Windows Server 2012 Essentials Installation

Posted by O.Sommer

Die erste öffentliche Beta Version des Windows Server 2012 Essentials ist nun seit vorgestern verfügbar. Ich habe nun hier mal einen Installationsablauf dieser neuen Windows Server Edition mitgeschnitten.

Der Download zur Beta findet sich hier:
http://www.microsoft.com/en-us/download/details.aspx?id=30327

 

Installation eines Windows Server 2012 Essentials
(legitimer Nachfolger der Small Business Server Produktfamilie)
auf Windows 2008 R2 Hyper-V Cluster:

imageimageimageimageimage

und upps ein Fehler:

image

Hmm, evtl. liegt es an nicht vorhandenen deutschen Sprachdateien?

imageimage

Nein, das war also nicht der Grund für den Fehler:

image

Lösung: Unter Windows 2008 R2 Hyper-V habe ich die CPU Funktionen in den Hyper-V Eigenschaften der VM einschränken müssen, um die Installation fortsetzen zu können:

image

 

imageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimage

An dieser Stelle ist das Setup abgeschlossen und die Konfiguration beginnt.

Dann habe ich die Option “Run an older operating System, such as Windows NT” wieder deaktiviert:

image

und die Server 2012 Essentials VM startete immer noch:

image

Windows 2012 Essentials Coffee Coaching Webcast am 18.Juli 17 Uhr deutscher Zeit

Posted by O.Sommer

HP/Microsoft veranstalten im Rahmen der CoffeeCoaching Reihe einen Webcast zum Windows Server 2012 Essentials.
Hier das Teaser Video dazu:

Weitere Infos und Links zum Webcast gibt es hier:
http://h30507.www3.hp.com/t5/Coffee-Coaching-HP-and-Microsoft/Small-Business-Server-Update-Webcast-July-18-2012-at-8-00-am-PT/ba-p/117655

Und hier der Direkt Link zum Webcast/Meeting: https://join.microsoft.com/meet/v-jatake/WY9LK1DN

Ist mein Microsoft Produkt noch supported?

Posted by O.Sommer

Die Frage kann man sehr einfach auf der folgenden Website beantworten:

http://support.microsoft.com/lifecycle/

Dort stellt man z.B. fest, dass Windows Server 2008 und damit auch SBS 2008 noch bis Juli 2013, also nur noch knapp ein Jahr lang, von Microsoft unterstützt werden wird und ab dann sogenannte Calls (Supportanfragen an MS) nur noch für Kunden mit Extended Supportvertrag (hat das irgendein SBS Kunde jemals gehabt??) angenommen werden.
Oder anderes gesagt Kunden ohne extended Supportvertrag (also vermutlich alle!) können ab Juli 2013 im Problemfalle keine Anfragen mehr an Microsoft stellen.
Was das ganz genau heißt kann man ebenfalls auf der obigen Website nachlesen.

Unerwartete Serverneustarts

Posted by t.lehmann

Nach einer Migration eines virtuellen SBS 2008 auf einen physikalischen SBS 2011 zeigte der neue Server am ersten Produktivtag seltsames Verhalten:
Er startete alle 60-90 Minuten neu und verweigerte nach einigen, nicht allen dieser Neustarts Benutzeranmeldungen mit dem Hinweis, der RPC Server sei nicht verfügbar.
Antivieren und andere Drittanbieter Software konnte als Ursache ausgeschlossen werden, die relevanten Einträge im Ereignislog waren nicht mehr vorhanden und gegen Betriebsschluss hörten die Neustarts auch auf.
Am nächsten Morgen, pünktlich zum Betriebsbeginn des Kunden, startete der Server wieder in unregelmäßigen Abständen neu.

Diesmal führte der Blick ins Ereignislog zu folgenden Einträgen:

svchost crash

Der Absturz der SVCHOST.EXE führt unter anderem zum beenden des RPC Dienstes, dies wiederum führt zum Neustart des Servers:

shutdown event

Mithilfe des TechSupports von Microsoft könnten wir das Verhalten mit folgenden Hotfixes beheben:

http://support.microsoft.com/kb/2510636
http://support.microsoft.com/kb/2401588
http://support.microsoft.com/kb/2637692
http://support.microsoft.com/kb/2582203

extrem kritischer RDP Patch

Posted by o.sommer

Der am letzten Patchday erschienene Fix für das Problem bei bestimmten RDP Konfigurationen ist deshalb extrem kritisch, da es sich um eine Lücke handelt deren Voraussetzungen zur Ausnutzung sehr wahrscheinlich der Konfiguration der meisten im Betrieb befindlichen Server entspricht.

Sollte der Server via Port 3389/TCP erreichbar sein und “Authentifizierung auf Netzwerkebene” (network level authentication (NLA)) nicht aktiviert sein, dann lässt sich diese Lücke (bisher theoretisch) ausnutzen.
Dabei ist es nicht unbedingt sicher, wenn der Server nicht über den RDP Port 3389 zum Internet veröffentlicht wurde, sondern nur intern erreichbar ist, da sehr einfach Malware vorstellbar ist, die über einen internen Client Angriffe auf RDP Server durchführt!

Mit diesen Einstellungen ist ein Server potenziell gefährdet:

image

 

Ein Ausschluss der Gefahr ist (zumindest für Versionen ab 2008) denkbar einfach und sollte zusätzlich zum Patch konfiguriert werden:

image

ACHTUNG:
Damit werden Windows Versionen XP/2003 oder älter vom RDP Zugriff auf diesen Server ausgeschlossen, aber das ist zumindest bei den meisten unserer Kunden kein Problem mehr, da XP Rechner idR nicht mehr in relevanter Anzahl vorhanden sind, und wenn dann keinen RDP Zugriff benötigen
.

Unter SBS kann eine vorhandene Gruppenrichtlinie angepasst werden, um die notwendigen Einstellungen für alle SBS Client Computer zentral durchzuführen:

image

Pfad für Einstellungen:
Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Sicherheit

Der Wert ist auf “Aktiviert” zu setzen um die Sicherheitslücke auszuschließen.

 

Sicherheitsupdate für Windows Server 2008 x64 Edition (KB2647170)
Updatetyp: Wichtig
Es wurde eine Sicherheitslücke entdeckt, durch die ein nicht authentifizierter Remoteangreifer verursachen kann, dass ein System nicht mehr reagiert. Durch die Installation dieses Updates von Microsoft können Sie zum Schutz Ihres Systems beitragen. Nach der Installation dieses Updates müssen Sie das System gegebenenfalls neu starten.

Weitere Informationen:
http://go.microsoft.com/fwlink/?LinkId=235401

 

Einige Links zum Thema und das Statement von Yunsun Wee:

“Proof-of-Concept Code available for MS12-020 - MSRC - Site Home - 
TechNet Blogs:
 
On March 15, we became aware of public proof-of-concept code that 
results in denial of service for the issue addressed by MS12-020 
we released Tuesday.
 
We continue to watch the threat landscape and we are not aware of public 
proof-of-concept code that results in remote code execution.
 
We recommend customers deploy MS12-020 as soon as possible, as this 
security update protects against attempts to exploit CVE-2012-0002. 
Additionally we have offered a one-click Fix It 
to help mitigate risk for those customers who need time to test the 
update before deploying it.
 
The details of the proof-of-concept code appear to match the 
vulnerability information shared with Microsoft Active Protections 
Program (MAPP) partners. Microsoft is actively investigating the 
disclosure of these details and will take the necessary actions to 
protect customers and ensure that confidential information we share is 
protected pursuant to our contracts and program requirements.
 
Customers who have deployed MS12-020 are protected from attempts to 
exploit CVE-2012-0002.
 
Consistent with the charter of the MAPP program, we released details 
related to the vulnerabilities addressed in MS12-020 to MAPP partners 
under a strict Non-Disclosure Agreement in advance of releasing the 
security bulletin. Security software partners use this type of 
information to build enhanced customer protections that, in many cases, 
provide customers with more time to make optimal deployment decisions 
for their environments. More information about the MAPP program can be 
found here: 
 
Thanks,
Yunsun Wee
Director, Trustworthy Computing”

Backup von virtuellen Maschinen auf Hyper-V Servern

Posted by t.brinkmann

Folgender Post soll eine Möglichkeit zeigen um einen kompletten Hyper-V Host auf Wechselmedien zu sichern – verschlüsselt.

Die hier gezeigte Lösung passt nicht auf jede virtualisierte Umgebung und soll lediglich zeigen wie ein tägliches Vollbackup einer Hyper-V VM auf einem verschlüsselten transportablen Medium aussehen kann. So entsteht auch bei Verlust des Sicherungsmedium keine Sicherheitslücke – schließlich enthält die USB-HDD die komplette Serverinfrastruktur!

Gesichert wird in diesem Beispiel ein Windows 2008R2 Hyper-V Host auf dem 4 virtuelle Maschinen (SBS2011, Terminalserver, SQL-Server, IM-Server) laufen. Gesichert wird Montags bis Freitags auf externe 2TB USB-HDD. Die Festplatten sind per Bitlocker verschlüsselt, gesichert wird mit der aktuellen Beta2 Version 3.0.44 der Software Altaro Hyper-V Backup V3. Die Beta2 bietet erstmals “Drive Swap functionality” – sprich das Sichern auf wechselnden Laufwerken.

Zum Ablauf: Der Server hat das Feature “Bitlocker” aktiviert:

image

Jede der 5 USB-HDD wurde mit einem starken Kennwort per “Bitlocker-To-Go” verschlüsselt. Dazu wird jede HDD nacheinander an den Host gesteckt und per “Bitlocker aktivieren” verschlüsselt. Das dauert ca. einen Tag pro HDD.

imageimage image

Der Wiederherstellungsschlüssel ist sehr wichtig! Nur mit ihm kann die USB-HDD bei Verlust des Kennworts entsperrt werden. Das heisst auch: Wer den Wiederherstellungsschlüssel hat kann auf die HDD zugreifen.

Wenn das USB-Laufwerk an den Host angesteckt wird sollte die Option “Laufwerk an diesem Computer automatisch entsperren” aktiviert werden – Nur so kann Altaro später auf das Laufwerk sichern. Dies kann auch per Systemsteuerung eingestellt werden:

image

Nun wird Altaro Hyper-V Backup gestartet. Unter “Select Backup Drive” wird das “Multiple Backup Drive Swapping” aktiviert, und danach per “Add Backup Drive” jedes angesteckte USB-Laufwerk als Backup Drive ausgewählt. Von nun an versucht Altaro Hyper-V Backup auf das erste verfügbare Laufwerk der Liste zu sichern, angefangen mit der kleinsten Zahl (=höchste Prio).

image

Eins sehr interessantes Feature von Altaro Hyper-V Backup ist die “Reverse Delta Technologie”. Bei jeder Sicherung wird nur das Delta des vorherigen Backup gesichert – Allerdings erstellt Hyper-V Backup dabei eine komplette Sicherung aus den vorherigen Backups, so das bei einer Rücksicherung direkt auf ein komplettes Vollbackup zurückgegriffen werden kann.

Altaro sichert per Windows VSS Provider– Es findet also KEINE Imagesicherung statt, die VMs wissen wenn sie gesichert werden. Dies lässt sich z.Bsp. an den Exchange Datenbanken des virtuellen SBS2011 erkennen.

image

Weiterhin bietet Altaro mit “FireDrill” eine Option mit der sich automatisiert VMs wiederherstellen lassen. So kann automatisch die Funktion des Backup getestet werden. Ebenso lassen sich einzelne Ordner/Dateien aus der Sicherung wiederherstellen. Dazu wird jedoch das Backup auf einem temporär anzugebenen Speicher gemountet. Altaro bietet derzeit NICHT die Möglichkeit einzelne Anwendungen (wie z.Bsp Exchange) zu sichern oder wiederherzustellen. Ebenso ist das Wiederherstellen einzelner Ordner und Dateien nicht unbedingt schnell und nicht unbedingt komfortabel. Auch kann es gewünscht sein auf größeren Medien für längere Zeit zu sichern – hier kann evtl. mit der Windows-Sicherung innerhalb der VMs auf iSCSI Targets kombiniert werden. Bei Altaro gilt: Sichern = Komplette VM, Wiederherstellen = Komplette VM oder einzelne Ordner / Dateien

Dank der Reverse Delta Technologie ist es mit Altaro Hyper-V Backup möglich mehrere Versionsstände von Hyper-V VMs auf externen HDD zu sichern. Diese HDD lassen sich außer Haus transportieren und sind dank Bitlocker-To-Go Verschlüsselung vor Verlust oder Diebstahl gesichert.

Jede Backupstrategie muss auf das jeweilige Umfeld angepasst werden. Dieses Szenario arbeitet mit Beta Software welche Fehler enthalten kann und evtl. nicht wie geplant funktioniert. Es kann keine Garantie oder Gewähr auf das Funktionieren der hier gezeigten Lösung übernommen werden. Diese Lösung bedingt physikalischen Zugang zum Hyper-V Host durch die mit dem Backup beauftragen Person – dies kann ein Sicherheitsrisiko darstellen. Siehe auch hier.

Windows Storage Server 2008 R2 Essentials (WSSe): Setup

Posted by o.sommer

Screencast Installing WSSe on HP Microserver

After booting my Demo gear (HP Microserver N40L) from an USB stick that I prepared with the MS DVD/ISO Download tool to create a bootable version of the Install ISO of WSSe on it, I accessed the Server using it’s Remote Access Card (HP RAC) and began installing Windows Storage Server 2008 R2 Essentials like this:

imageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimageimage

 

How to buy Windows Storage Server 2008 R2 Essentials?

“Fine”, you’d say, “but I can not buy WSSe anywhere in central europe”

Right!
Not as of today, but on Wednesdays
SMB MVP Roadshow in Utrecht, Netherland, there will be an announcement of general availability of a product that has WSSe and is driven by the Hardware we all want WSSe to be on!

Standard Edition zu Enterprise Edition umwandeln?

Posted by o.sommer

Wie macht man aus einem Windows Server Standard Edition eine Enterprise oder Datacenter Edition ohne das Installations DVD-Medium zu verwenden?
Ganz einfach:
http://blogs.technet.com/b/core/archive/2010/05/07/upgrade-einer-windows-r2-version-ohne-installationsmedium.aspx

Hier mal der Ablauf in der CMD.exe am konkreten Beispiel:

C:\Users\xgxtmol>dism /online /get-targeteditions
Tool zur Abbildverwaltung für die Bereitstellung
Version: 6.1.7600.16385
Abbildversion: 6.1.7600.16385
Editionen, auf die aktualisiert werden kann:
Zieledition : ServerDataCenter
Zieledition : ServerEnterprise
Der Vorgang wurde erfolgreich beendet.
C:\Users\xgxtmol>dism /online /set-edition:ServerEnterprise /productKey:489J6-VHDMP-X63PK-3K798-CPX3Y
(Anmerkung: Dies ist der KMS Key und daher eh öffentlich verfügbar! Abschreiben lohnt also nicht) Smiley
Tool zur Abbildverwaltung für die Bereitstellung
Version: 6.1.7600.16385
Abbildversion: 6.1.7600.16385
Komponentenaktualisierung wird gestartet...
Product Key-Installation wird gestartet...
Product Key-Installation ist abgeschlossen.
Paket "Microsoft-Windows-ServerStandardEdition~31bf3856ad364e35~amd64~~6.1.7601.17514" wird entfernt
[==========================100.0%==========================]
Komponentenaktualisierung ist abgeschlossen.
Editionsspezifische Einstellungen werden angewendet...
Das Anwenden der editionsspezifische Einstellungen ist abgeschlossen.
Der Vorgang wurde erfolgreich beendet.
Zum Abschließen dieses Vorgangs muss Windows neu gestartet werden.
Möchten Sie den Computer jetzt neu starten (J/N)? j
Computer wird neu gestartet...

Office365 Addin für SBS Essentials fertig!

Posted by o.sommer

imageAb sofort ist das Office Integration Module (OIM) für den Windows Small Business Server 2011 Essentials erhältlich. Das OIM steht im Microsoft Download Center zum kostenlosen Download* bereit. Dieses Modul integriert das Management des SBS mit Office 365 und ermöglicht damit eine einheitliche Verwaltung der Anwender in der Offline-Welt des SBS und der Online-Welt von Office 365. Das vereinfacht die Administration, und spart dadurch den Unternehmen Zeit und Geld. Gerade im Umfeld der kleinen Unternehmen bis zu 25 Mitarbeitern, für die SBS Essentials konzipiert wurde und die typischerweise nur ein minimales IT-Budget zur Verfügung haben, ein wichtiger Vorteil.

Zusammen mit dem Windows 7 Professional Pack  Add-in for SBS Essentials und dem Windows Phone Connector stehen den Kunden damit genau die Werkzeuge zur Verfügung, die sie benötigen, um die Funktionalität ihrer SBS-basierten Infrastruktur effizient zu verwalten und dabei gleichzeitig diese Funktionalität in den Bereichen Mobilität, Zusammenarbeit, IT-Infrastruktur und Email optimal zu nutzen.

* ggf. fallen Verbindungsgebühren des Internet-Service Providers an. Diese Kosten liegen nicht unter der Kontrolle von Microsoft, die Software selbst ist kostenlos.