Windows 2008 Server
Achtung: End of Support 14.
Jan 2020- Windows Server 2008 und Windows Server
2008 R2
https://www.microsoft.com/en-us/cloud-platform/windows-server-2008
Informationen über die Kompatibilität mit Windows
2008
http://www.microsoft.com/windowsserver2008/en/us/supported-applications.aspx
Exchange System Manager - Der ESM von Exchange 2003 ist nicht auf Windows 2008 supported.
Windows 2008 und NT4-Client
942564 The Net Logon service on Windows Server 2008 and on Windows
Server 2008 R2 domain controllers does not allow the use of older
cryptography algorithms that are compatible with Windows NT 4.0 by
default
Windows 2008 RODC und Windows 2003/XP Client
944043 Description of the Windows Server 2008 read-only domain
controller compatibility pack für Windows Server 2003 clients and für Windows XP clients and für Windows Vista
Mit Windows 2008 hat Microsoft Anfang 2008 den Nachfolger von Windows 2003 auf den Markt gebracht. Wieder einmal ändert sich einiges, so dass ich ein paar wichtige Punkte hier aufführen will:
- Rollen (Roles), Funktionen (Features) und Servermanager
Die verschiedenen Komponenten eines Servers wurden nun klar in Rollen und Funktionen getrennt. Rollen sind z.B. Dateiserver, Druckserver, Domaincontroller, IIS, WINS-Server etc., die separat installiert werden können. Ein Server kann quasi "genau eine" Rolle oder eben auch mehrere Rollen tragen. Nur die zur Rolle erforderlichen Dienste werden installiert. Das reduziert Speicherbedarf aber vor allem Komplexität und trägt so zur Sicherheit und Stabilität bei. Funktionen sind kleinere Dinge wie SNMP, .NET Framework, NetMon etc., die bislang als Windows Komponenten zu finden waren. Das alles wird nun über einen zentralen Servermanager konfiguriert. Es gibt ca. 20 Rollen und ca. 30 Funktionen (Zahlen der Beta3/RC1, RTM kann abweichen) - Setup
Die Installation geht nicht nur anhand der neuen Imagetechnik (Analog zu Vista) schneller, sondern verschiebt sehr viele Eingaben an das Ende. So wird ein zufälliger Servername gewählt. Die umbenennung, Aufnahme in eine Domäne, ändern des Administratorkennworts, Konfiguration von IP-Adressen etc. erfolgt erst nach der Installation über einen Assistenten, der die wichtigen Schritte vorgibt.
Im Hinblick auf Exchange gibt es auch einige interessante Veränderungen
- Read Only Domain Controller (RODC)
Ein wichtiges Feature ist die neue Möglichkeit, Domaincontroller in Niederlassungen mit ausgewählten lokalen Kennworten zu betreiben. Bislang war es immer etwas knifflig, weil ein Angreifer sich den dezentralen Domaincontroller schnappen und mit Cracktools (L0phot, etc.) relativ einfach die Kennwort ermitteln konnte. Mit Windows 2008 kann man nun angeben, für welche Benutzer das Kennwort überhaupt vor Ort hinterlegt werden darf. Zudem gibt es vor Ort nun auch auf dem DC einen "lokalen Admin", so dass auch hier in kleinen Niederlassungen der DC auch Fileserver sein kann und ein Dienstleister vor Ort den Service übernehmen kann, ohne gleich Domänen Administrator zu sein. Voraussetzung ist eine Domäne und Forrest im Windows 2003 Native Mode und mindestens ein vollwertiger Windows 2008 DC, mit dem der RODC kommunizieren kann.
Achtung:
Exchange 2000/2003/2007 kann noch nicht mit der Funktion RODC umgehen. Hier
wird ein Servicepack erforderlich sein. Planen Sie aber hier auf jeden Fall
einen vollwertigen DC ein.
Auch Windows XP und Windows 2003 Server haben die ein
oder anderen Probleme z.B. bei ADMT
ADMT, RODC’s, and Error 800704f1
http://blogs.technet.com/b/askds/archive/2009/10/19/admt-rodc-s-and-error-800704f1.aspx
944043 Description of the Windows Server 2008 read-only domain
controller compatibility pack für Windows Server 2003 clients and für Windows XP clients and für Windows Vista
- IIS7
Der neue Webserver ist natürlich auch für die Exchange 2007 CAS-Rolle relevant und wird hier einige Veränderungen für die Entwickler aber auch Administratoren bedeuten. So ist der IIS7 sehr viel modularer geworden und die Konfiguration erfolgt (ähnlich wie HTACCESS bei Apache) über Dateien im jeweiligen Verzeichnis. Das macht es natürlich sehr einfach Verzeichnisse samt Konfiguration zu sichern oder auf andere Server zu kopieren.
Dies wird einer der Gründe sein, warum Exchange 2000/2003 nicht auf Windows 2008 laufen wird. Nur Exchange 2007 wird den IIS7 unterstützen.
- Cluster über mehrere Subnetze
Windows 2008 kann man nun auch über mehrere Subnetze als Cluster betreiben. Fällt ein Knoten aus, dann übernimmt der andere Knoten und registriert sich nun mit der neuen Adresse. Auch wenn dieses "Feature" bedeutend scheint, so ist es aus meiner Sicht eher sekundär, denn die Anzahl der der Cluster über WANs ist aufgrund anderer Besonderheiten wohl eher als gering anzusehen. So dauert es nach einem Failover eben auch einige Minuten, bis die neuen Adressen per DNS in allen Caches verschwunden sind. Leider unterstützt der Cluster keine IP-Multicast-Adressen, was meiner Meinung nach eine interessante Alternative wäre.
Exchange 2007 RTM unterstützt noch keine Cluster in mehreren Subnetzen. Soweit mir bekannt wird es auch mit SP1 erst mal nicht möglich sein. Allerdings ist natürlich der Einsatz von Standby Continuous Replication auch über Subnetze hinweg möglich
- IPV6 Unterstützung
Langsam pfeifen es auch die Spatzen von den Dächern, dass die IPV4-Adressen langsam wohl etwas knapp werden könnten. Windows 2008 unterstützt IPV6, was aber Vista, Windows 2003 und Windows XP auch schon getan haben. Allerdings wird Exchange 2007 nun auch IPV6 auf Windows 2008 unterstützen.
Auch wenn IPV6 ein wichtiger Schritt für das Internet ist und auch der Einsatz in privaten Netzwerken durchaus seine Vorteile hat (schnellere Konfiguration für DHCP/DNS etc.), werden vermutlich die meisten mittleren und kleinen Firmen auch weiterhin mit ihren privaten IP-Adressen (10.x.x.x, 169.254.x.x, 172.16.x.x -172.31.x.x und 192.168.x.x) arbeiten, so dass diese Funktion wohl lange Zeit brach liegen wird... Leider
- Servermanager, PowerShell und Server Core
(Fast) Vorbei ist die Zeit, dass man mehrere MMCs suchen und starten musste, um Einstellungen des Servers zu verwalten, Das ist nun alles in einer MMC zusammen gefasst. Und auch per Kommandozeile und Skript ist es nun möglich, fast alle Einstellungen automatisch durchzuführen, was natürlich für Firmen interessant ist, die viele Server zu installieren haben. - Eventlog und Performance Counter
In dem Bereich hat Microsoft nun wirklich mal was getan. Es gibt viel mehr Eventlogs und die Ansichten sind sehr viel leistungsfähiger, was Filtern und Gruppieren betrifft. Auch können Eventlogs nun zentralisiert werden. Im Bereich Performancecounter hat auch hier die Konsole zugelegt und zeigt analog zu Vista mehr Details zu den Disk-Aktivitäten an. Die gesamte Verwaltung ist zudem an einer Stelle zusammen gefasst. Nun müssen nur noch die Programme es verstehen, ordentlich Eventlogs zu schreiben und Performancecounter anzubieten. Aber ich befürchte, dass dies nicht nur seit NT 3.51 bei vielen Entwicklern noch nicht angekommen ist, - Virtualisierung
Natürlich muss ich auch ein Wort über die Virtualisierung sagen, die Windows 2008 in Form eines "Hyper-Visors" nachrüsten wird. Damit wird sowohl das Betriebssystem selbst wie auch alle anderen nachfolgend aufgesetzte Gäste virtuell laufen.
Meine Einschätzung zu Virtualisierung ist geteilt. Zum einen nutze ich Virtualisierung extrem für Test, Schulung, Entwicklung und auch für die ein oder anderen Produktivserver. Auf der anderen Seite ist der Massenspeicher bei vielen Systemen (Besonders Dateiserver, SQL-Server, Exchange Server) der Engpass im System und der wird durch Virtualisierung nicht breiter. Interessant kann natürlich der Ansatz für kleine Umgebungen sein (Small Business o.ä.) in der dann die großen Rollen DC, File, Exchange in eigenen VMs laufen können, so dass eine Ressourcenzuteilung möglich wird und vor allem Updates für ein Produkt nicht alle anderen Produkte gefährden.
- NAP
Nun sind wir schon so weit, dass die Server ihren eigenen PCs nicht mehr trauen, selbst wenn sich dort ein Anwender mit gültigen Daten anmeldet. Das ist aber auch richtig so, denn in vielen Firmen sind die PCs draußen am Arbeitsplatz nicht so gepflegt, wie dies sinnvoll wäre. Da es nicht geworden ist mit Thin Clients auf zentralen Terminal Servern muss man die leistungsfähigen Clients eben besser kontrollieren. NAP ist ein Weg, mit dem der Client seine "Konformität" mit den unternehmensrichtlinien belegt, so dass er dann eine Verbindung aufbauen darf.
Schöne heile Welt aber aktuell sehe ich den Einsatz dieser
Funktion in Sicherheitskritischen Bereichen oder großen Firmen. Der "normal"
Mittelstand ist ja erst mal froh, wenn das Netzwerk funktioniert. Schon vor
NAP gab es Funktionen wie MAC-Adressfilterung, 802.1x Authentifizierung und
IPSec, um Netzwerke "sicherer" zu machen, Gerade IPSec und 802.1x sind
relativ schnell eingeführt und sperren unbekannte Systeme schon einmal aus.
NAP füllt dann die Lücke, dass bekannte authentifizierte Systeme trotzdem
Schaden anrichten, weil Sie nicht den Firmenvorgaben bezüglich Updates,
Virenschutzpatterns etc. entsprechend. Ich bin mal gespannt, wie schnell
diese Fun
- Neue LDAP-Grenzen in Windows 2008R
Als Schutz gegen DoS-Attacken hat Windows 2008/2008R2 einige Obergrenzen fest vordefiniert. Wenn Sie also diese Grenzen erreichen, dann muss ihr Code "Page-read" verwenden, d.h. Teilmengen lesen. Dies ist z.B. für automatische Prozesse erforderlich, die große Datenmengen abfragen oder z.B. Gruppen mit mehr als 5000 Mitgliedern verarbeiten wollen.
2009267 Windows Server 2008 R2 or Windows Server 2008
domain controller returns only 5000 attributes in a LDAP
response
Range Retrieval of Attribute Values
http://msdn.microsoft.com/en-us/library/cc223242(PROT.10).aspx
Example Code für Ranging with IDirectoryObject
http://msdn.microsoft.com/en-us/library/aa705923(VS.85).aspx
Example Code für Ranging with IDirectorySearch
http://msdn.microsoft.com/en-us/library/aa705924(VS.85).aspx
Paging Search Results
http://msdn.microsoft.com/en-us/library/aa367011(VS.85).aspx
LDAP Policies
http://msdn.microsoft.com/en-us/library/cc223376(PROT.10).aspx
Es gibt natürlich noch viel viel mehr interessante Funktionen, die mit Windows 2008 Einzug in ihre Netzwerk halten werden. Allerdings sind sie aus meiner Sicht für Exchange nicht weiter relevant, so dass ich mir hier die Aufzählung von Features erspare.
- Why upgrade to Windows Server 2008?
http://www.microsoft.com/windowsserver2008/en/us/why-upgrade.aspx - Top 11 Reasons to upgrade to Windows Server 2008
http://www.microsoft.com/windowsserver2008/en/us/top-reasons.aspx
Windows 2008 Inplace Updatepfade
Im Gegensatz zu den früheren Update von Windows NT und Windows 2000 auf Windows 2000/2003 sind die Updatepfade nach Windows 2008 im Rahmen einer "Inplace"-Aktualisierung sehr überschaubar:
Ein direktes Update von Windows NT4 oder selbst Windows 2000 ist nicht möglich. Man muss solche Systeme also erst auf Windows 2003 aufrüsten. Selbst von Windows 2003 muss dann mindestens Servicepack 1 installiert sein, damit ein Update nach Windows 2008 möglich ist. Ein Wechsel von 32bit nach 64bit ist innerhalb eines Inplace Updates auch nicht möglich.
Offen stehen Ihnen natürlich immer die Wege, die Server komplett frisch zu installieren und die Konfigurationen und Daten wieder herzustellen oder im Rahmen einer Migration und Konsolidierung die Umgebung anzupassen.
Neben der Migration der Server muss man natürlich noch ein Auge auf die verschiedenen Betriebsarten des Active Directory werfen. Hier gibt es ja die verschiedenen Active Directory Betriebsarten und entsprechende Abhängigkeiten von Domaincontrollern. Zur Vereinfachung habe ich hier nun nicht nach "Domain Functional Level" und "Forrest Functional Level" getrennt
Man kann gut sehen, welche DCs irgendwann nicht mehr erlaubt sind. Es ist aber ebenso gut sichtbar, dass Mitgliedsserver eigentlich immer in der Umgebung funktionieren. Es gibt aber ein paar Einschränkungen oder manuelle Tätigkeiten.
Windows 2008 /2008R2 Domains
Aber es ist nicht allein das Update der Domain Controller, sondern mit Windows 2008 und besonders mit 2008 R2 ändern sich auch im Active Directory verschiedene Dinge. Im wesentlichen dreht es sich dabei um die "Default Domain Controller Policy", welcher sich auf alle DCs der jeweiligen Domains durchschlägt. Und hier sind es folgende Werte:
- Microsoft network server: Digitally sign
communications
Seit Windows 2008 steht dies auf "always", d.h. Clients sind gezwungen. Dies sperrt alte oder fremde Clients aus, aber kann wieder auf "disabled" werden - Domain member: Digitally encrypt or sign secure
channel data
Seit Windows 2008 steht dies auf "always", d.h. Clients sind gezwungen. Dies sperrt alte oder fremde Clients aus, aber kann wieder auf "disabled" gestellt werden - Allow cryptography algorithms compatible with
Windows NT 4.0
Diese Einstellung steht auf "Disabled" und verhindert so alte unsichere NTLM-Anmeldung, aber verhindert Verbindungen von alten Clients, wenn es nicht wieder aktiviert wird
Hinweis: Windows 2008R2 macht ausgehend NIE eine NTLM-Only Anmeldung, weswegen Trust zu NT4 nicht mehr möglich sind. Siehe auch KB 942564
Sie können diese Einstellungen nach der Installation des DCs auf ihre Bedürfnisse anpassen und mit "GPUPDATE /Force" die Anwendung beschleunigen. Zukünftig sollten Sie aber prüfen, wann Sie diese Einstellungen wieder auf "Sicher" umstellen.
Upgrading Active Directory Domains to Windows
Server 2008 and Windows Server 2008 R2 AD DS Domains
http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=fa629de2-f4dd-47ac-8d80-3db46b2877a2
Lesenswertes White Paper für das Update von Windows 2008 DCs
- 940268 Error message when you try to join a Windows Vista-based client computer to a Windows NT 4.0 domain: "Logon failure: unknown User name or bad password"
- 942564 The Net Logon service on Windows Server 2008 and on Windows Server 2008 R2 domain controllers does not allow the use of older cryptography algorithms that are compatible with Windows NT 4.0 by default
- Upgrade Domain Controllers: Microsoft Support Quick
Start für Adding Windows Server 2008 or Windows Server
2008 R2 Domain Controllers to Existing Domains
http://technet.microsoft.com/en-us/library/upgrade-domain-controllers-to-windows-server-2008-r2(WS.10).aspx - Modify Security Policies in Default Domain
Controllers Policy
http://technet.microsoft.com/en-us/library/cc731654(WS.10).aspx - The Basics of SMB Signing (covering both SMB1 and
SMB2)
http://blogs.technet.com/b/josebda/archive/2010/12/01/the-basics-of-smb-signing-covering-both-smb1-and-smb2.aspx - 887429 Overview of Server Message Block signing für older versions of OS
- 916846 Mismatched SMB signing in Group Policy or in the registry
- 950876 Windows Server 2003 and Windows XP fix to match Windows Server 2008 or Windows Vista SP1 signing.
- Group Policy: Microsoft network client: Digitally
sign communications (always)
http://technet.microsoft.com/en-us/library/cc728025.aspx - Group Policy: Microsoft network client: Digitally
sign communications (if server agrees)
http://technet.microsoft.com/en-us/library/cc785861.aspx - Group Policy: Microsoft network server: Digitally
sign communications (always)
http://technet.microsoft.com/en-us/library/cc786681.aspx - Group Policy: Microsoft network server: Digitally
sign communications (if client agrees)
http://technet.microsoft.com/en-us/library/cc759474.aspx - How to Shoot Yourself in the Foot with Security,
Part 1
http://technet.microsoft.com/en-us/library/cc512612.aspx
Windows 2008 testen
Es ist problemlos möglich, eine Windows 2008 CD als Installationsquelle zu verwenden und keinen Produktschlüssel einzugeben. Dann läuft Windows 2008 erst einmal für 60 Tage. Dieser Zeitraum kann sogar offiziell drei mal verlängert werden
- 948472 How to extend the Windows Server 2008 evaluation period
Danach ist aber ein Neustart des Servers erforderlich. Auch bei der Auswahl der Version (Standard, Enterprise, Datacenter) sollte man genau aufpassen, das es nicht wie bei Vista damit getan ist, einen anderen Produktschlüssel einzugeben. Man muss den Server schon neu installieren, um die Version zu ändern.
Windows 2008 DCs und Exchange 2000/2003
Exchange 2000 SP3 Server können nicht mit Windows 2008 DCs arbeiten. Wenn Sie also Windows 2008 DCs in ihre Umgebung bringen, dann dürfen diese nicht in der gleichen AD-Site stehen, wie ihre Exchange 2000 Server oder Sie müssen vorab die vom Exchange Server genutzten DCs manuell auf Windows 2000/2003 DCs konfigurieren.
Siehe auch http://blogs.technet.com/b/exchange/archive/2007/08/16/446709.aspx
Exchange 2003 auf Windows 2008 - NEIN
Exchange 2003 ist nicht auf Windows 2008 unterstützt. Punkt. Es soll Leute geben, die es geschafft haben, Teile von Exchange 2003 auf einem Windows 2008 Server zu installieren, aber es ist weder von Microsoft unterstützt noch haben Sie dadurch einen Vorteil. Da Windows 2008 einen komplett neuen IIS mitbringt, ist es sehr fraglich ob OWA, ActiveSync, WebDav und all die anderen HTTP-Zugriffe auf Exchange überhaupt funktionieren.
Windows 2008 und Exchange 2007 SP1
Für die Installation auf Windows 2008 benötigen Sie Exchange 2007 SP1. Zwar gibt es auch inoffizielle Anleitungen, wie Exchange 2007 auf Windows 2008 installiert werden kann. Aber davon ist dringend abzuraten. Da das Exchange 2007 SP1 ein komplettes Installationsmedium ist, werden Sie nicht in die Verlegenheit kommen und Exchange 2007 RTM installieren zu müssen.
Windows 2008 Demo Videos
http://technet.microsoft.com/en-us/windowsserver/2008/bb405958.aspx
TechNet Virtual Lab: Installing Exchange Server 2007 SP1
on Windows Server 2008
http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032365366&EventCategory=3&culture=en-US&CountryCode=US
Exchange Server and Windows Server 2008
http://blogs.technet.com/b/exchange/archive/2007/08/16/446709.aspx
Exchange Server and Windows Server 2008, Part II
http://blogs.technet.com/b/exchange/archive/2008/03/05/448338.aspx
Wer nicht über die GUI die verschiedenen Komponenten installieren will und mit der Kommandozeile auf Kriegsfuß steht, kann folgendes CMD-Skript starten, um die erforderlichen Komponenten für Exchange 2007 zu installieren
echo --- Installation Basiskomponenten fuer Exchange 2007 auf Windows 2008 -- ServerManagerCmd -i Web-Metabase ServerManagerCmd -i Web-Lgcy-Mgmt-Console ServerManagerCmd -i Web-Server ServerManagerCmd -i Web-ISAPI-Ext ServerManagerCmd -i Web-Metabase ServerManagerCmd -i Web-Lgcy-Mgmt-Console ServerManagerCmd -i Web-Basic-Auth ServerManagerCmd -i Web-Digest-Auth ServerManagerCmd -i Web-Windows-Auth ServerManagerCmd -i Web-Dyn-Compression ServerManagerCmd -i PowerShell ServerManagerCmd -i RPC-over-HTTP-proxy
Danach sollte die Exchange 2007 Installation ohne weitere Einschränkungen durchlaufen.
Windows 2008 Cluster, CCR und OAB
Wer schon ganz neue Server und Windows 2008 beschafft, ist oft auch ein Kandidat für Cluster und Hochverfügbarkeit. Da bietet sich natürlich ein Exchange 2007 Cluster Continuous Replication-Cluster an, bei dem immer einer von zwei Konten aktiv ist und der andere die Datenbank repliziert. Das funktioniert seit Exchange 2007 SP1 sogar auf Anhieb, aber einige Probleme gibt es doch.
So kann ein Exchange 2007 CCR Cluster auf dem Cluster selbst zwar ein OAB generieren, aber kein CAS-Server kann dieses OAB dann auf seine lokalen Disks replizieren. Der Windows 2008 Cluster hat einfach "vergessen" den Share ExchangeOAB anzulegen, damit die CAS-Server diese Daten über den Exchange File Replication Service holen können. Den Share gibt es mit dem Namen des physikalischen Knoten aber ist nicht mit dem Exchange Cluster Namen erreichbar.
Allerdings ist es auch nicht möglich, diesen Share als Admin von Hand anzulegen, da Windows 2008 solche Shares nur auf gemeinsam erreichbaren Festplatten anlegen lässt. diese gibt es im CCR Cluster aber per Default nicht.
Daher stehen ihnen temporär nur folgende Lösungswege offen:
- OAB nicht auf CCR
Wenn sie noch einen weiteren Server mit einer Mailbox Rolle haben, der nicht im Cluster läuft, dann kann dieser ja das OAB anlegen und von den CAS-Servern genutzt werden
Wichtiges Rollup5 für CCR auf Windows 2008 mit OAB
Generierung
954197 Exchange 2007 CAS cannot copy the OAB from the OAB share on
Windows Server 2008-based Exchange 2007 CCR clusters
- Manuell replizieren
Der ExchangeFDS macht nichts anderes, also die Inhalte des Verzeichnis auf seine lokale Festplatte zu kopieren. Diesen "Copy-Job" können Sie natürlich auch einfach von Hand machen oder per Taskplaner ausführen lassen.
Microsoft arbeitet schon an einer Lösung, da es ein Fehler von Windows 2008 zu sein scheint. Da hat wohl eine "Sicherheitsfunktion" etwas über die Stränge geschlagen, dass der Share nicht mit dem Clusternamen erreichbar ist, aber über den Knotennamen als auch über die IP-Adresse des Clusters erreichbar ist.
- OAB generation on a CCR cluster will fail with error 1021
http://blogs.msdn.com/dgoldman/archive/2008/06/19/oab-generation-on-a-ccr-cluster-will-fail-with-error-1021.aspx
Windows 2008 Cluster und APIPA-Adressen
Eigentlich haben Server immer statische feste Adressen, die auf der Netzwerkkarte konfiguriert oder per DHCP permanent wieder zugewiesen werden. Insofern sollten APIPA-Adressen (169,254.x.x) niemals genutzt werden. Wer aber mit einem IPCONFIG /ALL nachschaut, findet beim Cluster eine Netzwerkkarte mit solch einer APIPA-Adresse. Auch diverse "Validierungsprogramme" (z.B. Microsoft ExRAP) beschweren sich darüber
Ein IPCONFIG liefert dazu
Tunnel adapter Local Area Connection* 12: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Microsoft Failover Cluster Virtual Adapter Physical Address. . . . . . . . . : 02-90-38-45-64-11 DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes Link-local IPv6 Address . . . . . : fe80::8fec:8fcc:ea48:2b20%21(Preferred) IPv4 Address. . . . . . . . . . . : 169.254.2.10(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.0.0 Default Gateway . . . . . . . . . : DHCPv6 IAID . . . . . . . . . . . : 369443234 DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-1F-6C-06-1B-1D-E0-07-F4-E6-7B NetBIOS over Tcpip. . . . . . . . : Enabled
Wenn Sie dann etwas recherchieren, dann scheint es ganz normal zu sein, dass seit Windows 2008 bei Cluster eine virtuelle Netzwerkkarte mit dem Namen "Microsoft Failover Cluster Virtual Adapter" auftaucht. Der folgende Blog-Eintrag beschreibt sehr gut die Hintergründe und das Warum. Und dass es wohl alles seine Richtigkeit hat.
- What is a Microsoft Failover Cluster Virtual Adapter
anyway?
https://blogs.technet.microsoft.com/askcore/2009/02/13/what-is-a-microsoft-failover-cluster-virtual-adapter-anyway/
Hier steht auch , was man z.B. NICHT machen sollte, um das Problem zu lösen, was eigentlich gar kein Problem ist.
- Disable the Microsoft Failover Cluster Virtual Adapter
- Sysprep an installation of Windows Server 2008, 2008R2, or 2012 with the Failover Cluster feature installed
- Modifying any properties of the adapter
Anscheinend ist das “normal” und sollte man auch so lassen. Man kann wohl die Reihenfolge der Netzwerkkartenadapter ändern aber das ändert nichts an der IP-Adresse. Ich würde da erst mal nichts ändern und noch mal die Ausgabe von ExRAP bewerten wollen.
- What is a Microsoft Failover Cluster Virtual Adapter
anyway?
https://blogs.technet.microsoft.com/askcore/2009/02/13/what-is-a-microsoft-failover-cluster-virtual-adapter-anyway/ - Exchange 2010: APIPA-Adresse im Mail Header (169.254.X.X)
https://www.frankysweb.de/exchange-2010-apipa-adresse-im-mail-header-169-254-x-x/
Windows 2008 und Exchange Updates
Angenommen, Sie haben schon Windows 2000/2003 und Exchange 2000/2003 in ihrer Umgebung und wollen auf Exchange 2007 und Windows 2008 umstellen, dann sollten Sie folgende Randbedingungen bei der Planung berücksichtigen:
- Windows 2000 auf Windows 2008 Inplace Update geht nicht
Mindestvoraussetzung ist Windows 2003 SP1 als Basis - Exchange 2003 auf Win2008 geht nicht.
Wenn ihr Exchange Server auf Windows 2003 installiert ist, dann können Sie Windows nicht auf Windows 2008 Inplace aktualisieren. - Ex 2003 auf 2007 geht nicht über Inplace Update
Sie müssen also immer einen weiteren Server mit Exchange 2007 zur Swing-Migration installieren. Da ist es dann aber egal, ob Sie Windows 2003 oder Windows 2008 nutzen. - Windows 2003 auf 2008 Inplace ohne installiertes Exchange ist
möglich
So kann man zumindest Domain Controller und andere Server aktualisieren. Exchange 2003 funktioniert problemlos auch mit Windows 2008 Domain Controller solange es selbst auf einem Windows 2003 Server installiert ist. - Winn2008 im Ex2007SP1 in die bestehende Umgebung installieren und
migrieren
Die DCs müssen nur Windows 2003 SP1 oder höher sein.
Unterm Strich kann man also nur sagen:
- Neuer Server mit Windows 2008 und Exchange 2007 ist immer möglich
Auch in bestehenden Umgebungen mit Windows 2003 DCs/GC kann so Exchange 2007 auf Windows 2008 integriert werden. - Windows DC Update auf 2008 geht
Entweder über ein Windows 2003 SP1 DC Inplace Update oder neue DCs mit Windows 2008
Die eigentliche Exchange Migration entspricht dann der Anleitung auf Mig200x-2007. Vor dem Einsatz von Windows 2008 sollten Sie aber noch ein paar andere, oft vergessene, Komponenten beleuchten:
- Kann der Virenscanner schon Win2008 ?
- Kann das Backup schon Win2008 ?
- Kann die Monitoring-Lösung schon Win2008 ?
- Können Treiber und Tools (z.B. RAID-Controller schon Win2008 ?
- etc.
Auch wenn die neuen Funktionen von Windows 2008 für einige Firmen sehr wichtig sind, so sollten kleine Firmen erst man überlegen, ob Windows 2008 speziell am Anfang des Produktzyklus schon einen messbaren Vorteil bringt oder ob man den Drittherstellern auch einfach die Zeit lässt, ihre Produkte anzupassen.
RPC over HTTP auf Windows 2008 benötigt etwas Hilfe, da
die Exchange Dienste nicht auf IPv6-Adressen lauscht, aber RCP/HTTP über
Localhost die IPv6-Adresse nutzt
http://blog.aaronmarks.com/?p=65
Lösung: IPv6 in der Registrierung abschalten
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\ParametersDisabledComponents:DWord32
= 0xFF
Exchange Backup und Windows 2008
Windows 2008 kann mit Bordmitteln keine Exchange Server sichern, da auch das
Programm NTBACKUP nicht mehr enthalten ist. Ein Tool zur Sicherung von
Exchange 2007 per Schattenkopien ist aber bereits angekündigt.
Windows 2008 und IISADMPWD
Wenn Anwender per Webbrowser arbeiten, dann sollten Sie auch auf diesem Wege die Möglichkeit haben, ihr Kennwort zu ändern. In früheren Windows Server Versionen war dazu das virtuelle Verzeichnis IISADMPWD vorhanden, welches man einfach nur einbinden musste. Auf dieses virtuelle Verzeichnis verweist nämlich der "Button" in Outlook Web Access. Also muss man das nur entsprechende einbinden.
Allerdings gibt es dieses Verzeichnis auf einem Windows 2008 Server nicht mehr. Anscheinend hat Microsoft diesen Teil als zu unsicher entfernt ohne eine adäquate Alternative anzubieten. Allerdings kann man auch einfach den Code eines IIS6 auf dem IIS7 wieder reanimieren. Auf dem folgenden Link ist ein kleines HowTo:
- IISADMPWD auf IIS7 unter Windows 2008 einrichten
http://telnetport25.wordpress.com/2008/05/08/windows-2008-iis-7-the-exchange-2007-cas-and-iisadmpwd/ - IISADMPWD
Windows 2008 DCs mit Samba und anderen Clients
Windows 2008 DCs sind von Hause aus "sicherer". Nicht nur, dass Sie ältere Authentifizierungsverfahren per Default nicht mehr anbieten, sondern sie setzen selbst bei NTLM2-tauglichen Clients die "erweiterte Sicherheit" voraus. Das erschwert natürlich diversen "kompatiblen" Serverprodukten (z.B. Samba, diverse NAS-Systeme etc.) die Integration in das Active Directory.
Über eine Einstellung auf dem DC können Sie diese Anforderung wieder aufweichen
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0] "AllowLegacySrvCall"=dword32:00000001
Weitere Infos finden Sie auch im folgenden KK-Artikel:
- 957441 Client connections return a "STATUS_INVALID_PARAM" error code when you use a "Send NTLMv2 response only" authentication level in Windows Server 2008 or in Windows Vista
- Windows 2008 R2
Transitioning your Active Directory to Windows Server 2008 R2
http://blogs.dirteam.com/blogs/sanderberkouwer/archive/2010/05/26/transitioning-your-active-directory-to-windows-server-2008-r2.aspx - Considerations when upgrading your Active Directory
to Windows Server 2008 and 2008 R2
http://blogs.dirteam.com/blogs/sanderberkouwer/archive/2010/05/10/considerations-when-upgrading-your-active-directory-to-windows-server-2008-and-2008-r2.aspx
Windows 2008 und Windows Firewall
Windows 2003 hatte schon eine Firewall-Funktion eingebaut, die aber noch nicht komplett "Scharf" war. Microsoft hat damit aber den Entwicklern von Drittsoftware schon mal die APIs und den Weg aufgezeigt, der zukünftig gegangen wird. In Windows 2008 ist die Firewall aber per Default aktiv und sogar so dicht, dass alle verboten ist, was nicht explizit erlaubt wird. Das merken Sie schon mal daran, dass ein nackter Server nicht mal mehr auf einen "PING" antwortet. Die Antwort auf diese ICMP-Anfrage wird erst erlaubt, wenn z.B. die Fileserver-Rolle oder Domaincontroller-Rolle installiert wurde. Ein Client prüft gerne vorab die Erreichbarkeit eines Servers per Ping, ehe er einen "teuren" TCP-Handshake aufbaut. Der Dienst selbst ist immer installiert und gestartet.
Für Dienste und Programme, die daher auf einem Windows 2008 Server oder höher installiert werden, muss daher entweder das Setup oder der Administrator entsprechende Einstellungen vornehmen. Wenn Sie nun die Firewall im Verdacht haben, ihre Anwendung zu blockieren, dann sollten Sie unter keinen umständen den Dienst stoppen. Das kann sogar dazu führen, dass noch weniger geht.
Because the Windows Firewall service applies Windows
service hardening rules to standard Windows Networking services,
Microsoft does not support stopping the Windows Firewall service. If you
do not want to use Windows Firewall, turn the firewall features off by using the Group Policy settings described in this section, without
stopping the service
Quelle:
http://technet.microsoft.com/en-us/library/cc771032(WS.10).aspx
Besser ist es hier über das Firewall-Controlpanel die Funktion für das Domänen-Netzwerk zu deaktivieren.
Dies gilt insbesondere, wenn eine Anwendung mit dynamischen Ports arbeitet, d.h. OCS Edge Server o.ä. Und die feine Konfiguration der öffnungen erst erfolgen soll, wenn die Funktion belegt werden kann.
Windows 2008 Servermanager und Rollen und Features
Ich bin selbst schon mehrfach in das Problem gelaufen, dass ein Windows Update etwas nicht "richtig" gemacht hat und dann auf dem Server keine Rollen und Features mehr addiert oder entfernt werden konnten. Es lag dann einer defekten MUM und CAB-Datei im Packages-Ordner von Windows 2008. Folgende Artikel können bei der Fehlersuche helfen
- How to fix Server Manager Errors after installing Updates (HRESULT:0x800F0818 / HRESULT:0x800B0100)
http://blogs.technet.com/b/roplatforms/archive/2010/05/12/how-to-fix-server-manager-errors-after-installing-Updates-hresult-0x800f0818-hresult-0x800b0100.aspx - 2461206 You are unable to view Roles and Features and receive error code 0x800706BE in Server Manager
- Unexpected error refreshing Server Manager-errors
0x800706BE and 1601 on Window Server 2008 R2
http://capitalhead.com/articles/unexpected-error-refreshing-server-manager-errors-0x800706be-and-1601-on-window-server-2008-r2.aspx - Advanced guidelines für diagnosing and fixing
servicing corruption
http://technet.microsoft.com/en-us/library/ee619779%28WS.10%29.aspx
Windows 2008 Core Server
Neu ist bei Windows 2008 die Funktion, ihn sehr abgespeckt als "CORE" zu installieren. primäres Ziel ist die Angriffsflächen zu reduzieren. Eine Software ,die nicht installiert ist, deren Lücken können auch nicht ausgenutzt werden. Das zeigt sich deutlich an einer reduzierten Anzahl von Updates und Patches, die auf einem Server Core installiert werden müssen. Zwei Dinge sind dabei aber zu berücksichtigen:
- Exchange geht nicht
Exchange kann nicht auf ein einem Core-Server installiert werden. Damit scheidet das schon mal aus - Praktischer Nutzen
Durch Core fallen auch einige Funktionen (z.B. Explorer, MMC etc.) weg, so dass viele administrative Tätigkeiten eben nicht auf dem Server direkt gemacht werden können (und auch nicht sollten). Damit wird aber die Verwaltung erst mal umständlicher. Die Firmen, die gleich viele Server haben, können natürlich durch Automatisierung profitieren.
So elegant daher der Ansatz eines Core-Servers ist, ich denke dass er bei mittleren und kleineren Firmen seltener zum Einsatz kommt. Anders mag das bei Hostern, Providern und Appliances aussehen. für die wenige Core-Server habe ich mir hier aber ein paar Tipps aufgeschrieben, wie auf dem Core-Server etwas gemacht werden kann
- Core Configurator
Wer Kommandozeilen scheut, möge sich mal den Core Configurator auf http://coreconfig.codeplex.com/ anschauen. - Treiber installieren
Zuerst muss der Treiber (also z.B. die INF-Datei und alles dazu auf dem Server abgelegt werden. Installiert/Aktualisiert wird mit
pnputil -i -a <path to inf>
- Windows Updates installieren
http://blogs.technet.com/b/ralfschnell/archive/2008/08/25/installation-von-Updates-auf-server-core.aspx
Passend dazu hat Daniel Petri einige Artikel veröffentlicht:
- Getting Started with Server Core
http://blogs.technet.com/b/askperf/archive/2007/07/17/getting-started-with-server-core.aspx - Remotely Manage Devices in Windows 2008 Server Core
http://www.petri.co.il/remotely-manage-devices-windows-server-2008-core.htm - Remotely Managing Windows 2008 Server Core Settings
through MMC Snap-ins
http://www.petri.co.il/remotely-manage-windows-server-2008-mmc.htm - Remotely Managing Windows 2008 Server Core Firewall
http://www.petri.co.il/remotely-managing-windows-2008-server-core-firewall.htm - Free Tool to Manage Windows Server 2008 R2 Core with
a GUI: Visual Core Configurator
http://www.petri.co.il/manage-server-2008-r2-core-with-visual-core-configurator.htm - Manage Windows Server 2008 R2 Core with SCONFIG
http://www.petri.co.il/manage-windows-server-2008-r2-core-with-sconfig.htm
Windows 2008 R2 und Trusts
Mit Windows 2008 R2 hat Microsoft die Vertrauensstellung beschränkt, Es ist nicht mehr möglich, einen Trust zu einer NT4 Umgebung aufzubauen. Das war unter Windows 2008 noch möglich.
Important Windows NT 4.0 trusts cannot be created
between Windows Server 2008 R2-based domains and Windows NT 4.0-based
domains. The workaround steps that are documented later in this article
apply to only Windows Server 2008. Security changes that are in Windows
Server 2008 R2 prevent a trust between Windows Server 2008 R2-based
domains and Windows NT 4.0-based domains. This behavior is by design
Quelle:
http://support.microsoft.com/kb/942564/en-us
Unter Windows 2008 konnte dies noch durch ein Absenken des Sicherheitslevels erreicht werden.
- 942564 The Net Logon service on Windows Server 2008 and on Windows Server 2008 R2 domain controllers does not allow the use of older cryptography algorithms that are compatible with Windows NT 4.0 by default
128bit NTLM mit Windows 2008
Zudem muss man wissen, das Windows 2008 als auch Windows 7 per Default eine 128bit Verschlüsselung erzwingen, was viele Clients nicht verstehen oder der Zugang nicht unterstützt. Auch dazu gibt es eine unmenge an Artikeln.
- Security WatchThe Most
Misunderstood Windows Security
Setting of All Time
http://technet.microsoft.com/en-us/magazine/2006.08.securitywatch.aspx - NTLM Blocking and You:
Application Analysis and
Auditing Methodologies in
Windows 7
http://blogs.technet.com/b/askds/archive/2009/10/08/ntlm-blocking-and-you-application-analysis-and-auditing-methodologies-in-windows-7.aspx - OCS 2007, NTLM, and Edge
server login problems
http://blog.tiensivu.com/aaron/archives/1917-OCS-2007,-NTLM,-and-Edge-server-login-problems.html - 823659 Client, service, and program incompatibilities that may occur when you modify security settings and User rights assignments
Weitere Links
- IPV6
- Exchange Server and Windows Server 2008
http://blogs.technet.com/b/exchange/archive/2007/08/16/446709.aspx - Exchange Server and Windows Server 2008, Part II
http://blogs.technet.com/b/exchange/archive/2008/03/05/448338.aspx - Windows 2008 Startseite
http://www.microsoft.com/windowsserver2008/default.mspx - Windows 2008 Testen
http://www.microsoft.com/heroeshappenhere/testdrive/windows-server-2008/default.mspx - Microsoft Windows Server 2008 - die Editionen im Überblick
http://www.microsoft.com/germany/windowsserver2008/editionen/uebersicht.mspx - What's New in Exchange Server 2007 SP1
http://technet.microsoft.com/en-us/library/bb676323.aspx - How to Install Exchange 2007 SP1 Prerequisites on Windows Server
2008
http://technet.microsoft.com/en-us/library/bb691354.aspx - Windows Server 2008 RC0 Enterprise Trial Download
http://www.microsoft.com/downloads/details.aspx?FamilyId=0818D425-CD47-4279-BE8D-24ABA14530A3&displaylang=en - Terminology Changes
http://technet.microsoft.com/en-us/library/bb123550.aspx - Transitioning Your MCSE Skills to Windows Server 2008
http://www.microsoft.com/learning/mcp/mcse/windowsserver2008/default.mspx -
Mission
Impossible: In-Place upgrading Microsoft Exchange Server 2007 from
Windows Server 2003 to Windows Server 2008
http://blogs.technet.com/b/exchange/archive/2007/10/04/447188.aspx -
Changes in Functionality from Windows Server 2003 with SP1 to Windows Server
2008
http://www.microsoft.com/downloads/details.aspx?familyid=173e6e9b-4d3e-4fd4-a2cf-73684fa46b60&displaylang=en&tm -
Prüferhandbuch zu Microsoft Windows Server 2008
http://technet.microsoft.com/de-de/windowsserver/2008/bb414776.aspx -
Windows
Server 2008 Step-by-Step Guides
http://www.microsoft.com/downloads/details.aspx?FamilyId=518D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en - Collection 6041: upgrading Your Windows Server 2003 MCSE Technical Skills to Windows Server 2008 (Beta) https://www.microsoftelearning.com/eLearning/offerDetail.aspx?offerPriceId=125766
- 930909 How to use the Appcmd.exe command-line tool to enable and configure HTTP logging and other features in Internet Information Services 7.0
-
TechNet Virtual Lab: Installation and the New Modular Architecture
http://go.microsoft.com/?linkid=8039822
TechNet Virtual Lab: Installing ASP, ASP.NET and PHP/FastCGI Applications on IIS 7 http://go.microsoft.com/?linkid=8039823
TechNet Virtual Lab: using the new IIS 7 Configuration System featuring Delegated and Remote Administration http://go.microsoft.com/?linkid=8039824
TechNet Virtual Lab: URL Authorization and Request Filtering in IIS 7 http://go.microsoft.com/?linkid=8039825
TechNet Virtual Lab: Administering the IIS 7 File Transfer Protocol (FTP) Server http://go.microsoft.com/?linkid=8039826
TechNet Virtual Lab: Working with the IIS Manager http://go.microsoft.com/?linkid=8039827
TechNet Virtual Lab: Implementing Preliminary Shared Hosting Guidelines and Shared Configuration http://go.microsoft.com/?linkid=8039828
TechNet Virtual Lab: Rapid Troubleshooting with IIS 7 Failed Request Tracing <http://go.microsoft.com/?linkid=8039829> -
Blog zu Windows Server Core
http://blogs.technet.com/server_core/
Serie mit Kommandozeilen für Server Core
http://blogs.technet.com/server_core/archive/2006/12/18/tips-and-tricks-vol-1.aspx
http://blogs.technet.com/server_core/archive/2006/12/18/tips-and-tricks-vol-2.aspx
http://blogs.technet.com/server_core/archive/2006/12/18/tips-and-tricks-vol-3.aspx
http://blogs.technet.com/server_core/archive/2006/12/18/tips-and-tricks-vol-4.aspx -
CoreConfigurator
http://blogs.microsoft.co.il/files/folders/guyt/entry68860.aspx -
PowerShell on Server Core (inofficial/not supportet)
http://dmitrysotnikov.wordpress.com/2008/05/15/PowerShell-on-server-core/
4 Schritte: C++ redistributable, NET2.0 (mit Orca im MSI die Version gepatched), PowerShell -
Windows 2008 aktivieren
http://blog.kalmbach-software.de/de/2008/05/13/windows-server-2008-aktivieren/ - 555965 How to activate Windows Server 2008 Core
-
Microsoft Volume Activation 2.0
https://partner.microsoft.com/germany/licensing/40029209 -
Wolfgangs Windows 2008 Blog
http://wolfgang-on-the-road.spaces.live.com/ -
Windows Server 2008 Workstation Converter
http://www.win2008workstation.com/wordpress/lang/en-us/2008/07/17/windows-server-2008-workstation-converter/ -
Aufbau einer KMS Infrastruktur
http://blogs.sepago.de/thorsten/2009/03/19/aufbau-einer-kms-infrastruktur/ -
Konvertierung von Retail-, KMS- und MAK-Versionen von Windows 7 und
Windows Server 2008 R2
http://blogs.technet.com/dmelanchthon/archive/2010/04/16/konvertierung-von-retail-kms-und-mak-versionen-von-windows-7-und-windows-server-2008-r2.aspx - Windows 2008 R2
Transitioning your Active Directory to Windows Server 2008 R2
http://blogs.dirteam.com/blogs/sanderberkouwer/archive/2010/05/26/transitioning-your-active-directory-to-windows-server-2008-r2.aspx - Considerations when upgrading your Active Directory to Windows
Server 2008 and 2008 R2
http://blogs.dirteam.com/blogs/sanderberkouwer/archive/2010/05/10/considerations-when-upgrading-your-active-directory-to-windows-server-2008-and-2008-r2.aspx - Probleme mit Exchange 2003 nach Migration auf Windows Server 2008 R2
Active Directory?
http://layer9.wordpress.com/2010/05/15/probleme-mit-exchange-2003-nach-migration-auf-windows-server-2008-r2-active-directory/ - Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2
Gesamtstruktur hinzufügen
http://blog.dikmenoglu.de/PermaLink,guid,58a3c79f-f34e-4635-bc5f-0bfc67045b91.aspx - Probleme mit Exchange 2003 nach Migration auf Windows Server 2008 R2
Active Directory?
http://layer9.wordpress.com/2010/05/15/probleme-mit-exchange-2003-nach-migration-auf-windows-server-2008-r2-active-directory/ - 951608 Description of the Credential Security Support Provider (CredSSP)
in Windows XP Service Pack 3
Einstellungen, um von Windows XP per Terminal Dienste an Windows 2008 zu kommen - Active Directory SysVol Replication Migration from FRS to DFSR in
windows 2008
http://smtpport25.wordpress.com/2009/11/06/active-directory-sysvol-replication-from-frs-to-dfsr-in-windows-2008/ - Should you delete files in the \WinSXS directory? And what’s the
deal with VSS?
http://blogs.technet.com/b/joscon/archive/2010/08/06/should-you-delete-files-in-the-winsxs-directory-and-what-s-the-deal-with-vss.aspx