Windows 2008 Server

Informationen über die Kompatibilität mit Windows 2008
http://www.microsoft.com/windowsserver2008/en/us/supported-applications.aspx

Exchange System Manager - Der ESM von Exchange 2003 ist nicht auf Windows 2008 supported.

Windows 2008 und NT4-Client
942564 The Net Logon service on Windows Server 2008 and on Windows Server 2008 R2 domain controllers does not allow the use of older cryptography algorithms that are compatible with Windows NT 4.0 by default

Windows 2008 RODC und Windows 2003/XP Client
944043 Description of the Windows Server 2008 read-only domain controller compatibility pack für Windows Server 2003 clients and für Windows XP clients and für Windows Vista

Mit Windows 2008 hat Microsoft Anfang 2008 den Nachfolger von Windows 2003 auf den Markt gebracht. Wieder einmal ändert sich einiges, so dass ich ein paar wichtige Punkte hier aufführen will:

  • Rollen (Roles), Funktionen (Features) und Servermanager
    Die verschiedenen Komponenten eines Servers wurden nun klar in Rollen und Funktionen getrennt. Rollen sind z.B. Dateiserver, Druckserver, Domaincontroller, IIS, WINS-Server etc., die separat installiert werden können. Ein Server kann quasi "genau eine" Rolle oder eben auch mehrere Rollen tragen. Nur die zur Rolle erforderlichen Dienste werden installiert. Das reduziert Speicherbedarf aber vor allem Komplexität und trägt so zur Sicherheit und Stabilität bei. Funktionen sind kleinere Dinge wie SNMP, .NET Framework, NetMon etc., die bislang als Windows Komponenten zu finden waren. Das alles wird nun über einen zentralen Servermanager konfiguriert. Es gibt ca. 20 Rollen und ca. 30 Funktionen (Zahlen der Beta3/RC1, RTM kann abweichen)
  • Setup
    Die Installation geht nicht nur anhand der neuen Imagetechnik (Analog zu Vista) schneller, sondern verschiebt sehr viele Eingaben an das Ende. So wird ein zufälliger Servername gewählt. Die umbenennung, Aufnahme in eine Domäne, ändern des Administratorkennworts, Konfiguration von IP-Adressen etc. erfolgt erst nach der Installation über einen Assistenten, der die wichtigen Schritte vorgibt.

Im Hinblick auf Exchange gibt es auch einige interessante Veränderungen

  • Read Only Domain Controller (RODC)
    Ein wichtiges Feature ist die neue Möglichkeit, Domaincontroller in Niederlassungen mit ausgewählten lokalen Kennworten zu betreiben. Bislang war es immer etwas knifflig, weil ein Angreifer sich den dezentralen Domaincontroller schnappen und mit Cracktools (L0phot, etc.) relativ einfach die Kennwort ermitteln konnte. Mit Windows 2008 kann man nun angeben, für welche Benutzer das Kennwort überhaupt vor Ort hinterlegt werden darf. Zudem gibt es vor Ort nun auch auf dem DC einen "lokalen Admin", so dass auch hier in kleinen Niederlassungen der DC auch Fileserver sein kann und ein Dienstleister vor Ort den Service übernehmen kann, ohne gleich Domänen Administrator zu sein. Voraussetzung ist eine Domäne und Forrest im Windows 2003 Native Mode und mindestens ein vollwertiger Windows 2008 DC, mit dem der RODC kommunizieren kann.

Achtung:
Exchange 2000/2003/2007 kann noch nicht mit der Funktion RODC umgehen. Hier wird ein Servicepack erforderlich sein. Planen Sie aber hier auf jeden Fall einen vollwertigen DC ein.

Auch Windows XP und Windows 2003 Server haben die ein oder anderen Probleme z.B. bei ADMT

ADMT, RODC’s, and Error 800704f1
http://blogs.technet.com/b/askds/archive/2009/10/19/admt-rodc-s-and-error-800704f1.aspx
944043 Description of the Windows Server 2008 read-only domain controller compatibility pack für Windows Server 2003 clients and für Windows XP clients and für Windows Vista

  • IIS7
    Der neue Webserver ist natürlich auch für die Exchange 2007 CAS-Rolle relevant und wird hier einige Veränderungen für die Entwickler aber auch Administratoren bedeuten. So ist der IIS7 sehr viel modularer geworden und die Konfiguration erfolgt (ähnlich wie HTACCESS bei Apache) über Dateien im jeweiligen Verzeichnis. Das macht es natürlich sehr einfach Verzeichnisse samt Konfiguration zu sichern oder auf andere Server zu kopieren.

Dies wird einer der Gründe sein, warum Exchange 2000/2003 nicht auf Windows 2008 laufen wird. Nur Exchange 2007 wird den IIS7 unterstützen.

  • Cluster über mehrere Subnetze
    Windows 2008 kann man nun auch über mehrere Subnetze als Cluster betreiben. Fällt ein Knoten aus, dann übernimmt der andere Knoten und registriert sich nun mit der neuen Adresse. Auch wenn dieses "Feature" bedeutend scheint, so ist es aus meiner Sicht eher sekundär, denn die Anzahl der der Cluster über WANs ist aufgrund anderer Besonderheiten wohl eher als gering anzusehen. So dauert es nach einem Failover eben auch einige Minuten, bis die neuen Adressen per DNS in allen Caches verschwunden sind. Leider unterstützt der Cluster keine IP-Multicast-Adressen, was meiner Meinung nach eine interessante Alternative wäre.

Exchange 2007 RTM unterstützt noch keine Cluster in mehreren Subnetzen. Soweit mir bekannt wird es auch mit SP1 erst mal nicht möglich sein. Allerdings ist natürlich der Einsatz von Standby Continuous Replication auch über Subnetze hinweg möglich

  • IPV6 Unterstützung
    Langsam pfeifen es auch die Spatzen von den Dächern, dass die IPV4-Adressen langsam wohl etwas knapp werden könnten. Windows 2008 unterstützt IPV6, was aber Vista, Windows 2003 und Windows XP auch schon getan haben. Allerdings wird Exchange 2007 nun auch IPV6 auf Windows 2008 unterstützen.

Auch wenn IPV6 ein wichtiger Schritt für das Internet ist und auch der Einsatz in privaten Netzwerken durchaus seine Vorteile hat (schnellere Konfiguration für DHCP/DNS etc.), werden vermutlich die meisten mittleren und kleinen Firmen auch weiterhin mit ihren privaten IP-Adressen (10.x.x.x, 169.254.x.x, 172.16.x.x -172.31.x.x und 192.168.x.x) arbeiten, so dass diese Funktion wohl lange Zeit brach liegen wird... Leider

  • Servermanager, PowerShell und Server Core
    (Fast) Vorbei ist die Zeit, dass man mehrere MMCs suchen und starten musste, um Einstellungen des Servers zu verwalten, Das ist nun alles in einer MMC zusammen gefasst. Und auch per Kommandozeile und Skript ist es nun möglich, fast alle Einstellungen automatisch durchzuführen, was natürlich für Firmen interessant ist, die viele Server zu installieren haben.
  • Eventlog und Performance Counter
    In dem Bereich hat Microsoft nun wirklich mal was getan. Es gibt viel mehr Eventlogs und die Ansichten sind sehr viel leistungsfähiger, was Filtern und Gruppieren betrifft. Auch können Eventlogs nun zentralisiert werden. Im Bereich Performancecounter hat auch hier die Konsole zugelegt und zeigt analog zu Vista mehr Details zu den Disk-Aktivitäten an. Die gesamte Verwaltung ist zudem an einer Stelle zusammen gefasst. Nun müssen nur noch die Programme es verstehen, ordentlich Eventlogs zu schreiben und Performancecounter anzubieten. Aber ich befürchte, dass dies nicht nur seit NT 3.51 bei vielen Entwicklern noch nicht angekommen ist,
  • Virtualisierung
    Natürlich muss ich auch ein Wort über die Virtualisierung sagen, die Windows 2008 in Form eines "Hypervisors" nachrüsten wird. Damit wird sowohl das Betriebssystem selbst wie auch alle anderen nachfolgend aufgesetzte Gäste virtuell laufen.

Meine Einschätzung zu Virtualisierung ist geteilt. Zum einen nutze ich Virtualisierung extrem für Test, Schulung, Entwicklung und auch für die ein oder anderen Produktivserver. Auf der anderen Seite ist der Massenspeicher bei vielen Systemen (Besonders Dateiserver, SQL-Server, Exchange Server) der Engpass im System und der wird durch Virtualisierung nicht breiter. Interessant kann natürlich der Ansatz für kleine Umgebungen sein (Small Business o.ä.) in der dann die großen Rollen DC, File, Exchange in eigenen VMs laufen können, so dass eine Ressourcenzuteilung möglich wird und vor allem Updates für ein Produkt nicht alle anderen Produkte gefährden.

  • NAP
    Nun sind wir schon so weit, dass die Server ihren eigenen PCs nicht mehr trauen, selbst wenn sich dort ein Anwender mit gültigen Daten anmeldet. Das ist aber auch richtig so, denn in vielen Firmen sind die PCs draußen am Arbeitsplatz nicht so gepflegt, wie dies sinnvoll wäre. Da es nicht geworden ist mit Thin Clients auf zentralen Terminal Servern muss man die leistungsfähigen Clients eben besser kontrollieren. NAP ist ein Weg, mit dem der Client seine "Konformität" mit den unternehmensrichtlinien belegt, so dass er dann eine Verbindung aufbauen darf.

Schöne heile Welt aber aktuell sehe ich den Einsatz dieser Funktion in Sicherheitskritischen Bereichen oder großen Firmen. Der "normal" Mittelstand ist ja erst mal froh, wenn das Netzwerk funktioniert. Schon vor NAP gab es Funktionen wie MAC-Adressfilterung, 802.1x Authentifizierung und IPSec, um Netzwerke "sicherer" zu machen, Gerade IPSec und 802.1x sind relativ schnell eingeführt und sperren unbekannte Systeme schon einmal aus.
NAP füllt dann die Lücke, dass bekannte authentifizierte Systeme trotzdem Schaden anrichten, weil Sie nicht den Firmenvorgaben bezüglich Updates, Virenschutzpatterns etc. entsprechend. Ich bin mal gespannt, wie schnell diese Fun

  • Neue LDAP-Grenzen in Windows 2008R
    Als Schutz gegen DoS-Attacken hat Windows 2008/2008R2 einige Obergrenzen fest vordefiniert. Wenn Sie also diese Grenzen erreichen, dann muss ihr Code "Page-read" verwenden, d.h. Teilmengen lesen. Dies ist z.B. für automatische Prozesse erforderlich, die große Datenmengen abfragen oder z.B. Gruppen mit mehr als 5000 Mitgliedern verarbeiten wollen.

2009267 Windows Server 2008 R2 or Windows Server 2008 domain controller returns only 5000 attributes in a LDAP response
Range Retrieval of Attribute Values http://msdn.microsoft.com/en-us/library/cc223242(PROT.10).aspx
Example Code für Ranging with IDirectoryObject http://msdn.microsoft.com/en-us/library/aa705923(VS.85).aspx
Example Code für Ranging with IDirectorySearch http://msdn.microsoft.com/en-us/library/aa705924(VS.85).aspx
Paging Search Results http://msdn.microsoft.com/en-us/library/aa367011(VS.85).aspx
LDAP Policies http://msdn.microsoft.com/en-us/library/cc223376(PROT.10).aspx

Es gibt natürlich noch viel viel mehr interessante Funktionen, die mit Windows 2008 Einzug in ihre Netzwerk halten werden. Allerdings sind sie aus meiner Sicht für Exchange nicht weiter relevant, so dass ich mir hier die Aufzählung von Features erspare.

Windows 2008 Inplace Updatepfade

Im Gegensatz zu den früheren Update von Windows NT und Windows 2000 auf Windows 2000/2003 sind die Updatepfade nach Windows 2008 im Rahmen einer "Inplace"-Aktualisierung sehr überschaubar:

Windows 2008 Update Pfade

Ein direktes Update von Windows NT4 oder selbst Windows 2000 ist nicht möglich. Man muss solche Systeme also erst auf Windows 2003 aufrüsten. Selbst von Windows 2003 muss dann mindestens Servicepack 1 installiert sein, damit ein Update nach Windows 2008 möglich ist. Ein Wechsel von 32bit nach 64bit ist innerhalb eines Inplace Updates auch nicht möglich.

Offen stehen Ihnen natürlich immer die Wege, die Server komplett frisch zu installieren und die Konfigurationen und Daten wieder herzustellen oder im Rahmen einer Migration und Konsolidierung die Umgebung anzupassen.

Neben der Migration der Server muss man natürlich noch ein Auge auf die verschiedenen Betriebsarten des Active Directory werfen. Hier gibt es ja die verschiedenen Active Directory Betriebsarten und entsprechende Abhängigkeiten von Domaincontrollern. Zur Vereinfachung habe ich hier nun nicht nach "Domain Functional Level" und "Forrest Functional Level" getrennt

Windows 2008 Koexistenz

Man kann gut sehen, welche DCs irgendwann nicht mehr erlaubt sind. Es ist aber ebenso gut sichtbar, dass Mitgliedsserver eigentlich immer in der Umgebung funktionieren. Es gibt aber ein paar Einschränkungen oder manuelle Tätigkeiten.

Windows 2008 /2008R2 Domains

Aber es ist nicht allein das Update der Domain Controller, sondern mit Windows 2008 und besonders mit 2008 R2 ändern sich auch im Active Directory verschiedene Dinge. Im wesentlichen dreht es sich dabei um die "Default Domain Controller Policy", welcher sich auf alle DCs der jeweiligen Domains durchschlägt. Und hier sind es folgende Werte:

  • Microsoft network server: Digitally sign communications
    Seit Windows 2008 steht dies auf "always", d.h. Clients sind gezwungen. Dies sperrt alte oder fremde Clients aus, aber kann wieder auf "disabled" werden
  • Domain member: Digitally encrypt or sign secure channel data
    Seit Windows 2008 steht dies auf "always", d.h. Clients sind gezwungen. Dies sperrt alte oder fremde Clients aus, aber kann wieder auf "disabled" gestellt werden
  • Allow cryptography algorithms compatible with Windows NT 4.0
    Diese Einstellung steht auf "Disabled" und verhindert so alte unsichere NTLM-Anmeldung, aber verhindert Verbindungen von alten Clients, wenn es nicht wieder aktiviert wird
    Hinweis: Windows 2008R2 macht ausgehend NIE eine NTLM-Only Anmeldung, weswegen Trust zu NT4 nicht mehr möglich sind. Siehe auch KB 942564

Sie können diese Einstellungen nach der Installation des DCs auf ihre Bedürfnisse anpassen und mit "GPUPDATE /Force" die Anwendung beschleunigen. Zukünftig sollten Sie aber prüfen, wann Sie diese Einstellungen wieder auf "Sicher" umstellen.

Upgrading Active Directory Domains to Windows Server 2008 and Windows Server 2008 R2 AD DS Domains
http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=fa629de2-f4dd-47ac-8d80-3db46b2877a2
Lesenswertes White Paper für das Update von Windows 2008 DCs

Windows 2008 testen

Es ist problemlos möglich, eine Windows 2008 CD als Installationsquelle zu verwenden und keinen Produktschlüssel einzugeben. Dann läuft Windows 2008 erst einmal für 60 Tage. Dieser Zeitraum kann sogar offiziell drei mal verlängert werden

  • 948472 How to extend the Windows Server 2008 evaluation period

Danach ist aber ein Neustart des Servers erforderlich. Auch bei der Auswahl der Version (Standard, Enterprise, Datacenter) sollte man genau aufpassen, das es nicht wie bei Vista damit getan ist, einen anderen Produktschlüssel einzugeben. Man muss den Server schon neu installieren, um die Version zu ändern. 

Windows 2008 DCs und Exchange 2000/2003

Exchange 2000 SP3 Server können nicht mit Windows 2008 DCs arbeiten. Wenn Sie also Windows 2008 DCs in ihre Umgebung bringen, dann dürfen diese nicht in der gleichen AD-Site stehen, wie ihre Exchange 2000 Server oder Sie müssen vorab die vom Exchange Server genutzten DCs manuell auf Windows 2000/2003 DCs konfigurieren.

Siehe auch http://blogs.technet.com/b/exchange/archive/2007/08/16/446709.aspx

Exchange 2003 auf Windows 2008 - NEIN

Exchange 2003 ist nicht auf Windows 2008 unterstützt. Punkt. Es soll Leute geben, die es geschafft haben, Teile von Exchange 2003 auf einem Windows 2008 Server zu installieren, aber es ist weder von Microsoft unterstützt noch haben Sie dadurch einen Vorteil. Da Windows 2008 einen komplett neuen IIS mitbringt, ist es sehr fraglich ob OWA, ActiveSync, WebDav und all die anderen HTTP-Zugriffe auf Exchange überhaupt funktionieren.

Windows 2008 und Exchange 2007 SP1

Für die Installation auf Windows 2008 benötigen Sie Exchange 2007 SP1. Zwar gibt es auch inoffizielle Anleitungen, wie Exchange 2007 auf Windows 2008 installiert werden kann. Aber davon ist dringend abzuraten. Da das Exchange 2007 SP1 ein komplettes Installationsmedium ist, werden Sie nicht in die Verlegenheit kommen und Exchange 2007 RTM installieren zu müssen.

Windows 2008 Demo Videos
http://technet.microsoft.com/en-us/windowsserver/2008/bb405958.aspx

TechNet Virtual Lab: Installing Exchange Server 2007 SP1 on Windows Server 2008
http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032365366&EventCategory=3&culture=en-US&CountryCode=US

Exchange Server and Windows Server 2008
http://blogs.technet.com/b/exchange/archive/2007/08/16/446709.aspx
Exchange Server and Windows Server 2008, Part II
http://blogs.technet.com/b/exchange/archive/2008/03/05/448338.aspx

Wer nicht über die GUI die verschiedenen Komponenten installieren will und mit der Kommandozeile auf Kriegsfuß steht, kann folgendes CMD-Skript starten, um die erforderlichen Komponenten für Exchange 2007 zu installieren

echo --- Installation Basiskomponenten fuer Exchange 2007 auf Windows 2008 --
ServerManagerCmd -i Web-Metabase 
ServerManagerCmd -i Web-Lgcy-Mgmt-Console 
ServerManagerCmd -i Web-Server 
ServerManagerCmd -i Web-ISAPI-Ext 
ServerManagerCmd -i Web-Metabase 
ServerManagerCmd -i Web-Lgcy-Mgmt-Console 
ServerManagerCmd -i Web-Basic-Auth 
ServerManagerCmd -i Web-Digest-Auth 
ServerManagerCmd -i Web-Windows-Auth 
ServerManagerCmd -i Web-Dyn-Compression 
ServerManagerCmd -i PowerShell 
ServerManagerCmd -i RPC-over-HTTP-proxy

Danach sollte die Exchange 2007 Installation ohne weitere Einschränkungen durchlaufen.

Windows 2008 Cluster, CCR und OAB

Wer schon ganz neue Server und Windows 2008 beschafft, ist oft auch ein Kandidat für Cluster und Hochverfügbarkeit. Da bietet sich natürlich ein Exchange 2007 Cluster Continuous Replication-Cluster an, bei dem immer einer von zwei Konten aktiv ist und der andere die Datenbank repliziert. Das funktioniert seit Exchange 2007 SP1 sogar auf Anhieb, aber einige Probleme gibt es doch.

So kann ein Exchange 2007 CCR Cluster auf dem Cluster selbst zwar ein OAB generieren, aber kein CAS-Server kann dieses OAB dann auf seine lokalen Disks replizieren. Der Windows 2008 Cluster hat einfach "vergessen" den Share ExchangeOAB anzulegen, damit die CAS-Server diese Daten über den Exchange File Replication Service holen können. Den Share gibt es mit dem Namen des physikalischen Knoten aber ist nicht mit dem Exchange Cluster Namen erreichbar.

Allerdings ist es auch nicht möglich, diesen Share als Admin von Hand anzulegen, da Windows 2008 solche Shares nur auf gemeinsam erreichbaren Festplatten anlegen lässt. diese gibt es im CCR Cluster aber per default nicht.

Daher stehen ihnen temporär nur folgende Lösungswege offen:

  • OAB nicht auf CCR
    Wenn sie noch einen weiteren Server mit einer Mailbox Rolle haben, der nicht im Cluster läuft, dann kann dieser ja das OAB anlegen und von den CAS-Servern genutzt werden

Wichtiges Rollup5 für CCR auf Windows 2008 mit OAB Generierung
954197 Exchange 2007 CAS cannot copy the OAB from the OAB share on Windows Server 2008-based Exchange 2007 CCR clusters

  • Manuell replizieren
    Der ExchangeFDS macht nichts anderes, also die Inhalte des Verzeichnis auf seine lokale Festplatte zu kopieren. Diesen "Copy-Job" können Sie natürlich auch einfach von Hand machen oder per Taskplaner ausführen lassen.

Microsoft arbeitet schon an einer Lösung, da es ein Fehler von Windows 2008 zu sein scheint. Da hat wohl eine "Sicherheitsfunktion" etwas über die Stränge geschlagen, dass der Share nicht mit dem Clusternamen erreichbar ist, aber über den Knotennamen als auch über die IP-Adresse des Clusters erreichbar ist.

Windows 2008 und Exchange Updates

Angenommen, Sie haben schon Windows 2000/2003 und Exchange 2000/2003 in ihrer Umgebung und wollen auf Exchange 2007 und Windows 2008 umstellen, dann sollten Sie folgende Randbedingungen bei der Planung berücksichtigen:

  • Windows 2000 auf Windows 2008 Inplace Update geht nicht
    Mindestvoraussetzung ist Windows 2003 SP1 als Basis
  • Exchange 2003 auf Win2008 geht nicht.
    Wenn ihr Exchange Server auf Windows 2003 installiert ist, dann können Sie Windows nicht auf Windows 2008 Inplace aktualisieren.
  • Ex 2003 auf 2007 geht nicht über Inplace Update
    Sie müssen also immer einen weiteren Server mit Exchange 2007 zur Swing-Migration installieren. Da ist es dann aber egal, ob Sie Windows 2003 oder Windows 2008 nutzen.
  • Windows 2003 auf 2008 Inplace ohne installiertes Exchange ist möglich
    So kann man zumindest Domain Controller und andere Server aktualisieren. Exchange 2003 funktioniert problemlos auch mit Windows 2008 Domain Controller solange es selbst auf einem Windows 2003 Server installiert ist.
  • Winn2008 im Ex2007SP1 in die bestehende Umgebung installieren und migrieren
    Die DCs müssen nur Windows 2003 SP1 oder höher sein.

Unterm Strich kann man also nur sagen:

  • Neuer Server mit Windows 2008 und Exchange 2007 ist immer möglich
    Auch in bestehenden Umgebungen mit Windows 2003 DCs/GC kann so Exchange 2007 auf Windows 2008 integriert werden.
  • Windows DC Update auf 2008 geht
    Entweder über ein Windows 2003 SP1 DC Inplace Update oder neue DCs mit Windows 2008

Die eigentliche Exchange Migration entspricht dann der Anleitung auf Mig200x-2007. Vor dem Einsatz von Windows 2008 sollten Sie aber noch ein paar andere, oft vergessene, Komponenten beleuchten:

  • Kann der Virenscanner schon Win2008 ?
  • Kann das Backup schon Win2008 ?
  • Kann die Monitoring-Lösung schon Win2008 ?
  • Können Treiber und Tools (z.B. RAID-Controller schon Win2008 ?
  • etc.

Auch wenn die neuen Funktionen von Windows 2008 für einige Firmen sehr wichtig sind, so sollten kleine Firmen erst man überlegen, ob Windows 2008 speziell am Anfang des Produktzyklus schon einen messbaren Vorteil bringt oder ob man den Drittherstellern auch einfach die Zeit lässt, ihre Produkte anzupassen.

RPC over HTTP auf Windows 2008 benötigt etwas Hilfe, da die Exchange Dienste nicht auf IPv6-Adressen lauscht, aber RCP/HTTP über Localhost die IPv6-Adresse nutzt
http://blog.aaronmarks.com/?p=65

Lösung: IPv6 in der Registrierung abschalten
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\ParametersDisabledComponents:DWord32 = 0xFF

Exchange Backup und Windows 2008
Windows 2008 kann mit Bordmitteln keine Exchange Server sichern, da auch das Programm NTBACKUP nicht mehr enthalten ist. Ein Tool zur Sicherung von Exchange 2007 per Schattenkopien ist aber bereits angekündigt.

Windows 2008 und IISADMPWD

Wenn Anwender per Webbrowser arbeiten, dann sollten Sie auch auf diesem Wege die Möglichkeit haben, ihr Kennwort zu ändern. In früheren Windows Server Versionen war dazu das virtuelle Verzeichnis IISADMPWD vorhanden, welches man einfach nur einbinden musste. Auf dieses virtuelle Verzeichnis verweist nämlich der "Button" in Outlook Web Access. Also muss man das nur entsprechende einbinden.

Allerdings  gibt es dieses Verzeichnis auf einem Windows 2008 Server nicht mehr. Anscheinend hat Microsoft diesen Teil als zu unsicher entfernt ohne eine adäquate Alternative anzubieten. Allerdings kann man auch einfach den Code eines IIS6 auf dem IIS7 wieder reanimieren. Auf dem folgenden Link ist ein kleines HowTo:

Windows 2008 DCs mit Samba und anderen Clients

Windows 2008 DCs sind von Hause aus "sicherer". Nicht nur, dass Sie ältere Authentifizierungsverfahren per Default nicht mehr anbieten, sondern sie setzen selbst bei NTLM2-tauglichen Clients die "erweiterte Sicherheit" voraus. Das erschwert natürlich diversen "kompatiblen" Serverprodukten (z.B. Samba, diverse NAS-Systeme etc.) die Integration in das Active Directory.

Über eine Einstellung auf dem DC können Sie diese Anforderung wieder aufweichen

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
"AllowLegacySrvCall"=dword32:00000001

Weitere Infos finden Sie auch im folgenden KK-Artikel:

Windows 2008 und Windows Firewall

Windows 2003 hatte schon eine Firewall-Funktion eingebaut, die aber noch nicht komplett "Scharf" war. Microsoft hat damit aber den Entwicklern von Drittsoftware schon mal die APIs und den Weg aufgezeigt, der zukünftig gegangen wird. In Windows 2008 ist die Firewall aber per Default aktiv und sogar so dicht, dass alle verboten ist, was nicht explizit erlaubt wird. Das merken Sie schon mal daran, dass ein nackter Server nicht mal mehr auf einen "PING" antwortet. Die Antwort auf diese ICMP-Anfrage wird erst erlaubt, wenn z.B. die Fileserver-Rolle oder Domaincontroller-Rolle installiert wurde. Ein Client prüft gerne vorab die Erreichbarkeit eines Servers per Ping, ehe er einen "teuren" TCP-Handshake aufbaut. Der Dienst selbst ist immer installiert und gestartet.

Für Dienste und Programme, die daher auf einem Windows 2008 Server oder höher installiert werden, muss daher entweder das Setup oder der Administrator entsprechende Einstellungen vornehmen. Wenn Sie nun die Firewall im Verdacht haben, ihre Anwendung zu blockieren, dann sollten Sie unter keinen umständen den Dienst stoppen. Das kann sogar dazu führen, dass noch weniger geht.

Because the Windows Firewall service applies Windows service hardening rules to standard Windows Networking services, Microsoft does not support stopping the Windows Firewall service. If you do not want to use Windows Firewall, turn the firewall features off by using the Group Policy settings described in this section, without stopping the service
Quelle: http://technet.microsoft.com/en-us/library/cc771032(WS.10).aspx

Besser ist es hier über das Firewall-Controlpanel die Funktion für das Domänen-Netzwerk zu deaktivieren.

Dies gilt insbesondere, wenn eine Anwendung mit dynamischen Ports arbeitet, d.h. OCS Edge Server o.ä. Und die feine Konfiguration der öffnungen erst erfolgen soll, wenn die Funktion belegt werden kann.

Windows 2008 Servermanager und Rollen und Features

Ich bin selbst schon mehrfach in das Problem gelaufen, dass ein Windows Update etwas nicht "richtig" gemacht hat und dann auf dem Server keine Rollen und Features mehr addiert oder entfernt werden konnten. Es lag dann einer defekten MUM und CAB-Datei im Packages-Ordner von Windows 2008. Folgende Artikel können bei der Fehlersuche helfen

Windows 2008 Core Server

Neu ist bei Windows 2008 die Funktion, ihn sehr abgespeckt als "CORE" zu installieren. primäres Ziel ist die Angriffsflächen zu reduzieren. Eine Software ,die nicht installiert ist, deren Lücken können auch nicht ausgenutzt werden. Das zeigt sich deutlich an einer reduzierten Anzahl von Updates und Patches, die auf einem Server Core installiert werden müssen. Zwei Dinge sind dabei aber zu berücksichtigen:

  • Exchange geht nicht
    Exchange kann nicht auf ein einem Core-Server installiert werden. Damit scheidet das schon mal aus
  • Praktischer Nutzen
    Durch Core fallen auch einige Funktionen (z.B. Explorer, MMC etc.) weg, so dass viele administrative Tätigkeiten eben nicht auf dem Server direkt gemacht werden können (und auch nicht sollten). Damit wird aber die Verwaltung erst mal umständlicher. Die Firmen, die gleich viele Server haben, können natürlich durch Automatisierung profitieren.

So elegant daher der Ansatz eines Core-Servers ist, ich denke dass er bei mittleren und kleineren Firmen seltener zum Einsatz kommt. Anders mag das bei Hostern, Providern und Appliances aussehen. für die wenige Core-Server habe ich mir hier aber ein paar Tipps aufgeschrieben, wie auf dem Core-Server etwas gemacht werden kann

  • Core Configurator
    Wer Kommandozeilen scheut, möge sich mal den Core Configurator auf http://coreconfig.codeplex.com/ anschauen.
  • Treiber installieren
    Zuerst muss der Treiber (also z.B. die INF-Datei und alles dazu auf dem Server abgelegt werden. Installiert/Aktualisiert wird mit

pnputil -i -a <path to inf>

Passend dazu hat Daniel Petri einige Artikel veröffentlicht:

Windows 2008 R2 und Trusts

Mit Windows 2008 R2 hat Microsoft die Vertrauensstellung beschränkt, Es ist nicht mehr möglich, einen Trust zu einer NT4 Umgebung aufzubauen. Das war unter Windows 2008 noch möglich.

Important Windows NT 4.0 trusts cannot be created between Windows Server 2008 R2-based domains and Windows NT 4.0-based domains. The workaround steps that are documented later in this article apply to only Windows Server 2008. Security changes that are in Windows Server 2008 R2 prevent a trust between Windows Server 2008 R2-based domains and Windows NT 4.0-based domains. This behavior is by design
Quelle:  http://support.microsoft.com/kb/942564/en-us

Unter Windows 2008 konnte dies noch durch ein Absenken des Sicherheitslevels erreicht werden.

  • 942564 The Net Logon service on Windows Server 2008 and on Windows Server 2008 R2 domain controllers does not allow the use of older cryptography algorithms that are compatible with Windows NT 4.0 by default

128bit NTLM mit Windows 2008

Zudem muss man wissen, das Windows 2008 als auch Windows 7 per Default eine 128bit Verschlüsselung erzwingen, was viele Clients nicht verstehen oder der Zugang nicht unterstützt. Auch dazu gibt es eine unmenge an Artikeln.

Weitere Links