterladen und verwenden kann. Wählen Sie als Nächstes die Option Start a scan auf der linken Seite des Fensters. Der Vorgang kann mehrere Minuten dauern. Über den Link View a report of this Best Practices scan zeigt der BPA alle Probleme an und gibt teilweise auch Lösungsvorschläge. Neben dem BPA sollten Sie natürlich auch die Standarddiagnose-Tools netdiag, dcdiag und repadmin durchführen, welche die Netzwerkkonfiguration und Active Directory im Netzwerk auf Fehler untersuchen. Auch die Exchange-Komponente des SBS-Servers sollten Sie vor der Migration erst optimieren. Lassen Sie am besten vorher eine Datensicherung durchführen sowie eine Offline-Defragmentierung der Exchange-Datenbanken. Durch Verschieben von Benutzern zwischen Postfachdatenbanken oder auch die normale Arbeit mit dem Exchange-Server wachsen Datenbankdateien ständig an. Auch nach einem Reparaturvorgang ist es unerlässlich, für die Datenbankdateien eine OfflineDefragmentation durchzuführen. Diese dauert bei entsprechender Datenbankgröße oft stundenlang, aber nur dadurch ist sichergestellt, dass die Datenbankdateien nach einer Reparatur vollständig repariert sind. Während der Offline-Defragmentation löscht Exchange leere und, falls noch vorhanden, korrupte Seiten aus den Datenbanken. Für die Offline-Defragmentierung muss die Bereitstellung der Datenbanken aufgehoben oder der Informationsspeicherdienst beendet sein. Abbildg. 23.6
Überprüfen des Small Business Server 2003 auf Fehler vor der Migration
Um eine Offline-Defragmentierung durchzuführen, wird Eseutil mit der Option /d und dem Pfad zur Datenbank gestartet. Das Tool legt vor dem Defragmentierungsvorgang eine temporäre Kopie der Datenbankdatei an, die defragmentiert und nach dem Vorgang wieder zurückkopiert wird. Die Temporärdateien werden auf dem Laufwerk angelegt, auf dem Eseutil aufgerufen wird. Aus diesem 1033
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 23
Migrieren zu Small Business Server 2008
Grund sollte auf dem Datenträger genug Platz sein, also mindestens das Doppelte der ExchangeDatenbanken. Steht nicht genug Platz zur Verfügung, kann Eseutil im Notfall keine Datenbank defragmentieren oder reparieren. Die einzige Alternative ist das langwierige Kopieren der Datenbank- und Eseutil-Dateien auf einen anderen Computer. Die Syntax in der Befehlszeile für eine Offline-Defragmentierung lautet zum Beispiel: eseutil /d C:\Programme\Microsoft\Exchange-Server\Mailbox\First Storage Group\Mailbox Database.edb. Hat Eseutil mit der Defragmentierung begonnen, öffnet es die Datenbank und legt eine Kopie an. Während der Defragmentierung werden auch automatisch defekte Bereiche der Datenbank gelöscht. Durch diese Option können also auch korrupte Datenbanken wieder repariert oder nach einer Reparatur überprüft werden. Wird die Defragmentierung durch Herunterfahren des Servers unterbrochen, kann es sein, dass die temporär angelegte Datenbankdatei noch nicht über die Originaldateien kopiert wurde. Lokalisieren Sie dann die Temporärdatenbank und kopieren Sie diese über die Originaldateien. Uhrzeit korrekt einstellen Die Uhrzeit auf dem Quellserver darf maximal fünf Minuten von der Uhrzeit auf dem Zielserver abweichen, und auch die Datums- und Zeitzone muss auf beiden Servern gleich sein. Um die Installation erfolgreich abzuschließen, sollten Sie die Uhrzeit des Quellservers mit einem NTP-Server (Network Time Protocol) im Internet synchronisieren: 1. Melden Sie sich am Quellserver mit einem Domänenadministratorkonto und -kennwort an. 2. Geben Sie in der Eingabeaufforderung w32tm /config /syncfromflags:domhier /reliable:no /update ein. 3. Geben Sie dann net stop w32time und dann net start w32time ein. Während der Installation von Windows SBS 2008 besteht eine Möglichkeit, die Uhrzeit auf dem Zielserver zu überprüfen. Stellen Sie sicher, dass die Uhrzeit maximal 5 Minuten von der Uhrzeit auf dem Quellserver abweicht. Nachdem die Installation abgeschlossen ist, wird der Zielserver mit dem NTP-Server synchronisiert. Alle Computer, die Mitglied der Domäne sind (einschließlich des Quellservers) werden mit dem Zielserver synchronisiert, der die Rolle des Betriebsmasters für den PDCEmulator (Primary Domain Controller, primärer Domänencontroller) ausübt.
Migration durchführen Nachdem Sie alle Vorbereitungen getroffen haben, legen Sie die SBS 2008-DVD in das Laufwerk des Servers. Anschließend startet der Assistent die Installationsoberfläche. Innerhalb der Tools stellt SBS 2008 ein spezielles Migrations-Tools zur Verfügung, das Sie starten. Unter manchen Umständen erhalten Sie eine Fehlermeldung. Die Lösung zu diesem Problem ist in einem speziellen KBAbschnitt beschrieben, dessen Link Sie am Ende des Abschnitts finden. Lassen Sie im Rahmen des Assistenten auch eine Antwortdatei erstellen, wie das Tool es vorschlägt. Eine Migration von SBS 2003 zu SBS 2008 benötigt in jedem Fall eine Antwortdatei, ohne diese Datei bricht der Installationsassistent ab. Speichern Sie die Antwortdatei mit dem Namen sbsanswerfile.xml. Nach der Durchführung starten Sie den Server neu. Die Installation von SBS 2008 erfolgt im Migrationsmodus auf einer getrennten Maschine. Der gleiche Server lässt sich leider nicht verwenden, da SBS 2008 eine 64-Bit-Hardware voraussetzt und SBS 2003 nur als 32-Bit-Software verfügbar ist. Aus technischen Gründen lässt sich eine 32-Bit-Version von Windows nicht direkt auf 64-Bit aktualisieren, das gilt auch für SBS 2003/2008. Während der Migration installieren Sie daher SBS 2008 auf dem Zielserver. Der Quellserver ist der Server mit SBS 2003. Im Rahmen der Migration nimmt der Installationsassistent den neuen Server in die Domäne des SBS 2003-Servers mit auf. 1034
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Gruppenrichtlinien übernehmen
HINWEIS
Achten Sie aber darauf, dass der Quellserver, also der Server mit Small Business Server 2003, spätestens nach 21 Tagen aus dem Netzwerk entfernt werden muss. Nach 21 Tagen fährt der Quellserver ansonsten ständig automatisch herunter. Dem Ereignisprotokoll wird während des Aktivierungszeitraums von 21 Tagen täglich eine Fehlermeldung hinzugefügt, bis Sie den Quellserver aus dem Netzwerk entfernen. Die Fehlermeldung lautet: Es wurden mehrere Domänencontroller in der Domäne gefunden, auf denen Windows Server 2003 für Small Business Server ausgeführt wird. Es müssen alle Server bis auf einen aus der Domäne entfernt werden, um in Zukunft das Herunterfahren des Computers zu verhindern. Nach Ablauf des Aktivierungszeitraums von 21 Tagen wird der Quellserver heruntergefahren.
Der Installationsassistent verschiebt außerdem alle Betriebsmasterrollen (FSMO) auf den neuen Server. Der Zielserver wird außerdem auch zum globalen Katalog konfiguriert. Auch die DHCPFunktion übernimmt der Assistent vom Quell- auf den Zielserver. Nachdem die Installation auf dem Zielserver gestartet ist, führt ein Assistent durch die einzelnen Schritte und weist auch auf eventuelle Probleme und Fragen hin. TIPP Wenn der Desktop während der Installation von Windows SBS 2008 und vor der Heraufstufung des Zielservers auf einen Domänencontroller gesperrt ist, können Sie die Sperre des Desktops mit dem Administratorkonto und leerem Kennwort aufheben oder dem Kennwort, dass Sie in der Antwortdatei hinterlegt haben.
Gruppenrichtlinien übernehmen Zwar übernimmt der Installationsassistent so gut wie alle Einstellungen vom alten auf den neuen Server und schlägt über Assistenten auch Problemlösungen vor, allerdings beachtet der Server nicht alles. Haben Sie zum Beispiel die Anmeldeskripts in SBS 2003 angepasst, übernimmt SBS 2008 diese nicht immer automatisch. Sichern Sie diese Skripts daher vorher und binden Sie diese nachträglich wieder ordnungsgemäß ein. Sie finden diese Skripts auf dem Quellserver im Verzeichnis \\localhost\sysvol\.local\scripts. Auch die Gruppenrichtlinieneinstellungen übernimmt der Assistent nicht immer sauber, zumindest wenn Sie diese nachträglich manuell geändert haben. Am besten nehmen Sie die Einstellungen nach der Migration manuell neu vor und löschen vor der Migration die Gruppenrichtlinienobjekte. Alternativ exportieren oder sichern Sie die Einstellungen über die Serververwaltungskonsole. Die Verwaltung der SBS-Richtlinien finden Sie in der Konsole über Erweiterte Verwaltung/Gruppenrichtlinienverwaltung/Gesamtstruktur/Domänen//Gruppenrichtlinienobjekte. Die Gruppenrichtlinienobjekte werden für Windows SBS 2008 aktualisiert. Für Windows SBS 2008 müssen mehrere Windows SBS 2003-Gruppenrichtlinienobjekte und WMI-Filter manuell gelöscht werden, um Konflikte mit den Windows SBS 2008-Gruppenrichtlinienobjekten und WMI-Filtern zu verhindern. Wenn Sie die ursprünglichen Windows SBS 2003-Gruppenrichtlinienobjekte geändert haben, sollten Sie Kopien dieser Gruppenrichtlinienobjekte an einem anderen Speicherort speichern, bevor Sie die Gruppenrichtlinienobjekte aus Windows SBS 2003 löschen: 1. Klicken Sie auf Start und dann auf Serververwaltung. 2. Klicken Sie im Navigationsbereich auf Erweiterte Verwaltung, klicken Sie auf Gruppenrichtlinienverwaltung und klicken Sie dann auf Gesamtstruktur: .
1035
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 23
Migrieren zu Small Business Server 2008
3. Klicken Sie auf Domänen, klicken Sie auf , und klicken Sie dann auf Grup-
penrichtlinienobjekte. 4. Klicken Sie mit der rechten Maustaste auf Small Business Server-Überwachungsrichtlinie, klicken
Sie auf Löschen und klicken Sie dann auf OK. Wiederholen Sie den Schritt, um die folgenden Gruppenrichtlinienobjekte zu löschen: 쐍 Small Business Server-Clientcomputer 쐍 Small Business Server-Domänenkennwortrichtlinie 쐍 Small Business Server-Internetverbindungsfirewall 쐍 Small Business Server-Kontosperrungsrichtlinie 쐍 Small Business Server-Remoteunterstützungsrichtlinie 쐍 Small Business Server-Windows-Firewall 쐍 Small Business Server Windows Vista-Richtlinie 쐍 Small Business Server Update Services-Clientcomputerrichtlinie 쐍 Allgemeine Small Business Server Update Services-Einstellungsrichtlinie 쐍 Small Business Server Update Services-Computerrichtlinie 5. Klicken Sie auf Domänen, dann auf und schließlich auf WMI-Filter. 6. Klicken Sie mit der rechten Maustaste auf PostSP2, dann auf Löschen und bestätigen Sie mit Ja. 7. Klicken Sie mit der rechten Maustaste auf PreSP2, dann auf Löschen und bestätigen Sie auch hier mit Ja.
Exchange-Daten und -Postfächer übernehmen Überprüfen Sie nach der Installation auch die verschiedenen Connectoren für den Mailversand. Stellen Sie sicher, dass Exchange die neuen Connectoren von Exchange Server 2007 nutzt, nicht die Connectoren des alten Servers. Löschen Sie am besten alle Connectoren vom alten Server. Verwenden Sie den POP3-Connector von SBS 2003, deaktivieren Sie diesen und konfigurieren die neue Version des Programms auf dem SBS 2008. Verschieben Sie auch die Postfächer vom alten auf den neuen Server. Öffnen Sie dazu die Exchange-Verwaltungskonsole auf dem neuen Server und navigieren Sie zu Empfängerkonfiguration/Postfach. Klicken Sie mit der rechten Maustaste auf das Postfach, das Sie verschieben wollen, und wählen Sie den Befehl Postfach verschieben aus. Haben Anwender in Outlook Posteingangsregeln definiert, die im Postfach gespeichert werden, müssen Sie noch eine Besonderheit beachten: Ein Exchange 2000/2003-Server lässt für die Posteingangsregeln im Postfach eine Gesamtgröße von 32 KB zu. Wird diese Größe überschritten, kann das entsprechende Postfach nicht verschoben werden. In diesem Fall können Sie das Postfach über die Exchange-Verwaltungsshell verschieben. Verwenden Sie dazu den Befehl MovE-Mailbox –TargetDatabase First Storage Group\Mailbox Database –IgnoreRuleLimitErrors. Sie können auch mehrere Postfächer markieren und diese auf einen Rutsch verschieben. Auf der ersten Seite des Assistenten wählen Sie den Server, die Speichergruppe und die Postfachdatenbank aus, in die Sie die Postfächer verschieben wollen. Beim Verschieben von zahlreichen Postfächern werden erhebliche Mengen an Transaktionsprotokollen geschrieben. Auch bei Servern mit genügend Festplattenplatz kann schnell die Kapazität erreicht werden. Vor allem beim Verschieben über Nacht kann so einem Administrator am nächsten Tag eine Über1036
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Exchange-Daten und -Postfächer übernehmen
raschung blühen, wenn der Verschiebevorgang abgebrochen wurde, da die Transaktionsprotokolle die Festplatten überfüllt haben. Um diesem Problem aus dem Weg zu gehen, sollten Sie entweder nicht zu viele Postfächer auf einmal verschieben, dafür sorgen, dass genügend Festplattenplatz verfügbar ist, oder in den Eigenschaften der beteiligten Speichergruppen die Umlaufprotokollierung aktivieren, damit immer mit dem gleichen Satz Transaktionsprotokollen gearbeitet wird. Bei Abschluss dieses Vorgangs wird das Postfach zunächst auf den Zielserver kopiert und danach mit dem Quell-Postfach verglichen. Abbildg. 23.7
Übernehmen der Gruppenrichtlinien auf den neuen Server
Erst dann wird das Quell-Postfach gelöscht. Es besteht bei diesem Vorgang zu keiner Zeit irgendeine Gefahr des Datenverlustes, da bis zum Schluss das Quell-Postfach vorhanden ist. Auch wenn Sie den Verschiebevorgang abbrechen, gehen keine Daten verloren. Während des Verschiebevorgangs können Benutzer, deren Postfach verschoben wird, natürlich nicht mit diesem arbeiten. Startet der Benutzer nach dem Verschiebevorgang sein Outlook wieder, verbindet sich Outlook mit seinem alten Server und erhält die Information, dass das Postfach umgezogen ist. Outlook trägt automatisch den neuen Server in seine Einstellungen ein. Sie müssen lediglich dafür sorgen, dass der QuellExchange Server zur Verfügung steht, wenn verschobene Benutzer ihr Outlook starten. Nach der ersten Verbindungsaufnahme mit dem neuen Exchange Server wird auf den alten Server nicht mehr zugegriffen. 1037
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 23
Migrieren zu Small Business Server 2008
Auf der nächsten Seite des Assistenten legen Sie die Optionen fest, wie mit Postfächern verfahren werden soll, die defekte Nachrichten enthalten. Sie können entweder in diesem Fall das komplette Postfach überspringen oder eine Anzahl Nachrichten einstellen, die beim Übertragen übergangen werden dürfen, wenn diese fehlerhaft sind. Achten Sie beim Verschieben darauf, dass die Größe der Postfächer nicht irgendwelche Grenzwerte überschreitet, die auf den Zielservern gesetzt sind. Ist ein Postfach zu groß, wird dieses nicht auf den Zielserver verschoben, bleibt aber auf dem Quellserver erhalten. Auf der nächsten Seite legen Sie fest, wann der Exchange Server mit dem Vorgang beginnen soll. Sie können das Verschieben der Postfächer entweder sofort starten oder einen Zeitpunkt angeben, zu dem der Vorgang automatisiert stattfinden soll. Abhängig von der Größe der Postfächer dauert der Vorgang unterschiedlich lange. Zum Abschluss wird Ihnen der Status für jedes einzelne Postfach angezeigt. Überprüfen Sie nach dem Verschieben auch das Anwendungsprotokoll der Ereignisanzeige auf Fehler. Achten Sie vor allem auf Meldungen der Quelle Exchange Migration. Auch die öffentlichen Ordner müssen Sie auf den neuen Server migrieren, die entsprechende Anleitung dazu finden Sie im Link am Ende des Kapitels. Löschen Sie die alten Connectoren in der Exchange-Verwaltung von Exchange Server 2003 in Small Business Server 2003 erst dann, wenn Sie die Grundeinrichtung unter Small Business Server 2008 abgeschlossen und überprüft haben.
Postfächer für die Migration vorbereiten Migration großer Exchange Server-Postfächer kann viel Zeit in Anspruch nehmen. Der Zeitaufwand wird geringer, wenn Sie die Größe der Postfächer vor der Migration verringern. Dazu sollten die Anwender unnötige E-Mails löschen oder archivieren. Klicken Sie in Outlook auf der Symbolleiste auf Extras und dann auf Ordner "Gelöschte Elemente" leeren. Um ältere E-Mail-Nachrichten zu archivieren, klicken Sie in Outlook auf der Symbolleiste auf Datei und klicken dann auf Archivieren. Klicken Sie auf Elemente archivieren, die älter sind als. In Windows XP werden die älteren Nachrichten in die Datei archive.pst im Ordner C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook verschoben. Bei Windows Vista werden die älteren Nachrichten in die Datei archive.pst im Ordner C:\Benutzer\ \AppData\Local\Microsoft\Outlook verschoben.
Die Besonderheiten des ersten Exchange-Servers in der Organisation Dem ersten installierten Exchange-Server in einer Organisation kommt vor allem unter Exchange Server 2003 eine besondere Bedeutung zu. Da Sie bei der Migration den ersten Server entfernen, sollten Sie einige Punkte beachten. Der Server ist in vielen Menüs und Konfigurationsoberflächen eingetragen. Werden zusätzliche Server der Organisation hinzugefügt, spielt es häufig keine Rolle, welcher Server der erste war. Erst wenn der erste Server, zum Beispiel bei einem Ausfall der Hardware oder nach einer Migration, aus der Organisation entfernt wird, fällt auf, welche Aufgaben dieser hatte. Oft wird hier nach dem Trial and Error-Prinzip gearbeitet: Ein Server wird entfernt und auftauchende Fehler, die auf dem Entfernen beruhen, beseitigt. Doch dieses Vorgehen ist nicht optimal, vor allem weil die aufkommenden Fehler auch größere Auswirkungen haben können. Besser ist die Vorgehensweise, einen neuen Server zu installieren und die einzelnen Aufgaben des ersten Servers auf den neuen zu
1038
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Exchange-Daten und -Postfächer übernehmen
übertragen. Erst nachdem die Aufgaben des ersten Exchange-Servers der Organisation auf andere Server übertragen wurden, sollte dieser aus der Organisation entfernt werden. Auch im laufenden Betrieb kann es sinnvoll sein, die Aufgaben auf andere Server zu verteilen, um dadurch den ersten Server zu entlasten. Fällt dieser aus, spielt das keine so große Rolle mehr, weil die Aufgaben bereits verteilt wurden. In diesem Abschnitt zeigen wir Ihnen die Aufgaben des ersten Exchange-Servers der Organisation und deren Bedeutung. Der Vollständigkeit halber erwähnen wir auch Aufgaben, die den meisten Administratoren bereits klar sind, aber dennoch vergessen werden, wenn die Hektik einer Migration oder eines Ausfalls herrschen. Wir zeigen Ihnen, wie Sie diese Aufgaben an andere Server verteilen können und in welcher Reihenfolge Sie dabei am besten vorgehen, sofern die Reihenfolge eine Rolle spielt. Ein Exchange 2003-Server ist ein sehr komplexes Produkt. Es kann nicht erwartet werden, dass die Installationsroutine Exchange vollständig aus der Organisation, dem Server oder Active Directory gelöscht und die Aufgaben des Servers automatisch verteilt werden. Dazu ist Exchange 2003 viel zu stark mit Active Directory verbunden.
Benutzer-Postfächer verschieben Eine der ersten und wichtigsten Aufgaben eines Exchange-Servers sind die Benutzer-Postfächer. Auch wenn es trivial klingt, werden beim Ersetzen eines Servers oft einige Benutzer-Postfächer vergessen. Es ist keine Seltenheit, dass bei der Migration eines Servers an alles gedacht wird, aber einige Benutzer-Postfächer auf dem Server verbleiben. Dabei handelt es sich meistens nicht um die Masse an Postfächern, sondern vielleicht nur das Postfach eines Administrators oder anderen Mitarbeiters, das zu Testzwecken oder der Fehleranalyse auf einen Exchange-Server verschoben, aber nie wieder zurück verschoben wurde. Bei der Migration werden solche Postfächer gern vergessen. Gut ist, dass sich Exchange nicht deinstallieren lässt, wenn noch Benutzer-Postfächer auf dem Server liegen, schlecht ist, dass dadurch unter Umständen Terminverzögerungen entstehen, wenn am Tag der Deinstallation erst noch Postfächer verschoben werden müssen. Der erste Schritt bei der Deinstallation eines Exchange-Servers ist daher das Verschieben der Postfächer auf die anderen Server der Organisation. Unter Exchange Server 2003 können die noch verbliebenen Postfächer direkt über den Exchange System-Manager verschoben werden. Abbildg. 23.8
Auf dem ersten Exchange-Server können durchaus noch Benutzer-Postfächer liegen
Auch wenn keine Benutzer-Postfächer mehr auf dem Server liegen sollten, ist eine Kontrolle durchaus angebracht. Im Exchange System-Manager werden die Postfächer unter Administrative Gruppen\\Server\\\\Postfächer 1039
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 23
Migrieren zu Small Business Server 2008
angezeigt. Hier werden auch die letzte Anmeldezeit sowie die Größe des Postfachs ersichtlich. Über das Kontextmenü können ein Postfach oder alle Postfächer verschoben werden. Eine weitere Möglichkeit, die Postfächer eines Servers anzuzeigen, ist über das Snap-In Active Directory-Benutzer und -Computer (Start\Ausführen\dsa.msc): 1. Klicken Sie dazu mit der rechten Maustaste auf die Domäne und wählen Sie Suchen aus. 2. Ohne die Eingabe eines Suchparameters kann gleich auf Jetzt Suchen geklickt werden. Im Anschluss werden standardmäßig alle Benutzer und Gruppen der Domäne angezeigt. 3. Klicken Sie auf Ansicht\Spalten auswählen, erscheint ein Auswahlmenü, über das die Spalten konfiguriert werden können, die im Suchfenster angezeigt werden. 4. Auf der rechten Seite im Bereich Verfügbare Spalten kann jetzt Exchange-Stammserver ausgewählt und über die Schaltfläche Hinzufügen>>> zu Angezeigte Spalten hinzugefügt werden. 5. Durch Klicken auf die neue Spalte im Suchfenster lässt sich die Ansicht sortieren und es können alle Benutzer angezeigt werden, deren Postfächer noch auf dem ausgewählten Exchange-Server liegen. Der Suchvorgang ist abgeschlossen. Abbildg. 23.9
Durch das Hinzufügen der Spalte Exchange-Stammserver im Suchfenster können alle Benutzer-Postfächer eines Exchange-Servers angezeigt werden
6. Klicken Sie zum Verschieben über Exchange Server 2007 auf dem Zielserver auf Start/Alle Pro-
gramme/Microsoft Exchange Server 2007/Exchange-Verwaltungskonsole. 7. Erweitern Sie den Knoten Empfängerkonfiguration und klicken Sie dann auf Postfach. 8. Wählen Sie im Ergebnisbereich alle Postfächer aus und klicken Sie dann im Aufgabenbereich auf Postfach verschieben.
1040
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Exchange-Daten und -Postfächer übernehmen
9. Klicken Sie auf der Seite Einführung auf Durchsuchen und dann auf die Windows SBS 2008-Post-
fachdatenbank. Bestätigen Sie mit OK und klicken Sie auf Weiter. 10. Klicken Sie auf der Seite Verschiebeoptionen auf Die fehlerhaften Nachrichten auslassen und legen
Sie die maximal auszulassende Anzahl fehlerhafter Nachrichten fest. 11. Wählen Sie auf der Seite Zeitplan für Verschiebevorgänge aus, wann die Postfächer verschoben
werden sollen und klicken Sie dann auf Weiter. 12. Überprüfen Sie auf der Seite Postfach verschieben die Postfächer, die verschoben werden, und klicken Sie dann auf Verschieben.
Replikate der öffentlichen Ordner Neben der Lagerung der Benutzer-Postfächer liegen auf dem ersten Exchange-Server meistens auch noch der eine oder andere öffentliche Ordner. Soll der erste Exchange-Server im Netz bleiben und wird ein neuer Server installiert, ist es auf jeden Fall sinnvoll, die öffentlichen Ordner zusätzlich auf den neuen Server replizieren zu lassen. Soll der erste Server entfernt werden, muss dieser aus der Replikationsliste jedes öffentlichen Ordners gelöscht werden. Klicken Sie dazu den jeweiligen Root-Ordner mit der rechten Maustaste im Exchange System-Manager an und wählen Sie die Eigenschaften. Auf der Registerkarte Replikation werden alle Öffentliche Ordner-Speicher angezeigt, in denen ein Replikat des Ordners liegt. Auf diesem Fenster können zusätzliche Speicher hinzugefügt und vorhandene entfernt werden. Soll ein Exchange-Server aus der Organisation entfernt werden, bietet es sich an, rechtzeitig die Replikate von diesem Server zu entfernen. Beim Hinzufügen weiterer Exchange-Server wiederum sollten diese als Replikationsserver eingetragen werden. Entfernen Sie die Replikate von öffentlichen Ordnern von einem Exchange-Server, sollten Sie sicherstellen, dass die entsprechenden Einstellungen in den Eigenschaften des Postfachspeichers ebenfalls zeitgleich vorgenommen werden. Ansonsten können unter Umständen einige Empfänger gar nicht mehr, oder nur nach langer Verzögerung, auf die öffentlichen Ordner zugreifen. Diese Einstellungen besprechen wir im nächsten Abschnitt. Abbildg. 23.10 Die Replikatliste der öffentlichen Ordner muss ebenfalls bearbeitet werden,
wenn ein Exchange-Server aus der Organisation entfernt wird
1041
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 23
Migrieren zu Small Business Server 2008
Öffentlicher Standardinformationsspeicher der Postfachspeichers In den Eigenschaften der Postfachspeicher finden Sie auf der Registerkarte Allgemein den Verweis auf den öffentlichen Standardinformationsspeicher. Anwender, deren Postfach in diesem Postfachspeicher liegt, werden zunächst zu dem hier konfigurierten Öffentliche Ordner-Speicher verbunden, wenn auf einen öffentlichen Ordner zugegriffen wird. Aus diesem Grund sollten Sie in den Eigenschaften der Postfachspeicher überprüfen, ob nicht irgendwo noch der Öffentliche Ordner-Speicher des ersten Exchange-Servers eingetragen ist, wenn dieser entfernt werden soll. Standardmäßig verwendet Exchange immer den öffentlichen Informationsspeicher des lokalen Servers, aber diese Einstellungen lassen sich ändern. Vorsicht ist hier also besser als Nachsicht. Wenn ein Benutzer einen öffentlichen Ordner öffnen will, verbindet Exchange ihn zunächst auf seinen lokalen Server, wenn dieser als Standardinformationsspeicher eingetragen ist. Besitzt dieser Server kein Replikat dieses öffentlichen Ordners, verbindet Exchange den Benutzer mit einem Server innerhalb derselben Routinggruppe. Gibt es in der Routinggruppe kein Replikat dieses öffentlichen Ordners, wird der Benutzer mit der nächsten Routinggruppe verbunden. Exchange verwendet dabei den Connector mit den niedrigsten Kosten. Wenn Sie diese Option für einen Connector deaktivieren, werden über diesen keinerlei Anfragen an öffentliche Ordner geroutet. Abbildg. 23.11 Werden die Replikate von öffentlichen Ordnern von einem Exchange-Server gelöscht, sollte auch der
öffentliche Standardinformationsspeicher der Postfachspeicher angepasst werden
Bridgehead-Server von Connectoren Exchange lebt von seinen Connectoren, über die E-Mails versendet werden. In den Eigenschaften der Connectoren werden Bridgehead-Server eingetragen, zu denen alle Exchange-Server in der Routinggruppe die E-Mails senden, die über diesen Connector versendet werden sollen. Vor allem an dieser Stelle steht oft der erste Exchange-Server der Organisation und unter Umständen kein weiterer. Stehen an dieser Stelle keine anderen Exchange-Server, werden E-Mails nicht mehr zugestellt,
1042
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Exchange-Daten und -Postfächer übernehmen
die über diesen Connector versendet werden, sobald der erste Exchange-Server nicht mehr verfügbar ist. Daher sollten auch aus Ausfallgründen immer mehrere Bridgehead-Server für einzelne Connectoren verwendet werden. Abbildg. 23.12 Der erste Exchange-Server wird meistens als Bridgehead-Server für die meisten Connectoren
verwendet
Bevor Sie den ersten Exchange-Server aus der Organisation entfernen, sollten daher alle Connectoren darauf hin überprüft werden, ob der Server noch als Bridgehead eingesetzt wird. Werden im Unternehmen neben SMTP-Connectoren auch Routinggruppen-Connectoren eingesetzt, muss an dieser Stelle zusätzlich noch auf der Registerkarte Remotebridgehead überprüft werden, ob hier der Server noch aufgeführt wird.
Der Routinggruppen-Master Der erste Exchange-Server einer Organisation ist gleichzeitig auch der Routinggruppen-Master. Diesen Master gibt es in jeder Routinggruppe. Der Routinggruppen-Master ist maßgeblich am Versenden von E-Mails beteiligt. Gerade wenn mehrere Exchange Server verwaltet werden müssen, sollten Sie sich mit dem Nachrichtenrouting in Exchange 2003 auseinander setzen. In Exchange 5.5 wurde zum Erfassen der Routinginformationen noch die so genannte GWART (Gateway Address Routing Table) verwendet. Diese Funktionalität wird in Exchange 2003 durch die Verbindungsinformationen ersetzt. Der große Nachteil der GWART besteht darin, dass nicht der gesamte Weg einer E-Mail vorausberechnet wird, sondern immer nur der nächste HOP. Dies hat den Nachteil, dass der Exchange 5.5 Server munter E-Mails an sein Gateway weitersendet, obwohl der nächste Weg oder Exchange Server nicht mehr zur Verfügung steht. In Exchange 2003 berechnen die Verbindungsinformationen den kompletten Weg der E-Mail voraus, um sicherzustellen, dass diese auch zugestellt wird. Die Verbindungsinformationen in jeder Routinggruppe enthalten daher die Informationen
1043
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 23
Migrieren zu Small Business Server 2008
über jeden Connector der anderen Routinggruppen und deren Kosten. Exchange 2003 überprüft daher nicht nur, ob eine E-Mail zugestellt werden kann, sondern verwendet dabei auch die Connectoren mit den niedrigsten Kosten, um eine insgesamt bessere Verbindung zu erreichen. Dies war unter Exchange 5.5 noch nicht möglich. Der Master verwaltet für die Routinggruppe diese Verbindungsinformationen und gibt sie an die Routinggruppenmaster der anderen Routinggruppen weiter. Fällt der Routinggruppenmaster einer Routinggruppe aus, können aus dieser Routinggruppe keine E-Mails mehr zugestellt werden. Sie können die Funktionalität auch jederzeit auf einen anderen Server der Routinggruppe verschieben. Dazu verwenden Sie den Exchange SystemManager. Navigieren Sie zur Routinggruppe, deren Master Sie wechseln wollen, und klicken Sie mit der rechten Maustaste auf den Exchange 2003 Server, der die Funktionalität übernehmen soll. Aus dem Kontextmenü wählen Sie die Option Als Master festlegen. Abbildg. 23.13 Der Routinggruppen-Master einer Routinggruppe kann geändert werden
Dritthersteller-Connectoren (Fax) und Mail-Relay Werden auf den Exchange-Servern noch Connectoren von Drittherstellern wie Faxdienste, Dokumentenmanagementsystemen oder ERP verwendet, sollte auch hier darauf geachtet werden, dass meistens der erste Exchange-Server eingetragen ist. Auch in Diensten, die außerhalb von Exchange betrieben werden, wird ein Exchange oft als Mail-Relay oder SMTP-Server verwendet. Diese Einstellungen können nicht im Exchange-System-Manager überprüft werden. Diese Informationen erhalten Sie entweder aus der Dokumentation Ihrer Infrastruktur oder die einzelnen Server, die im Unternehmen die E-Mail-Funktion verwenden, müssen überprüft werden. Hier spielen hauptsächlich Dienste wie ERP-System, Linux-Mail-Gateways, das Gateway, das die Mails aus dem Internet empfängt und weiterleiten muss, sowie verschiedene SharePoint-Dienste eine Rolle.
Offlineadressbuch auf neuen Server verschieben Sie müssen das Offlineadressbuch (OAB) vom Quellserver auf den Zielserver verschieben. Anschließend müssen Sie den Server ändern, der das OAB generiert: 1. Klicken Sie auf dem Zielserver auf Start, klicken Sie auf Alle Programme und dann auf Microsoft Exchange Server 2007/Exchange-Verwaltungskonsole.
1044
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Migration abschließen
2. Erweitern Sie Organisationskonfiguration und klicken Sie dann auf Postfach. 3. Klicken Sie auf die Registerkarte Offlineadressbuch und wählen Sie das Offlineadressbuch aus, 4. 5. 6. 7. 8. 9. 10.
das Sie verschieben wollen. Klicken Sie auf Verschieben. Klicken Sie auf der Seite Offlineadressbuch verschieben auf Durchsuchen und dann auf den Namen des Zielservers. Klicken Sie auf Verschieben. Klicken Sie auf Fertig stellen. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf Standard-Offlineadressliste und dann auf Eigenschaften. Klicken Sie auf die Registerkarte Verteilung und dann auf Webbasierte Verteilung aktivieren. Klicken Sie auf Hinzufügen, vergewissern Sie sich, dass der Zielserver ausgewählt ist, und bestätigen Sie dann mit OK.
Migration abschließen Neben den hier beschriebenen Schritten sollten Sie noch überprüfen, ob die SharePoint-Daten korrekt übernommen sind, und unter Umständen nacharbeiten. Wenn Sie sicher sind, dass der neue Server funktioniert, sollten Sie zunächst einige Tage mit dem Server arbeiten. Vor Ablauf der 21 Tage-Frist müssen Sie den Domänencontroller auf dem SBS 2003 herabstufen sowie Exchange Server 2003 deinstallieren. Der alte Quellserver lässt sich nach der Migration auch als zusätzlicher Server in das SBS-Netzwerk integrieren. TIPP Haben Sie Small Business Server 2008 im Migrationsmodus installiert, können Sie auf der Startseite der Windows SBS Console den Assistenten für die Migration starten. Dieser bietet, neben allgemeinen Einstellungen, auch die Möglichkeit zur Migration der SharePoint-Seiten oder Faxdaten an. Halten Sie sich genau an die Anleitungen. Eine ausführliche ToDo-Liste finden Sie im Dokument http://www.microsoft.com/downloads/details.aspx?FamilyID=95e4863e-bb594a66-9fee-9874e8903888&displaylang=en. Nachfolgend ein paar interessante Links mit Anleitungen zur Aktualisierungen für Small Business Server 2008: 쐍 SBS 2003 sichern http://go.microsoft.com/fwlink/?LinkId=27140 쐍 SBS 2003 SP1 http://go.microsoft.com/fwlink/?LinkId=46690 쐍 SP2 für Windows Server 2003 http://go.microsoft.com/fwlink/?LinkId=98932 쐍 Netzwerkprobleme nach Installation von SP2 für Windows Server 2003 http://support.microsoft.com/kb/936594 쐍 SP2 für Exchange Server 2003 http://go.microsoft.com/fwlink/?LinkId=98933 쐍 Migration von WSS 3.0 zu SBS 2008 http://go.microsoft.com/fwlink/?LinkId=115335 쐍 SP3 für SharePoint 2.0 http://go.microsoft.com/fwlink/?LinkId=101615 쐍 Microsoft Core XML 6 SP1 http://go.microsoft.com/fwlink/?LinkId=87548 쐍 .NET Framewok 2.0 http://go.microsoft.com/fwlink/?LinkId=104397 1045
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 23
Migrieren zu Small Business Server 2008
쐍 .NET Framework 2.0 SP1 http://www.microsoft.com/downloads/details.aspx?familyid=79BC3B77-E02C-4AD3-AACF-A7633F706BA5&displaylang=en 쐍 Microsoft SQL Server Management Studio Express Service Pack 2 http://go.microsoft.com/ fwlink/?LinkId=104395 쐍 ISA 2004 SP3 http://go.microsoft.com/fwlink/?LinkId=104551 쐍 SBS Best Practices Analyzer 쐍 Probleme mit kID=118672
dem
http://go.microsoft.com/fwlink/?LinkId=113752
SBS
2008-Migrations-Tool
http://go.microsoft.com/FWLink/?Lin-
쐍 Öffentliche Ordner zu SBS 2008 verschieben http://go.microsoft.com/fwlink/?LinkId=117339 쐍 Zusätzlicher Server im SBS 2008-Netzwerk http://go.microsoft.com/fwlink/?LinkId=104875 쐍 Migrationsanleitung zu SBS 2008 http://www.microsoft.com/downloads/details.aspx?FamilyID=95e4863e-bb59-4a66-9fee-9874e8903888&displaylang=en TIPP Zur Migration der Benutzerdaten können Sie auch Robocopy verwenden, das wir in Kapitel 6 ausführlicher behandelt haben. Anmeldeskripts übernehmen In Windows SBS 2008 wurden die Windows SBS 2003-Anmeldeskripts durch eine Kombination aus Anmeldeskripts und Gruppenrichtlinienobjekten ersetzt. Wenn Sie die Windows SBS 2003-Anmeldeskripts geändert haben, sollten Sie die Skripts umbenennen, um Ihre Anpassungen zu erhalten. Windows SBS 2003-Anmeldeskripts gelten nur für Benutzerkonten, die mithilfe des Assistenten zum Hinzufügen neuer Benutzerkonten hinzugefügt wurden. So entfernen Sie die Windows SBS 2003-Anmeldeskripts: 1. Klicken Sie auf der Seite Migrations-Assistent – Startseite auf Legacygruppenrichtlinien und -anmeldeeinstellungen entfernen und klicken Sie dann auf Weiter. 2. Melden Sie sich am Quellserver mit einem Administratorkonto und -kennwort an. 3. Klicken Sie auf dem Quellserver auf Start und dann auf Ausführen. 4. Geben Sie \\localhost\sysvol\.local\scripts ein. 5. Löschen Sie die Datei SBS_LOGIN_SCRIPT.bat oder benennen Sie sie um. 6. Nachdem Sie die alten Anmeldeskripts gelöscht haben, vergewissern Sie sich, dass alle Benutzerprofile so aktualisiert wurden, dass kein Anmeldeskript verwendet wird. 7. Klicken Sie auf dem Quellserver auf Start, dann auf Verwaltung und abschließend auf Active Directory-Benutzer und -Computer. 8. Drücken Sie die (Strg)-Taste und klicken Sie dann mit der Maus, um alle Benutzerkonten auszuwählen. Klicken Sie mit der rechten Maustaste auf die markierten Benutzerkonten und anschließend auf Eigenschaften. 9. Vergewissern Sie sich auf der Registerkarte Profil, dass das Kontrollkästchen für das Anmeldeskript leer ist.
1046
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Bereinigen von Active Directory und Entfernen von Domänencontrollern
Bereinigen von Active Directory und Entfernen von Domänencontrollern Nachdem Sie alle Dokumente und Einstellungen übernommen haben, müssen Sie den alten Small Business Server als Domänencontroller vom Netzwerk entfernen. Wird ein Domänencontroller aus Active Directory entfernt, sollten Sie einige Vorbereitungen treffen, damit die Anwender durch seinen Ausfall nicht betroffen sind: 쐍 Sie sollten sicherstellen, dass der Domänencontroller nicht als bevorzugter oder alternativer DNS-Server von einem anderen Rechner der Domäne verwendet wird (auch nicht als DNS-Weiterleitungsserver) 쐍 Wenn möglich, sollten Sie vor der Herabstufung das DNS von diesem Domänencontroller entfernen. Haben Sie das DNS entfernt, überprüfen Sie auf einem anderen DNS-Server in den Eigenschaften der DNS-Zone, dass der Server auf der Registerkarte Namenserver nicht mehr aufgeführt wird. Entfernen Sie aber nicht den Hosteintrag des Servers, da dieser für die Herabstufung noch benötigt wird. 쐍 Stellen Sie sicher, dass der Domänencontroller nicht an irgendeiner Stelle als Domänencontroller explizit eingetragen ist, zum Beispiel auf einem Linux-Server oder einem Exchange-Server 쐍 Entfernen Sie alle Active Directory-abhängigen Dienste wie VPN, Zertifizierungsstelle oder andere Programme, die nach der Herabstufung nicht mehr funktionieren werden. 쐍 Verschieben Sie vor der Herabstufung zuerst alle FSMO-Rollen auf andere Server 쐍 Wenn es sich bei diesem Server um einen globalen Katalog handelt, konfigurieren Sie einen anderen Server als globalen Katalog und entfernen Sie im Snap-In Active Directory-Standorteund -Dienste unter Sites///Eigenschaften der NTDS-Settings den Haken bei Globaler Katalog Abbildg. 23.14
Überprüfen der Active Directory-DNS-Zone nach verwaisten Namenservern
1047
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 23
Migrieren zu Small Business Server 2008
Herabstufen eines Domänencontrollers Starten Sie als nächsten Schritt auf dem Server den Assistenten zum Entfernen von Active Directory über Start/Ausführen/dcpromo, um den Server zu einem Mitgliedsserver der Domäne herabzustufen. Wenn es sich bei dem Domänencontroller, den Sie herabstufen wollen, um einen globalen Katalog handelt, werden Sie darüber mit einer Meldung informiert. Handelt es sich um einen globalen Katalog, können Sie auf der nächsten Seite auswählen, ob es sich bei diesem Domänencontroller um den letzten seiner Domäne handelt. In diesem Fall würde nicht nur der Domänencontroller aus der Gesamtstruktur entfernt, sondern die ganze Domäne. Haben Sie Ihre Auswahl getroffen, beginnt der Assistent mit der Herabstufung des Domänencontrollers. Sobald Active Directory vom Server entfernt wurde, können Sie diesen neu starten. Nach der Herabstufung eines Domänencontrollers wird dieser als Mitgliedsserver in die Domäne aufgenommen. Wenn auf dem Server Applikationen installiert waren, zum Beispiel Exchange, stehen diese nach dem Neustart weiterhin zur Verfügung. Abbildg. 23.15 Auswählen, ob beim Entfernen eines Domänencontrollers die ganze
Domäne ebenfalls entfernt werden soll
HINWEIS Auch wenn ein herabgestufter Domänencontroller im Anschluss noch als Mitgliedsserver verwendet werden kann, sollten Sie sicherheitshalber das Computerkonto aus der Domäne entfernen und das Betriebssystem neu auf dem Server installieren, um Altlasten zu entsorgen. Auch den Servernamen sollten Sie ändern, wenn aus dem Namen hervorgeht, dass es sich um einen Domänencontroller gehandelt hat.
1048
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Bereinigen von Active Directory und Entfernen von Domänencontrollern
Erzwungene Herabstufung eines Domänencontrollers Wenn Sie einen Domänencontroller, der die Verbindung mit Active Directory verloren hat, nicht neu installieren wollen, können Sie Active Directory trotz fehlender Verbindung entfernen. Starten Sie dazu den Assistenten zum Entfernen von Active Directory über Start/Ausführen/dcpromo /forceremoval mit der Option /forceremoval. Der Assistent startet und meldet, dass das Entfernen von Active Directory von diesem Server erzwungen wird. Verwaltet der Server FSMO-Rollen oder ist der DNS-Dienst installiert, erscheinen Fehlermeldungen. Starten Sie den Assistenten mit der Option /demotefsmo:yes, werden diese Meldungen unterdrückt. Diese Einstellungen lassen sich auch in einer Antwortdatei konfigurieren (siehe Ende dieses Kapitels). Nach der gezwungenen Entfernung von Active Directory ist der Domänencontroller allerdings kein Mitgliedsserver, sondern ein allein stehender Server. Sie können sich daher an diesem Server nicht mehr bei der Domäne anmelden. Als lokales Kennwort für den Administrator wird jenes Kennwort verwendet, das Sie auf diesem Server für den Verzeichnisdienstwiederherstellungsmodus beim Erstellen von Active Directory festgelegt haben. Nachdem Active Directory von dem Server entfernt wurde, wird in der Ereignisanzeige eine entsprechende Meldung protokolliert. Der Server wird bei diesem Vorgang allerdings nicht aus Active Directory entfernt. Sie müssen nachträglich die Active Directory-Metadaten bereinigen (wie im nächsten Abschnitt ausführlich beschrieben). Abbildg. 23.16 Erzwungene Entfernung von Active Directory
1049
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 23
Migrieren zu Small Business Server 2008
HINWEIS
Wenn Sie einen Domänencontroller zwingen, Active Directory lokal zu entfernen, aber das Betriebssystem oder die Applikationen zu erhalten, benötigen Sie das Kennwort für den Wiederherstellungsmodus von Active Directory. Wenn Sie dieses Kennwort nicht kennen, sollten Sie es zuvor ändern. Ohne die Anmeldung im Wiederherstellungsmodus ist das gezwungene Entfernen von Active Directory auf einem Domänencontroller nicht möglich.
Zurücksetzen des Kennwortes für den Wiederherstellungsmodus in Active Directory Um das Kennwort für den Wiederherstellungsmodus auf einem Domänencontroller wiederherzustellen, benötigen Sie das Tool ntdsutil.exe. Um das Kennwort für den Wiederherstellungsmodus zurückzusetzen, müssen Sie zunächst eine Befehlszeile öffnen und ntdsutil.exe starten: 1. Starten Sie ntdsutil.exe. 2. Geben Sie den Befehl set dsrm password ein und bestätigen Sie. 3. Geben Sie in der Zeile DSRM-Administratorkennwort zurücksetzen den Befehl reset password on server ein. Beim lokalen Server können Sie auch den Wert null eingeben und bestätigen. 4. Geben Sie das neue Kennwort ein und bestätigen Sie. 5. Geben Sie das neue Kennwort erneut ein. 6. Mit zweimal quit verlassen Sie ntdsutil. Das Kennwort für den Wiederherstellungsmodus ist jetzt zurückgesetzt und dient als Kennwort des lokalen Administrators. Abbildg. 23.17
Zurücksetzen des Kennworts für den Wiederherstellungsmodus
Bereinigen der Metadaten von Active Directory Die Metadaten von Active Directory enthalten alle Einträge und Servernamen, die zu Active Directory gehören. Wenn ein Domänencontroller ausfällt oder erzwungen aus Active Directory entfernt wird, sollten diese Metadaten nachträglich bereinigt werden. Für diese Bereinigung benötigen Sie das Befehlszeilenprogramm ntdsutil.exe, das Sie bereits beim Verschieben der FSMO-Rollen kennengelernt haben. Um die Metadaten von Active Directory zu bereinigen, starten Sie zunächst ntdsutil.exe in der Befehlszeile. Gehen Sie entsprechend den folgenden Schritten vor: 1. Geben Sie nach dem Start von ntdsutil den Befehl metadata cleanup ein. 2. Geben Sie im Anschluss daran connections ein. 3. Geben Sie den Befehl connect to server ein. Verwenden Sie am besten einen globalen Katalog und führen Sie diese Maßnahmen in einer Terminalsitzung auf dem Server aus. 1050
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Bereinigen von Active Directory und Entfernen von Domänencontrollern
4. Geben Sie dann einmal den Befehl quit ein, damit Sie wieder im Menü metadata cleanup sind. 5. Als Nächstes müssen Sie select operation target eingeben. 6. Es folgt der Befehl list domains. Damit werden alle Domänen der Gesamtstruktur angezeigt. 7. Geben Sie danach den Befehl select domain ein. Wählen Sie als Num-
mer die Domäne aus, von der Sie den Domänencontroller entfernen wollen. 8. Geben Sie als Nächstes list sites ein. Daraufhin werden alle Standorte der Gesamtstruktur ange9. 10. 11. 12. 13.
14. 15.
Abbildg. 23.18
zeigt. Wählen Sie den Standort aus, von dem Sie einen Domänencontroller entfernen wollen. Verwenden Sie dazu den Befehl select site . Nachdem Sie den Standort ausgewählt haben, geben Sie den Befehl list servers in site ein. Es werden alle Server in diesem Standort angezeigt. Dann müssen Sie mit select server den Server angeben, den Sie aus Active Directory entfernen wollen. Wenn Sie den Server ausgewählt haben, geben Sie quit ein, damit Sie wieder in das Menü metadata cleanup gelangen. Wenn Sie wieder im Menü metadata cleanup angelangt sind, geben Sie den Befehl remove selected server ein. Es folgt eine Warnmeldung, in der Sie das Entfernen des Servers bestätigen müssen. Bestätigen Sie diese Meldung, wird der Server aus Active Directory entfernt. In ntdsutil werden die einzelnen Vorgänge beim Entfernen des Servers angezeigt. Im Anschluss können Sie ntdsutil mit quit beenden. Die Active Directory-Metadaten sind bereinigt. Entfernen eines verwaisten Domänencontrollers aus der Active Directory-Datenbank
1051
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 23
Migrieren zu Small Business Server 2008
Nacharbeiten der Bereinigung Nachdem die Metadaten von Active Directory bereinigt wurden, sollten Sie noch die Einträge im DNS bereinigen. Entfernen Sie alle SRV-Records, in denen noch der alte Server steht, aus der DNSZone der Domäne. Gehen Sie bei der Entfernung vorsichtig vor und löschen Sie keine Daten von anderen Domänencontrollern. Entfernen Sie auch alle Hosteinträge des Servers. In allen Einstellungen und Einträgen auf dem DNS-Server und in der DNS-Zone sollte der Server entfernt sein. Wenn Sie alle DNS-Einträge aus der Zone entfernt haben, können Sie das Computerkonto des Servers löschen, falls dies noch nicht geschehen ist. Löschen Sie das Konto aus der OU Domain Controllers im Snap-In Active Directory-Benutzer und -Computer. Im nächsten Schritt müssen Sie den Domänencontroller noch aus dem Standort löschen, dem er zugeordnet war. Verwenden Sie dazu das Snap-In Active Directory-Standorte und -Dienste. Navigieren Sie dann zum Standort des Domänencontrollers und wählen Sie aus dem Kontextmenü Löschen aus oder drücken Sie die (Entf)-Taste. Der Server sollte sich ohne Probleme löschen lassen. Überprüfen Sie als Nächstes in den NTDS-Settings jedes Domänencontrollers in Active Directory, ob der Domänencontroller noch als Replikationspartner eingetragen ist, und entfernen Sie in diesem Fall die Verbindung. Der Server sollte sich mit keinem anderen Domänencontroller mehr replizieren.
Fehler beim Entfernen von Active Directory mit dcpromo Wenn während des Vorgangs der Herabstufung eine Fehlermeldung kommt, ist Active Directory nicht erfolgreich von diesem Domänencontroller entfernt worden. Sie sollten sicherstellen, dass der Assistent fehlerfrei durchläuft. Beseitigen Sie daher alle Fehler, die eventuell auftreten und starten Sie den Assistenten erneut. Meistens kann das Entfernen von Active Directory auf einem Domänencontroller aus folgenden Gründen nicht durchgeführt werden: 쐍 Fehlerhafte Namensauflösung 쐍 Falsche Authentifizierung 쐍 Fehlende Berechtigung des ausführenden Administrators 쐍 Fehlerhafte Replikation in Active Directory Wenn Sie den Fehler beheben können, sollten Sie das tun. Wenn nicht, hilft nur die manuelle Bereinigung von Active Directory. Um einen Domänencontroller zur Herabstufung zu zwingen, stehen Ihnen zwei Möglichkeiten zur Verfügung: 쐍 Neuinstallation des Betriebssystems und Bereinigung von Active Directory In diesem Fall gehen alle Applikationen auf dem Server verloren und müssen neu installiert werden 쐍 Gezwungene Herabstufung auf einem Domänencontroller In diesem Fall muss auch Active Directory bereinigt werden, allerdings bleiben die Applikationen auf dem Server erhalten. Diesen Schritt sollten Sie aber nur in Ausnahmefällen durchführen. Die Neuinstallation ist immer sauberer, da in diesem Fall auch Altlasten entfernt werden. Sollte das nicht möglich sein, bleibt Ihnen nur die gezwungene Herabstufung auf dem Domänencontroller.
1052
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Zertifikate migrieren
TIPP
In einigen Umgebungen wird der Server im Exchange System-Manager auch nach erfolgreichem Entfernen angezeigt. In einem solchen Fall können Sie mit ADSI Edit den Server aus der Exchange-Organisation löschen. Entfernen Sie den Server in folgendem Container: Configuration Container CN=Configuration, DC=Domänen-Name,DC=com CN=Services CN=Microsoft Exchange CN= Organisations-Name CN=Administrative Groups CN= Administrative Gruppe CN=Servers Außerdem sollten Sie die Connectors aus Active Directory in folgendem Container löschen: Configuration Container CN=Configuration, DC=Domänen-Name,DC=com CN=Services CN=Microsoft Exchange CN= Organisations-Name CN=Administrative Groups CN= Administrative Gruppe CN=Routing Groups CN=First Routing Groups CN=Connections Den ADSI-Editor finden Sie in der Programmgruppe Verwaltung. Durch Rechtsklick auf den Container und Auswahl von Einstellungen können Sie den Container Konfiguration einblenden lassen.
Zertifikate migrieren Die Migration selbst ausgegebener Zertifikate wird nicht unterstützt. Wenn Sie ein vertrauenswürdiges Zertifikat erworben haben und dieses für den Export verfügbar ist, können Sie das Zertifikat in Windows SBS 2008 verschieben. Exportieren Sie das Zertifikat aus dem Quellserver, importieren Sie es auf dem Zielserver und führen Sie dann den Assistenten zum Hinzufügen eines vertrauenswürdigen Zertifikats aus, um das Zertifikat mit dem Remote-Webarbeitsplatz zu verbinden: 1. Klicken Sie auf dem Quellserver auf Start/Ausführen, geben Sie mmc.exe ein. 2. Klicken Sie in der Konsole auf Datei und dann auf Snap-In hinzufügen/entfernen. 3. Klicken Sie auf Hinzufügen, wählen Sie Zertifikate aus der Liste aus, klicken Sie nochmals auf Hinzufügen und klicken Sie dann auf OK. 4. Klicken Sie im Popupfenster auf Computerkonto, dann auf Fertig stellen und abschließend auf OK. 5. Erweitern Sie Zertifikate, erweitern Sie Persönlich und klicken Sie dann auf Zertifikate. 6. Klicken Sie mit der rechten Maustaste auf das Zertifikat, das für Ihre Website ausgestellt ist. Klicken Sie auf Alle Aufgaben und anschließend auf Exportieren. 7. Klicken Sie im Assistenten auf Weiter.
1053
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Kapitel 23
Migrieren zu Small Business Server 2008
8. Stellen Sie sicher, dass Ja, privaten Schlüssel exportieren ausgewählt ist und klicken Sie dann auf
Weiter. 9. Stellen Sie sicher, dass die Kontrollkästchen Wenn möglich, alle Zertifikate im Zertifizierungspfad
einbeziehen und Alle erweiterten Eigenschaften exportieren aktiviert sind und klicken Sie dann auf Weiter. Aktivieren Sie das Kontrollkästchen Privaten Schlüssel nach erfolgreichem Export löschen nicht. 10. Geben Sie ein Kennwort ein, um die Zertifikatdatei zu schützen, und klicken Sie dann auf Weiter. 11. Wählen Sie einen Speicherort für die PFX-Datei aus und klicken Sie dann auf Weiter. Anschließend können Sie das Zertifikat auf dem Zielserver importieren: 1. Kopieren Sie die Datei auf den Zielserver. 2. Klicken Sie auf dem Quellserver auf Start/Ausführen, geben Sie mmc.exe ein. 3. Klicken Sie in der Konsole auf Datei und dann auf Snap-In hinzufügen/entfernen. 4. Wählen Sie Zertifikate aus der Liste aus und klicken Sie dann auf Hinzufügen. 5. Klicken Sie im Popupfenster auf Computerkonto, klicken Sie auf Fertig stellen und klicken Sie dann auf OK. 6. Erweitern Sie Zertifikate, erweitern Sie Persönlich und klicken Sie dann auf Zertifikate. 7. Klicken Sie mit der rechten Maustaste auf Zertifikate, klicken Sie auf Alle Aufgaben und klicken Sie dann auf Importieren. 8. Klicken Sie auf der Willkommensseite des Assistenten auf Weiter. 9. Navigieren Sie zum Verzeichnis der gespeicherten PFX-Datei und klicken Sie dann auf Weiter. 10. Geben Sie das Kennwort ein, das Sie auch beim Exportvorgang eingegeben haben. Stellen Sie sicher, dass die Kontrollkästchen Schlüssel als exportierbar markieren und Alle erweiterten Eigenschaften mit einbeziehen aktiviert sind und klicken Sie dann auf Weiter. 11. Stellen Sie sicher, dass das Zertifikat in den Ordner Persönlich importiert wird und klicken Sie dann auf Weiter. 12. Öffnen Sie die Windows SBS-Konsole. 13. Klicken Sie auf der Navigationsleiste auf die Registerkarte Netzwerk und klicken Sie dann auf Konnektivität. 14. Klicken Sie im Aufgabenbereich auf Vertrauenswürdiges Zertifikat hinzufügen. 15. Klicken Sie auf der Seite Zertifikat abrufen auf Ich möchte ein Zertifikat verwenden, das bereits auf dem Server installiert ist und klicken Sie dann auf Weiter. 16. Klicken Sie auf der Seite Ein installiertes Zertifikat auswählen auf das importierte Zertifikat und klicken Sie dann auf Weiter. 17. Klicken Sie nach Beendigung des Assistenten auf Fertig stellen.
Zusammenfassung In diesem Kapitel haben wir Ihnen gezeigt, was Sie bei der Migration von Small Business Server 2003 zu Small Business Server 2008 unbedingt beachten müssen. Lesen Sie sich dieses Kapitel zunächst gründlich durch, bevor Sie mit der Migration beginnen.
1054
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Anhang A
Inhalt der CD-ROM zum Buch
1055
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Anhang A
Inhalt der CD-ROM zum Buch
Auf der DVD zu diesem Buch finden Sie wichtige Servicepacks, Patches, Zusatzprogramme und Anleitungen. Vor allem für die Installation und den Betrieb sollten Sie sich die einzelnen Verzeichnisse und die enthaltenen Tools genauer anschauen. Wir haben Informationen für Sie zusammengestellt, welche über die in diesem Buch gelieferten Anleitungen noch hinausgehen oder diese ergänzen, beispielsweise die Onlinehilfe zum SQL Server 2008. Tabelle A.1
Inhaltsübersicht der DVD zum Buch Ordner
Beschreibung
Whitepapers und Anleitungen
In diesem Verzeichnis finden Sie interessante Zusatzdokumente zur Einrichtung und Verwaltung von Small Business Server 2008
Windows XP SP3
Aktuelles Service Pack 3 für Windows XP-Computer als 32-BitVersion
Microsoft SQL Server 2008Onlinedokumentation (Januar 2009)
Sehr ausführliche Hilfe und Anleitungen zu SQL Server 2008
Sysinternals Suite
Tool-Sammlung von Microsoft für die Verwaltung eines Netzwerks. Die Tools werden in den einzelnen Kapiteln des Buchs besprochen.
Windows Small Business Server 2008 Active Directory Group Converter
Standardmäßig werden die Gruppen, die in Small Business Server 2003 erstellt wurden, nach der Migration zu Small Business Server 2008 nicht angezeigt. Dieses Tool hilft bei dem Problem.
Windows Small Business Server 2008 Best Practices Analyzer
Diagnoseprogramm für Small Business Server 2008
Microsoft SQL Server 2008 Upgrade Advisor
Hilft bei der Überprüfung zur Aktualisierung von Vorgängerversionen auf SQL Server 2008
SQL Server 2008 Service Pack 1
Aktuelles Service Pack 1 für SQL Server 2008
Internet Explorer 8
Der neue Internet Explorer für XP und Vista
Microsoft Office Compatibility Pack für Dateiformate von Word, Excel und PowerPoint 2007
Durch die Installation des Compatibility Packs für Microsoft Office 2000, Office XP oder Office 2003 können Sie Dateien mit den neuen Dateiformaten von Word, Excel und PowerPoint 2007 öffnen, bearbeiten und speichern. Das Compatibility Pack kann auch mit Microsoft Office Word Viewer 2003, Excel Viewer 2003 und PowerPoint Viewer 2003 verwendet werden, um Dateien in diesen neuen Formaten anzuzeigen. Weitere Informationen über das Compatibility Pack finden Sie im Knowledge Base-Artikel 924074.
Add-In für 2007 Microsoft Office Speichern unter – PDF oder XPS von Microsoft
Durch diesen Download haben Sie die Möglichkeit, in acht 2007 Microsoft Office-Programmen Dateien in den Formaten PDF oder XPS zu exportieren und zu speichern. Weiterhin können Sie in einigen dieser Programme Dateien als E-Mail-Anhang in den Formaten PDF und XPS senden. Einige Features unterscheiden sich bei den verschiedenen Programmen. Das Add-In Speichern unter – PDF oder XPS von Microsoft für 2007 Microsoft Office-Programme stellt eine Ergänzung der Microsoft 2007 Office-Systembetasoftware dar und unterliegt deren Lizenzbedingungen. Wenn Sie nicht über eine Lizenz für diese Software verfügen, sind Sie nicht berechtigt, diese Ergänzung zu verwenden.
1056
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Inhalt der CD-ROM zum Buch
Tabelle A.1
Inhaltsübersicht der DVD zum Buch (Fortsetzung) Ordner
Beschreibung
Outlook 2007/2003/2002-Add-In: Sicherung für Persönliche Ordner
Das Feature Sicherung für Persönliche Ordner erleichtert und beschleunigt die Sicherung von Informationen in Microsoft Outlook. Dabei werden in Outlook 2002 und höheren Versionen in regelmäßigen Abständen Sicherungskopien Ihrer PST-Dateien erstellt, wodurch eine problemlose Sicherung Ihrer Outlook-Ordner gewährleistet wird. Durch die Sicherung für persönliche Ordner können Sie auswählen, welche PST-Dateien gesichert und in welchen Zeitabständen Sicherungskopien erstellt werden sollen. Jede PSTDatei enthält alle Outlook-Ordner, einschließlich Posteingang, Kalender und Kontakte. Möglicherweise haben Sie nur eine PSTDatei (normalerweise Internetordner oder Persönliche Ordner in der Ordnerliste), Sie können jedoch auch eine weitere PST-Datei für die Archivierung haben (z. B. Archivierungsordner). Durch die Sicherung für persönliche Ordner können Sie alle PST-Dateien sichern.
Word Viewer
Anzeigen, Drucken und Kopieren von Word-Dokumenten ohne Word-Installation. Dieser Download ersetzt Word Viewer 2003 und alle früheren Versionen von Word Viewer.
2007 Microsoft Office Suite Service Pack 2 (SP2)
Service Pack 2 für Office 2007
HINWEIS Wenn Sie dieses Buch ohne Begleit-Medium erworben haben (z.B. als E-Book), können Sie diese Inhalte unter dieser Adresse herunterladen: http://www.microsoft.com/downloads.
1057
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Stichwortverzeichnis .NET Framework 854 Version 3.0 858 .NET-Benutzer 931 *.clg 113 *.exe 73 *.js 73 *.pif 73 64-Bit-Version 26, 84 802.1X-Erzwingung 36
A Abgesicherter Modus 106 Ablaufverfolgungsregeln 974 Absenderfilter 511 Absenderzuverlässigkeits-Filterung 513 Abwesenheits-Assistent 460 Access Control List 213 AccessChk 202 AccessEnum 204 ACL 213 Active Directory 75 Application Mode 854 Certificate Services 853 Datensicherung 672 Domain Services 853 Domänendienste 853 Explorer 682 Federation Services 854 Lightweight Directory Services 835 Lightweight-Verzeichnisdienste 854 Rechteverwaltungsdienste 854 Rights Management Services 854 Standorte 151 Verbunddienste 854 Zertifikatdienste 853 AD CS 853 AD DS 853 AD FS 854 AD LDS 835, 854, 870 AD RMS 854 ADAM 398, 835, 854 ADInsight 683 ADM-Dateien 531 Administration.config 969 Administrationsaufgaben 368 Administrationslinks 309 Administrative Vorlagen 524 Administrator 337 Administratoren 334 Administratorkonten 336 adml-Dateien 530 ADMX Migrator 533
admx-Dateien 37, 528 Adressenrichtlinien 422 Adressleases 164 Adresslisten 331 Verwaltung 316 Adresspool 164 AdRestore 680 advfirewall 845 Aktivierung 104, 844 Aktualisierungsschaltfläche 206 Amtsziffer 300 Anforderungsfehler 974 Angry IP Scanner 771 Anmeldeskript 567, 1046 Anmeldezeiten 340 Antispam Agenten 511 Aktualisierung 397 Filter 80 Antivirus 535 Antwortdatei 872 Anwendungsdaten 349 Anwendungsfehler 708 Anwendungspools 865, 942 Anwendungsserver 854 APIPA 162 appcmd.exe 930, 935 AppData 348, 350 APPEND 920 Application Directory Partitions 854 Application Server 854 ApplicationHost.config 930, 969 Arbeitsprozesse 945, 977 Arbeitsspeicher 60, 715 Arbeitsspeicher-Diagnose 652 Archivierung 894 ASP 29 ASP.NET 946 Version 1.1 29 Version 2.0 29 ASSIGN 920 ATTRIB 920 Aufgaben für die Erstkonfiguration 847 Aufgabenplanung 718 Aufgabenstatus 718 Ausfalldauer 897 Ausfälle 896 Ausfallsicherheit 61, 170 Ausgabezwischenspeicherung 978 Auslagerungsdatei 141, 705 Authentifizierung 929, 931, 958 AutoConnect 461 Autodiscover 461 1059
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Stichwortverzeichnis
Autoloader 70 Autorisierungsregeln 966 Autoruns 723 Autostart 766
B Backup 633 Backup Exec 71 Backup-to-Disk 637 Basisdatenträger 183 Batchdateien 922 bcdedit.exe 110, 676 Befehlszeile 871, 918 Benutzer 307, 334 Benutzeranbindung 75 Benutzerkonten 311 Benutzerkontensteuerung 93, 740 Benutzer-Lizenzen 50 Benutzerprofileigenschaften 345 Benutzerprofilen 344 Benutzerrollen 314 Benutzerverwaltung 307, 338, 603 Berechtigungen 213, 603, 948 Bereichsgruppierungen 171 Bereinigung 1047 Bereitstellung 445 Berichtsdaten 252 Berichtsfunktion 532 Besitzer 216 Besprechungsarbeitsbereich 601 Best Practices Analyzer (BPA) 143 Betriebsmaster 156 Betriebssystemkern 740 Bilder 349 Bindungen 939 BitLocker 744, 859 BITS 535, 860 Blackscreens 653 Blogs 598 Bluescreen 650 Boot Configuration Date Store 110 boot.ini 110 Bootloader 859 Bootmanager 112 Bootmenü 109 bootmgr 109 Bootreihenfolge 86 BPA (Best Practices Analyzer) 143 Bridgehead-Server 1042 Broadcast 65
C CA BrightStor ARCserve 71 CALL 920 CALs 49 Categorizer siehe Kategorisierungsmodul CD 920 certsrv 853 CGI 930
CHARGEN 860 Checkpoint-Datei 433, 658 chkdsk.exe 28, 920 CHOICE 920 Citrix-Lizenzierung 52 Clear Key 747 Client-Access 396 Clientanbindung 459 Clientzugriff 395 Clientzugriffserver 396 CLS 920 Cmdlets 906 COMP 920 compmgmt.msc 235 Computerkonten 360, 362 Computerreparaturoptionen 86, 112, 648, 747, 749 Computerverwaltung 307 Conf.adm 531 ConfigEncKey.key 969 Connectoren 406, 1044 ControlSet001 108 Convert 201 COPY 920 CopyRite XP 242 Core-Server 836, 867
D DAS 59 Data Collector Sets 700 Data Encryption Standard 860 Data Warehouse 43 DATE 920 Dateianhänge 483 Dateiausführungsverhinderung 762 Dateidienste 856 Dateiendungen 73 Dateifreigaben 210 Dateigruppen 251 Dateiprüfung 248 Ausnahmen 250 Richtlinie 233 Verwaltung 248 Dateireplikationsdienst 869 Dateiserver 869 Dateisystem verschlüsseltes 256 verteiltes 234, 254 Datenbank Struktur 428 Wiederherstellung 669 Datensammlergruppen 700 Datensicherung 69, 435, 558, 1026 Datenträger Fehlerdiagnose 535 Kontingente 242, 856 Verwaltung 179 Verwendung 279 Datenverschlüsselung 42 Daytime 860 dcdiag.exe 147
1060
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Stichwortverzeichnis
dcpromo 1048 Defrag 201 Defragmentierung 190, 442, 678 DEL 920 Delegieren 319, 368, 890, 948 DELTREE 920 DEP 762 DES 860 Desktop 349 Darstellung 860 Device-CALs 50 devmgmt.msc 97 DFS 254, 257, 862 DFS-Namespaces 255 dfsradmin.exe 268 DFS-Replikation 264 DHCP 65, 120, 160, 784, 795, 869 Administratoren 337 Benutzer 337 Bereiche 164 Datenbank 167 Erzwingung 36 Server 855 Version 6 855 Diagnose 142, 715 Bericht 267 Systemstart 716 Differenzielle Sicherung 636, 660 DIR 920 Direct Attached Storage 60 Discard 861 diskmgmt.msc 180 Diskmon 205 diskpart.exe 197–198, 747 diskraid.exe 197 Distinguished Name 677 Distributed File System 234, 254 DNS 375, 868 DNS-Einträge 155 DNS-Server 855 DNS-Suffixe 374 DnsUpdateProxy 338 Dokumentationen 892 Dokumente 349 Domänen-Admins 336 Domänen-Benutzer 334 Domänencontroller 37 Domänenkonto 152 Domänenlokal 327, 359 Domänennamenmaster 159 Downgraderechte 53 Downloads 349 Downstream 67 Drahtlosnetzwerk 865 driverquery 99 Druckdienste 857 Druckjobs 291 Druck-Operatoren 334 Druckserver 288, 857, 869 Druckverwaltungs-Konsole 291 DSL 67
Dual-Channel-RAID-Controller 58 Dynamic Host Configuration Protocol 65 Dynamische Datenträger 183 DynDNS 463
E EAP 814 MSCHAP v2 815 EAS 493 ECHO 920 Edge-Transport 396 Editionen 27 EFS 268 Einfache TCP/IP-Dienste 860 Einschränkungen 48 Einwählen 341 E-Mail-Adressenrichtlinien 422 E-Mail-Provider 69 Empfängerfilterung 517 Empfängerkonfiguration 387 Empfangsconnectoren 406 Encrypting File System 256, 268 Energieverwaltung 536 Ereignisablaufverfolgung 929 Ereignisanzeige 142, 690, 847 Ereignisprotokollleser 334 Erweitern 188 Erzwingungsclients 796 ESE 428 Eseutil.exe 445, 664 ETW 929 Event Tracing for Windows 929 EventID 692 eventid.net 142 eventvwr.msc 690 ExBPA 144 Exchange 386, 428, 657 Exchange ActiveSync 493 Exchange Mailübergabe 398 Exchange Server 78 Best Practices Analyzer 144 Exchange-Dateiverteilung 398 Exchange-Datenbanken 393 Exchange-Verwaltungskonsole 320, 386 Exchange-Verwaltungsshell 386 Execution Prevention 762 EXIT 920 EXPAND 920 Export-Mailbox 451 Extensible Storage Engine 428 External Connector-Lizenz 52
F Favoriten 349 Fax Ablage 82 Dienst 75 Empfang 301
1061
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Stichwortverzeichnis
Fax (Fortsetzung) Mailtransport 304 Server 299, 856 FC 920 Features 126, 850 Fehlerbehebung 38, 410, 572 Fehlerüberprüfung 190 fiddlertool 933 File Services 856 Fileserver Resource Manager 242, 856 FIND 920 FIPS 537 Firewall 69 Flatrate 68 FOR 921 forceremoval 1049 ForeignSecurityPrinicipals 333 Forest 76 FORMAT 921 Fortlaufende lokale Sicherung 430 Freigabe- und Speicherverwaltung 235 Freigaben 480 FSMO 159 FSRM 242, 856 Fsutil 201 FTP 921 Server 980 Full Volume Encryption Key 747 Funknetzwerke 62 Funktionen 858 FVEK 747
G Gadgets 383 Geplante Tasks 718 Geräte Setup Klasse 573 Geräte-Identifikations-String 102, 573 Geräte-Indentifikations-String 102 Geräteinstallation 573 Geräte-Lizenzen 50 Geräte-Manager 97 Gerätepostfächer 316 Geräte-Setup-Klasse 102–103 Gesamtstruktur 76 Gesamtübersicht 119 Gespeicherte Spiele 350 get-command 391, 864 getmac 166 get-sbsdatastore 917 Global 359 Global Catalog Server siehe Katalogserver, globaler GOTO 921 Goup Policy Management Console 861 gpedit.msc 524 GPMC 526, 861 GPO 526 GPT 182 Grenzwerte 302, 322 Group Policy Object 526 Gruppen 219, 314, 358
Gruppenkontakte 81 Gruppenrichtlinien 37, 155, 523, 1035 Modellierung 565 Objekte 526 Objektschichten 525 Vererbung 556 Verknüpfung 527, 554 Verwaltung 526, 541, 861 Verwaltungs-Editor 524 Verwaltungskonsole 526
H Hardware 47, 95 Hardwarefehler 708 Hardware-Firewall 69 Hardware-ID 574 HCAP 779 Header 419 Health Registration Authority 777 HELO/EHLO 513 Herabstufen 1048 HitmanPro 763 Host Credential Authorization Protocol 779 HotPlug 58 HotSpare 58 Hotswap 185 HRA 777 HTTP Fehlermeldungen 972 Umleitungen 973 Http.sys 928 Httpapi.dll 928 Hub-Transport 396 Hybridfestplatte 535
I IAS 36 Icacls 201 ICT 847 Identitätsverwaltung 283 IEAK 539 IF 921 IIS 858, 927 Metabase 933 Version 7.0 29 Verwaltungsdienst 970 IIS_IUSRS 334 IIS_WPG 933 IMAP4 398, 501 Indikatorengruppe 700 Inetres.adm 531 Informationsspeicher 399 Infrastrukturmaster 158 Inhaltsfilterung 518 Initial Configuration Tasks 847 Inkrementelle Sicherung 636, 660 INSERT 44 Insight for Active Directory 683 install.wim 113
1062
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Stichwortverzeichnis
Installation 83 Integritätsrichtlinien 782 Interne Windows-Datenbank 861 Internet Authentication Service 36 Internet Explorer Administration Kit 539 Internet Information Services (IIS) 29 Internet Protocol Next Generation 171 Internet Storage Naming Service 861 Internetauthentifizierungsdienst 36 Internet-by-Call 68 Internetdruckclient 861 Internetprotokoll-Version 6 171 Internetzugang 67 InterScan VirusWall 71 Intersite Topology Generator 148 IP Scanner 771 IPnG 171 IPsec 540, 777 IPsec-Erzwingung 36 IPv6 171 ISAPI 930 ISA-Server 69 iSCSI 861 ISDN-Karte 300 Isinteg.exe 671 iSNS 861 ISTG 148
J JET 42 JET-Datenbank 76 Joint-Engine-Technologie 42, 76 Journalregeln 420 Junction Points 350
K Katalogdatei 113 Katalogserver, globaler 329 Katastrophenfälle 902 Kategorisierungsmodul 329 Kaufberatung 67 KCC 148 Kennwort 85, 312 Chronik 552 Replikationsgruppe 886, 889 Kerberos 341 Kernel 28, 928 Knowledgebase 143 Kompatibilität 56, 531 Komprimierung 186, 977 Konfiguration 967 Kontakte 325, 349 Konten-Operatoren 335 Kontingente 242 Verwaltung 244 Vorlagen 244 Kontosperrung 340 Konzepte 632 Kryptografie-Operatoren 335 KVM 61
L L2TP 829 LABEL 921 Lastbedarf 67 LastKnownGood 108 Laufwerk Optionen 88 Verschlüsselung 744 Laufzeit 67 Layer 2 Tunnel Protocol 829 LCR 38, 398, 435 LDAP 854 Leaktests 767 Leasedauer 160 Leistungsdatenindikatoren 929 Leistungsprotokollbenutzer 335 Leistungsüberwachung 698 Libraries 70 Lightweight Directory Access-Protokoll 854 Line-Interactive-USV 66 Linkfavoriten 207 Lizenzen 51 Lizenzierung 49 Local 349 Local Continuous Replication 38, 398, 435 LocalLow 349 Logdateien 974 Logical Unit Number 862 LogonSessions 726 Lokal 327, 359 LPR 861 LUN 862
M MAC-Adresse 165 MAC-Adressenfilterung 65 Mailbox 396 Mandatory Profiles 357 Mapadmin 282 MAPI-Profil 462 Master Boot Record 182 MBR 182 MD 921 mdsched 715 Media Access Control 65 Medienrotation 633 MENUCOLOR 921 Message Queuing 854, 862 metadata cleanup 1050 Metadaten 1050 Metric 176 Microsoft Exchange Active Directory-Topologiedienst 397 Microsoft Exchange EdgeSync 397 Micrsoft Debugging Tools 656 Migrations-Tool 1031 Minianwendung 384 Minutenpreise 68 Modemoptionen 300 Modems 300
1063
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Stichwortverzeichnis
Module 946 Mount 282 MOVE 921 MoveFile 205 msconfig 107, 716 ms-FVE-RecoveryInformation 761 msinfo32.exe 714 MSMQ 862 ms-TPM-OwnerInformation 761 mstsc.exe 129 Multipfad-E/A 862 Musik 349 MyBusiness 338
N NAC 779 Nachrichten Sicherheit 509 Übermittlungseinstellungen 321 Verfolgung 414 Namensauflösung 150 NAP 776, 857 Agent 797 napclcfg.msc 796 NAS 59 ncpa.cpl 34, 118 NDF 177 NDIS 33 net accounts 153 net use 237 netdom 156 netsh 174, 837, 845, 929 NetStumbler 64 Network Access Protection 775 Network Admission Control 779 Network Attached Storage 60 Network Diagnostics Framework 177 Network File System 228, 281, 856 Network Policy and Access Services 857 Network Policy Server 36 Netzteile 61 Netzwerk Administrator 309 Features 32 Karten 61 Konfigurations-Operatoren 335 Lastenausgleich 862 Richtlinien 783 Richtlinien- und Zugriffsdienste 857 Richtlinienserver 36 Standorte 118 Verbindungen 117 Zugriffsschutz 775 Zugriffsschutzklasse 795 Netzwerk- und Freigabecenter 33, 116 Neuerungen 26 NewSID 726 Next Generation TCP/IP-Stack 35 Nexthop 176 NFS 228, 281–282, 856
Nfsadmin 282 Nfsshare 283 Nfsstat 283 NIS 284 nltest 151 Normal 660 Notfallösungen 449 NPS 36 nslookup.exe 150 ntbackup.exe 640 ntds 152 ntdsutil 1050 NTFS 186 Berechtigungen 228 NTLDR 109 NT-Loader 109 ntuser.man 358
O Object Restore For Active Directory 683 Objektbesitzer 216 Objektverwaltung 368 oclist.exe 867 ocsetup.exe 867 Öffentliche Ordner 81, 440, 451 Office Live Small Business Website 506 Offline-Adressbuch 1044 Offlineadresslisten 332 Offlinedateien 229–230, 255, 273, 276 Offline-Defragmentierung 448, 678 Offline-Sicherung 450, 661 Offline-USV 66 Online-Defragmentation 442 Online-Sicherung 659 Online-USV 66 Openfiles.exe 201 Ordnerberechtigungen 212 Ordnerumleitungen 346 Organisations-Admins 336 Organisationseinheiten 77 Organisationskonfiguration 387 Organizational Units 77 OUs 77 Outlook 319, 443, 460, 488, 519 Outlook Anywhere 486 Outlook Web Access 40, 469, 477 OWA 40, 477
P PAP 817 Paritäten 57 Paritätsinformationen 185 Parking Lot Attack 63 Partition 181 PATH 921 Pauschaltarife 68 PAUSE 921 PDC-Emulator 156 PDF 296
1064
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Stichwortverzeichnis
PDF-Creator 299 PDF-Printer 296 PEAP 814 Peer Name Resolution-Protokoll 862 PendMoves 205 perfmon.msc 698 Phishing 520 PID 699 PING 921 Plattenspiegelung 185 Pnputil 847 PNRP 862 Point to Point Tunnel Protocol 828 Point-in-Time 665 PolicyDefinitions 529 POP3 69, 398, 501 POP3-Connector 69, 387, 425 POPBeamer 426 Portmonitor 861 Ports 830 Postfach Datenbank 440, 658 Einstellungen 322 Richtlinien 500 Scanner 73 Server 396 Poststempelüberprüfung 519 PowerGUI 917 PowerShell 685, 864, 905 Add-Content 913 Alias 908 Clear-Content 913 Copy-Item 913 Get-ChildItem 914 Get-Command 910 Get-Date 911 Get-Help 910 Get-Member 912 Get-Process 912 Get-PSDrive 907 Help 910 Invoke-Expression 909 Invoke-Item 915 Laufwerke 907 Move-Item 913 New-Item 913 Out-Printer 909 PowerGadgets 917 Remove-Item 914 Rename-Item 914 Set-ExecutionPolicy 909 Sort-Object 912 Start-Sleep 909 Test-Path 915 Write-Host 909 Write-Warning 909 PPTP 828 Prä-Windows 2000 kompatibler Zugriff 335 Praxisbeispiele 913 Preferredlifetime 176 Prefix 176
Prime 95 656 PRINT 921 Print Services 857 Problembehebung 450 Process Explorer 723 Process Monitor 722 Profile 355, 462 Protokolldatei 694 Protokollierung 929, 975 Protokollstack 173 Protokolltreiber 928 Proxyeinstellungen 546 Proxyserver 71 Prozessorauslastung 706 PSExec 724 PSKill 724 PSList 724 PsLoggedOn 726, 770 PSLoglist 727 PSShutdown 843 PST-Dateien 451
Q QoS 33, 535 Richtlinien 539 Quality of Service 33, 535 Quarantäne 536 Quarantäneerzwingungsclient 796, 820 Queues 411 Quotas 242, 856
R Rack-mount 61 RADIUS 36, 815 Server 857 RAID 180 RAID-5-Volume 185 RAID-Systeme 57 RAS-Protokollierung 830 Raumpostfach 317 RBL 515 RD 921 RDC 257 RDP 537 Read-Only-Domänencontroller 36, 882 ReadyBoost 578 Realtime Blackhole Lists 515 Rechteverwaltung 861 Recovery 658 Redundant Array of Independent Disks siehe RAIDSysteme Relaying 403 REM 921 Remediation Server 781 Remote Authentication Dial-In User Service 36 Remote Differntial Compression 257 Remote Server Administration Tools 371, 866 Remote Web Workplace 50 Remote Wipe 500 1065
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Stichwortverzeichnis
Remotedesktop 128 Benutzer 335 Verbindung 129, 135 Remotedifferentialkomprimierung 862 Remoteserver-Verwaltungstools 862, 866 Remoteüberwachung 342 Remoteunterstützung 862 Remoteverwaltung 955 Remote-Webarbeitsplatz 122, 503 Remotezugriff 312 REN 921 Replikation 255 Replikationsdienst 398 Replikations-Operator 336 Reservierung 165 Ressourcen-Manager für Dateiserver 242, 856 Ressourcenmonitor 713 Ressourcenplanung 81 Ressourcenpostfach 317 Rettungsmöglichkeiten 760 Richtlinien 43, 318 Einstellungen 531 Ergebnissatz 572 Ersteller-Besitzer 338 RID-Master 157 Roaming 349 Robocopy 238 Robust File Copy Utility 238 RODC 36 Rollen 126, 850 Roll-forward 667 Routinggruppen-Master 1043 Royal TS 133 RPC über HTTP 486, 862 RSAT 371, 866
S SAM 76 Sammelpostfach 69 Sammlungssätze 702 Sandboxie 766 SBS_LOGIN_SCRIPT.bat 1046 sbsanswerfile.xml 1031 sc 847 Schattenkopie 191 Schattenkopiedienst 633, 643 Schema-Admins 337 Schemamaster 158 Schutzmaßnahmen 64 SCL 510 scregedit.wsf 846 SCW 34 Secure Sockets Layer (SSL) 962 Security Account Manager 76 Security Configuration Wizard 34 Security ID 213 Sendeconnectoren 406 Senden als 324 Sender ID 520 Sender Reputation Level 513
Seriennummer 86 Server-Hardware 56 Serverkonfiguration 387 Serverleistung 977 Server-Manager 124, 849 servermanager.cmd 871 servermanager.msc 125 ServerManagerCMD.exe 127, 851 Servermarke 56 Server-Operatoren 336 Serverraum 73 Serverrollen 396, 852 Serverschrank 61 Serverzertifikat 822, 930, 961 Service 57 Service Principle Name 929 services.msc 397 Set-MailboxCalendarSettings 318 Shared Fax Client 303 Shared-Key 64 ShareEnum 204 SharePoint Services 585, 1028 Version 3.0 46 Shell-Anwendungsverwaltung 536 Showmount 283 Shutdown.exe 843 SHV 777 Sicherheit 63, 219, 958 Sicherheitsebenen 456 Sicherheitsfunktionen 739 Sicherheitsgruppen 314 Sicherheitsprogramm 765 Sicherheitsrichtlinien 524 Sicherheitszertifikate 476 Sicherung 450, 646 Sicherungs-Operatoren 336 Sicherungsprogramm 643 Sicherungsstrategien 632 SID 213, 726 Sidebar 380 Sigverif 201 Simple Network Management-Protokoll 863 Single Sign-On 854 Siteprefixlength 176 Sitzungen 235, 342 Skalierbarkeit 67 Skripts 909 slmgr.vbs 87, 106 SLUI 104 Small Business Server Best Practices Analyzer 1032 Smartcard 340 Smarthost 124 SMB 32 SMTP 417 Banner 409 Server 863 Snapshots 680 SNMP-Dienst 863 Soft-Recovery 433 Software 71 Softwareverteilung 570
1066
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Stichwortverzeichnis
SOH 778 SourceTool.exe 1031 Spam Confidence Level 510 Spamschutz 73, 509 Speedfan 656 Speicherberichteverwaltung 251 Speicherdiagnose 715 Speicherengpässe 140, 704 Speichergruppen 429 Speicher-Manager für SANs 856, 863 Speicherplatzverwendung 279 Speicherstammschlüssel 859 Sperrliste 516 Spiegelung 57 SPN 929 Spotlight 686 Spyware 35, 765 SQL Server 2008 42 SRL 513 SSID 65 SSL 469, 962 SSO 854 Stammzertifizierungsstelle 475, 823 Standardauthentifizierung 960 Standardbenutzer 309 Standorte 151 Startoptionen 106, 462 Startprotokollierung 717 Stateful Inspection-Firewall 69 Statement of Health 777–778 StorageMgmt.msc 235 Store 176 Stripeset 58 Stripesetvolume 184–185 Stromverkabelung 74 Struktur 77 stsadm.exe 594 SUA 863 Subnetzprefixlänge 175 SUBST 921 subst.exe 200 Subsystem für Unix-basierte Anwendungen 863 Suchindizierung 398 Suchvorgänge 349 Superscopes 171 svchost.exe 710 Switches 62 Synchronisieren 278 System Health Validators 777 System.adm 531 Systemaufsicht 399 Systemdienste 397 systeminfo.exe 718 Systemintegritätsprüfung 781 Systemkonfiguration 716 Systemleistung 713 Systemmonitor 700 Benutzer 336 Systempartition 189 Systemüberwachung 689 Systemvolumes 188
Systemwiederherstellung 674 Optionen 747 SYSVOL 154
T Tablet PC 537 Tarife 68 Taskkill 714 Tasklist 711, 714 Task-Manager 709 taskmgr 709 taskschd.msc 718 TCG 745 TCP/IP 32 TCPView 684, 769 TELNET 921 Telnet-Client 863 Telnet-Server 863 Terminaldienste 537, 857 Konfiguration 132, 342 Profil 342, 357 Verwaltung 130–131 Terminalserver 52 Benutzer 342 Lizenzserver 336 TFTP 863 Themes 485 Threads 699 TIME 921 TLS 537 Tombstone Lifetime 681 Toolbox 387 Tools 917 Top-Level 456 TPM 859 tpm.msc 750 TPM-Chip 745 TPM-Verwaltungskonsole 750 Transactional NTFS 28 Transaktionsprotokolle 431 Transition Pack 48, 834 Transport Layer Security 537 Transportprotokollsuche 398 TREE 77, 921 Treiber 95 Trend Micro 71 Trigger 719 Trojaner 765 Troubleshooting 499 Trusted Platform Module 859 TS Web Access 338 TS-CALs 52 TYPE 921
U UAC 93, 740 Überwachung 38, 67, 220 Überwachungsprotokoll 221
1067
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Stichwortverzeichnis
UDDI-Dienste 858 Uhrzeit 1034 Umgebung 342 Umgebungsvariablen 923 Umlaufprotokollierung 434 Unbeaufsichtigt 872 UNC 236 Universal 327, 359 UNIX-Attribute 284 Unmount 283 Unterbrechungsfreie Stromversorgung (USV) 66 UPDATE 44 Update Sequence Number 341 UPN 482 Upstream 67 USB-Stick 538, 578 User Account Control 93, 740 User-CALs 50 Users 333 USN 341 USV 66, 84
V Validlifetime 176 vbs 73 Verbindliche Profile 357 Verbindungsanforderungsrichtlinie 811 Verbindungsanforderungsweiterleitung 813 Verbindungsfilter 515 Verbindungs-Manager-Verwaltungskit 864 Verbindungspunkte 196, 350 Vererbung 217 Verkleinern 188 Verschlüsseltes Dateisystem 256 Verschlüsselung 270, 280 Verschlüsselungsstufe 537 Verteilergruppe 314, 326, 520 dynamische 329 Verteilerlisten 80 Verteiltes Dateisystem 234, 254 Verwaltungsprogramme 309, 371 Verzeichnisdienst 76 Verzeichnisdienstwiederherstellung 107, 675 Verzeichnisse 397 Verzeichnisstruktur 399 VFD (Virtual Floppy Disk File) 66 VFI 66 VI 66 Videos 349 Viren 765 Virenschutz 71 Virensignaturen 72 visionapp Remote Desktop 132, 135 Vista 30, 798 Visual Studio 2008 46 VOL 921 Vollsicherung 634 Volume 181 Volume Shadow Service 633 Volumenbasierte Verträge 68
Volumenpreise 68 VPN 35, 774, 808 Clients 826 Erzwingung 36 Server 857 VSS (Volume Shadow Copy Service ) 633 Vssadmin 201
W W3C 976 Wardriving 64 Warteschlange 929 Warteschlangen 411 Warteschlangenanzeige 412 Wartungsservergruppen 781, 786 WAS (Windows Activation Service) 865 wbadmin.exe 646, 675 WDS (Windows Deployment Services) 858 web.config 930, 948 Webanwendungen 940 Webparts 599 WebReady Viewing 484 Webserver 854, 858, 927 Zertifikat 469 Websites 313 Wechselmedien 578 Manager 864 Zugriff 580 Wechselspeichermedien 536 WEP (Wired Equivalent Privacy) 64 wevtutil 847 Wiederherstellen 443, 631, 663 Wiederherstellungsschlüssel 745 WIM (Windows Image File) 858 Windows Activation Service 865 Windows Deployment Services 858 Windows Eventing 6.0 690 Windows Mobile 476 Windows PowerShell 864 Windows Process Activation Services 945 Windows SBS Console 211 Windows Server-Sicherung 640, 864 Windows Services for UNIX 228, 281 Windows System Image Manager (SIM) 113 Windows System Resource Manager 861 Windows-Audio-/Video-Streaming 864 Windows-Authentifizierung 961 Windows-Autorisierungszugriffsgruppe 336 Windows-Bereitstellungsdienste 858 Windows-Explorer 206 Windows-Fehler 708 Windows-Fehlerberichterstattung 538 Windows-Protokolle 690 Windows-Prozessaktivierungssdienst 865 Windows-Sidebar 383 Windows-Suche 206 Windows-Systemressourcen-Manager 865 WinPatrol 764 WINS Users 338 Winsock Kernel 33
1068
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Stichwortverzeichnis
Wireless LAN 62 WLAN 63 WMI 925 Provider 364 WMIC 925 Wmplayer.adm 531 Worker Process 947 WPAD 167 WSK 33 WSRM 865 WSS_ADMIN_WPG 338 WSUS 861 Wuau.adm 531
X
Z Zeichengenerator 860 Zeitbasierte Verträge 68 Zeitplanerstellung 426 Zertifikatdienst DCOM-Zugriff 336 Zertifikate 467, 490, 823–824, 1053 Zertifizierungspfad 475 Zertifizierungsstelle 853 Webregistrierung 853 Zugriffskontrolliste 213 Zulassungsliste 516 Zusatztools 637 Zuverlässigkeitsüberwachung 707 Zwischenspeicherung 229
XCOPY 921 XML 29 XML-Notepad 2007 873
1069
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Der Autor
1071
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1
Der Autor
Thomas Joos ist freiberuflicher IT-Consultant und seit 20 Jahren in der IT-Branche tätig. Er schreibt Fachbücher und -artikel zu Microsoft-Produkten und anderen Themen in der IT und berät Unternehmen im Mittelstands- und Enterprisebereich in den Bereichen Microsoft-Netzwerke, Active Directory, Exchange Server und IT-Sicherheit.
1072
Thomas Joos, Microsoft Windows Small Business Server 2008, © 2009 Microsoft Press Deutschland, ISBN 978-3-86645-126-1