Auch wenn Microsoft seiner aktuellen Serverversion nur ein "R2" als Namenszusatz spendiert, weist der Windows Server 2008 R2 doch erhebliche Neuerungen gegenüber seinem beziehungsweise seiner Vorgänger auf. Insbesondere wer bereits Windows-7-Clients einsetzt, kann von einer verbesserten Zusammenarbeit zwischen Client- und Server-Betriebssystem profitieren.
Der eine oder andere folgende Lösungsansatz funktioniert auch mit Vorgängerversionen von Windows Server 2008 R2 oder auch mit den Desktop-Betriebssystemen. Dies ist dann gegebenenfalls direkt bei dem entsprechenden Tipp vermerkt.
Server-Manager in der Befehlszeile und PowerShell verwenden
Neben der grafischen Oberfläche bietet der neue Server-Manager auch eine Befehlszeilenoberfläche, über die Sie Rollen und Features in der Befehlszeile und skriptbasiert installieren können. Das Tool hat die Bezeichnung ServerManagerCMD.exe. Mit ihm lassen sich unbeaufsichtigte Installationen von Serverrollen und Features durchführen. Antwortdateien können mit XML übergeben werden.
Mit dem Server-Manager können Sie sich auch die installierten Rollen und Features eines Servers anzeigen lassen, und mit dem Befehl servermanagercmd -query erhalten Sie eine Übersicht des Servers in der Kommandozeile. Die Rollen werden anschließend in der grafischen Oberfläche des Server-Managers angezeigt.
Eine weitere Möglichkeit ist, die CMDlets für den Server-Manager in der PowerShell zu verwenden. Allerdings sind standardmäßig die CMDlets für den Server-Manager noch nicht aktiv, Sie müssen sie erst mit dem Befehl import-module servermanager über das entsprechende Modul in die PowerShell laden. Interessant sind vor allem die CMDlets Add-WindowsFeature, Get-WindowsFeature und Remove-WindowsFeature. Hilfe hierzu erhalten Sie wie immer über help <Befehlname> -detailed.
Core-Server remote verwalten
Neben der lokalen Administration können Sie, wie bei herkömmlichen Windows Server 2008 R2-Servern, auch über das Netzwerk auf einen Core-Server zugreifen. Zur Verwaltung der installierten Serverrollen können Sie auch die MMC-Snap-Ins auf anderen Servern verwenden und sich über das Snap-In mit dem Core-Server verbinden.
Die Administration ist in diesem Fall identisch mit der Verwaltung eines lokalen Servers, nur lassen sich keine Rollen installieren. Achten Sie darauf, vorher das Remote-Management in der Firewall auf dem Core-Server freizuschalten. Verwenden Sie dazu den Befehl netsh advfirewall set allprofiles settings remotemanagement enable.
Der komplette Netzwerkverkehr auf einem Core-Server kann über netsh advfirewall set allprofiles firewallpolicy allowinbound,allowoutbound freugeschaltet werden. Anschließend können Sie über die einzelnen MMCs, zum Beispiel auch direkt über die Computerverwaltung, auf die Funktionen des Core-Servers zugreifen und diesen verwalten. Wollen Sie die Verwaltung über den Remoted-Dsktop oder den Server-Manager aktivieren, müssen Sie über sconfig die Remote-Verwaltung dieser Bereiche aktivieren.
Die Computerverwaltung auf einem Server starten Sie am besten über Start/Ausführen/compmgmt.msc. Um sich mit einem anderen Server zu verbinden, zum Beispiel einem Core-Server, klicken Sie mit der rechten Maustaste auf den obersten Eintrag Computerverwaltung und wählen im Kontextmenü den Eintrag Verbindung mit einem anderen Computer herstellen aus. Anschließend können Sie sich mit jedem anderen Server der Domäne verbinden, auch mit Core-Servern.
MAC-Filterung für DHCP nutzen
Wenn Sie nur bestimmten Geräten per DHCP eine IP-Adresse zuweisen oder bestimmte Geräte nicht aufnehmen wollen, hilft die MAC-Filterung für DHCP von Windows Server 2008 R2.
Eine neue Funktion in Windows Server 2008 R2 ist die MAC-Filterung des DHCP-Servers. Diese Funktion steuern Sie in der DHCP-Konsole über den Menüpunkt IPv4/Filter. Der Filter ermöglicht spezielle Zulassungsfilter und Verweigerungsfilter. Mit der Liste können Sie sicherstellen, dass festgelegte Geräte eine DHCP-Adresse erhalten oder bestimmte Geräte blockiert werden und keine Adresse durch den DHCP-Server erhalten. Es lassen sich weiße Listen erstellen, bei denen kein Gerät eine IP-Adresse erhält außer den Geräten auf der Liste und Sie können schwarze Liste pflegen.
Im Gegensatz zu weißen Listen blockieren schwarze Listen nur die Geräte auf der Liste, alle anderen Geräte erhalten vom DHCP-Server eine Adresse zugeteilt. Standardmäßig ist der DHCP-Server für eine schwarze Liste konfiguriert, enthält aber keine MAC-Adressen, die er blockiert. Die MAC-Adressen können Sie über die grafische Oberfläche manuell eingeben, oder Sie blockieren mit Platzhaltern einen ganzen Bereich. Alternativ pflegen Sie Listen auch über das Kontextmenü einzelner Leases des Servers. Eine weitere Möglichkeit ist das Importieren einer Textdatei. Wenn Sie mit der rechten Maustaste auf einen Rechner unter Adressleases eines Bereiches klicken, kann der Rechner mit Zu Filter hinzufügen zu einem der Filter hinzugefügt werden. Anschließend sehen Sie die Rechner innerhalb des Filters. Die Filter sind standardmäßig deaktiviert; möchten Sie diese aktivieren, klappt dies über das Kontextmenü.
Sobald Sie eine MAC-Adresse im Verweigerungsfilter aufgenommen haben und der Filter aktiv geschaltet ist, erhält dieses Gerät keine IP-Adresse mehr von diesem DHCP-Server. Aktivieren Sie den Filter Zulassen, blockiert der DHCP-Server alle Anfragen außer den MAC-Adressen, die im Zulassungsfilter aufgenommen sind. Aktivieren Sie beide Filter, vergibt der DHCP-Server nur Adressen an Rechner, die in der Zulassungsliste enthalten sind, mit Ausnahme von Geräten, deren MAC-Adresse in der Verweigerungsliste steht. Klicken Sie mit der rechten Maustaste auf den Bereich IPv4 in der DHCP-Konsole, können Sie auf der Registerkarte Filter weitere Einstellungen vornehmen.
Hilfreiches Microsoft-Tool
Sie können auch mit dem Zeichen * bei der Eingabe des Filters arbeiten. Haben Sie eine Liste von MAC-Adressen, die Sie in die Filter aufnehmen wollen, verwenden Sie am besten das kostenlose Zusatzprogramm von Microsoft mit der Bezeichnung MAC Filter Import Tool. Die Syntax in der Textdatei sieht folgendermaßen aus:
MAC_ACTION = {ALLOW}000b21ffe430 # Client01000b21ffd260 # Client02000b21ffe330 # Client03000b23ffd260 # Client04
Nachdem Sie auf Import geklickt haben, sind die MAC-Adressen Bestandteil der entsprechenden Filterliste. Neben der Konfiguration mit der grafischen Oberfläche können Sie die Filterlisten in der Befehlszeile pflegen. Dazu nutzen Sie das Tool netsh.exe. Die Aktivierung der Listen erfolgt nach folgender Syntax:
netsh dhcp server v4 set filter [enforceallowlist=1|0] [enforcedenylist=1|0]
Wollen Sie zum Beispiel die zulassungsliste aktivieren, verwenden Sie den Befehl
netsh dhcp server v4 set filter enforceallowlist=1
Um MAC-Adressen zu den Listen hinzuzufügen, tippen Sie den Befehl
netsh dhcp server v4 add filter allow|deny mac-address ["comment"]
ein. Ein Beispiel dafür wäre:
netsh dhcp server v4 add filter allow 01-1b-23-de-db-61 "client01"
System-State-Dateien sichern und wiederherstellen
Im Windows-Dateisystem sorgen die System-State-Dateien für einen reibungslosen Ablauf. Die Programme sind enorm wichtig und sollten daher regelmäßig gesichert werden. Am einfachsten und schnellsten geschieht dies mithilfe der Kommandozeile.
Im Windows Server 2008 lassen sich verschiedene Informationen und Daten über das Kommandozeilen-Tool wbadmin sichern und wiederherstellen. Bei den State-Dateien, bei Windows Server 2008 insgesamt rund 4 GByte groß, funktioniert das über den Befehl:
wbadmin start systemstatebackup
Allerdings ist es durchaus sinnvoll, die Daten auf eine andere Festplatte zu sichern. Dies erreicht man über den Schalter "-backupTarget:NameDesVolume". Nutzt man ein Netzwerklaufwerk, sollte man darauf achten, dass das Backup nicht gerade dann erfolgt, wenn das Netzwerk stark belastet ist.
Ähnlich funktioniert das Wiederherstellen der Dateien. Dies erledigt der Befehl:
wbadmin start systemstaterecovery
Auch hier kann man mittels "-backupTarget: NameDesVolume" ein Laufwerk definieren, auf dem die Sicherungen abgelegt sind.
Die Backups müssen dabei nicht ständig manuell angestoßen werden. Der Befehl
wbadmin enable backup
erledigt das alternativ auf einer täglichen Basis. Weitere Informationen rund um wbadmin und die jeweilige Konfiguration finden sich in diesem Technet-Dokument.
Die Lösung funktioniert auf allen Windows Server Betriebssystemen ab Server 2008. Einige Funktionen funktionieren auch auf Desktop-Systemen, etwa Windows 7.
Windows-Aktivierung in der Befehlszeile
Für viele Anwendungsgebiete eignet sich eine schlanke Core-Installation eines Windows Servers hervorragend. Aber sie muss aktiviert werden, ganz ohne Benutzeroberfläche.
Über den Befehl slmgr.vbs -ato lässt sich Server aktivieren, wenn er über eine funktionsfähige Internetverbindung verfügt. Haben Sie keine direkte Internetverbindung auf dem Server und verwenden einen Proxy, können Sie diesen über die Anweisung netsh winhttp set proxy <Proxy>:<Port> auf dem Server eintragen. Wollen Sie den Server über einen KMS aktivieren, verwenden Sie den Befehl cscript windows\system32\slmgr.vbs <Servername> <Benutzername> <Kennwort>:-ato. Die wichtigsten Optionen von slmgr.vbs finden Sie in nachstehender Tabelle.
|
-ato |
Windows online aktivieren. |
|
-rearm |
Den anfänglichen Testzeitraum von 60 Tagen verlängern. |
|
-dli |
Zeigt die aktuellen Lizenzinformationen an. |
|
-dlv |
Zeigt noch weitere Lizenzdetails an. |
|
-dlv all |
Zeigt detaillierte Infos für alle installierten Lizenzen an. |
Mit der Option -rearm können Sie den anfänglichen Testzeitraum von 60 Tagen zusätzlich dreimal auf insgesamt 240 Tage verlängern. Während dieser Zeit können Sie mit Windows Server 2008 R2 ohne Aktivierung uneingeschränkt arbeiten
Um einen Server lokal über das Telefon zu aktivieren, verwenden Sie den Befehl slmgr -dti. Notieren Sie sich die ID, die der Server generiert, und rufen Sie die Aktivierungsnummer von Microsoft an.
Der Telefoncomputer fordert Sie auf, die angegebene Installations-ID anzugeben. Geben Sie die ID ein, und Sie erhalten vom Telefoncomputer eine Aktivierungs-ID. Diese geben Sie mit dem Befehl slmgr -atp <Aktivierungs-ID> ein. Haben Sie während der Installation keine Produkt-ID eingetippt, können Sie diese über den Befehl slmgr -ipk <Produkt-ID> eingeben. Anschließend lassen Sie sich über den Befehl slmgr -dti die dazugehörige Aktivierungs-ID anzeigen. Im Gegensatz zu einem normalen Server wird die Aktivierungs-ID beim Core-Server nicht in sechs Blöcken dargestellt, sodass die Anzeige ein wenig verwirrt. Bevor Sie also einen Core-Server über Slmgr aktivieren, sollten Sie die Aktivierungs-ID notieren und in Sechserblöcken unterteilen. Anschließend erhalten Sie vom Telefoncomputer die notwendige ID und tragen diese über slmgr -atp ein.
Dieses Vorgehen funktioniert mit Microsoft Windows Server 2008 und 2008 R2, auch mit den ganz "normalen" Installationen, nicht nur mit dem Core-Server.
Multi-Boot-Umgebungen einrichten
Der Boot-Manager von Windows weist seit der Version von Windows Vista - und somit auch Windows 7, Windows Server 2008 und Windows Server 2008 R2 - eine veränderte Architektur auf. Die früher verwendete Datei boot.ini gehört der Vergangenheit an, da sie durch ein neues Konzept abgelöst wurde. Bei der boot.ini handelt es sich um eine Textdatei auf der Startpartition C: des Rechners. Auf Rechnern, auf denen aber noch frühere Windows Versionen wie zum Beispiel Windows Server 2003 existieren, ist die boot.ini weiterhin vorhanden und wird dort auch noch benötigt. Das Schöne und Einfache an der boot.ini war die Tatsache, dass sie mit einem beliebigen Editor geändert und angepasst werden konnte. Damit waren Änderungen an der Startkonfiguration eines Rechners ganz leicht durchführbar. So konnte etwa zur Sicherungszwecken die boot.ini mit dem Dateiexplorer einfach kopiert werden. Die neuen Windows-Versionen hingegen setzen auf einem Configuration Data Store (BCD) auf. Hierbei handelt es sich um eine - im Vergleich mit der Einfachheit der boot.ini -. komplexere Verwaltungsstruktur.
Der Configuration Data Store basiert auf drei Verwaltungsebenen: dem Store, den Objekten und den Elementen. Der Store ist ein Container für ein Objekt, das wiederum Elemente enthalten kann. Das Objekt referenziert eine Boot-Umgebung, wie beispielsweise für den Windows Server 2008 oder Windows 7. Da es sich beim Configuration Data Store nicht um eine Textdatei handelt, sind Änderungen auch nicht mit einen Editor durchzuführen. Durch das Kommandozeilen-Tool bcdedit.exe lässt sich der Configuration Data Store ändern. Dazu sind aber Administratorrechte notwendig. Alternativ zu bcdedit steht zudem ein Shareware-Tool EasyBCD zur Verfügung.
Vor jeglichen Änderungen am BCD-Store sollte dieser allerdings gesichert werden. Um den BCD-Store zu sichern, ist das Kommando bcdedit /export BCD-Sicherungsdatei aufzurufen. Der Bezeichner BCD-Sicherungsdatei ist frei wählbar und steht für den Dateinamen des gesicherten BCD-Stores.
Die mit bcdedit /export gesicherte Datei kann durch bcdedit /import BCD-Sicherungsdatei wieder zurückgespielt werden. Um Hilfe zu erhalten, ist das folgende Kommando einzugeben: bcdedit /help. Informationen über den Configuration Data Store erhält der Administrator durch bcdedit.exe /enum -v. Das Kommando liefert eine Übersicht aller Objekte im BCD-Store. Die Boot-Konfigurationen sind durch 32-stellige GUIDs ausgewiesen. Um einen Eintrag zu ändern, ist die GUID in den Kommandos anzugeben. Für manche der Optionen, wie etwa den Boot-Manager, gibt es allerdings einfachere Varianten. Durch bcdedit /set {bootmgr} timeout 5 etwa erfolgt die Einstellung der Wartezeit für den Boot-Vorgang.
Konfigurationsoberfläche für Core-Server
Neu in Windows Server 2008 R2 ist die Konfigurationsoberfläche Serverkonfiguration für Core-Server. Diese starten Sie durch Eingabe von sconfig in der Befehlszeile. Auf diese Weise lassen sich einige Einstellungen auf Core-Server einfacher vorgeben als über die Befehlszeile.
Ein weiterer wichtiger Schritt ist, einer Windows-Domäne beizutreten. Zunächst sollten Sie sicherstellen, dass Sie die IP-Adresse richtig einstellen, und mit Ping und Nslookup überprüfen, ob Domänencontroller und DNS-Server erreicht werden können. Ist dies gewährleistet, können Sie der Domäne beitreten. Gehen Sie dazu folgendermaßen vor:
1. Geben Sie den Befehl hostname ein und notieren sich den standardmäßig gesetzten Namen. Diesen können Sie später umbenennen. Alternativ kann auch set c eingegeben werden. Dann erscheint auch der Computername. Über ipconfig /all oder Systeminfo können Sie ebenfalls den Namen anzeigen.
2. Geben Sie den Befehl netdom join <Computername> /domain:<NetBIOS-Domänen-Namen> /userd:<Domäne>\<Benutzernamen> /password:* ein. Wollen Sie später einen Server wieder aus der Domäne entfernen, verwenden Sie den Befehl netdom remove. Alternativ können Sie auch über sconfig einer Domäne beitreten.
3. Verwenden Sie netdom statt sconfig, müssen Sie das Kennwort für den Administrator eingeben, mit dem Sie den Server in die Domäne aufgenommen haben. Sollten Sie eine Fehlermeldung erhalten, überprüfen Sie zunächst, ob Sie mit Ping den Domänencontroller mit NetBIOS-Namen und IP-Adressen erreichen können, damit sichergestellt ist, dass die IP-Konfiguration stimmt. Da Sie für den Domänenbeitritt auch den Namen des Servers angeben müssen, sollten Sie überprüfen, ob Sie diesen richtig eingegeben haben. In der Befehlszeile wird oft die Null »0« mit einem großen »O« verwechselt. Ob Sie den Namen richtig eingegeben haben, können Sie überprüfen, indem Sie lokal auf dem Server den Befehl ping <Servername> eingeben.
Nach der erfolgreichen Aufnahme in die Domäne müssen Sie den Server neu starten. Geben Sie dazu den Befehl shutdown /r /t 0 ein, wenn Sie netdom verwendet haben; bei sconfig erscheint automatisch das Fenster zum Neustart.
Nach dem Neustart können Sie sich über die Schaltfläche Anderer Benutzer an der Domäne anmelden. Überprüfen Sie über den Befehl set in der Befehlszeile, ob die Domänenaufnahme funktioniert hat. Mit Nslookup lässt sich überprüfen, ob sich der Server korrekt in die DNS-Zone eingetragen hat.
Nachdem Sie der Domäne mit dem Standardnamen des Servers beigetreten sind, kann der Name des Servers geändert werden. Sie können die Namensänderung natürlich auch vor dem Beitreten ändern.
1. Geben Sie in der Befehlszeile den Befehl netdom renamecomputer <Alter Computername> /newname:<Neuer Computername> ein. Mit hostname lassen Sie sich den aktuellen Namen anzeigen.
2. Bestätigen Sie das Umbenennen mit der Taste (Y), wenn die Taste (J) nicht funktioniert.
3. Starten Sie den Server mit shutdown /r /t 0 durch.
Sie können auch über sconfig einen Computer umbenennen. Allerdings funktioniert das oft nicht fehlerfrei, wenn der Computer bereits Mitglied der Domäne ist. In diesem Fall ist netdom der kürzere Weg, einen Computer umzubenennen.
Schnellanleitung zur Installation von Serverrollen und Features auf einem Core-Server
Rollen und Features können Sie nicht über sconfig installieren. Sie benötigen dazu die beiden Befehlszeilen-Befehle oclist und ocsetup. Oclist zeigt die verfügbaren Rollen und Features an und gibt Auskunft darüber, ob diese schon installiert sind. Mit ocsetup installieren Sie dann die entsprechende Rolle oder das Feature.
Wünschen Sie eine automatische Pause der Anzeige, wenn das Eingabeaufforderungs-Fenster voll ist, verwenden Sie den Befehl oclist |more. Wollen Sie nach einem bestimmten Feature oder eine Rolle suchen, dann hilft oclist |find <"Name der Rolle oder des Features"> zum Beispiel oclist |find "PowerShell". Den Namen des Features können Sie dann mit der Maus markieren und in die Zwischenablage kopieren; sodann installieren Sie mit ocsetup <Name des Features oder der Rolle>.
Sie können die Ausgabe von oclist auch mit oclist >oclist.txt in eine Textdatei umleiten und mit Notepad auf dem Server öffnen und das entsprechende Feature oder die Rolle in die Zwischenablage kopieren und über ocsetup installieren. Neben oclist.exe und ocsetup.exe kann auf einem Core-Server auch der Befehl Dism zur Installation von Rollen und Features verwendet werden. Eine Übersicht der verfügbaren Rollen erhalten Sie mit dem Befehl Dism /online /get-features /format:table.
Die Serverrollen lassen sich auch mit der PowerShell verwalten. Dazu müssen Sie zunächst die PowerShell mit Dism /online /enable-feature /featurename:MicrosoftWindowsPowerShell auf dem Core-Server installieren. Starten Sie die PowerShell mit \windows\system32\WindowsPowerShell\v1.0\powershell.exe.
Für die Installation von Hyper-V verwenden Sie den Befehl: start /w ocsetup Microsoft-Hyper-V oder Dism /online /enable-feature /featurename:Microsoft-Hyper-V. Zum Verwalten von Hyper-V aktivieren Sie die Remote-Verwaltung und installieren auf einem Client den Hyper-V-Manager.
Funktionen, Rollen und Features per Kommandozeile verwalten
Wie eben beschrieben, lassen sich mit dem betriebssystemeigenen Kommandozeilen-Tool OCSetup auf Windows-Servern sehr einfach und schnell optionale Komponenten installieren oder entfernen. Um ein entsprechendes Paket zu installieren, muss dieses im Format MSI oder CBS vorliegen. Der Programmaufruf für diese Operation ist relativ simpel: Um ein Paket zu installieren, tippt man
Ocsetup.exe Komponente.msi
Über optionale Schalter kann man weitere Funktionen aktivieren; so sorgt die Befehlserweiterung /norestart beispielsweise dafür, dass der Computer nach Abschluss der Installation nicht neu gestartet wird. Um Programme zu entfernen, muss der Anwender den Befehl mit dem Schaltereinstellung /uninstall abschließen.
Über den Befehl lassen sich aber auch Server-Rollen aktivieren oder beenden. So startet beispielsweise der Befehl
Start /w ocsetup DHCPServer
die DHCP-Funktionen. Weitere Einstellungen des Kommandozeilen-Tools und einen Überblick über die Namen der verschiedenen Serverrollen finden sich in diesem Technet-Eintrag und auf dieser Micrososft-Website.
DNS-Server überwachen
Der Ausfall eines DNS-Servers kann enorme negative Auswirkungen auf das komplette Firmennetzwerk haben, da Namensauflösungen nicht mehr erfolgen. Um das zu verhindern, bietet Windows Server 2008 R2 verschiedene integrierte Tests zur Überwachung eines DNS-Servers an.
Die passende Option findet sich in der DNS-Management-Konsole, genauer gesagt in den Eigenschaften des jeweiligen Servers. Der dazu passende Reiter nennt sich Überwachen. Der Server bringt zwei verschiedene Tests mit. Wahlweise lassen sich einfache Abfragen starten oder rekursive Abfragen bei anderen DNS-Servern durchführen.
Die Tests lassen sich auf Wunsch manuell starten, dazu reicht ein Klick auf Jetzt Testen. Alternativ kann man automatische Tests durchführen lassen - das ist bei einfachen oder rekursiven Abfragen möglich. Das Testintervall lässt sich in Sekunden, Minuten oder Stunden definieren.
DHCP-Statistiken des Netzwerks automatisch aktualisieren
Den Überblick in einem komplexen Netzwerk zu behalten ist schwierig und zeitraubend, da aktuelle Daten oft nicht zeitnah zur Verfügung stehen. Mit unserem Tipp aktualisiert sich die DHCP-Statistik automatisch selbstständig statt nur manuell.
Die Netzwerk-DHCP-Statistikkonsole von Windows Server 2008 aktualisiert sich lediglich beim Start der Konsole oder wenn Sie auf manuelles Update klicken. Allerdings gibt es eine Methode, mit der Sie beständig die Netzwerk-Parameter abfragen und so einen deutlich besseren Überblick behalten können.
Dazu muss man in der DHCP-Konsole den jeweiligen Node und dort IPv6 oder IPv4 auswählen. Per Rechtsklick gelangen Sie anschließend in die Einstellungen. In den allgemeinen Einstellungen kann man in der Option Automatische Aktualisierung der Statistik den Zeitraum angeben, in dem die Daten neu erstellt werden sollen.
Ereignisprotokollierung abschalten
Beim Herunterfahren eines Windows Servers muss der Administrator in einem Textfeld das Ereignis begründen. In großen Unternehmen ist dies durchaus sinnvoll, in kleinen Firmen dagegen nicht immer. Wir zeigen, wie man die Protokollierung des Textfeldes deaktiviert.
Wichtige Ereignisse des Windows Servers werden in der Ereignisprotokollierung mitgeschrieben und lassen sich in der "Ereignisanzeige" prüfen. Dies gilt auch für das Herunterfahren des Windows Servers. Dabei muss der Administrator in einem Textfeld angeben, warum er den Server herunterfährt. In größeren Unternehmen mit mehreren Administratoren und aus Compliance-Gründen ist das sicher sinnvoll, denn damit ist im Nachhinein nachvollziehbar, wer warum einen Server heruntergefahren hatte.
In kleinen Unternehmen, in denen nur ein Administrator beschäftigt ist, oder bei Test- und Entwicklungsumgebungen ist dieser Kommentar weniger sinnvoll, und man kann dann darauf verzichten. Um nicht jedes Mal das Feld mit der Begründung ausfüllen zu müssen, kann man die Protokollierung des Ereignisses abschalten. Dies zeigen wir Schritt für Schritt in der folgenden Bildergalerie:
Prozesse per Kommandozeile beenden
Einzelne Prozesse lassen sich nicht nur über die grafische Oberfläche beenden, sondern auch über die entsprechenden Befehle auf der Kommandozeile. Das ist etwa dann praktisch, wenn man auf einem Windows-Server ohne GUI arbeitet.
Die Windows-Kommandozeile kennt die beiden Befehle tasklist und taskkill, mit denen sich alle laufenden Prozesse des lokalen oder von entfernten Rechnern auflisten lassen. Sobald man die PID des entsprechenden Programms gefunden hat, kann der Prozess mithilfe des Befehls
taskkill /pid Prozessnummer
beendet werden.
Wie bereits erwähnt, gilt der Befehl nicht nur für lokale Systeme, sondern auch für andere Windows-Systeme im LAN. Über den Schalter /s kann bei beiden Programmen eine Ziel-IP angegeben werden, mittels /u und /p lassen sich Nutzernamen und Passwörter übergeben.
DNS-Caching abschalten
Standardmäßig speichert Windows Server die DNS-Einträge für einen Tag zwischen, bevor die Daten neu angefordert werden. Über einen Registry-Eintrag kann man dieses Verhalten anpassen.
Windows Server speichert die DNS-Einträge für einen Tag, um dadurch schneller auf Anfragen aus dem Netzwerk reagieren zu können. Um rasch auf eine Änderung der DNS-Einträge reagieren zu können, kann man das Verhalten über die Registry beeinflussen.
Der passende Wert findet sich unter dem Pfad
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
Der passende Eintrag ist ein REG_DWORD-Schlüssel mit dem Namen "MaxCacheTtl". Ist dieser nicht vorhanden kann man ihn über einen Rechtsklick anlegen.
Die Speicherzeit wird in Sekunden angegeben, die Angabe ist hexadezimal. Der Wert für einen Tag ist 0x15180, das entspricht 86.400 Sekunden. 0x0 steht dagegen für 0 Sekunden, DNS-Einträge werden dann nicht zwischengespeichert.
Nutzer und Objekte vor Löschen schützen
Seit Server 2008 gibt es ein neues Feature, mit dem verhindert werden soll, dass man einzelne Objekte im Active Directory versehentlich löscht.
Das Active Directory ist mit das wichtigste Werkzeug für die Windows-Administration - wird allerdings versehentlich ein wichtiger Eintrag gelöscht, kann dies die komplette Organisation lahmlegen.
Glücklicherweise bietet Windows seit Server 2008 eine Schutzfunktion - die allerdings separat aktiviert werden muss. Hierzu muss man zunächst die Active- Directory-Konsole aufrufen. Dort kann man zu jedem Eintrag, egal ob Nutzer oder ein anderes Objekt, die Eigenschaften aktivieren. Die Schaltfläche Objekt vor zufälligem Löschen schützen findet man im Reiter Objekt.
Zugriffe auf Windows-Netzwerkfreigaben überwachen
Freigaben auf einem Windows-System lassen sich mit einem einfachen Trick überwachen. Windows speichert dabei unter anderem, welche Daten von den Nutzern verändert oder neu erstellt werden.
Die Überwachung wird im Kontextmenü des jeweiligen Ordners aktiviert. Nach einem Klick auf die Eigenschaften des Ordners ist der Reiter Sicherheit das nächste Ziel. Am unteren Ende reicht ein Klick auf die Schaltfläche Erweitert, um weitere Optionen aufzurufen. Die Überwachung findet sich anschließend im entsprechenden Reiter.
Um eine neue Überwachung anzulegen, klickt man im nächsten Dialog (der administrative Rechte erfordert) auf Hinzufügen. Windows fragt nun ab, welche Gruppen oder Benutzer hinzugefügt werden sollen; im Zweifelsfall hilft hier das Objekt Jeder. Ein Klick auf OK führt zur letzten Konfiguration, in der man noch definieren kann, welche Zugriffe überwacht werden sollen.
Die Funktion ist in allen aktuellen Versionen von Windows enthalten. Die jeweiligen Änderungen lassen sich über die Ereignisanzeige in Windows einsehen. (mje)