Essentials 2012 R2 kann als Hyper-V Host installiert werden (…aber)!

Posted by O.Sommer

Mit der 2012 R2 Version kann man als Besitzer einer Lizenz für Essentials 2012 R2 diese Lizenz für eine 1+1 Virtualisierung verwenden!

Dabei gibt es folgendes zu beachten:

  1. Essentials 2012 R2 kann als Hostbetriebssystem auf der physikalischen Hardware installiert werden
  2. Auf dieser physikalischen Instanz darf die Hyper-V Rolle aktiviert werden
  3. dieselbe Lizenz darf anschließend zur Installation einer (!!!) virtuellen Instanz von Essentials 2012 verwendet werden

ABER dabei gibt es auch folgendes zu beachten:

Auf einem physikalischen Server der mittels einer Windows Server 2012 R2 Essentials Lizenz lizensiert wurde darf EINZIG eine Essentials 2012 R2 VM als Gast laufen, also KEINE weitere Server oder Client (z.B. Win7/8) Instanz betrieben werden, selbst wenn es dafür eine separat erworbene Lizenz gibt!
Mit anderen Worten: Essentials 2012 R2 Hosts mit Hyper-V Rolle (oder einer anderen Hardware Virtualisierungstechnologie) erlauben Lizenztechnisch nur den Betrieb EINER einzigen VM und diese MUSS Essentials 2012 R2 sein!

Dies soll die Virtualisierung von Essentials 2012 R2 erleichtern, damit Kunden, welche lediglich eine Essentials 2012 R2 Lizenz erwerben, trotzdem Technologien wie Hyper-V Replika und LiveMigration verwenden können:

  • um zu einem zweiten eigenen Server für Ausfallsicherheit gegen Hardwarefehler zu replizieren
  • um im Falle eines Hardwarewechsels eine einfache und schnelle Migration ohne Betriebsunterbrechung gewährleisten zu können
  • um zu einem Privat Cloud Hoster (z.B. Microsoft Azure oder meiner Hosting Firma der 3can.de) zu replizieren um den Server gegen den Ausfall der Hardware des Kunden oder sogar dem Ausfall der gesamten Infrastruktur des Kunden zu sichern.

Besonders letzteres Szenario ist sehr interessant, da hiermit der Essentials 2012 R2 Server des Kunden zum einen außer Haus des Kunden gesichert werden kann, aber auch der Geschäftsbetrieb des Kunden sichergestellt werden kann sollte einmal die Basisinfrastruktur des Kunden massiv gestört werden.
(Sturm, Überschwemmung, Feuer, Diebstahl, etc.)

Folgende Vorgehensweise zum Setup eines Essentials basierten Hyper-V Hosts ist mir von einem US Kollegen beschrieben worden (habe dies aber bisher selber noch nicht praktisch durchgeführt) und wird lizenztechnisch von Microsoft unterstützt (supported):

  1. Complete OS installation phase on the physical server
  2. Cancel the role configuration wizard
    1. To prevent it from restarting, from PowerShell enter:
      dism /online /disable-feature:Microsoft-Windows-ServerEssentials-ServerSetup
  3. Unpin Dashboard shortcut from the Taskbar
  4. Start the Server Manager console and remove roles/features:
    1. File and Storage Services: BranchCache, DFS
    2. Web Server (IIS)
    3. Windows Server Essentials Experience
    4. .NET Framework 4.5 Features: ASP.NET 4.5
    5. Group Policy Management
    6. BranchCache
    7. Ink and Handwriting Services
    8. Media Foundation
    9. Remote Server Administration Tools
    10. Windows Process Activation Service
  1. Start the Server Manager console
    1. Add the Hyper-V role
  1. Create any desired Storage Spaces to store VHDX files
  2. Start the Hyper-V Manager console
    1. Optionally enable Hyper-V Replica and Live Migration
    2. Create a virtual switch connected to a physical NIC
    3. Create a new virtual machine

i. Create a “Generation 2” VM (optional but recommended)

ii. Configure at least 4GB of RAM

iii. Configure at least 2 virtual hard disks (optional but recommended)

    1. Start the VM and install Essentials normally

 

Die lizenztechnisch relevanten Passagen aus der Eula habe ich hier einmal in der englischen Originalversion angehangen und markiert:

clip_image002

 

Sollte später einmal mehr als eine VM benötigt werden, so kann man z.B. durch Zukauf einer Windows Server Standard Edition aus dem Essentials basierten Host einen Standard basierten Host machen, der dann auch mehr als eine einzige VM erlaubt, lizenztechnisch werden dabei dann bis zu 2 Server VMs mit der sogenannten 1+2 Lizensierung von der Standard Lizenz abgedeckt

Essentials Rolle funktioniert nur in Single Domain Controller Umgebungen

Posted by O.Sommer

Die seit Server 2012 R2 als Rolle auch in den Standard und Datacenter Versionen verfügbare Rolle “Windows Server Essentials”, welche unter anderem das Client Backup und die Remote Web App 8ehemals Remote Web Arbeitsplatz) mitbringt, ist aktuell nur in umgebungen mit nur einem Domänen Controller zu betreiben!

Es handelt sich anscheinend um eine während der Entwicklung getroffene Entscheidung die im beteiligten Code nicht einfach zu korrigieren ist, es werde aber an einem Hotfix oder Patch oder ähnliches gearbeitet.

Insbesondere haben die Assistenten des Essentials Dashboards massive Probleme mit mehreren DCs und verweigern die Fertigstellung sobald mehrere DCs im AD DS vorhanden sind.

Hier eine aktuelle Aussage des MS Supports dazu:

Unfortunately, Every time the Essentials Services integration is run, it checks for Multiple DC’s and since multiple 
DC’s are blocked for now, the wizard won’t finish. In other words, even if just keep one domain controller and run the
wizards, then promote another DC and try to re-configure any of the integration wizards, it will still fail.
 
I understand that this certainly is not a good option, but let me assure you that work is going on in the attempt to 
fix this behavior. There is no time frame however.
 
The supportability of the integration services with just one DC is documented in : 
http://blogs.technet.com/b/sbs/archive/2013/11/04/services-integration-overview-for-windows-server-2012-r2-essentials-part-1.aspx
 
Snippet:
 
--------------------------------------------------------------------------------------------------------
You should be aware of the following before you deploy Services Integration features:
1.     Windows Azure Active Directory integration will be turned on automatically when you turn on either 
Office 365 or Windows Intune. This is because they both leverage Windows Azure Active Directory as a
common identity platform.
2.     Currently, the Services Integration features, including Windows Azure Active Directory integration, 
Office 365 integration, Windows Intune integration, and on-premises Exchange integration, are only
supported in a single domain controller environment. In addition, the integration wizard must be run
on a domain controller.
--------------------------------------------------------------------------------------------------------
 
Please be assured that we are working on this known issue and are expecting a fix or workaround on same.

Ist mein Microsoft Produkt noch supported?

Posted by O.Sommer

Die Frage kann man sehr einfach auf der folgenden Website beantworten:

http://support.microsoft.com/lifecycle/

Dort stellt man z.B. fest, dass Windows Server 2008 und damit auch SBS 2008 noch bis Juli 2013, also nur noch knapp ein Jahr lang, von Microsoft unterstützt werden wird und ab dann sogenannte Calls (Supportanfragen an MS) nur noch für Kunden mit Extended Supportvertrag (hat das irgendein SBS Kunde jemals gehabt??) angenommen werden.
Oder anderes gesagt Kunden ohne extended Supportvertrag (also vermutlich alle!) können ab Juli 2013 im Problemfalle keine Anfragen mehr an Microsoft stellen.
Was das ganz genau heißt kann man ebenfalls auf der obigen Website nachlesen.

/3GB und Domänencontroller? Exchange 200x auf DC installieren? Oder: Warum dauert das Herunterfahren meines Exchange 2003 oder 2007 Server ca. 20 Minuten?

Posted by o.sommer

Antworten auf alle diese Fragen gibt der TechNet Artikel:

Optimieren der Active Directory-Integration
http://technet.microsoft.com/de-de/library/bb123771(v=exchg.65).aspx

BTW: Bei Exchange 2010 wurde das Shutdown Problem gelöst, so dass SBS 2011 nun schnell herunterfährt auch wenn man vorher nicht die Exchange Dienste beendet hat.

HP/Microsoft CoffeeCoaching zum Thema “Infrastrukturen für SBS 2011”

Posted by o.sommer

Unser Kollege Oliver Basarke von der HanseVision hat vor einiger Zeit einen ca. 10 Minütigen Webcast zum o.g. Thema bei und für Microsoft aufgenommen.
Unter anderem erklärt er dort auch wie eine Internetanbindung für SBS aussehen sollte. Sehr gelungen sind die Erläuterungen bzgl. DNS, MX und Co., sowie seine Erläuterungen zu POP vs. SMTP:

image

Oliver erwähnt z.B. im Webcast was wir MVPs auch immer wieder empfehlen:
Die Ablösung von POP Mailabholung durch direkte SMTP Zustellung und er erklärt gut wie dieses Auf der Infrastruktur-, auch Netzwerkseite genannt, umgesetzt werden sollte, sowie explizit für alle Zweifler noch einmal, dass der im SBS integrierte POP Connector wegen der prinzipiellen Probleme, die eine POP Abholung für einen Serverbetrieb mit sich bringen, nur für eine möglichst kurze Übergangszeit (Anm. von mir: “von wenigen Tagen, wenn überhaupt”) genutzt werden sollte.

Eingebettetes Video:

Kritik habe ich aber auch: Smiley
Leider empfiehlt er entgegen meiner Empfehlung den Port 80 (http) nicht auf den SBS weiterzuleiten, auch wenn die Einblendung den Port mit aufführt.
Ich bin der Meinung, dass auch Port 80 (http) an den SBS weitergeleitet werden sollte, da man damit den Benutzern das zwanghafte Eintippen von “HTTPS://” ersparen, also deren Produktivität erhöhen und Rückfragen bei der IT vermeiden kann, ohne dabei zusätzliche Sicherheitslücken aufzumachen, da der Webserver ja bereits unter HTTPS erreichbar ist.
Einem potenziellen Angreifer ist es jedenfalls egal ob er eine Sicherheitslücke auf dem Server verschlüsselt über Port 443 oder unverschlüsselt über Port 80 angreift, das Schließen von Port 80 hilft imo also nicht sich vor Angriffen zu schützen.

Backup von virtuellen Maschinen auf Hyper-V Servern

Posted by t.brinkmann

Folgender Post soll eine Möglichkeit zeigen um einen kompletten Hyper-V Host auf Wechselmedien zu sichern – verschlüsselt.

Die hier gezeigte Lösung passt nicht auf jede virtualisierte Umgebung und soll lediglich zeigen wie ein tägliches Vollbackup einer Hyper-V VM auf einem verschlüsselten transportablen Medium aussehen kann. So entsteht auch bei Verlust des Sicherungsmedium keine Sicherheitslücke – schließlich enthält die USB-HDD die komplette Serverinfrastruktur!

Gesichert wird in diesem Beispiel ein Windows 2008R2 Hyper-V Host auf dem 4 virtuelle Maschinen (SBS2011, Terminalserver, SQL-Server, IM-Server) laufen. Gesichert wird Montags bis Freitags auf externe 2TB USB-HDD. Die Festplatten sind per Bitlocker verschlüsselt, gesichert wird mit der aktuellen Beta2 Version 3.0.44 der Software Altaro Hyper-V Backup V3. Die Beta2 bietet erstmals “Drive Swap functionality” – sprich das Sichern auf wechselnden Laufwerken.

Zum Ablauf: Der Server hat das Feature “Bitlocker” aktiviert:

image

Jede der 5 USB-HDD wurde mit einem starken Kennwort per “Bitlocker-To-Go” verschlüsselt. Dazu wird jede HDD nacheinander an den Host gesteckt und per “Bitlocker aktivieren” verschlüsselt. Das dauert ca. einen Tag pro HDD.

imageimage image

Der Wiederherstellungsschlüssel ist sehr wichtig! Nur mit ihm kann die USB-HDD bei Verlust des Kennworts entsperrt werden. Das heisst auch: Wer den Wiederherstellungsschlüssel hat kann auf die HDD zugreifen.

Wenn das USB-Laufwerk an den Host angesteckt wird sollte die Option “Laufwerk an diesem Computer automatisch entsperren” aktiviert werden – Nur so kann Altaro später auf das Laufwerk sichern. Dies kann auch per Systemsteuerung eingestellt werden:

image

Nun wird Altaro Hyper-V Backup gestartet. Unter “Select Backup Drive” wird das “Multiple Backup Drive Swapping” aktiviert, und danach per “Add Backup Drive” jedes angesteckte USB-Laufwerk als Backup Drive ausgewählt. Von nun an versucht Altaro Hyper-V Backup auf das erste verfügbare Laufwerk der Liste zu sichern, angefangen mit der kleinsten Zahl (=höchste Prio).

image

Eins sehr interessantes Feature von Altaro Hyper-V Backup ist die “Reverse Delta Technologie”. Bei jeder Sicherung wird nur das Delta des vorherigen Backup gesichert – Allerdings erstellt Hyper-V Backup dabei eine komplette Sicherung aus den vorherigen Backups, so das bei einer Rücksicherung direkt auf ein komplettes Vollbackup zurückgegriffen werden kann.

Altaro sichert per Windows VSS Provider– Es findet also KEINE Imagesicherung statt, die VMs wissen wenn sie gesichert werden. Dies lässt sich z.Bsp. an den Exchange Datenbanken des virtuellen SBS2011 erkennen.

image

Weiterhin bietet Altaro mit “FireDrill” eine Option mit der sich automatisiert VMs wiederherstellen lassen. So kann automatisch die Funktion des Backup getestet werden. Ebenso lassen sich einzelne Ordner/Dateien aus der Sicherung wiederherstellen. Dazu wird jedoch das Backup auf einem temporär anzugebenen Speicher gemountet. Altaro bietet derzeit NICHT die Möglichkeit einzelne Anwendungen (wie z.Bsp Exchange) zu sichern oder wiederherzustellen. Ebenso ist das Wiederherstellen einzelner Ordner und Dateien nicht unbedingt schnell und nicht unbedingt komfortabel. Auch kann es gewünscht sein auf größeren Medien für längere Zeit zu sichern – hier kann evtl. mit der Windows-Sicherung innerhalb der VMs auf iSCSI Targets kombiniert werden. Bei Altaro gilt: Sichern = Komplette VM, Wiederherstellen = Komplette VM oder einzelne Ordner / Dateien

Dank der Reverse Delta Technologie ist es mit Altaro Hyper-V Backup möglich mehrere Versionsstände von Hyper-V VMs auf externen HDD zu sichern. Diese HDD lassen sich außer Haus transportieren und sind dank Bitlocker-To-Go Verschlüsselung vor Verlust oder Diebstahl gesichert.

Jede Backupstrategie muss auf das jeweilige Umfeld angepasst werden. Dieses Szenario arbeitet mit Beta Software welche Fehler enthalten kann und evtl. nicht wie geplant funktioniert. Es kann keine Garantie oder Gewähr auf das Funktionieren der hier gezeigten Lösung übernommen werden. Diese Lösung bedingt physikalischen Zugang zum Hyper-V Host durch die mit dem Backup beauftragen Person – dies kann ein Sicherheitsrisiko darstellen. Siehe auch hier.

Bitlocker Setup on HP Microserver and Windows Server 2008 R2

Posted by o.sommer

English:
Since there is an optional TPM modul (installable at any time) available for the HP Microserver, I decided to Screencast the setup of Bitlocker on a box that has Windwos Server on it:

German:
Nachdem es für den HP Microserver ein optionales (auch nachträglich) zu verbauendes TPM Modul gibt, habe ich mal einen Screencast erstellt , wie man mit Hilfe dieses TPM Modul ein mit Bitlocker sicher verschlüsselten Server konfiguriert:

image_thumb[65]image_thumb[41]image_thumb[42]image_thumb[43]image_thumb[44]image_thumb[45]image_thumb[46]image_thumb[47]image_thumb[48]image_thumb[49]image_thumb[50]image_thumb[51]image_thumb[52]image_thumb[53]image_thumb[54]image_thumb[55]image_thumb[56]image_thumb[57]image_thumb[58]image_thumb[59]image_thumb[60]image_thumb[61]image_thumb[62]image_thumb[63]image_thumb[64]image_thumb[66]image_thumb[67]image_thumb[68]image_thumb[69]image_thumb[70]image_thumb[71]image_thumb[72]image_thumb[74]image_thumb[76]imageimageimageimage

How to buy Windows Storage Server 2008 R2 Essentials?

“Fine”, you’d say, “but I can not buy WSSe anywhere in central europe”

Right!
Not as of today, but on Wednesdays
SMB MVP Roadshow in Utrecht, Netherland, there will be an anouncement of the general availability of a product that has WSSe and is driven by the Hardware we all want WSSe to be on!

Standard Edition zu Enterprise Edition umwandeln?

Posted by o.sommer

Wie macht man aus einem Windows Server Standard Edition eine Enterprise oder Datacenter Edition ohne das Installations DVD-Medium zu verwenden?
Ganz einfach:
http://blogs.technet.com/b/core/archive/2010/05/07/upgrade-einer-windows-r2-version-ohne-installationsmedium.aspx

Hier mal der Ablauf in der CMD.exe am konkreten Beispiel:

C:\Users\xgxtmol>dism /online /get-targeteditions
Tool zur Abbildverwaltung für die Bereitstellung
Version: 6.1.7600.16385
Abbildversion: 6.1.7600.16385
Editionen, auf die aktualisiert werden kann:
Zieledition : ServerDataCenter
Zieledition : ServerEnterprise
Der Vorgang wurde erfolgreich beendet.
C:\Users\xgxtmol>dism /online /set-edition:ServerEnterprise /productKey:489J6-VHDMP-X63PK-3K798-CPX3Y
(Anmerkung: Dies ist der KMS Key und daher eh öffentlich verfügbar! Abschreiben lohnt also nicht) Smiley
Tool zur Abbildverwaltung für die Bereitstellung
Version: 6.1.7600.16385
Abbildversion: 6.1.7600.16385
Komponentenaktualisierung wird gestartet...
Product Key-Installation wird gestartet...
Product Key-Installation ist abgeschlossen.
Paket "Microsoft-Windows-ServerStandardEdition~31bf3856ad364e35~amd64~~6.1.7601.17514" wird entfernt
[==========================100.0%==========================]
Komponentenaktualisierung ist abgeschlossen.
Editionsspezifische Einstellungen werden angewendet...
Das Anwenden der editionsspezifische Einstellungen ist abgeschlossen.
Der Vorgang wurde erfolgreich beendet.
Zum Abschließen dieses Vorgangs muss Windows neu gestartet werden.
Möchten Sie den Computer jetzt neu starten (J/N)? j
Computer wird neu gestartet...

Exchange Verwaltungskonsole lässt sich nicht mehr schließen

Posted by o.sommer

Bei Exchange 2007 und Exchange 2010 Servern und damit auch bei SBS 2008 und SB 2011 Standard kann es zu der Fehlermeldung “Schließen Sie alle Eigenschaftsseiten, bevor Sie Exchange-Verwaltungskonsole schließen.” kommen.
Die Ursache liegt in einem auf dem Server ebenfalls installiertem Internet Explorer 9 (IE9), der anschließend den Webzugriff beschränkt und das Beenden der Exchange Konsole verhindert:

Bild 241

Ein Workaround zu dem Problem ist die Adresse https://localhost in die vertrauenswürdigen Seiten im IE hinzuzufügen:

image

Interessanter Weise scheint das Problem erst aufzutreten, wenn die Exchange Konsole eine Weile lang geöffnet bleibt und einige Eigenschaftsfenster geöffnet waren. Ein Öffnen und sofortiges Schließen der Konsole funktionierte meist auch ohne den Workaround.

Ergänzung: Thomas hat heute morgen dazu bereits ein Posting zu einem Hotfix geschrieben, das hier zu finden ist: 2010 “Schließen Sie alle Eigenschaftenseiten, bevor Sie Exchange Verwaltungskonsole schließen”

Sicherheitsbewertung von SBS Umgebungen

Posted by o.sommer

Der SBS hat zwar seit der Version 2008 keinen integrierten ISA Server mehr, weil eine solche Konfiguration (SBS = DC mit mehreren Netzwerkkarten) von Microsoft schlicht nicht mehr unterstützt wird, aber:

der SBS 2008 und alle SBS 2011 haben trotzdem standardmäßig die Windows Server Firewall aktiviert und konfiguriert

  • die ist zwar relativ einfach gestrickt, aber der Erfolg gibt ihr Recht, denn die Windows Firewall hatte, meines Wissens nach, noch nie eine Sicherheitslücke

 

es ist vorgesehen einen SBS hinter einer Firewall bzw. mindestens einem NAT Router zu betreiben, wobei

  • der NAT Router aus Angreifer-Sicht schon einmal sehr viele potenzielle Angriffs-Szenarien unmöglich macht, da der Angreifer kaum eine Chance hat über das NAT (Network Address Translation) direkt an den SBS ranzukommen, außer an den Schnittstellen die dafür vorgesehen und speziell abgesichert sind
  • Diese durch den NAT Router zugänglichen Schnittstellen wären z.B. der Webserver der die Remote Web App Site betreibt, die aus diesem Grund nur Zugriffe erlaubt die sich authentifiziert haben, dasselbe gilt für die Websites die für Outlook Web App und Outlook Anywhere und Co. auf dem SBS betrieben werden, alle erfordern die Eingabe von Benutzernamen und Passwort, bevor man an irgendwelche potenziell verwertbaren Informationen herankommt

Hinzu kommt die securitytechnisch hervorragende Historie der Anwendungen auf dem SBS. AD DS, Exchange und Sharepoint haben wenig bis keine wirklich effektiv ausnutzbaren Sicherheitslücken.

In SBS Umgebungen werden alleine durch die obigen Maßnahmen schon die Sicherheitsfeatures erfüllt, wie Sie auch in vielen Konzern Infrastrukturen als völlig ausreichend bewertet werden.

Nur halt schon out-of-the-box und standardmäßig durch die Assistenten „sicher“ konfiguriert.