Windows 2008 Server

Informationen über die Kompatibilität mit Windows 2008
http://www.microsoft.com/windowsserver2008/en/us/supported-applications.aspx

Exchange System Manager - Der ESM von Exchange 2003 ist nicht auf Windows 2008 supported.

Windows 2008 und NT4-Client
942564 The Net Logon service on Windows Server 2008 and on Windows Server 2008 R2 domain controllers does not allow the use of older cryptography algorithms that are compatible with Windows NT 4.0 by default

Windows 2008 RODC und Windows 2003/XP Client
944043 Description of the Windows Server 2008 read-only domain controller compatibility pack for Windows Server 2003 clients and for Windows XP clients and for Windows Vista

Mit Windows 2008 hat Microsoft Anfang 2008 den Nachfolger von Windows 2003 auf den Markt gebracht. Wieder einmal ändert sich einiges, so dass ich ein paar wichtige Punkte hier aufführen will:

Im Hinblick auf Exchange gibt es auch einige interessante Veränderungen

Achtung:
Exchange 2000/2003/2007 kann noch nicht mit der Funktion RODC umgehen. Hier wird ein Servicepack erforderlich sein. Planen Sie aber hier auf jeden Fall einen vollwertigen DC ein.

Auch Windows XP und Windows 2003 Server haben die ein oder anderen Probleme z.B. bei ADMT

ADMT, RODC’s, and Error 800704f1
http://blogs.technet.com/b/askds/archive/2009/10/19/admt-rodc-s-and-error-800704f1.aspx
944043 Description of the Windows Server 2008 read-only domain controller compatibility pack for Windows Server 2003 clients and for Windows XP clients and for Windows Vista

Dies wird einer der Gründe sein, warum Exchange 2000/2003 nicht auf Windows 2008 laufen wird. Nur Exchange 2007 wird den IIS7 unterstützen.

Exchange 2007 RTM unterstützt noch keine Cluster in mehreren Subnetzen. Soweit mir bekannt wird es auch mit SP1 erst mal nicht möglich sein. Allerdings ist natürlich der Einsatz von Standby Continuous Replication auch über Subnetze hinweg möglich

Auch wenn IPV6 ein wichtiger Schritt für das Internet ist und auch der Einsatz in privaten Netzwerken durchaus seine Vorteile hat (schnellere Konfiguration für DHCP/DNS etc.), werden vermutlich die meisten mittleren und kleinen Firmen auch weiterhin mit ihren privaten IP-Adressen (10.x.x.x, 169.254.x.x, 172.16.x.x -172.31.x.x und 192.168.x.x) arbeiten, so dass diese Funktion wohl lange Zeit brach liegen wird... Leider

Meine Einschätzung zu Virtualisierung ist geteilt. Zum einen nutze ich Virtualisierung extrem für Test, Schulung, Entwicklung und auch für die ein oder anderen Produktivserver. Auf der anderen Seite ist der Massenspeicher bei vielen Systemen (Besonders Dateiserver, SQL-Server, Exchange Server) der Engpass im System und der wird durch Virtualisierung nicht breiter. Interessant kann natürlich der Ansatz für kleine Umgebungen sein (Small Business o.ä.) in der dann die großen Rollen DC, File, Exchange in eigenen VMs laufen können, so dass eine Ressourcenzuteilung möglich wird und vor allem Updates für ein Produkt nicht alle anderen Produkte gefährden.

Schöne heile Welt aber aktuell sehe ich den Einsatz dieser Funktion in Sicherheitskritischen Bereichen oder großen Firmen. Der "normal" Mittelstand ist ja erst mal froh, wenn das Netzwerk funktioniert. Schon vor NAP gab es Funktionen wie MAC-Adressfilterung, 802.1x Authentifizierung und IPSec, um Netzwerke "sicherer" zu machen, Gerade IPSec und 802.1x sind relativ schnell eingeführt und sperren unbekannte Systeme schon einmal aus.
NAP füllt dann die Lücke, dass bekannte authentifizierte Systeme trotzdem Schaden anrichten, weil Sie nicht den Firmenvorgaben bezüglich Updates, Virenschutzpatterns etc. entsprechend. Ich bin mal gespannt, wie schnell diese Fun

2009267 Windows Server 2008 R2 or Windows Server 2008 domain controller returns only 5000 attributes in a LDAP response
Range Retrieval of Attribute Values http://msdn.microsoft.com/en-us/library/cc223242(PROT.10).aspx
Example Code for Ranging with IDirectoryObject http://msdn.microsoft.com/en-us/library/aa705923(VS.85).aspx
Example Code for Ranging with IDirectorySearch http://msdn.microsoft.com/en-us/library/aa705924(VS.85).aspx
Paging Search Results http://msdn.microsoft.com/en-us/library/aa367011(VS.85).aspx
LDAP Policies http://msdn.microsoft.com/en-us/library/cc223376(PROT.10).aspx

Es gibt natürlich noch viel viel mehr interessante Funktionen, die mit Windows 2008 Einzug in ihre Netzwerk halten werden. Allerdings sind sie aus meiner Sicht für Exchange nicht weiter relevant, so dass ich mir hier die Aufzählung von Features erspare.

Windows 2008 Inplace Updatepfade

Im Gegensatz zu den früheren Update von Windows NT und Windows 2000 auf Windows 2000/2003 sind die Updatepfade nach Windows 2008 im Rahmen einer "Inplace"-Aktualisierung sehr überschaubar:

Windows 2008 Update Pfade

Ein direktes Update von Windows NT4 oder selbst Windows 2000 ist nicht möglich. Man muss solche Systeme also erst auf Windows 2003 aufrüsten. Selbst von Windows 2003 muss dann mindestens Servicepack 1 installiert sein, damit ein Update nach Windows 2008 möglich ist. Ein Wechsel von 32bit nach 64bit ist innerhalb eines Inplace Updates auch nicht möglich.

Offen stehen Ihnen natürlich immer die Wege, die Server komplett frisch zu installieren und die Konfigurationen und Daten wieder herzustellen oder im Rahmen einer Migration und Konsolidierung die Umgebung anzupassen.

Neben der Migration der Server muss man natürlich noch ein Auge auf die verschiedenen Betriebsarten des Active Directory werfen. Hier gibt es ja die verschiedenen Active Directory Betriebsarten und entsprechende Abhängigkeiten von Domaincontrollern. Zur Vereinfachung habe ich hier nun nicht nach "Domain Functional Level" und "Forrest Functional Level" getrennt

Windows 2008 Koexistenz

Man kann gut sehen, welche DCs irgendwann nicht mehr erlaubt sind. Es ist aber ebenso gut sichtbar, dass Mitgliedsserver eigentlich immer in der Umgebung funktionieren. Es gibt aber ein paar Einschränkungen oder manuelle Tätigkeiten.

Windows 2008 /2008R2 Domains

Aber es ist nicht allein das Update der Domain Controller, sondern mit Windows 2008 und besonders mit 2008 R2 ändern sich auch im Active Directory verschiedene Dinge. Im wesentlichen dreht es sich dabei um die "Default Domain Controller Policy", welcher sich auf alle DCs der jeweiligen Domains durchschlägt. Und hier sind es folgende Werte:

Sie können diese Einstellungen nach der Installation des DCs auf ihre Bedürfnisse anpassen und mit "GPUPDATE /Force" die Anwendung beschleunigen. Zukünftig sollten Sie aber prüfen, wann Sie diese Einstellungen wieder auf "Sicher" umstellen.

Upgrading Active Directory Domains to Windows Server 2008 and Windows Server 2008 R2 AD DS Domains
http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=fa629de2-f4dd-47ac-8d80-3db46b2877a2
Lesenswertes White Paper für das Update von Windows 2008 DCs

Windows 2008 testen

Es ist problemlos möglich, eine Windows 2008 CD als Installationsquelle zu verwenden und keinen Produktschlüssel einzugeben. Dann läuft Windows 2008 erst einmal für 60 Tage. Dieser Zeitraum kann sogar offiziell drei mal verlängert werden

Danach ist aber ein Neustart des Servers erforderlich. Auch bei der Auswahl der Version (Standard, Enterprise, Datacenter) sollte man genau aufpassen, das es nicht wie bei Vista damit getan ist, einen anderen Produktschlüssel einzugeben. Man muss den Server schon neu installieren, um die Version zu ändern. 

Windows 2008 DCs und Exchange 2000/2003

Exchange 2000 SP3 Server können nicht mit Windows 2008 DCs arbeiten. Wenn Sie also Windows 2008 DCs in ihre Umgebung bringen, dann dürfen diese nicht in der gleichen AD-Site stehen, wie ihre Exchange 2000 Server oder Sie müssen vorab die vom Exchange Server genutzten DCs manuell auf Windows 2000/2003 DCs konfigurieren.

Siehe auch http://blogs.technet.com/b/exchange/archive/2007/08/16/446709.aspx

Exchange 2003 auf Windows 2008 - NEIN

Exchange 2003 ist nicht auf Windows 2008 unterstützt. Punkt. Es soll Leute geben, die es geschafft haben, Teile von Exchange 2003 auf einem Windows 2008 Server zu installieren, aber es ist weder von Microsoft unterstützt noch haben Sie dadurch einen Vorteil. Da Windows 2008 einen komplett neuen IIS mitbringt, ist es sehr fraglich ob OWA, ActiveSync, WebDav und all die anderen HTTP-Zugriffe auf Exchange überhaupt funktionieren.

Windows 2008 und Exchange 2007 SP1

Für die Installation auf Windows 2008 benötigen Sie Exchange 2007 SP1. Zwar gibt es auch inoffizielle Anleitungen, wie Exchange 2007 auf Windows 2008 installiert werden kann. Aber davon ist dringend abzuraten. Da das Exchange 2007 SP1 ein komplettes Installationsmedium ist, werden Sie nicht in die Verlegenheit kommen und Exchange 2007 RTM installieren zu müssen.

Windows 2008 Demo Videos
http://technet.microsoft.com/en-us/windowsserver/2008/bb405958.aspx

TechNet Virtual Lab: Installing Exchange Server 2007 SP1 on Windows Server 2008
http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032365366&EventCategory=3&culture=en-US&CountryCode=US

Exchange Server and Windows Server 2008
http://blogs.technet.com/b/exchange/archive/2007/08/16/446709.aspx
Exchange Server and Windows Server 2008, Part II
http://blogs.technet.com/b/exchange/archive/2008/03/05/448338.aspx

Wer nicht über die GUI die verschiedenen Komponenten installieren will und mit der Kommandozeile auf Kriegsfuß steht, kann folgendes CMD-Skript starten, um die erforderlichen Komponenten für Exchange 2007 zu installieren

echo --- Installation Basiskomponenten fuer Exchange 2007 auf Windows 2008 --
ServerManagerCmd -i Web-Metabase 
ServerManagerCmd -i Web-Lgcy-Mgmt-Console 
ServerManagerCmd -i Web-Server 
ServerManagerCmd -i Web-ISAPI-Ext 
ServerManagerCmd -i Web-Metabase 
ServerManagerCmd -i Web-Lgcy-Mgmt-Console 
ServerManagerCmd -i Web-Basic-Auth 
ServerManagerCmd -i Web-Digest-Auth 
ServerManagerCmd -i Web-Windows-Auth 
ServerManagerCmd -i Web-Dyn-Compression 
ServerManagerCmd -i PowerShell 
ServerManagerCmd -i RPC-over-HTTP-proxy

Danach sollte die Exchange 2007 Installation ohne weitere Einschränkungen durchlaufen.

Windows 2008 Cluster, CCR und OAB

Wer schon ganz neue Server und Windows 2008 beschafft, ist oft auch ein Kandidat für Cluster und Hochverfügbarkeit. Da bietet sich natürlich ein Exchange 2007 Cluster Continuous Replication-Cluster an, bei dem immer einer von zwei Konten aktiv ist und der andere die Datenbank repliziert. Das funktioniert seit Exchange 2007 SP1 sogar auf Anhieb, aber einige Probleme gibt es doch.

So kann ein Exchange 2007 CCR Cluster auf dem Cluster selbst zwar ein OAB generieren, aber kein CAS-Server kann dieses OAB dann auf seine lokalen Disks replizieren. Der Windows 2008 Cluster hat einfach "vergessen" den Share ExchangeOAB anzulegen, damit die CAS-Server diese Daten über den Exchange File Replication Service holen können. Den Share gibt es mit dem Namen des physikalischen Knoten aber ist nicht mit dem Exchange Cluster Namen erreichbar.

Allerdings ist es auch nicht möglich, diesen Share als Admin von Hand anzulegen, da Windows 2008 solche Shares nur auf gemeinsam erreichbaren Festplatten anlegen lässt. diese gibt es im CCR Cluster aber per default nicht.

Daher stehen ihnen temporär nur folgende Lösungswege offen:

Wichtiges Rollup5 für CCR auf Windows 2008 mit OAB Generierung
954197 Exchange 2007 CAS cannot copy the OAB from the OAB share on Windows Server 2008-based Exchange 2007 CCR clusters

Microsoft arbeitet schon an einer Lösung, da es ein Fehler von Windows 2008 zu sein scheint. Da hat wohl eine "Sicherheitsfunktion" etwas über die Stränge geschlagen, dass der Share nicht mit dem Clusternamen erreichbar ist, aber über den Knotennamen als auch über die IP-Adresse des Clusters erreichbar ist.

Windows 2008 und Exchange Updates

Angenommen, Sie haben schon Windows 2000/2003 und Exchange 2000/2003 in ihrer Umgebung und wollen auf Exchange 2007 und Windows 2008 umstellen, dann sollten Sie folgende Randbedingungen bei der Planung berücksichtigen:

Unterm Strich kann man also nur sagen:

Die eigentliche Exchange Migration entspricht dann der Anleitung auf Mig200x-2007. Vor dem Einsatz von Windows 2008 sollten Sie aber noch ein paar andere, oft vergessene, Komponenten beleuchten:

Auch wenn die neuen Funktionen von Windows 2008 für einige Firmen sehr wichtig sind, so sollten kleine Firmen erst man überlegen, ob Windows 2008 speziell am Anfang des Produktzyklus schon einen messbaren Vorteil bringt oder ob man den Drittherstellern auch einfach die Zeit lässt, ihre Produkte anzupassen.

RPC over HTTP auf Windows 2008 benötigt etwas Hilfe, da die Exchange Dienste nicht auf IPv6-Adressen lauscht, aber RCP/HTTP über Localhost die IPv6-Adresse nutzt
http://blog.aaronmarks.com/?p=65

Lösung: IPv6 in der Registrierung abschalten
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\ParametersDisabledComponents:DWord32 = 0xFF

Exchange Backup und Windows 2008
Windows 2008 kann mit Bordmitteln keine Exchange Server sichern, da auch das Programm NTBACKUP nicht mehr enthalten ist. Ein Tool zur Sicherung von Exchange 2007 per Schattenkopien ist aber bereits angekündigt.

Windows 2008 und IISADMPWD

Wenn Anwender per Webbrowser arbeiten, dann sollten Sie auch auf diesem Wege die Möglichkeit haben, ihr Kennwort zu ändern. In früheren Windows Server Versionen war dazu das virtuelle Verzeichnis IISADMPWD vorhanden, welches man einfach nur einbinden musste. Auf dieses virtuelle Verzeichnis verweist nämlich der "Button" in Outlook Web Access. Also muss man das nur entsprechende einbinden.

Allerdings  gibt es dieses Verzeichnis auf einem Windows 2008 Server nicht mehr. Anscheinend hat Microsoft diesen Teil als zu unsicher entfernt ohne eine adäquate Alternative anzubieten. Allerdings kann man auch einfach den Code eines IIS6 auf dem IIS7 wieder reanimieren. Auf dem folgenden Link ist ein kleines HowTo:

Windows 2008 DCs mit Samba und anderen Clients

Windows 2008 DCs sind von Hause aus "sicherer". Nicht nur, dass Sie ältere Authentifizierungsverfahren per Default nicht mehr anbieten, sondern sie setzen selbst bei NTLM2-tauglichen Clients die "erweiterte Sicherheit" voraus. Das erschwert natürlich diversen "kompatiblen" Serverprodukten (z.B. Samba, diverse NAS-Systeme etc.) die Integration in das Active Directory.

Über eine Einstellung auf dem DC können Sie diese Anforderung wieder aufweichen

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
"AllowLegacySrvCall"=dword32:00000001

Weitere Infos finden Sie auch im folgenden KK-Artikel:

Windows 2008 und Windows Firewall

Windows 2003 hatte schon eine Firewall-Funktion eingebaut, die aber noch nicht komplett "Scharf" war. Microsoft hat damit aber den Entwicklern von Drittsoftware schon mal die APIs und den Weg aufgezeigt, der zukünftig gegangen wird. In Windows 2008 ist die Firewall aber per Default aktiv und sogar so dicht, dass alle verboten ist, was nicht explizit erlaubt wird. Das merken Sie schon mal daran, dass ein nackter Server nicht mal mehr auf einen "PING" antwortet. Die Antwort auf diese ICMP-Anfrage wird erst erlaubt, wenn z.B. die Fileserver-Rolle oder Domaincontroller-Rolle installiert wurde. Ein Client prüft gerne vorab die Erreichbarkeit eines Servers per Ping, ehe er einen "teuren" TCP-Handshake aufbaut. Der Dienst selbst ist immer installiert und gestartet.

Für Dienste und Programme, die daher auf einem Windows 2008 Server oder höher installiert werden, muss daher entweder das Setup oder der Administrator entsprechende Einstellungen vornehmen. Wenn Sie nun die Firewall im Verdacht haben, ihre Anwendung zu blockieren, dann sollten Sie unter keinen Umständen den Dienst stoppen. Das kann sogar dazu führen, dass noch weniger geht.

Because the Windows Firewall service applies Windows service hardening rules to standard Windows Networking services, Microsoft does not support stopping the Windows Firewall service. If you do not want to use Windows Firewall, turn the firewall features off by using the Group Policy settings described in this section, without stopping the service
Quelle: http://technet.microsoft.com/en-us/library/cc771032(WS.10).aspx

Besser ist es hier über das Firewall-Controlpanel die Funktion für das Domänen-Netzwerk zu deaktivieren.

Dies gilt insbesondere, wenn eine Anwendung mit dynamischen Ports arbeitet, d.h. OCS Edge Server o.ä. und die feine Konfiguration der Öffnungen erst erfolgen soll, wenn die Funktion belegt werden kann.

Windows 2008 Servermanager und Rollen und Features

Ich bin selbst schon mehrfach in das Problem gelaufen, dass ein Windows Update etwas nicht "richtig" gemacht hat und dann auf dem Server keine Rollen und Features mehr addiert oder entfernt werden konnten. Es lag dann einer defekten MUM und CAB-Datei im Packages-Ordner von Windows 2008. Folgende Artikel können bei der Fehlersuche helfen

Windows 2008 Core Server

Neu ist bei Windows 2008 die Funktion, ihn sehr abgespeckt als "CORE" zu installieren. Primäres Ziel ist die Angriffsflächen zu reduzieren. Eine Software ,die nicht installiert ist, deren Lücken können auch nicht ausgenutzt werden. Das zeigt sich deutlich an einer reduzierten Anzahl von Updates und Patches, die auf einem Server Core installiert werden müssen. Zwei Dinge sind dabei aber zu berücksichtigen:

So elegant daher der Ansatz eines Core-Servers ist, ich denke dass er bei mittleren und kleineren Firmen seltener zum Einsatz kommt. Anders mag das bei Hostern, Providern und Appliances aussehen. Für die wenige Core-Server habe ich mir hier aber ein paar Tipps aufgeschrieben, wie auf dem Core-Server etwas gemacht werden kann

pnputil -i -a <path to inf>

Passend dazu hat Daniel Petri einige Artikel veröffentlicht:

Windows 2008 R2 und Trusts

Mit Windows 2008 R2 hat Microsoft die Vertrauensstellung beschränkt, Es ist nicht mehr möglich, einen Trust zu einer NT4 Umgebung aufzubauen. Das war unter Windows 2008 noch möglich.

Important Windows NT 4.0 trusts cannot be created between Windows Server 2008 R2-based domains and Windows NT 4.0-based domains. The workaround steps that are documented later in this article apply to only Windows Server 2008. Security changes that are in Windows Server 2008 R2 prevent a trust between Windows Server 2008 R2-based domains and Windows NT 4.0-based domains. This behavior is by design
Quelle:  http://support.microsoft.com/kb/942564/en-us

Unter Windows 2008 konnte dies noch durch ein Absenken des Sicherheitslevels erreicht werden.

128bit NTLM mit Windows 2008

Zudem muss man wissen, das Windows 2008 als auch Windows 7 per Default eine 128bit Verschlüsselung erzwingen, was viele Clients nicht verstehen oder der Zugang nicht unterstützt. Auch dazu gibt es eine Unmenge an Artikeln.

Weitere Links

Tags:Windows 2008