.NET Framework 2 bzw. 3.5 unter Windows Server 2012

Posted by t.brinkmann

Windows Server 2012 bringt unter anderem auch einen WSUS-Server mit. Leider wird der für WSUS benötigte Microsoft Report Viewer 2008 bei der Installation der Rolle WSUS nicht mitinstalliert:

WSUS01

Eine einfache Installation des Report Viewers scheitert mit der Meldung dass das .NET Framework 2.0 benötigt wird. Das .NET Framework 3.5 (welches das 2.0 Framework enthält) lässt sich jedoch nicht einfach so über den Server-Manager nachinstallieren. Vielmehr muss die Quelle des Frameworks manuell angegeben werden. Netterweise befinden sich die Installationsdateien auf dem Server 2012 Installationsmedium.

WSUS02 WSUS03 WSUS04

SBS2008 nach Ausfall in derselben Domäne neu installieren - Besonderheit Exchange

Posted by t.brinkmann

Folgendes Szenario: Es existiert ein SBS2008 der für Exchange / WSUS genutzt wird, weitere Server (DC, Terminalserver, SQL, File, Kommserver, Branchenanwendungen etc) mehrere Dutzend Computer- sowie Benutzerkonten im AD, aufwendig gesetzte NTFS-Berechtigungen etc.

Der SBS wird nicht (wie von MS vorgesehen) über die Windows-Server Sicherung gesichert, es existiert lediglich eine Sicherung des Exchange. Wenn der SBS2008 ausfällt sind einige Schritte notwendig um diesen wieder erfolgreich in die Domäne zu integrieren. Ohne einige Vorarbeiten wird die Migration des neuen SBS2008 nicht erfolgreich verlaufen (u.a. Reste vom Exchange im AD, keine FSMO-Rollen etc.)

Die Schritte sind im Groben:

  • FSMO Rollen per NTDSUTIL auf verbliebenem DC neu anlegen.
  • DNS bereinigen (alle Verweise und NS Einträge des SBS2008 entfernen)
  • SBS-spezifische GPO und WMI-Filter löschen.
  • Neuen TEMP-Server (z.Bsp. 2008R2 Trial) mit dem alten Namen des SBS2008 aufsetzen und in Domäne aufnehmen.
  • TEMP-Server in die Gruppe der Exchange-Admins und der Domänen-Admins aufnehmen.
  • Exchange 2007 Trial auf diesem Server installieren (mit der Option “setup.exe /m:recoverserver” – sollte das Setup wird Fehlern abbrechen wird wahrscheinlich die Exchange-Verwaltungsshell trotzdem installiert.) Mit der Shell können unter anderem verwaiste OWA-Objekte aus dem AD gelöscht  werden.
  • Wenn die Exchange Installation fehlerhaft abgeschlossen wurde und ein weiteres Setup nicht möglich ist muss der TEMP-Server erneut mit dem alten Computernamen des SBS2008 installiert und in die Domäne gehoben werden. Das Exchange 2007-Setup wieder mit /m:recoverserver starten. Das Setup MUSS fehlerfrei durchgeführt werden.
  • Als nächstes Exchange 2007 DEINSTALLIEREN – Die Deinstallation ist die einzige Möglichkeit die Exchange-Einträge sauber aus dem AD zu entfernen (einzige von MS empfohlene Methode– bei Eingriffen mit ADSIEDIT besteht die Gefahr dass Exchange NICHT installiert werden kann. Die Deinstallation muss fehlerfrei und komplett abgeschlossen werden.)
  • TEMP-Server aus Domäne entfernen.
  • SBS2008 Antwortdatei für eine Migration erstellen (selber Computername und IP wie ausgefallener SBS).
  • SBS2008 im Migrationsmodus installieren.
  • Benutzerrollen neu zuweisen.
  • Zertifikate etc. einlesen.
  • Microsoft-Updates installieren.
  • SBS-BPA / Exchange BPA / dcdiag etc. ausführen.
  • Sichtung der Ereignisprotokolle auf Fehler (besonders DNS, Dateireplikation, Verzeichnisdienst).
  • DNS prüfen (NS-Einträge, _msdcs ,etc.).
  • Gruppenrichtlinien prüfen (Berechtigungen auf verwaiste SID’s etc.).
  • Neues Outlookprofil an allen Clients erstellen.

Die Exchange Organisation bekommt standardmäßig den Namen “FIRST ORGANIZATION”, wenn die Organisation vorher anders hieß, und eine alte edb-Datei wiederhergestellt werden muss bleibt nur der Weg:

  • Neuen Temp-Server aufsetzen (nicht in das SBS-Netzwerk)
  • dcpromo ausführen, neue Domäne erstellen
  • Exchange 2007 installieren, Organisationsname passend wählen
  • Vorhandene EDB-Mailboxdatei (z.Bsp aus Backup, oder aus Dateisystem des defekten SBS) mounten
  • Benutzerpostfächer anlegen
  • Postfächer wiederherstellen
  • Postfächer exportieren
  • Postfächer auf SBS wieder importieren

Einen 100% Erfolgsgarant kann es bei den ganzen Schritten nicht geben, allerdings wird deutlich dass es sehr aufwändig ist einen ausgefallenen SBS wieder als neuen SBS in die Ursprungs-Domäne “zurückzumigrieren”. Alternativ kann natürlich die gesamte Domäne neu aufgesetzt werden…………

All diese Schritte kann man sich durch die Nutzung der integrierten Windows-Sicherung und einer USB-Festplatte sparen, und eine USB-Festplatte lässt sich in jedem SBS-Projekt unterbringen.

Nur 100 Mbit bei Fritz!Box

Posted by t.brinkmann

Da entscheidet man sich für eine Fritz!Box von AVM, welche 2 oder mehr GBit-Anschlüsse bietet (z.Bsp. Fritz!Box Fon 7390, 7360, 3370 etc.) – klemmt dann den PC an, und wundert sich warum die LAN-Verbindung nur mit 100 Mbit läuft.

Grund hierfür sind die Energiesparoptionen der Fritz!Boxen, zu finden unter “System” – “Energiemonitor”. Ist hier der “Green Mode” ausgewählt laufen die LAN-Ports nur mir 100 Mbit. Erst im “Power Mode” laufen die Ports mit 1Gbit.

Fritz

Windows Server Solutions BPA Update

Posted by t.brinkmann

Microsoft hat den Windows Server Solutions Best Practice Analyzer mit 46 neuen Regeln ausgestattet.

Der BPA ist ein sehr nützliches Tool und prüft diverse Parameter auf Korrektheit, bzw. auf Einhaltung bestimmter Werte. Geprüft werden neben dem SBS2011 Standard auch der SBS2011 Essentials, Windows Multipoint Server und Windows Storage Server 2008R2 Essentials.

Outlook-Daten zu Exchange portieren

Posted by t.brinkmann

Folgendes Problem kennen bestimmt Viele: Es sind mehrere PCs vorhanden, an jedem PC arbeiten mehrere unterschiedliche Personen mit unterschiedlichen Benutzeraccounts. Mails werden von jedem Benutzer über Outlook per POP3 abgerufen und lokal gespeichert. In der Vergangenheit war eine Migration dieser PST-Dateien zu Exchange doch recht mühsam, jede PST musste gesucht und importiert werden. Das hat jetzt ein Ende: Microsoft hat das Programm PST Importer 2010 der Firma redgate aufgekauft, aufgebohrt, und stellt es nun als Microsoft Exchange PST Capture kostenfrei zum Download bereit. Neben lokalen Exchange Servern können damit auch lokale PST-Dateien zu Office 365 portiert werden.

Infos zur Benutzung

Backup von virtuellen Maschinen auf Hyper-V Servern

Posted by t.brinkmann

Folgender Post soll eine Möglichkeit zeigen um einen kompletten Hyper-V Host auf Wechselmedien zu sichern – verschlüsselt.

Die hier gezeigte Lösung passt nicht auf jede virtualisierte Umgebung und soll lediglich zeigen wie ein tägliches Vollbackup einer Hyper-V VM auf einem verschlüsselten transportablen Medium aussehen kann. So entsteht auch bei Verlust des Sicherungsmedium keine Sicherheitslücke – schließlich enthält die USB-HDD die komplette Serverinfrastruktur!

Gesichert wird in diesem Beispiel ein Windows 2008R2 Hyper-V Host auf dem 4 virtuelle Maschinen (SBS2011, Terminalserver, SQL-Server, IM-Server) laufen. Gesichert wird Montags bis Freitags auf externe 2TB USB-HDD. Die Festplatten sind per Bitlocker verschlüsselt, gesichert wird mit der aktuellen Beta2 Version 3.0.44 der Software Altaro Hyper-V Backup V3. Die Beta2 bietet erstmals “Drive Swap functionality” – sprich das Sichern auf wechselnden Laufwerken.

Zum Ablauf: Der Server hat das Feature “Bitlocker” aktiviert:

image

Jede der 5 USB-HDD wurde mit einem starken Kennwort per “Bitlocker-To-Go” verschlüsselt. Dazu wird jede HDD nacheinander an den Host gesteckt und per “Bitlocker aktivieren” verschlüsselt. Das dauert ca. einen Tag pro HDD.

imageimage image

Der Wiederherstellungsschlüssel ist sehr wichtig! Nur mit ihm kann die USB-HDD bei Verlust des Kennworts entsperrt werden. Das heisst auch: Wer den Wiederherstellungsschlüssel hat kann auf die HDD zugreifen.

Wenn das USB-Laufwerk an den Host angesteckt wird sollte die Option “Laufwerk an diesem Computer automatisch entsperren” aktiviert werden – Nur so kann Altaro später auf das Laufwerk sichern. Dies kann auch per Systemsteuerung eingestellt werden:

image

Nun wird Altaro Hyper-V Backup gestartet. Unter “Select Backup Drive” wird das “Multiple Backup Drive Swapping” aktiviert, und danach per “Add Backup Drive” jedes angesteckte USB-Laufwerk als Backup Drive ausgewählt. Von nun an versucht Altaro Hyper-V Backup auf das erste verfügbare Laufwerk der Liste zu sichern, angefangen mit der kleinsten Zahl (=höchste Prio).

image

Eins sehr interessantes Feature von Altaro Hyper-V Backup ist die “Reverse Delta Technologie”. Bei jeder Sicherung wird nur das Delta des vorherigen Backup gesichert – Allerdings erstellt Hyper-V Backup dabei eine komplette Sicherung aus den vorherigen Backups, so das bei einer Rücksicherung direkt auf ein komplettes Vollbackup zurückgegriffen werden kann.

Altaro sichert per Windows VSS Provider– Es findet also KEINE Imagesicherung statt, die VMs wissen wenn sie gesichert werden. Dies lässt sich z.Bsp. an den Exchange Datenbanken des virtuellen SBS2011 erkennen.

image

Weiterhin bietet Altaro mit “FireDrill” eine Option mit der sich automatisiert VMs wiederherstellen lassen. So kann automatisch die Funktion des Backup getestet werden. Ebenso lassen sich einzelne Ordner/Dateien aus der Sicherung wiederherstellen. Dazu wird jedoch das Backup auf einem temporär anzugebenen Speicher gemountet. Altaro bietet derzeit NICHT die Möglichkeit einzelne Anwendungen (wie z.Bsp Exchange) zu sichern oder wiederherzustellen. Ebenso ist das Wiederherstellen einzelner Ordner und Dateien nicht unbedingt schnell und nicht unbedingt komfortabel. Auch kann es gewünscht sein auf größeren Medien für längere Zeit zu sichern – hier kann evtl. mit der Windows-Sicherung innerhalb der VMs auf iSCSI Targets kombiniert werden. Bei Altaro gilt: Sichern = Komplette VM, Wiederherstellen = Komplette VM oder einzelne Ordner / Dateien

Dank der Reverse Delta Technologie ist es mit Altaro Hyper-V Backup möglich mehrere Versionsstände von Hyper-V VMs auf externen HDD zu sichern. Diese HDD lassen sich außer Haus transportieren und sind dank Bitlocker-To-Go Verschlüsselung vor Verlust oder Diebstahl gesichert.

Jede Backupstrategie muss auf das jeweilige Umfeld angepasst werden. Dieses Szenario arbeitet mit Beta Software welche Fehler enthalten kann und evtl. nicht wie geplant funktioniert. Es kann keine Garantie oder Gewähr auf das Funktionieren der hier gezeigten Lösung übernommen werden. Diese Lösung bedingt physikalischen Zugang zum Hyper-V Host durch die mit dem Backup beauftragen Person – dies kann ein Sicherheitsrisiko darstellen. Siehe auch hier.

Standard Gruppenrichtlinien eines SBS2011

Posted by t.brinkmann

da immer mal wieder die Frage aufkommt (gerade nach Migrationen) wie die Default-GPO eines SBS2011 aussehen anbei die Infos. Es handelt sich hierbei um einen frisch installierten, nicht migrierten SBS2011.

 

Download der GPOs als exportierter HTML-Bericht

Kaspersky for Exchange 2010 und das Exchange Service Pack 2

Posted by t.brinkmann

Zur Info: Kaspersky for Exchange 2010 unterstützt das Exchange Service Pack 2 (noch) nicht.

Wenn derzeit KAV4Exchange im Einsatz ist, und das Exchange Service Pack 2 installiert wird gibt es Fehler wie:

  • Exchange Transport startet nicht
  • Event-ID: 16023 Source: MSExchangeTransport
  • Fehler beim Erstellen des Typs 'Transport.Smtp.Antispam.FilterFactory'

Workaround 1 : Kaspersky for Exchange deaktivieren

Workaround 2 : Support in Ingolstadt anschreiben und inoffiziellen Hotfix anfordern (http://www.kasperskylab.de/business-support)

Irgendwann in Q1/2012 soll es ein offizielles MP1 (Maintenance Pack 1) für Kav4Exchange geben.

Aktualisierung
Es gibt mittlerweile Kaspersky for Exchange 2010 MP1

Hyper-V-Cluster-to-Go

Posted by t.brinkmann

Wie oft kommt es vor dass man unterwegs ist und sich denkt: “Ich hätte jetzt gerne einen Hyper-V Cluster incl. Cluster Shared Volumes dabei…”?  Auch mich beschäftigt immer wieder dieser Gedanke, darum habe ich einen “Hyper-V-Cluster-to-Go” erstellt.

Eins Vorweg: Es handelt sich hierbei um ein reines Machbarkeitsprojekt – das System ist weder für den produktiven Einsatz vorgesehen, noch von Irgendjemandem supportet. Die Hardware sowie fast jede Softwareeinstellung geht direkt an den Best Practices für einen Hyper-V Cluster vorbei. Erstellt wurde der Hyper-V-Cluster-to-Go nur zu zwei Zwecken: Live-Migrationen demonstrieren und CSV-fähige Backupsoftware testen.

  • Eingesetzte Hardware für Hyper-V Host: 2x Wortmann Terra Miniserver 
  • Shared Storage: 1x QNAP TS-212 NAS
  • Switch: 1x Netgear GS108
  • 1x Mehrfachsteckdosenleiste
  • 1x Holzplatte
  • Windows Server 2008R2 Enterprise Trial Version

Der Wortmann Miniserver zeichnet sich durch seine kompakte Bauweise bei hoher Performance aus. Es sind 2 LAN-Anschlüsse vorhanden, ein Intel Servermainboard im Mini-ITX Format, sowie (in unserer Konfiguration) ein Xeon E3-1225 (Quadcore 3,1 Ghz) Weiterhin können max. 4 x 3,5” SATA HDD und 2 x 2,5” SATA (bei Einsatz eines zusätzlichen RAID-Controller auch SAS) verbaut werden. Beide Terra Miniserver sind mit 8 GB RAM ausgestattet.

Das QNAP NAS unterstützt max. 2 SATA-HDD, stellt iSCSI-Targets zur Verfügung und kann SCSI-3 Reservations.

Teaming von Intel Netzwerkkarten

Posted by t.brinkmann

Beim Versuch ein Teaming von Intel-Netzwerkkarten einzustellen kommt gelegentlich die Meldung “Dieser Adapter ist für eine Kopie des Intel iSCSI Remote Bootsektors konfiguriert und kann deswegen nicht in einer Gruppe verwendet werden”

0001

Das heißt: Das ROM der Netzwerkkarte steht auf iSCSI Remote Boot, und könnte dem (evtl. ko,plett plattenlosen) Server so Speicher im Netz per iSCSI zugänglich machen. Teaming von Netzwerkkarten für den iSCSI Betrieb ist jedoch nicht unterstützt. 

Verwenden Sie Microsoft Multipfad-E/A zum Verwalten mehrere Pfade für die iSCSI-Speicherung. Das Teaming von Netzwerkkarten, die zum Herstellen einer Verbindung mit iSCSI-basierten Speichergeräten verwendet werden, wird von Microsoft nicht unterstützt.

Es gibt nun 2 Möglichkeiten das ROM der NIC umzustellen: Entweder beim Start des Servers mit “STRG +D” im ROM der NIC, oder mit dem Intel Ethernet Connection Boot Utility direkt aus Windows heraus. Dazu müssen die Datein aus “Preboot.exe” entpackt werden, und anschließend das ROM der Netzwerkkarte aktualisiert werden:

image

0003

Anschließend kann das gewünscht Team eingestellt werden.

 

Übrigens - Dateitransfers über per MPIO (Multipath I/O) angebunden Speicher sehen so aus:

0004