Windows Server Solutions BPA Update

Posted by t.brinkmann

Microsoft hat den Windows Server Solutions Best Practice Analyzer mit 46 neuen Regeln ausgestattet.

Der BPA ist ein sehr nützliches Tool und prüft diverse Parameter auf Korrektheit, bzw. auf Einhaltung bestimmter Werte. Geprüft werden neben dem SBS2011 Standard auch der SBS2011 Essentials, Windows Multipoint Server und Windows Storage Server 2008R2 Essentials.

Rechte in öffentlichen Ordnern per Powershell vergeben

Posted by o.sommer

Mit dem Powershell Befehl

get-publicfolder –recurse

kann man den Namen des Ordners bestimmen:

image

Dann kann man den gewünschten Ordner inkl. Unterordner, mittels “get-publicfolder –recurse” an den Befehl Add-PublicFolderClientPermission übergeben (pipen, | ) und die gewünschten Rechte anwenden lassen.

get-publicfolder \NameDesÖffentlichenordners -recurse | Add-PublicFolderClientPermission -AccessRights EditAllItems –User Benutzerkonto

image

Allerdings bekommt ein User auch damit nicht vollständige Rechte, einzelne Berechtigungen müssen wie in http://technet.microsoft.com/de-de/library/bb310789(EXCHG.80).aspx angegeben einzeln zugewiesen werden.

z.B.

get-publicfolder \NameDesÖffentlichenordners -recurse | Add-PublicFolderClientPermission -AccessRights DeleteAllItems –User Benutzerkonto

Auf der TechNet Site gibt es eine Liste der Berechtigungen, allerdings mit einem Tippfehler in der ersten Zeile bei ReatItems die ich hier deshalb korrigiert angebe:

  • ReadItems Der Benutzer hat das Recht, Elemente in dem angegebenen Öffentlichen Ordner zu lesen.
  • CreateItems Der Benutzer darf im angegebenen Öffentlichen Ordner Elemente erstellen und E-Mail-Nachrichten an den Öffentlichen Ordner senden, wenn dieser für E-Mails aktiviert ist.
  • EditOwnedItems Der Benutzer hat das Recht, Elemente im angegebenen Öffentlichen Ordner zu bearbeiten, deren Eigentümer er ist.
  • DeleteOwnedItems Der Benutzer hat das Recht, die Elemente im angegebenen Öffentlichen Ordner zu löschen, deren Eigentümer er ist.
  • EditAllItems Der Benutzer hat das Recht, alle Elemente in dem angegebenen Öffentlichen Ordner zu bearbeiten.
  • DeleteAllItems Der Benutzer hat das Recht, alle Elemente in dem angegebenen Öffentlichen Ordner zu löschen.
  • CreateSubfolders Der Benutzer hat das Recht, Unterordner in dem angegebenen Öffentlichen Ordner zu erstellen.
  • FolderOwner Der Benutzer ist der Eigentümer des angegebenen Öffentlichen Ordners. Der Benutzer ist zum Anzeigen und Verschieben des Öffentlichen Ordners, zum Erstellen von Unterordnern und zum Festlegen von Berechtigungen für den Ordner berechtigt. Der Benutzer darf keine Elemente lesen, bearbeiten, löschen oder erstellen.
  • FolderContact Der Benutzer ist der Kontakt für den angegebenen Öffentlichen Ordner.
  • FolderVisible Der Benutzer kann den angegebenen Öffentlichen Ordner anzeigen, kann jedoch in diesem Ordner keine Elemente lesen oder bearbeiten.

Backup von virtuellen Maschinen auf Hyper-V Servern

Posted by t.brinkmann

Folgender Post soll eine Möglichkeit zeigen um einen kompletten Hyper-V Host auf Wechselmedien zu sichern – verschlüsselt.

Die hier gezeigte Lösung passt nicht auf jede virtualisierte Umgebung und soll lediglich zeigen wie ein tägliches Vollbackup einer Hyper-V VM auf einem verschlüsselten transportablen Medium aussehen kann. So entsteht auch bei Verlust des Sicherungsmedium keine Sicherheitslücke – schließlich enthält die USB-HDD die komplette Serverinfrastruktur!

Gesichert wird in diesem Beispiel ein Windows 2008R2 Hyper-V Host auf dem 4 virtuelle Maschinen (SBS2011, Terminalserver, SQL-Server, IM-Server) laufen. Gesichert wird Montags bis Freitags auf externe 2TB USB-HDD. Die Festplatten sind per Bitlocker verschlüsselt, gesichert wird mit der aktuellen Beta2 Version 3.0.44 der Software Altaro Hyper-V Backup V3. Die Beta2 bietet erstmals “Drive Swap functionality” – sprich das Sichern auf wechselnden Laufwerken.

Zum Ablauf: Der Server hat das Feature “Bitlocker” aktiviert:

image

Jede der 5 USB-HDD wurde mit einem starken Kennwort per “Bitlocker-To-Go” verschlüsselt. Dazu wird jede HDD nacheinander an den Host gesteckt und per “Bitlocker aktivieren” verschlüsselt. Das dauert ca. einen Tag pro HDD.

imageimage image

Der Wiederherstellungsschlüssel ist sehr wichtig! Nur mit ihm kann die USB-HDD bei Verlust des Kennworts entsperrt werden. Das heisst auch: Wer den Wiederherstellungsschlüssel hat kann auf die HDD zugreifen.

Wenn das USB-Laufwerk an den Host angesteckt wird sollte die Option “Laufwerk an diesem Computer automatisch entsperren” aktiviert werden – Nur so kann Altaro später auf das Laufwerk sichern. Dies kann auch per Systemsteuerung eingestellt werden:

image

Nun wird Altaro Hyper-V Backup gestartet. Unter “Select Backup Drive” wird das “Multiple Backup Drive Swapping” aktiviert, und danach per “Add Backup Drive” jedes angesteckte USB-Laufwerk als Backup Drive ausgewählt. Von nun an versucht Altaro Hyper-V Backup auf das erste verfügbare Laufwerk der Liste zu sichern, angefangen mit der kleinsten Zahl (=höchste Prio).

image

Eins sehr interessantes Feature von Altaro Hyper-V Backup ist die “Reverse Delta Technologie”. Bei jeder Sicherung wird nur das Delta des vorherigen Backup gesichert – Allerdings erstellt Hyper-V Backup dabei eine komplette Sicherung aus den vorherigen Backups, so das bei einer Rücksicherung direkt auf ein komplettes Vollbackup zurückgegriffen werden kann.

Altaro sichert per Windows VSS Provider– Es findet also KEINE Imagesicherung statt, die VMs wissen wenn sie gesichert werden. Dies lässt sich z.Bsp. an den Exchange Datenbanken des virtuellen SBS2011 erkennen.

image

Weiterhin bietet Altaro mit “FireDrill” eine Option mit der sich automatisiert VMs wiederherstellen lassen. So kann automatisch die Funktion des Backup getestet werden. Ebenso lassen sich einzelne Ordner/Dateien aus der Sicherung wiederherstellen. Dazu wird jedoch das Backup auf einem temporär anzugebenen Speicher gemountet. Altaro bietet derzeit NICHT die Möglichkeit einzelne Anwendungen (wie z.Bsp Exchange) zu sichern oder wiederherzustellen. Ebenso ist das Wiederherstellen einzelner Ordner und Dateien nicht unbedingt schnell und nicht unbedingt komfortabel. Auch kann es gewünscht sein auf größeren Medien für längere Zeit zu sichern – hier kann evtl. mit der Windows-Sicherung innerhalb der VMs auf iSCSI Targets kombiniert werden. Bei Altaro gilt: Sichern = Komplette VM, Wiederherstellen = Komplette VM oder einzelne Ordner / Dateien

Dank der Reverse Delta Technologie ist es mit Altaro Hyper-V Backup möglich mehrere Versionsstände von Hyper-V VMs auf externen HDD zu sichern. Diese HDD lassen sich außer Haus transportieren und sind dank Bitlocker-To-Go Verschlüsselung vor Verlust oder Diebstahl gesichert.

Jede Backupstrategie muss auf das jeweilige Umfeld angepasst werden. Dieses Szenario arbeitet mit Beta Software welche Fehler enthalten kann und evtl. nicht wie geplant funktioniert. Es kann keine Garantie oder Gewähr auf das Funktionieren der hier gezeigten Lösung übernommen werden. Diese Lösung bedingt physikalischen Zugang zum Hyper-V Host durch die mit dem Backup beauftragen Person – dies kann ein Sicherheitsrisiko darstellen. Siehe auch hier.

Bitlocker Setup on HP Microserver and Windows Server 2008 R2

Posted by o.sommer

English:
Since there is an optional TPM modul (installable at any time) available for the HP Microserver, I decided to Screencast the setup of Bitlocker on a box that has Windwos Server on it:

German:
Nachdem es für den HP Microserver ein optionales (auch nachträglich) zu verbauendes TPM Modul gibt, habe ich mal einen Screencast erstellt , wie man mit Hilfe dieses TPM Modul ein mit Bitlocker sicher verschlüsselten Server konfiguriert:

image_thumb[65]image_thumb[41]image_thumb[42]image_thumb[43]image_thumb[44]image_thumb[45]image_thumb[46]image_thumb[47]image_thumb[48]image_thumb[49]image_thumb[50]image_thumb[51]image_thumb[52]image_thumb[53]image_thumb[54]image_thumb[55]image_thumb[56]image_thumb[57]image_thumb[58]image_thumb[59]image_thumb[60]image_thumb[61]image_thumb[62]image_thumb[63]image_thumb[64]image_thumb[66]image_thumb[67]image_thumb[68]image_thumb[69]image_thumb[70]image_thumb[71]image_thumb[72]image_thumb[74]image_thumb[76]imageimageimageimage

How to buy Windows Storage Server 2008 R2 Essentials?

“Fine”, you’d say, “but I can not buy WSSe anywhere in central europe”

Right!
Not as of today, but on Wednesdays
SMB MVP Roadshow in Utrecht, Netherland, there will be an anouncement of the general availability of a product that has WSSe and is driven by the Hardware we all want WSSe to be on!

Hotfix für .co.uk DNS Problem verfügbar

Posted by o.sommer

Es scheint als wäre nun endlich ein Hotfix und nicht nur ein Workaround für das DNS Auflösungsproblem einiger “zweistufiger” TopLevel Domains wie .co.uk verfügbar.
Das Problem ist bereits seit 2009 im Umlauf:
”Cannot resolve names in certain top level domains like .co.uk.”
http://blogs.technet.com/b/sbs/archive/2009/01/29/cannot-resolve-names-in-certain-top-level-domains-like-co-uk.aspx

Der seit kurzem verfügbare Hotfix aus dem KB2508835 scheint vielversprechend:
”DNS Server service does not resolve some external DNS names after it works for a while in Windows Server 2008 R2”
http://support.microsoft.com/kb/2508835/en-us?sd=rss&spid=14134

Exchange Verwaltungskonsole lässt sich nicht mehr schließen

Posted by o.sommer

Bei Exchange 2007 und Exchange 2010 Servern und damit auch bei SBS 2008 und SB 2011 Standard kann es zu der Fehlermeldung “Schließen Sie alle Eigenschaftsseiten, bevor Sie Exchange-Verwaltungskonsole schließen.” kommen.
Die Ursache liegt in einem auf dem Server ebenfalls installiertem Internet Explorer 9 (IE9), der anschließend den Webzugriff beschränkt und das Beenden der Exchange Konsole verhindert:

Bild 241

Ein Workaround zu dem Problem ist die Adresse https://localhost in die vertrauenswürdigen Seiten im IE hinzuzufügen:

image

Interessanter Weise scheint das Problem erst aufzutreten, wenn die Exchange Konsole eine Weile lang geöffnet bleibt und einige Eigenschaftsfenster geöffnet waren. Ein Öffnen und sofortiges Schließen der Konsole funktionierte meist auch ohne den Workaround.

Ergänzung: Thomas hat heute morgen dazu bereits ein Posting zu einem Hotfix geschrieben, das hier zu finden ist: 2010 “Schließen Sie alle Eigenschaftenseiten, bevor Sie Exchange Verwaltungskonsole schließen”

Antivirus Ausnahmen für Exchange 2010 (SBS 2011)

Posted by o.sommer

Auch bei Exchange 2010 müssen einige Ausnahmen bei AV Scannern eingetragen werden, damit nicht durch den OnAccess/Zugriffsscanner evtl. der gesamte Exchange Server stillgelegt wird. Hinweise dazu welche Ordner, Applikationen, Dateien und Endungen ausgeschlossen werden sollten/müssen findet man in dem Artikel unter http://technet.microsoft.com/en-us/library/bb332342.aspx.

Stand September 2011:

auszuschließende Ordner

  • %ExchangeInstallPath%\Mailbox
  • Datenbank Inhalt Indizes (üblicherweise auch der Mailbox Ordner)
  • %ExchangeInstallPath%\GroupMetrics
  • %ExchangeInstallPath%\TransportRoles\Logs
  • %ExchangeInstallPath%\Logging
  • %ExchangeInstallPath%\ExchangeOAB
  • %SystemRoot%\System32\Inetsrv
  • %ExchangeInstallPath%\Mailbox\MDBTEMP
  • Any Exchange-aware antivirus program folders
  • %ExchangeInstallPath%\TransportRoles\Logs
  • %ExchangeInstallPath%\TransportRoles
  • %ExchangeInstallPath%\TransportRoles\Data\Queue
  • %ExchangeInstallPath%\TransportRoles\Data\SenderReputation
  • %ExchangeInstallPath%\TransportRoles\Data\IpFilter
  • Exchange Server TMP Folder
  • %ExchangeInstallPath%\Working\OleConvertor
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %systemroot%\IIS Temporary Compressed Files
  • %SystemRoot%\System32\Inetsrv
  • Inetpub\logs\logfiles\w3svc
  • %ExchangeInstallPath%\ClientAccess
  • %ExchangeInstallPath%\Logging\POP3
  • %ExchangeInstallPath%\Logging\IMAP4
  • %ExchangeInstallPath%\Working\OleConvertor
  • %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\
  • %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Archive
  • %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Quarantine
  • %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\x86
    or
    %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\amd64
  • %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data

auf DAG Clustern: (nicht relevant für den SBS selber)

  • %Winnt%\Cluster
  • die gesamte Quorum Festplatte
  • Ordner des Datenträgerzeugen \\%SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN

 

auszuschließende Applikationen

  • Eseutil.exe
  • Cdb.exe
  • Microsoft.Exchange.Search.Exsearch.exe
  • Cidaemon.exe
  • Microsoft.Exchange.Servicehost.exe
  • Clussvc.exe
  • MSExchangeADTopologyService.exe
  • Dsamain.exe
  • MSExchangeFDS.exe
  • EdgeCredentialSvc.exe
  • MSExchangeMailboxAssistants.exe
  • EdgeTransport.exe
  • MSExchangeMailboxReplication.exe
  • ExFBA.exe
  • MSExchangeMailSubmission.exe
  • GalGrammarGenerator.exe
  • MSExchangeRepl.exe
  • Inetinfo.exe
  • MSExchangeTransport.exe
  • Mad.exe
  • MSExchangeTransportLogSearch.exe
  • Microsoft.Exchange.AddressBook.Service.exe
  • MSExchangeThrottling.exe
  • Microsoft.Exchange.AntispamUpdateSvc.exe
  • Msftefd.exe
  • Microsoft.Exchange.ContentFilter.Wrapper.exe
  • Msftesql.exe
  • Microsoft.Exchange.EdgeSyncSvc.exe
  • OleConverter.exe
  • Microsoft.Exchange.Imap4.exe
  • Powershell.exe
  • Microsoft.Exchange.Imap4service.exe
  • SESWorker.exe
  • Microsoft.Exchange.Infoworker.Assistants.exe
  • SpeechService.exe
  • Microsoft.Exchange.Monitoring.exe
  • Store.exe
  • Microsoft.Exchange.Pop3.exe
  • TranscodingService.exe
  • Microsoft.Exchange.Pop3service.exe
  • UmService.exe
  • Microsoft.Exchange.ProtectedServiceHost.exe
  • UmWorkerProcess.exe
  • Microsoft.Exchange.RPCClientAccess.Service.exe
  • W3wp.exe

Bei installiertem Forefront Security für Exchange zusätzlich noch diese Applikationen/Prozesse

  • Adonavsvc.exe
  • FscStatsServ.exe
  • FscController.exe
  • FscTransportScanner.exe
  • FscDiag.exe
  • FscUtility.exe
  • FscExec.exe
  • FsEmailPickup.exe
  • FscImc.exe
  • FssaClient.exe
  • FscManualScanner.exe
  • GetEngineFiles.exe
  • FscMonitor.exe
  • PerfmonitorSetup.exe
  • FscRealtimeScanner.exe
  • ScanEngineTest.exe
  • FscStarter.exe
  • SemSetup.exe

Sicherheitsbewertung von SBS Umgebungen

Posted by o.sommer

Der SBS hat zwar seit der Version 2008 keinen integrierten ISA Server mehr, weil eine solche Konfiguration (SBS = DC mit mehreren Netzwerkkarten) von Microsoft schlicht nicht mehr unterstützt wird, aber:

der SBS 2008 und alle SBS 2011 haben trotzdem standardmäßig die Windows Server Firewall aktiviert und konfiguriert

  • die ist zwar relativ einfach gestrickt, aber der Erfolg gibt ihr Recht, denn die Windows Firewall hatte, meines Wissens nach, noch nie eine Sicherheitslücke

 

es ist vorgesehen einen SBS hinter einer Firewall bzw. mindestens einem NAT Router zu betreiben, wobei

  • der NAT Router aus Angreifer-Sicht schon einmal sehr viele potenzielle Angriffs-Szenarien unmöglich macht, da der Angreifer kaum eine Chance hat über das NAT (Network Address Translation) direkt an den SBS ranzukommen, außer an den Schnittstellen die dafür vorgesehen und speziell abgesichert sind
  • Diese durch den NAT Router zugänglichen Schnittstellen wären z.B. der Webserver der die Remote Web App Site betreibt, die aus diesem Grund nur Zugriffe erlaubt die sich authentifiziert haben, dasselbe gilt für die Websites die für Outlook Web App und Outlook Anywhere und Co. auf dem SBS betrieben werden, alle erfordern die Eingabe von Benutzernamen und Passwort, bevor man an irgendwelche potenziell verwertbaren Informationen herankommt

Hinzu kommt die securitytechnisch hervorragende Historie der Anwendungen auf dem SBS. AD DS, Exchange und Sharepoint haben wenig bis keine wirklich effektiv ausnutzbaren Sicherheitslücken.

In SBS Umgebungen werden alleine durch die obigen Maßnahmen schon die Sicherheitsfeatures erfüllt, wie Sie auch in vielen Konzern Infrastrukturen als völlig ausreichend bewertet werden.

Nur halt schon out-of-the-box und standardmäßig durch die Assistenten „sicher“ konfiguriert.

“Remote Web Access is not allowed for your user account. Contact the person who manages your server."

Posted by o.sommer

Bei den meisten deutschen SBS 2011 besteht das Problem, das Benutzer sich nicht am Remote Web App

image

anmelden können, sondern nur eine Fehlermeldung bekommen.
Als Workaround hilft es die Sprachauswahl auf der Anmeldeseite erneut zu Bestätigen:

image

Dies wurde u.a. im MS Forum diskutiert:
http://social.technet.microsoft.com/Forums/en-US/sbsde/thread/79f24e35-a7e5-4cb4-a74d-5ff462d6bf57?prof=required

Endlich ist hierzu mit dem SBS 2001 UR1 eine Lösung für dieses Problem verfügbar:

http://support.microsoft.com/kb/2555251
“Update Rollup 1 for Windows Small Business Server 2011 Standard is available”

image

SMB MVP Community Roadshow kommt im Dezember nach Deutschland

Posted by o.sommer

imageNachdem ich im Oktober und November mit holländischen, schwedischen und amerikanischen MVP und HP Kollegen im Rahmen der Roadshow schon durch Europa touren werde (Details dazu mal in einem späteren Posting) kommt die Roadshow im Dezember dann endlich auch nach Deutschland.
Im Moment steht bereits ein Termin am

  • 01.12.2011 in Detmold,

meiner Heimatstadt, im Kreis Lippe, grob zwischen Bielefeld und Paderborn, fest. Die Veranstaltung wird in den Veranstaltungsräumen der IHK Lippe zu Detmold stattfinden.

Weitere Infomationen und bald auch die Anmeldung zu dem Event findet man auf der Roadshow Website unter:
http://mvptour2011.sbsmigration.com/

Es sind noch zwei weitere Termine in Deutschland in Planung, dazu können sich Usergroup Leader oder andere die geeignete Locations oder Gruppen oder einfach auch nur Lust haben dieses Event mit zu organisieren bei mir unter o.sommer@trinitycomputer.de melden. Ich bevorzuge im Moment Lokationen die NICHT in unmittelbarer Nähe von Microsoft Regional Offices sind, da diese Standorte schon mit den üblichen Veranstaltungen z.B. zu den SBS Themen, versorgt werden.